ENGENHARIA DE REDES DE COMPUTADORES E SISTEMAS PARA TELECOMUNICACES

Segurana de Redes

Prof. Frank frankdcfarias@gmail.com

Introduo Segurana da Informao

Tpicos: - Conceitos bsicos de Segurana da Informao; - Condies que afetam a Segurana da Informao; - Exerccios.

Segurana de Redes

Primeiro princpio da Segurana Computacional:

No h sistema computacional 100% seguro!

Segurana de Redes

Na realidade trabalha-se com nveis de segurana, pois existe um paradoxo que precisa ser balanceado e otimizado sempre:

segurana/usabilidade

Introduo Segurana da Informao

O que Segurana da Informao?
a proteo aos ativos que produzem, processam, transmitem ou armazenam informaes, compreendendo um conjunto de instrumentos que englobam : - Polticas; - Processos; - Procedimentos; - Estruturas organizacionais; - Softwares e hardware em conjunto com outros processos da gesto da informao.

Introduo Segurana da Informao

Pilares da Segurana da Informao: - Confidencialidade

- Integridade - Disponibilidade
-Outros aspectos:
- Autenticidade - Legalidade

- AUTENTICIDADE
- LEGALIDADE

Pilares da Segurana da Informao:

- Confidencialidade:
- Refere-se garantia de que apenas as pessoas as quais devam ter conhecimento legitimamente sobre um assunto tero acesso ao mesmo.

- Integridade:
- Refere-se proteo da informao contra alteraes em seu estado original, sejam elas intencionais ou acidentais.

- Disponibilidade:
- Refere-se a garantia de que a informao s possa ser acessada por aqueles que dela necessitam e no momento em que precisam.

Pilares da Segurana da Informao:

- Outros aspectos: - Autenticidade:
Garantia de que as entidades (informaes, mquinas, usurios) identificadas em um processo de comunicao como remetentes ou autores sejam exatamente o que dizem ser e que a mensagem ou informao no tenha sido alterada aps o seu envio ou validao.

Pilares da Segurana da Informao:

-Outros aspectos: - Legalidade:
a legalidade das informaes dentro de um processo de comunicao, em que todos os ativos seguem um acordo ou legislao.

Exerccios: 1) Descreva aplicao. 2) Qual a importncia em se conhecer o ciclo de vida da informao? sucintamente os trs pilares da Segurana da Informao e cite exemplos de sua

Conceitos Relacionados Segurana:

- Ativo; - Informao; - Ciclo de vida da informao:
- Produo; - Armazenamento; - Transporte; - Descarte.

Condies que afetam a informao:

- Ameaas; - Vulnerabilidades; - Incidentes de Segurana; - Riscos; - Impacto; - Controles.

Condies que afetam a informao:

Ameaas:
So condies, eventos ou agentes que podem causar incidentes que comprometam as informaes e seus ativos por meio da explorao de vulnerabilidades e que tragam prejuzos a confidencialidade, integridade e disponibilidade da informao.

Ameaas fsicas:

Incndios Inundaes Tempestades eletromagnticas

Ameaas Humanas

Hackers Engenharia Social

Usurios

Ladro

Ameaas Tecnolgicas

Malwares SPAM

Fraudes

Condies que afetam a informao:

Vulnerabilidades:
So fragilidades existentes ou associadas a ativos que processam informaes e que se explorados podem comprometer a segurana da informao.

Vulnerabilidades Fsicas

Superaquecimento Proteo inadequada

Vazamentos

Vulnerabilidades Humanas

Falhas humanas Inexperincia

Desconhecimento tcnico

Vulnerabilidades Tecnolgicas

Falhas tecnolgicas

Cabeamento no estruturado

Sistema desatualizado

Condies que afetam a informao:

Incidentes de Segurana:
Fato decorrente da ao de uma ameaa que explora uma ou mais vulnerabilidades, levando perda ou comprometimento de um ou mais princpios da segurana da informao.

Condies que afetam a informao:

Incidentes de Segurana:

Fonte: www.rnp.br/cais

Condies que afetam a informao:

Riscos:
So probabilidades de ameaas explorarem vulnerabilidades, provocando perdas ou danos aos ativos e as informaes.

Condies que afetam a informao:

Riscos:

Condies que afetam a informao:

Impacto:
Abrangncia dos danos causados por um incidente de segurana sobre um ou mais processos de negcio.

Condies que afetam a informao:

Controles:
So prticas, procedimentos, mecanismos e polticas que protegem um ativo contra uma ameaa, reduz a vulnerabilidade, limita o impacto de eventos indesejveis e facilita o processo de recuperao do ambiente afetado.

Condies que afetam a informao:

Mecanismos de controle fsico:
- Extintores, climatizadores, sensores; - Cercas, portaria, roletas, circuito de tv; - Alarmes, dispositivos de biometria; - Cabeamento estruturado, sala cofre; - Nobreak, aterramento, pra-raios; - Adequao das instalaoes; - Controle de dispositivos mveis; - Controle de dispositivos externos; - Tratamento no descarte de mdias, etc.

Condies que afetam a informao:

Mecanismos de controle humano: - Divulgao da poltica de segurana; - Boas prticas de segurana; - Classificao de sigilo da informao; - Seminrios de sensibilizao em segurana; - Treinamento anti-engenharia social; - Capacitao tcnica; poltica de senhas; - Termo de sigilo e uso de sistemas; - Critrios de admisso/demisso; - Organizao de pastas lgicas, etc.

Condies que afetam a informao:

Mecanismos de controle Tecnolgico: - Criptografia, protocolos seguros; - Assinatura digital, certificado digital; - VPN (Rede Virtual Privada), esteganografia; - Firewall, IDS (sistema de deteco intruso); - IPS (sistema de preveno de intruso) ; - Sistema de backups (cpias de segurana).

Condies que afetam a informao:

Estratgias de Segurana:
- Teoria do Permetro:
Teoria est associada compartimentalizao de espaos fsicos e lgicos; Isso distribui a resistncia por reas, dificultando as tentativas de acesso indevido.

Estratgias de Segurana:
- Teoria do Permetro:
Propicia o estabelecimento de diversas barreiras de proteo at que o agente possa alcanar o alvo, ou seja, a informao. Saber segmentar os ativos fsicos, tecnolgicos e humanos em categorias, conforme a similaridade de sua criticidade e valor facilitam a seleo dos mecanismos de proteo adequados e garantem maior efetividade dos mesmos.

Estratgias de Segurana:
- Teoria do Permetro

Estratgias de Segurana:
- Estratgias de proteo: - Privilgio Mnimo; - Defesa em Profundidade; - Elo mais Fraco; - Ponto de Estrangulamento; - Segurana pela Obscuridade; - Simplicidade.

Estratgias de Segurana:
- Estratgias de proteo:

Privilgio Mnimo:
- Refere-se a uma no exposio de risco desnecessria; - Segundo esse enfoque, o acesso a um usurio deve ser restrito as suas reais necessidades para o desempenho de suas funes.

Estratgias de Segurana:
- Estratgias de proteo:

Defesa em Profundidade:
Refere-se aplicao de defesas distintas, de controles complementares como redundncia, para no caso de falha ou violao de um, haja outro controle e no torne o sistema como um todo vulnervel e restrito a somente um nico controle, pois em segurana nada infalvel.

Estratgias de Segurana:
- Estratgias de proteo:

- Elo mais Fraco:

Refere-se ao princpio de que o elo mais fraco de uma corrente define a resistncia do sistema, pois o invasor precisar apenas de uma falha para alcanar o seu objetivo.

Estratgias de Segurana:
- Estratgias de proteo:

- Ponto de Estrangulamento:
Refere-se a adotar medidas de segurana estratgicas em um mesmo ponto de controle em que passem todos os usurios.

Estratgias de Segurana:
- Estratgias de proteo:

- Segurana pela Obscuridade:

Refere-se estratgia de que quanto menos informaes um agente tiver a respeito do ambiente alvo, maior ser a sua dificuldade em invadi-lo, porm preciso combinar outros controles para que seja eficaz.

Estratgias de Segurana:
- Estratgias de proteo:

Simplicidade:
Refere-se estratgia de que quanto mais complexo um sistema, maior a dificuldade em torn-lo seguro.

Estratgias de Segurana:
- Antes de implementar qualquer estratgia convm verificar:
O que proteger? Contra que ou quem? Quais as ameaas mais provveis? Qual a importncia de cada recurso?

Estratgias de Segurana:

Qual o grau de proteo desejado? Quanto tempo, RH, e recursos financeiros se pretende investir? Quais as expectativas dos usurios e clientes? Quais os impactos e conseqncias para a organizao no caso da explorao bem sucedida de uma ou mais vulnerabilidades?

Exerccios:
1) Descreva sucintamente a correlao entre ameaa,

vulnerabilidade e risco. 2) Descreva incidente de segurana. 3) Qual a importncia da teoria do permetro para a estratgia da segurana da informao?

Exerccios:
( ) Quanto menos informaes um agente tiver a respeito do ambiente alvo, maior ser a sua dificuldade em invadilo. ) Aplicao de defesas distintas, de controles complementares como redundncia, para no caso de falha ou violao de um, haja outro controle e no torne o sistema como um todo vulnervel e restrito a somente um nico controle.

Exerccios:
( ) Tem por objetivo tornar o custo da invaso maior do que o valor da informao. ( ) Resistncia distribuda por espaos fsicos e lgicos.

( ) Estratgicas em um mesmo ponto de controle em que passem todos os usurios.

Tpicos: - Conceitos bsicos de Segurana de Redes; - Engenharia Social; - Poltica de Segurana da Informao; - Classificao da Informao; - Exerccios.

Segurana de Redes:
- A segurana de redes envolve um conjunto de: - Estratgias; - Polticas; - Produtos (Software e Hardware); - Servios; - Processos automatizados; - Tcnicas de segurana.

Segurana de Redes:
Principais ameaas (agentes):
- Hackers; - Espies; - Ladres; - Ex-funcionrios; - Terroristas.

Segurana de Redes:
Motivaes:
- Diverso; - Espionagem industrial; - Vingana; - Vaidade; - Dinheiro.

Segurana de Redes:
- Planos de ataque:
Um agente competente desenvolve um plano de ao: - Estudo do alvo; - Ferramentas de escuta; - Informaes sobre o sistema e sobre a rede; - Vulnerabilidades de cdigo remoto; - Vulnerabilidades de sistemas, servios de rede e falhas de configurao de equipamentos, etc.

Engenharia Social:
- um mtodo em que o agente se utiliza da persuaso. Engenharia: - Construo de tticas de acesso a informaes crticas. Social: - Os alvos so pessoas com papis bem definidos na sociedade.

Engenharia Social:
- Utilizam tcnicas de PNL (Programao Neurolingustica) ou tcnicas de leitura do comportamento humano; - Requer habilidades psico-sociais; - Esta tcnica permite obter informaes crticas de forma simples e efetiva: Apenas perguntando!

Engenharia Social:
- Explora o comportamento humano (elo mais fraco): - Ingenuidade/despreparo; - Confiana; - Medo; - Ambio; - Vaidade; - Ira.

Engenharia Social:
- Tcnicas: - Estuda o alvo e aprende seus comportamentos; - Aprende linguagem e traquejos utilizados no meio profissional; - Falsidade ideolgica/estelionato; - Disfarces; - Uso de autoridade; - Tcnicas e ferramentas tecnolgicas.

Engenharia Social:
- Contra medidas:
- Controlar o fator humano; - Treinamentos anti engenharia social; - Emprego de Polticas de Segurana.

Poltica de Segurana:

- Regula como deve ser gerenciada e protegida a informao, recursos e usurios; - Estabelece padres, responsabilidades e critrios para todo o ciclo de vida da informao; - Deve-se observar os controles previstos na NBR 27002.

Poltica de Segurana:
- A poltica Subdividida em:

Diretrizes:
Expressa a importncia que a Organizao d a informao. Ex: necessidade de salvaguarda de determinada informao.

Poltica de Segurana: Normas:

Detalham ambientes, situaes e processos especficos. Ex: normas para uso da Internet.

Procedimentos e instrues:
Detalham os passos necessrios a realizao de uma determinada atividade. Ex: passos necessrios para proceder o descarte de mdia magntica.

Classificao da Informao:
- Processo de identificar e definir nveis e critrios adequados de proteo. - Objetiva garantir informao o tratamento adequado quanto a(o): - Valor; - Sensibilidade/criticidade; - Requisitos legais; - Risco de vazamento de informao/perda.

Classificao da Informao:
- Um dos pilares da gesto da segurana da informao. - Deve estar alinhada a Poltica de Segurana da Informao e aos objetivos do negcio e legislao vigente. - Deve contemplar todo o ciclo de vida da informao.

Classificao da Informao:
- Exige a formalizao de dois documentos: - Esquema de classificao: nveis de classificao. - Procedimentos de Rotulao e tratamento: - Necessidade de segurana; - Necessidade de acesso; - Necessidade de conhecer; - Natureza do contedo; - Legislao vigente .

Classificao da Informao:
- No mbito da Administrao Pblica Federal: - Decreto 4.553/2002 - No mbito privado: - Depende da natureza da organizao e dos objetivos estratgicos da organizao.

Classificao da Informao:

Exerccios:
1) Cite uma situao que reflita uma ao da tcnica de engenharia social. 2) Qual a contra-medida recomendada para proteger os ativos da organizao contra a ao da engenharia social? 3) Cite uma norma que faz parte da poltica de segurana da sua empresa. 4) Qual a importncia da poltica de segurana para a organizao?

Exerccios:
5) Cite quatro benefcios da poltica de segurana para uma organizao. 6) Por que a organizao deve classificar suas informaes? 7) Cite alguns rtulos empregados na classificao da

informao de sua organizao. 8) Quais os prejuzos que uma organizao pode sofrer por no classificar a informao?

Gerenciamento da Segurana da Informao

Tpico: - Introduo ao Gerenciamento da S.I; - SGSI; - Normas de segurana; - Exerccios.

Introduo ao Gerenciamento da S.I:

controlado, utilizando-se para isso: - Polticas; - Processos; - Procedimentos; - Estrutura organizacional; - Mecanismos de proteo.

- Objetiva manter os ativos da informao em nvel de risco

Implantao da S.I:
- A implantao da segurana requer:
- Comprometimento da alta administrao; - Criao de uma rea especfica; - Equipe qualificada e habilitada; - Abordagens de processo.

Abordagem de Processo:
Considera-se como abordagem de processo: - Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformao de entradas e sadas pode ser considerada um processo. - Freqentemente a sada de um processo forma diretamente a entrada de outro. - A aplicao de um sistema de processos junto com a identificao e interaes destes processos, e a sua gesto podem ser consideradas como abordagem de processos.

Sistema de Gesto de Segurana da Informao (SGSI) :

Abordagens de processo para: - Estabelecer; - Implementar; - Operar; - Monitorar; - Analisar criticamente; - Manter; - Melhorar continuamente um SGSI.

Normas de Segurana:
- Tem o propsito de definir: - Regras; - Padres; - Instrumentos de controle. - Objetivam uniformizar: - Processos; - Produtos; - Servios. - Estabelecem a busca da melhoria contnua da qualidade.

Organizaes de Padres e Normalizao:

Destacam-se: - No frum internacional:

- ISO (International Organization for Standardization); - IEC (International Electrotechnical Commission).

- No frum nacional: - ABNT Associao Brasileira de Normas Tcnicas.

Normas de Segurana da Informao:

- A implantao do SGSI apia-se na abordagem de processo de vrias normas: - NBR ISO/IEC 27001; - NBR ISO/IEC 27002; - NBR ISO/IEC 27005; - NBR 15999-1; - NBR 15999-2; - NBR ...

Norma ABNT NBR-ISO/IEC 27001:2006 Tcnicas de Segurana Sistema de Gesto de Segurana da Informao - Requisitos:
- A norma NBR 27001 est alinhada com as normas: - NBR ISO 9001- Sistema de gesto da qualidade. - NBR ISO 14001- Sistema de gesto ambiental.

ABNT NBR-ISO/IEC 27001:2006:

- Representa um modelo para: - Estabelecer; - Implantar; - Operar; - Monitorar; - Reavaliar; - Manter; - Melhorar continuamento de um SGSI.

ABNT NBR-ISO/IEC 27001:2006:

- Modelo flexvel: - Aplicvel a qualquer organizao; - No faz distino sobre o tipo, natureza ou tamanho da organizao; - Requisitos so genricos; - Permite projetar um SGSI personalizado: - Definio de necessidades prprias; - Seleo de controles adequados; - Proteo ao ativos da informao; - Permite que a organizao obtenha certificao de conformidade com a norma.

ABNT NBR-ISO/IEC 27001:2006:

- Sob o aspecto operacional a NBR ISO 27001 se subdivide nas seguintes sees: - Sistema de Gesto de Segurana da Informao (SGSI); - Responsabilidades da direo da organizao em implantar e manter o SGSI; - Auditorias internas do SGSI; - Anlise crtica do SGSI; - Melhoria contnua do SGSI.

ABNT NBR-ISO/IEC 27001:2006:

- Sistema de Gesto de Segurana da Informao (SGSI): - O SGSI estruturado com base no modelo PDCA (Plan-DoCheck-Act): - Plain (Planejamento); - Do (Fazer/executar); - Check (Checar/Monitorar); - Act (Agir).

ABNT NBR-ISO/IEC 27001:2006: - Modelo PDCA (Plain-Do-Check-Act):

ABNT NBR-ISO/IEC 27001:2006:

- Fase de estabelecimento do SGSI: - Definio de escopo e limites do SGSI; - Definio da poltica do SGSI; - Definio da abordagem para gesto de riscos; - Seleo de controles para o tratamento de riscos; - Declarao de aplicabilidade; - Justificativas relativas as selees e excluses de controles.

ABNT NBR-ISO/IEC 27001:2006: - Fase de estabelecimento do SGSI:

- Definio de escopo e limites do SGSI: - Caractersticas do negcio; - Localizao geogrfica; - Ativos e tecnologia; - Detalhes e justificativas para excluses do escopo.

ABNT NBR-ISO/IEC 27001:2006: - Fase de estabelecimento do SGSI:

- Definio da poltica do SGSI que inclua: - A estrutura para definir objetivos, direcionamento global e aes de segurana; - Requisitos de negcio, requisitos legais e contratuais; - Alinhamento com o contexto estratgico e gesto de riscos; - Critrios para os riscos que sero avaliados; - Aprovao da Direo.

ABNT NBR-ISO/IEC 27001:2006: - Exerccios:

1) Descreva as fases do ciclo PDCA (Plain-Do-Check-Act). 2) Qual a importncia da definio de escopo e limites no estabelecimento do Sistema de Gesto de Segurana da Informao? 3) Quais os benefcios da certificao de conformidade com a norma NBR ISO/IEC 27001 para a organizao?

Outro exemplo de norma:

ABNT NBR-ISO/IEC 17799:2005
- Implementao e administrao do ambiente de segurana:

ABNT NBR-ISO/IEC 17799:2005

A norma est estruturada nas seguintes sees:

Direito Digital
Tpico: - Crimes envolvendo segurana e computao. - Legislao concernente ao tratamento e proteo da informao. - Exerccios.

Crimes Envolvendo Segurana e Computao:

- O desenvolvimento da T.I e a popularizao da Internet transformou a forma como a sociedade lida com a informao; - Com a nova cultura calcada na tecnologia surgem tambm novos atos ilcitos ou a reconfigurao de crimes convencionais: - Acesso a computadores de forma no autorizadas; - Fraudes pela Internet/Estelionato; - Crimes de danos/saques bancrios on-line; - Espionagem industrial; - Pedofilia.

Crimes Envolvendo Computao:

Tipificao dos crimes:

Segurana

A tipificao requer apreciao cuidadosa: Ausncia de legislao especfica para tratar determinados casos dentro de ambiente ciberntico; Cdigo Penal: No h crime sem lei anterior que o defina, nem h pena sem prvia cominao legal. A maior parte dos incidentes de segurana da informao e atos ilcitos envolvendo ambiente ciberntico ou digital ainda tratada sob a ptica do contexto convencional, como fraude, falsificao, estelionato, entre outros crimes.

Crimes Envolvendo Segurana e Computao:

Crime comum versus crime computacional - No h um consenso na doutrina nacional ou estrangeira sobre a definio de crime puro de Informtica; - No trabalho de [Gomes] define-se como crime puro de Informtica toda a ao tpica, antijurdica perpetrada com o uso de equipamentos de informtica contra os dados que se encontram em processamento eletrnico ou em transmisso; - Segundo [Parker], como definio do que seria um crime ciberntico, pode-se citar: qualquer incidente ligado tecnologia do computador, no qual uma vtima sofreu, ou poderia ter sofrido, um prejuzo, e um agente teve, ou poderia ter tido, vantagens.

Crimes Envolvendo Segurana e Computao:

Legislao:
A incidncia cada vez maior das fraudes, crimes cibernticos e a necessidade de legislao especfica para tratar o assunto alavancaram vrios projetos de leis relacionados segurana da informao em formato digital, porm, vrios deles ainda esto em reviso ou tramitao no Congresso Nacional; Muitas questes ainda so polmicas e outras necessitam de subsdio tcnico ou mesmo sustentao jurdica.

Crimes Envolvendo Segurana e Computao:

Legislao: Existem alguns crimes cibernticos que se enquadram em classificaes criminosas conhecidas: Crimes contra a honra: - Calnia, do Cdigo Penal Art. 138. - Difamao, do Cdigo Penal Art. 139. - Injria, do Cdigo Penal Art. 140.

Crimes Envolvendo Segurana e Computao:

Ataques e invases:
- Escutas Telemticas (sniffers), CF/1988 art. 5 + Lei 9.296/96.

Produo de danos mensurveis:

- Estelionato, Cdigo Penal Art. 171. - Falsidade ideolgica, Cdigo Penal Art. 307.

Crimes Envolvendo Segurana e Computao:

Inviolabilidade dos segredos:
- Divulgar segredos de sistemas de informaes da Administrao Pblica, Lei n 9.983/2000; - Violao de sigilo de operao ou de servio prestado por instituio financeira, Lei n 7.492/1986.

Crimes Praticados por Funcionrio Pblico :

- Insero de dados falsos, Lei n 9.983/2000; - Modificao no autorizada, Lei n 9.983/2000; - Acesso no autorizado, Lei n 9.983/2000;

Crimes Envolvendo Segurana e Computao:

Direitos do autor:
- Obra literria, artstica ou cientfica, Lei n 5.988/1973 + Lei n 9.610/1998; - Software como produo intelectual, Lei n 5.988/1973 + Lei n 9.609/1998.

Crimes ambientais:
- Ordenamento Urbano, Patrimnio Histrico, Artstico e Cultural, Lei n 9605/1998

Crimes Envolvendo Segurana e Computao:

Pornografia Infantil:
- Publicar ou fotografar, Lei n 8069/1990 (Estatuto da Criana e do Adolescente - ECA); - Apresentar, produzir, vender, fornecer, divulgar ou publicar fotografias ou imagens com pornografia, Lei n 10.764/2003 e Lei N 11.829/2008.

Questes cveis:
- Contratos feitos pela Internet; - Danos morais e materiais.

Legislao Concernente ao Tratamento e Proteo da Informao:

Constituio Federal de 1988
Art. 5. Todos so iguais perante a lei () X - so inviolveis a intimidade, a vida privada, a honra e a imagem das pessoas () XII - inviolvel o sigilo da correspondncia e das comunicaes telegrficas, de dados e das comunicaes telefnicas (). .

Legislao Concernente ao Tratamento e Proteo da Informao:

- Lei n 8.159, de 8 de janeiro de 1991 (regulamentada pelo Decreto 4.073/2002). Dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados e d outras providncias. - Decreto n 4.553, de 27 de dezembro de 2002. Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias. - Medida Provisria nr. 2.200, de 24 de agosto de 2.001. Institui a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em autarquia, e d outras providncias.

Legislao Concernente ao Tratamento e Proteo da Informao:

- Decreto n 3.996 de 31 de outubro de 2.001. Dispe sobre a prestao de servios de certificao digital no mbito da Administrao Pblica Federal.

Legislao Concernente ao Tratamento e Proteo da Informao: Exerccios:

1) Como voc definiria crime ciberntico? 2) Por que o problema da jurisdio critico para a soluo de crimes cibernticos? 3) Busque na web o texto das leis brasileiras que versam sobre ataques e invases virtuais. Existiria alguma melhoria a ser implementada nas mesmas?