Segurança em Redes: Introdução Prof. Eduardo Maroñas Monks

Sumário  Informação  Evolução dos sistemas de informação  Segurança da informação  Padrão ISO/IEC INTERNACIONAL Tecnologia da Informação – Código de Prática para Gestão da Segurança de Informações  Exemplos e estudo de caso  Referências

Importância da Informação A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor. Os sistemas computacionais são os responsáveis por garantir o armazenamento, a distribuição e a integridade da informação.Os sistemas computacionais são os responsáveis por garantir o armazenamento, a distribuição e a integridade da informação. Segurança em Redes: Introdução 3InformaçãoInformaçãoInformaçãoInformação

Anos 70 Ambiente homogêneoAmbiente homogêneo Controles centralizados no mainframeControles centralizados no mainframe Usuários com direitos restritos pelo Administrador centralUsuários com direitos restritos pelo Administrador central Distribuição restrita aDistribuição restrita a área de processamento de dados de dados Segurança em Redes: Introdução 4 Evolução dos Sistemas de Informação

Anos 80 Ambiente menos homogêneoAmbiente menos homogêneo Controle centralizado no mainframe e em alguns servidoresControle centralizado no mainframe e em alguns servidores Usuários com direitos restritos pelos administradores locaisUsuários com direitos restritos pelos administradores locais Distribuição restrita aDistribuição restrita a área de processamento de dados, financeira, de dados, financeira, etc. etc. Segurança em Redes: Introdução 5 Evolução dos Sistemas de Informação

Anos 90/00/10 Ambiente heterogêneoAmbiente heterogêneo Controle descentralizadoControle descentralizado Usuários com direitos restritos pelo administradorUsuários com direitos restritos pelo administrador Distribuição em todas as áreas da EmpresaDistribuição em todas as áreas da Empresa Serviços informatizados acessíveis ao públicoServiços informatizados acessíveis ao público Segurança em Redes: Introdução 6 Evolução dos Sistemas de Informação

Segurança da Informação Conceito de Segurança Conceito de SegurançaDisponibilidade Garantia de que o serviço esteja disponível e utilizável sob demanda por uma entidade autorizada do sistema Integridade Garantia de que os dados recebidos estão exatamente como foram enviados por uma entidade autorizada Confidencialidade Proteção dos dados contra divulgação não autorizada Autenticação Garantia de que a entidade se comunicando é aquela que ela afirma ser Controle de Acesso Impedimento de uso não autorizado de um recurso Irretratabilidade Oferece proteção contra negação, por parte de uma das entidades envolvidas em uma comunicação, de ter participado de toda ou parte da comunicação Segurança em Redes: Introdução 7

Segurança da Informação Disponibilidade Disponibilidade Propriedade que causa maior impacto ao usuário Medido em % 99,999% representam 5 minutos de indisponibilidade no ano!!! 99,999% representam 5 minutos de indisponibilidade no ano!!! Os serviços de rede devem permanecer disponíveis SEMPRE, entretanto: Impossibilidade devido a falhas de hardware, atualizações de software, bugs, ataques de negação de serviço, falhas na alimentação elétrica, problemas operacionais e etc... Solução: REDUNDÂNCIA Utilização de no-breaks, entretanto: - A falha de energia pode durar mais do que suportam as baterias - O no-break pode apresentar problema - A faxineira pode desplugar o no-break da tomada - O no-break pode ter um bug no seu software... Segurança em Redes: Introdução 8

Segurança da Informação Integridade Propriedade garantida nos sistemas de arquivos, bancos de dados e nos protocolos de rede Utilização de códigos de verificação (checksum) em arquivos e pacotes de rede Exemplo: MD5 Checksum CentOS-4.4-i386-LiveCD.iso - 747c9e33a10fdbf5919d9fd188ab7d23 CentOS-4.4-i386-LiveCD.iso - 747c9e33a10fdbf5919d9fd188ab7d23 Segurança em Redes: Introdução 9

Segurança da Informação Confidencialidade Uso de criptografia Banco de dados (senhas) Protocolos seguros: SSH, HTTPS, SMTPS... Controle de permissões de acesso aos dados Segurança em Redes: Introdução 10

Problemas mais comuns Fator humano Usuários despreparados/maliciosos Administradores despreparados Desenvolvedores despreparados Redes e sistemas heterogêneos (complexidade) Redes e sistemas heterogêneos (complexidade) Desrespeito a política de segurança da instituição Desrespeito a política de segurança da instituição Infraestrutura de TI Infraestrutura de TI Ameaças externas Ameaças externasVírus/SPAMP2PCrackers... Segurança em Redes: Introdução 11

Soluções mais comuns Treinamento de usuários Treinamento de usuários Auditoria em sistemas e aplicações Auditoria em sistemas e aplicações Utilização de Firewall, Web Proxy, Filtragem de , Detectores de Intrusão, Redundância e etc... Utilização de Firewall, Web Proxy, Filtragem de , Detectores de Intrusão, Redundância e etc... Atualização dos sistemas operacionais e aplicações Atualização dos sistemas operacionais e aplicações Definição e aplicação de uma política de segurança Definição e aplicação de uma política de segurança Adequação da infraestrutura de TI conforme os padrões (climatização, no-breaks, geradores, cabeamento estruturado,...) Adequação da infraestrutura de TI conforme os padrões (climatização, no-breaks, geradores, cabeamento estruturado,...) Estabelecimento de rotinas de backup dos sistemas e dados Estabelecimento de rotinas de backup dos sistemas e dados Segurança em Redes: Introdução 12

Terminologia Ativo: qualquer elemento que tenha valor para uma organizaçãoAtivo: qualquer elemento que tenha valor para uma organização Valor do Ativo: quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade afetadasValor do Ativo: quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade afetadas Vulnerabilidade: falha no ambiente que ameaçar algum ativoVulnerabilidade: falha no ambiente que ameaçar algum ativo Ameaça: possibilidade de exploração de uma vulnerabilidadeAmeaça: possibilidade de exploração de uma vulnerabilidade Impacto: resultado da concretização de uma ameaça contra um ativoImpacto: resultado da concretização de uma ameaça contra um ativo Segurança em Redes: Introdução 13 ISO/IEC 17799

O que é segurança da informação?O que é segurança da informação? –Informações são ativos que, como qualquer outro ativo importante para os negócios, possuem valor para uma organização e consequentemente precisam ser protegidos adequadamente. A segurança de informações protege as informações contra uma ampla gama de ameaças, para assegurar a continuidade dos negócios, minimizar prejuízos e maximizar o retorno de investimentos e oportunidades comerciais. –As informações podem existir sob muitas formas. Podem ser impressas ou escritas em papel, armazenadas eletronicamente, enviadas pelo correio ou usando meios eletrônicos, mostradas em filmes, ou faladas em conversas. Qualquer que seja a forma que as informações assumam, ou os meios pelos quais sejam compartilhadas ou armazenadas, elas devem ser sempre protegidas adequadamente. Fonte: PADRÃO ISO/IEC INTERNACIONAL Tecnologia da Informação – Código de Prática para Gestão da Segurança de Informações Segurança em Redes: Introdução 14 A segurança da informação é obtida através da implementação de um conjunto adequado de controles, que podem ser políticas, práticas, procedimentos, estruturas organizacionais e funções de software. Esses controles precisam ser estabelecidos para assegurar que os objetivos de segurança específicos da organização sejam alcançados. ISO/IEC 17799

Objetivo da Segurança da Informação “A informação certa comunicada as pessoas certas (na hora certa) é de importância vital para a empresa.” Segurança em Redes: Introdução 15 ISO/IEC 17799

Ameaças a Confidencialidade –Hackers Um hacker é um indivíduo que tem a capacidade de suplantar os controles de segurança e acessa dados e informações que ele não deveria ter autorização para o fazer. –Usuários não-autorizados Usuários que obtém acesso ao sistema não respeitando as regras de segurança estabelecidas ou se passando por outro usuário. –Cópias e downloads não protegidos Cópias ou downloads de arquivos de ambiente protegidos para ambientes não-seguros (públicos) ou em mídia removível. –Malware Vírus, worms e softwares de objetivo malicioso. –Funções de teste em software (Trapdoors) Durante a fase de desenvolvimento do sistema, os desenvolvedores criam atalhos para permitir a agilidade a funções sem a necessidade de autenticação ou com credenciais fáceis de burlar. Estes procedimentos podem ficar esquecidos ao final e permanecerem no produto final. Segurança em Redes: Introdução 16 ISO/IEC 17799

Ameaças a Disponibilidade –A disponibilidade pode ser afetada por variados eventos que podem ser originados de fatores humanos ou não- humanos. Além disto, os eventos humanos podem se dividir em intencionais ou não intencionais. Segurança em Redes: Introdução 17 ISO/IEC 17799

Autenticação Autenticação é o processo pelo qual os sistemas de informação se asseguram que você é quem você está dizendo ser.Autenticação é o processo pelo qual os sistemas de informação se asseguram que você é quem você está dizendo ser. Métodos de realizar autenticação são:Métodos de realizar autenticação são: –Usuário e senha. O sistema compara o usuário e a senha fornecidas com o usuários e a senhas armazenada. Se o usuário e a senha coincidirem o usuário é autêntico. –Cartões Magnéticos. Possuem a identificação do usuário de forma completa ou existe a necessidade de fornecer dados junto com cartão. –Certificado Digital. São dados criptografados que contêm informações sobre o dono, o criador, a geração e data de expiração e outro dados que identificam unicamente o usuário. –Token de identificação. Dispositivo eletrônico que gera senhas aleatórias sincronizadas com um sistema centralizado. –Biometria. Varredores de retinas e leitores de digitais. Algumas partes do corpo possuem propriedades que são consideradas únicas o suficiente para permitir a autenticação em sistemas computacionais. Para um ambiente com necessidade de segurança reforçada existe a possibilidade de combinar diversos métodos de autenticação.Para um ambiente com necessidade de segurança reforçada existe a possibilidade de combinar diversos métodos de autenticação. Segurança em Redes: Introdução 18 ISO/IEC 17799

Autorização Autorização é o processo de garantir ou negar o acesso de recursos a um usuário;Autorização é o processo de garantir ou negar o acesso de recursos a um usuário; A autorização depende do direitos de acesso do usuários a determinado recurso no sistema.A autorização depende do direitos de acesso do usuários a determinado recurso no sistema. Identificação e autorização trabalham em conjunto para implementar os conceitos de Confidencialidade, Integridade e Disponibilidade.Identificação e autorização trabalham em conjunto para implementar os conceitos de Confidencialidade, Integridade e Disponibilidade. Exemplos:Exemplos: –Confidencialidade – a identidade de um usuário é autenticada pelo sistema. Este usuário será representado no sistema por um código. Por meio do uso deste código acesso a dados e recursos podem ser permitidos ou negados. –Integridade – autorização provê mecanismos para evitar o corrompimento de dados por usuários conhecidos mas sem a autoridade apropriada. –Disponibilidade – a habilidade de acessar recursos que o usuário tem permissão é garantida pela habilidade de autorizar os usuários no acesso aos recursos. Segurança em Redes: Introdução 19 ISO/IEC 17799

Acesso Em segurança da informação, o acesso a algum recurso é requisitado para um gerenciador de recursos em nome de algum usuário.Em segurança da informação, o acesso a algum recurso é requisitado para um gerenciador de recursos em nome de algum usuário. O acesso é controlado, dar permissão ou negação, em grande parte pelas Lista de Controle de Acesso (Access Control Lists (ACLs)).O acesso é controlado, dar permissão ou negação, em grande parte pelas Lista de Controle de Acesso (Access Control Lists (ACLs)). –As ACLs contêm a identidade do usuário e o níveis de uso permitidos a este usuário –Os níveis de uso podem ser: Nenhum – sem acesso permitido ao recurso especificado.Nenhum – sem acesso permitido ao recurso especificado. Executar – permite aos usuários e grupos de usuários que executem programas, mas não os permite que façam alteração.Executar – permite aos usuários e grupos de usuários que executem programas, mas não os permite que façam alteração. Ler – é o nível mais baixo de permissões dado a um recurso. Permite que os usuários acessem o recurso mas não permite que o execute ou o altere.Ler – é o nível mais baixo de permissões dado a um recurso. Permite que os usuários acessem o recurso mas não permite que o execute ou o altere. Atualizar (Modificar) – permite que usuários e grupos de usuários alterem o conteúdo dos recursos. Não permite ao usuário que exclua o recurso.Atualizar (Modificar) – permite que usuários e grupos de usuários alterem o conteúdo dos recursos. Não permite ao usuário que exclua o recurso. Controlar – permite que os usuários modifiquem as permissões do recurso.Controlar – permite que os usuários modifiquem as permissões do recurso. Controle Total – permite ao usuário e ao grupo de usuários o total controle sobre o recurso.Controle Total – permite ao usuário e ao grupo de usuários o total controle sobre o recurso. Segurança em Redes: Introdução 20 ISO/IEC 17799

O que são os Ativos? Segurança em Redes: Introdução 21 ISO/IEC 17799

Exemplos de Ativos Ativo DigitalAtivo Digital Bem ou direito em forma digital ou virtualBem ou direito em forma digital ou virtual Possui valor financeiro e/ou estratégicoPossui valor financeiro e/ou estratégico Importância cresce com a sociedade da informaçãoImportância cresce com a sociedade da informação Exemplos:Exemplos: –Base de dados de cartões de crédito –Repositório dos códigos fontes de uma empresa de software –Base de dados de pacientes de um hospital –Orçamento de campanha eleitoral –Segredos industriais ou de marketing –Votos eletrônicos –Serviço digital (site de compra na Internet) –Vital que seja protegido e cujo acesso seja controlado Segurança em Redes: Introdução 22 ISO/IEC 17799

O que são ameaças (threats)? Ameaça é qualquer ação ou acontecimento que possa agir sobre um ativo.Ameaça é qualquer ação ou acontecimento que possa agir sobre um ativo. Toda ação ou acontecimento é através de uma vulnerabilidade, gerando um determinado impacto. Toda ação ou acontecimento é através de uma vulnerabilidade, gerando um determinado impacto. Segurança em Redes: Introdução 23 ISO/IEC 17799

Exemplos de Ameaças Naturais: raios, incêndios;Naturais: raios, incêndios; De Negócio: fraudes, erros, sucessão de pessoas;De Negócio: fraudes, erros, sucessão de pessoas; Tecnológicas: mudanças, "bugs", invasões;Tecnológicas: mudanças, "bugs", invasões; Sociais: greves, depredação,vingança;Sociais: greves, depredação,vingança; Culturais: impunidade;Culturais: impunidade; Segurança em Redes: Introdução 24 ISO/IEC 17799

Vulnerabilidades Vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.Vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável.Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável. Segurança em Redes: Introdução 25 ISO/IEC 17799

Fontes de Vulnerabilidades Substituição de colaboradoresSubstituição de colaboradores Falha de Hardware e/ou SoftwareFalha de Hardware e/ou Software Falha na RedeFalha na Rede Invasão da RedeInvasão da Rede SPAMSPAM Falha HumanaFalha Humana EspionagemEspionagem Segurança em Redes: Introdução 26 ISO/IEC 17799

Fontes de Vulnerabilidades (cont.) SoftwareSoftware Checagem do conteúdo e tamanho de mensagensChecagem do conteúdo e tamanho de mensagens (Buffer Overflow)(Buffer Overflow) Uso inapropriado de System CallsUso inapropriado de System Calls Reuso de software e componentizaçãoReuso de software e componentização ProtocolosProtocolos Problemas de designProblemas de design Sistemas e RedesSistemas e Redes Configuração inadequadaConfiguração inadequada Patches não instaladosPatches não instalados Segurança em Redes: Introdução 27 The Open Source Vulnerability Database ISO/IEC 17799

Exploits Um exploit, em segurança da informação, é um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema computacional – como o próprio sistema operacional ou serviços de interação de protocolos (ex: servidores Web).Um exploit, em segurança da informação, é um programa de computador, uma porção de dados ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema computacional – como o próprio sistema operacional ou serviços de interação de protocolos (ex: servidores Web). São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas. Por isso muitos crackers não publicam seus exploits, conhecidos como 0days, e o seu uso massificado deve-se aos script kiddies.São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a sistemas. Por isso muitos crackers não publicam seus exploits, conhecidos como 0days, e o seu uso massificado deve-se aos script kiddies. Até meados dos anos 90, acreditava-se que os exploits exploravam exclusivamente problemas em aplicações e serviços para plataformas Unix. A partir do final da década, especialistas demonstraram a capacidade de explorar vulnerabilidades em plataformas de uso massivo, por exemplo, sistemas operacionais Win32 (Windows 9x, NT, 2000 e XP). Como exemplo temos o CodeRed, o MyDoom, o Sasser em 2004 e o Zotob em 2005.Até meados dos anos 90, acreditava-se que os exploits exploravam exclusivamente problemas em aplicações e serviços para plataformas Unix. A partir do final da década, especialistas demonstraram a capacidade de explorar vulnerabilidades em plataformas de uso massivo, por exemplo, sistemas operacionais Win32 (Windows 9x, NT, 2000 e XP). Como exemplo temos o CodeRed, o MyDoom, o Sasser em 2004 e o Zotob em Exploit Database Packet Storm Computer Security Vulnerabilities Segurança em Redes: Introdução 28 ISO/IEC 17799

Fluxo de um incidente de segurança Segurança em Redes: Introdução 29ExemplosExemplosExemplos

Exemplos Segurança em Redes: Introdução 30Exemplos

Falha de Segurança Indústria do setor químico de pequeno porte (45 funcionários) Fato: Fórmula recém desenvolvida e ainda não lançada oficialmente Fato: Fórmula recém desenvolvida e ainda não lançada oficialmente no mercado aparece negociada em um de seus principais clientes. Perda: US$ 270K/mês (receita) + gastos pesquisas + imagem.Perda: US$ 270K/mês (receita) + gastos pesquisas + imagem. –Dados: 1 ano de investigação sobre o assunto: $ honorários + $ despesas1 ano de investigação sobre o assunto: $ honorários + $ despesas 4 pessoas desligadas e 1 preso4 pessoas desligadas e 1 preso –Impossibilidade de comprovar a posse e o controle da fórmula, ausência total de controles –Impossibilidade de recuperar as perdas e parar as vendas do produto Conclusões: Conclusões: –Após a implantação dos controles sobre PABX, central de fax e consegue-se identificar um dos envolvidos. –Toda a negociação era feito por , telefone da própria empresa. Segurança em Redes: Introdução 31Exemplos

Vulnerabilidades em aplicações web Segurança em Redes: Introdução 32Exemplos

Máximas da área de Segurança da Informação Um invasor não tenta transpor as barreiras encontradas, ele vai ao redor delas buscando o ponto mais vulnerávelUm invasor não tenta transpor as barreiras encontradas, ele vai ao redor delas buscando o ponto mais vulnerável Uma corrente é tão forte quanto o seu elo mais fraco.Uma corrente é tão forte quanto o seu elo mais fraco. As portas dos fundos são tão boas quanto às portas da frente.As portas dos fundos são tão boas quanto às portas da frente. Nenhuma rede é 100% seguraNenhuma rede é 100% segura Não alcançar 100% não implica que você não deve maximizar a segurançaNão alcançar 100% não implica que você não deve maximizar a segurança A resistência de uma corrente equivale à resistência oferecida pelo seu elo mais fracoA resistência de uma corrente equivale à resistência oferecida pelo seu elo mais fraco Segurança é inversamente proporcional à comodidadeSegurança é inversamente proporcional à comodidade Não confie naquilo que você não controlaNão confie naquilo que você não controla Segurança em Redes: Introdução 33Exemplos

Estudo de Caso Vírus/Malware Uso de anti-vírus Pago ou gratuito? Eficiência Testes realizados com 20 anti-vírus em fevereiro de 2010 com aproximadamente 1,2 milhão de malwares 0,3% representam 3700 malwares!!! Fonte: AV Comparatives Melhor desempenho: 99,6%. Não detectou +de 5000 malwares! Segurança em Redes: Introdução 34

Conclusão Redes de computadores estão em todos os lugares Redes de computadores estão em todos os lugares Complexidade maior cada vez maior A segurança da informação só é lembrada quando acontece o incidente! O conhecimento e a implementação de melhores práticas aumentam a disponibilidade, integridade e confidencialidade da informação Segurança em Redes: Introdução 35

Referências Open Web Application Security Project (OWASP) OWASP Top Security Focus – Cert.Br – Práticas de Segurança para Administradores de Redes Internet Help Net Security Sans.org – Top Cyber Security Risks - security-risks/ security-risks/ security-risks/ Top 25 Software Errors - software-errors/ software-errors/ software-errors/ Segurança em Redes: Introdução 36

Referências STALLINGS, William. Network Security Essentials – Applications and Standards – 3rd Edition. Pearson PADRÃO ISO/IEC INTERNACIONAL Tecnologia da Informação – Código de Prática para Gestão da Segurança de Informações Catálogo de fraudes (CAIS) Network Security History – Timeline of computer security hacker history - acker_history acker_history acker_history 10 Famous Hackers - communications/10-famous-hackers-hacks1.htm communications/10-famous-hackers-hacks1.htm communications/10-famous-hackers-hacks1.htmFóruns Invaders Invasão Segurança em Redes: Introdução 37