Segurança de Computadores
Tradução da 2ª Edição
Segurança de Computadores
Tradução da 2ª Edição
William Stallings
Lawrie Brown
Com contribuições de Mick Bauer e Michael Howard
reproduzida ou transmitida sejam quais forem os meios empregados: eletrônicos, mecânicos, fotográficos, gravação ou quaisquer outros.
Copyright © 2012, 2008. Pearson Education, Inc; publishing as Prentice Hall
Copidesque: Ivone Teixeira
Revisão: Adriana Kramer e Lara Alves dos Santos Editoração Eletrônica: Thomson Digital
Tradução: Arlete Simille Marques Revisão Técnica: Marcos Simplício
Elsevier Editora Ltda.
Conhecimento sem Fronteiras
Rua Sete de Setembro, 111 – 16° andar
20050-006 – Centro – Rio de Janeiro – RJ – Brasil Rua Quintana, 753 – 8° andar
04569-011 – Brooklin – São Paulo – SP Serviço de Atendimento ao Cliente
0800-0265340 atendimento1@elsevier.com ISBN original 978-01-327-7506-9
ISBN 978-85-352-6449-4 ISBN digital 978-85-352-6450-0
Nota: Muito zelo e técnica foram empregados na edição desta obra. No entanto, podem ocorrer erros de digitação, impressão ou dúvida conceitual. Em qualquer das hipóteses, solicitamos a comunicação ao nosso Serviço de Atendimento ao Cliente, para que pos-samos esclarecer ou encaminhar a questão. Nem a editora nem o autor assumem qualquer responsabilidade por eventuais danos ou perdas a pessoas ou bens, originados do uso desta publicação.
CIP-BRASIL. CATALOGAÇÃO NA PUBLICAÇÃO SINDICATO NACIONAL DOS EDITORES DE LIVROS, RJ S781s
2. ed.
Stallings, William,
1945-Segurança de computadores : princípios e práticas / William Stallings, Lawrie Brown ; [tradução Arlete Simille Marques]. - 2. ed. - Rio de Janeiro : Elsevier, 2014. 28 cm.
Tradução de: Computer security, 2nd. ed. ISBN 978-85-352-6449-4
1. Informática. 2. Programas de computador 3. Sistemas operacionais (Computadores). I. Brown, Lawrie. II. Título.
13-05680 CDD: 004
Para minha amada esposa, A. T. S.
WSPara minha família estendida, que ajudou a tornar tudo isso possível.
LBix
Novidades na segunda edição
Nos quatro anos e meio que se passaram desde a primeira edição deste livro, a área pas-sou por inovações e melhorias contínuas. Nesta nova edição, tentamos capturar essas mudanças e, ao mesmo tempo, manter uma cobertura ampla e abrangente de toda a área. Para começar o processo de revisão, a primeira edição deste livro passou por uma revisão extensiva por vários professores que lecionam o assunto e por profissionais que trabalham na área. O resultado é que em muitos lugares a narrativa ficou mais clara e mais forte, e as ilustrações foram melhoradas.
Uma mudança óbvia no livro é a revisão da organização, que torna mais clara a apre-sentação de tópicos relacionados. Há um novo capítulo sobre segurança de sistemas operacionais e um novo capítulo sobre segurança de redes sem fio. O material da Parte Três teve os capítulos realocados, com o intuito de apresentá-lo de modo mais sistemático. Além desses refinamentos para melhorar a pedagogia e ficar mais amigável ao usuário, houve substanciais mudanças em todo o livro. Entre os pontos altos citamos:
• Segurança de sistemas operacionais: Esse capítulo reflete o foco na NIST SP800-123
e também abrange o importante tópico da segurança de máquinas virtuais.
• Segurança em nuvem: Uma nova seção abrange as questões de segurança relacionadas
com a interessante área nova da computação em nuvem.
• Ataques de negação de serviço baseados em aplicação: Uma nova seção trata dessa
forma predominante de ataque de DoS.
• Software malicioso: Esse capítulo proporciona um foco diferente do da primeira edição.
Cada vez mais vemos malwares do tipo backdoor/rootkit instalados por ataques de enge-nharia social, em vez da mais clássica infecção direta por vírus/vermes. E o phishing está mais proeminente do que nunca. Essas tendências são refletidas na cobertura.
• Protocolo e padrões de segurança na Internet: Esse capítulo foi expandido para
incluir dois importantes protocolos e serviços adicionais: HTTPS e DKIM.
• Segurança de redes sem fio: Um novo capítulo sobre segurança de redes sem fio foi
acrescentado.
• Resposta a incidentes de segurança computacional: A seção sobre CSIR foi atualizada
e expandida.
• Auxílio ao estudante: Agora cada capítulo começa com uma lista de objetivos de
aprendizado.
• Programas de ensino: O texto contém mais material do que pode ser abordado
con-venientemente em um semestre. Por isso, oferecemos aos professores vários programas de ensino que orientam a utilização do texto dentro de tempo limitado (p. ex., 16 semanas ou 12 semanas). Esses programas são baseados na experiência de professores que usaram a primeira edição.
• Conjunto de problemas práticos: Um conjunto de problemas para resolver em casa,
juntamente com soluções, é fornecido para uso do estudante.
• Banco de testes: Um conjunto de perguntas de revisão, incluindo sim/não, múltipla
xi
Histórico
O interesse no aprendizado da segurança de computadores e tópicos relacionados vem crescendo a uma taxa impressionante nos últimos anos. Esse interesse foi impulsionado por vários fatores, dois dos quais se destacam:
1. À medida que sistemas de informação, bancos de dados e sistemas distribuídos e comunicações pela Internet se tornaram predominantes no mundo comercial, aliados à crescente intensidade e sofisticação de ataques relacionados à segurança, as organiza-ções passaram a reconhecer a necessidade de uma estratégia de segurança abrangente. Essa estratégia abarca o uso de hardware e software especializados, e pessoal treinado para enfrentar essa necessidade.
2. A educação em segurança de computadores, muitas vezes denominada educação de
segurança de informação ou educação de garantia de segurança de informação, surgiu como
meta nacional nos Estados Unidos e em outros países, com implicações na defesa nacional e segurança interna. Organizações como o Colloquium for Information System Security Education e a Assurance Courseware Evaluation (IACE) Program da National Security Agency (NSA) estão abrindo caminho para que o governo as-suma seu papel no desenvolvimento de padrões para educação em segurança de computadores.
Dessa maneira, o número de cursos sobre segurança de computadores e áreas relacionadas em universidades federais, estaduais, municipais e outras instituições está crescendo.
Objetivos
O objetivo deste livro é oferecer um levantamento atualizado dos desenvolvimentos na área da segurança de computadores. Os problemas centrais que se apresentam aos projetistas de segurança e administradores de segurança incluem definir as ameaças a sistemas computacionais e redes, avaliar os riscos relativos dessas ameaças e desenvolver contramedidas efetivas em termos de custo e fáceis de usar.
Os seguintes temas básicos unificam a discussão:
• Princípios: Embora o escopo deste livro seja amplo, há vários princípios básicos
que aparecem repetidas vezes como temas que unificam essa área. Exemplos são as questões relativas a autenticação e controle de acesso. O livro salienta esses princípios e examina sua aplicação em áreas específicas da segurança de compu-tadores.
• Abordagens de projeto: O livro examina abordagens alternativas para cumprir
requi-sitos específicos de segurança de computadores.
• Padrões: Os padrões estão adquirindo importância cada vez maior e até dominante
nessa área. Entender o estado atual e a direção futura da tecnologia requer uma dis-cussão abrangente dos padrões relacionados.
• Exemplos do mundo real: Vários capítulos incluem uma seção que mostra a aplicação
Público-alvo
O livro visa ao público acadêmico e ao público profissional. Como livro didático, é dirigido a cursos de graduação de um ou dois semestres em ciência da computação, enge-nharia de computação e engeenge-nharia eletrônica. Ele abrange todos os tópicos de Segurança
e proteção de sistemas operacionais, que é uma das matérias fundamentais do IEEE/ACM Computer Curriculum 2008: An Interim Revision to CS 2001, bem como vários outros tópicos.
O livro abrange a área fundamental de IAS Information Assurance and Security no IEEE/
ACM Curriculum Guidelines for Undergraduate Degree Programs in Information Technology 2008, e CE-OPS6 Security and Protection do IEEE/ACM Computer Engineering Curriculum Guidelines 2004.
Para os profissionais interessados nessa área, o livro serve como um volume de referência básica e é adequado ao autodidatismo.
Plano do texto
O livro é dividido em cinco partes (veja o Capítulo 0):
• Tecnologia e princípios de segurança de computadores • Segurança de software e sistemas confiáveis:
• Questões de gerenciamento • Algoritmos criptográficos • Segurança de rede
O livro é também acompanhado por vários apêndices on-line que dão mais detalhes sobre tópicos selecionados.
O livro inclui extenso glossário, uma lista de acrônimos frequentemente usados e biblio-grafia. Cada capítulo inclui problemas para resolver em casa, perguntas de revisão, uma lista de termos principais, sugestões de leituras complementares e sites recomendados.
Cobertura de áreas de interesse do CISSP
Este livro abrange todas as áreas especificadas pela certificação CISSP (Certified Information Systems Security Professional). A designação CISSP do International Information Systems Security Certification Consortium (ISC)2 é frequentemente referida como “padrão-ouro” quando se trata de certificação de segurança da informação. Essa é a única certificação universalmente reconhecida no setor de segurança. Muitas organizações, incluindo o Departamento de Defesa dos Estados Unidos e muitas instituições financeiras, agora exigem que o pessoal de segurança cibernética tenha o certificado do CISSP. Em 2004, o CISSP tornou-se o primeiro programa de TI a conquistar credenciamento sob o padrão internacional ISO/IEC 17024 (General Requirements for Bodies Operating Certification of
Persons).
O exame do CISSP é baseado no Common Body of Knowledge (CBK), um compêndio de melhores práticas de segurança de informações desenvolvido e mantido pelo (ISC)2, uma organização sem fins lucrativos. O CBK é composto por até 10 domínios que abrangem o corpo de conhecimento exigido pela certificação CISSP. Consulte o Capítulo 0 se quiser detalhes sobre a cobertura do CBK neste livro.
Recursos para estudantes
Para esta nova edição, imensa quantidade de material de suporte para estudantes foi disponibilizada on-line, em dois locais da Web. O Companion Website, em William Stallings.com/ComputerSecurity (clique no link Student Resources), inclui uma lista de links relevantes organizados por capítulo e uma folha de errata para o livro.
Histórico xiii
Além disso, acessan compra deste livro garante ao leitor acesso à página do livro no site da Elsevier (www.elsevier.com.br/segurancadecomputadores), que inclui o seguinte material:
• Capítulos on-line: Para limitar o tamanho e o custo do livro, dois capítulos são
oferecidos em formato PDF. Os capítulos aparecem no sumário deste livro.
• Apêndices on-line: Há vários tópicos interessantes que dão apoio ao material
encon-trado no texto do livro, mas cuja inclusão não se justifica no texto impresso. Um total de nove apêndices abrange esses tópicos para o estudante interessado. Os apêndices aparecem no sumário deste livro.
• Problemas para resolver em casa e soluções: Para ajudar o estudante a entender o
material, está disponível um conjunto separado de problemas para resolver em casa com soluções. Eles habilitam o estudante a testar o que entendeu do texto.
• Artigos principais: Várias dezenas de artigos da literatura profissional, muitos deles
difíceis de encontrar, são oferecidos para leitura complementar.
• Documentos de suporte: Uma variedade de outros documentos úteis é referenciada
no texto e oferecida on-line.
Material de apoio para professores
Material de apoio para professores está disponível no Instructor Resource Center (IRC) para este livro, que pode ser encontrado por meio do site da editora, www.pearsonhig-hered.com/stallings, ou clicando no link intitulado “Pearson Resources for Instructor” no Companion Website deste livro em WilliamStallings.com/ComputerSecurity. O IRC oferece o seguinte material:
• Manual de projetos: Recursos de projeto incluindo documentos e software
portá-vel, mais projetos sugeridos para todas as categorias de projetos citadas na seção seguinte.
• Manual de soluções: Soluções para as perguntas de revisão e problemas apresentados
no final dos capítulos.
• Slidesem PowerPoint: Um conjunto de slides que abrangem todos os capítulos e são
adequados para uso em aulas
• Arquivos em PDF: Reproduções de todas as figuras e tabelas do livro • Banco de testes: Um conjunto de perguntas, capítulo por capítulo
• Programas de ensino: O texto contém mais material do que pode ser abordado
convenientemente em um semestre. Por isso, oferecemos aos professores vários programas de ensino que orientam a utilização do texto dentro de tempo limitado. Esses programas são baseados na experiência de professores que usaram a primeira edição.
O Companion Website, em WilliamStallings.com/ComputerSecurity (clicar no link Ins-tructorResources), inclui o seguinte:
• Links para sites Web para outros cursos que utilizam este livro
• Informações para inscrição em uma lista de e-mails para professores que usam este
livro, com a finalidade de trocar informações, sugestões e perguntas entre eles e com o autor
Projetos e outros exercícios para estudantes
Para muitos professores, um componente importante de um curso sobre segurança de computadores é um projeto ou um conjunto de projetos com os quais o estudante obtém experiência prática para reforçar conceitos abordados no texto. Este livro oferece um grau de suporte sem igual para incluir uma componente de projeto no curso. O material de suporte disponível para professores através da Prentice Hall inclui não somente orientação para atribuir e estruturar os projetos, mas também um conjunto de manuais de usuário
para vários tipos de projeto juntamente com trabalhos específicos, todos escritos es-pecialmente para este livro. Os professores podem atribuir trabalhos nas seguintes áreas:
• Exercícios de hacking: Dois projetos que permitem que o estudante entenda as
ques-tões de detecção e prevenção de intrusão.
• Exercícios de laboratório: Uma série de projetos que envolvem programação e
ex-perimentos com conceitos dados neste livro.
• Projetos de pesquisa: Uma série de trabalhos de pesquisa para o estudante pesquisar
um tópico em particular na Internet e redigir um relatório.
• Projetos de programação: Uma série de projetos de programação que abrangem ampla
gama de tópicos e podem ser implementados em qualquer linguagem adequada, em qualquer plataforma.
• Avaliações de segurança prática: Um conjunto de exercícios para examinar a
infra-estrutura atual e práticas de uma organização existente.
• Projetos de firewall: Um simulador portável para visualização do funcionamento de
firewalls de rede é dado, juntamente com exercícios para ensinar os fundamentos de firewalls.
• Estudos de caso: Um conjunto de estudos de caso do mundo real, incluindo objetivos
de aprendizado, descrição do caso e uma série de perguntas para discussão de casos.
• Redação de trabalhos: Uma lista de trabalhos de redação para facilitar o aprendizado
do material.
• Trabalhos de leitura/relatório: Uma lista de artigos que podem ser designados para
leitura e posterior escrita de um relatório, juntamente com o enunciado sugerido. Esse conjunto diversificado de projetos e outros exercícios para estudantes habilitam o professor a usar o livro como um dos componentes de uma rica e variada experiência de aprendizado e a lapidar um plano de curso que atenda às necessidades específicas do professor e dos estudantes. O Apêndice A deste livro dá detalhes.
xv
Agradecimentos
Esta nova edição beneficiou-se da revisão de várias pessoas, que cederam generosamente parte de seu tempo e experiência. Os seguintes professores e instrutores revisaram todo o manuscrito ou grande parte dele: Bob Brown (Southern Polytechnic State University), Leming Zhou (University of Pittsburgh), Yosef Sherif (Mihaylo College of Business and Economics), Nazrul Islam (Farmingdale State University), Qinghai Gao (Farmingdale State University), Wei Li (New Southeastern University), Jeffrey Kane (New Southeastern University), Philip John Lunsford II (East Carolina University), Jeffrey H. Peden (Longwood University), Ratan Guha (University of Central Florida), Sven Dietrich (Stevens Institute of Technology) e David Liu (Purdue University, Fort Wayne).
Agradeço também às muitas pessoas que fizeram revisões técnicas detalhadas de um ou mais capítulos: Paymon Yamini Sharif, Umair Manzoor (UmZ), Adewumi Olatunji (FAGOSI Systems, Nigéria), Rob Meijer, Robin Goodchil, Greg Barnes (Inviolate Security LLC), Arturo Busleiman (Buanzo Consulting), Ryan M. Speers (Dartmouth College), Wynand van Staden (School of Computing, University of South Africa), Oh Sieng Chye, Michael Gromek, Samuel Weisberger, Brian Smithson (Ricoh Americas Corp, CISSP), Josef B. Weiss (CISSP), Robbert-Frank Ludwig (Veenendaal, ActStamp Information Security), William Perry, Daniela Zamfiroiu (CISSP), Rodrigo Ristow Branco, George Chetcuti (editor técnico, TechGenix), Thomas Johnson (diretor de segurança de informação de uma empresa holding de serviços bancários em Chicago, CISSP), Robert Yanus (CISSP), Rajiv Dasmohapatra (Wipro Ltd), Dirk Kotze, Ya’akov Yehudi, Stanley Wine (conferencista adjunto, Computer Information Systems Department, Zicklin School of Business, Baruch College).
O Dr. Lawrie Brown gostaria de agradecer em primeiro lugar a Bill Stallings pelo prazer de trabalhar com ele na produção deste texto. Gostaria também de agradecer a meus colegas da School of Information Technology and Electrical Engineering, University of New South Wales, Australian Defence Force Academy em Canberra, Austrália, por seu incentivo e apoio. Gostaria de agradecer particularmente os comentários e críticas ins-pirados de Ed Lewis e Don Munro que, acredito, me ajudaram a produzir um texto mais acurado e sucinto.
Finalmente, gostaria de agradecer às muitas pessoas responsáveis pela publicação do livro — todas elas fizeram, como sempre, excelente trabalho. Isso inclui o pessoal da Prentice Hall, em particular nossa editora Tracy Dunkelberger, sua assistente Carole Snyder e a gerente de produção Kayla Smith-Tarbox. Agradecemos também a Shiny Rajesh e ao pessoal de produção da Integra por mais um trabalho excelente e rápido. Também agradecemos ao pessoal de marketing e vendas da Pearson — sem seus esforços, este livro não estaria nas suas mãos.
xvii O Dr. William Stallings é autor de 17 títulos e, contando edições revisadas, de mais
de 40 livros sobre segurança de computadores, redes de computadores e arquitetura de computadores. Em mais de 20 anos na área, ele já foi colaborador técnico, gerente técnico e executivo em várias empresas de alta tecnologia. Atualmente é consultor independente cujos clientes incluem fabricantes e clientes de computadores e redes, empresas de desen-volvimento de software e instituições governamentais de pesquisa de ponta. Recebeu nove vezes o prêmio de melhor livro didático de ciência de computadores outorgado pela Text and Academic Authors Association.
Criou e mantém o Computer Science Student Resource Site em ComputerScienceStudent. com. Esse site oferece documentos e links para uma variedade de assuntos de interesse geral para estudantes de ciência da computação (e profissionais). É membro do conselho editorial de Cryptologia, periódico acadêmico dedicado a todos os aspectos da criptologia.
O Dr. Lawrie Brown é docente sênior na School of Information Technology and
Elec-trical Engineering, na Australian Defence Force Academy (UNSW@ADFA) em Canberra, Austrália. Seus interesses profissionais incluem criptografia, segurança de comunicações e sistemas computacionais, e, mais recentemente, o projeto de ambientes seguros de código para dispositivos móveis usando a linguagem funcional Erlang. Trabalhou anteriormente no projeto e implementação de cifras de bloco de chave secreta, em particular a família de algoritmos criptográficos LOKI. Atualmente leciona cursos de segurança de computadores, criptografia, comunicação de dados e programação em Java, e conduz seminários sobre avaliação de risco de segurança e projeto de firewall.
1
Guia do leitor e do instrutor
CAPÍTULO 0
Este livro, com o site que o acompanha, abrange grande quantidade de material. Aqui apresentamos ao leitor uma visão geral.
0.1 ESTRUTURA DESTE LIVRO
Depois de um capítulo introdutório, o Capítulo 1, o livro está organizado em cinco partes: Parte Um: Tecnologia e Princípios de Segurança de Computadores: Essa parte abrange áreas técnicas que devem fundamentar qualquer estratégia de segurança efetiva. O Capítulo 2 apresenta uma lista dos principais algoritmos criptográficos, discute sua utilização e questões de força. Os capítulos restantes, nessa parte, examinam áreas técnicas da segurança de computadores: autenticação, controle de acesso, segurança de banco de dados, software maligno, recusa de serviço, detecção de intrusão e firewalls. Parte Dois: Segurança de Software e Sistemas Confiáveis: Essa parte aborda ques-tões referentes ao desenvolvimento e implementação de software, incluindo sistemas operacionais, utilidades e aplicações. O Capítulo 10 trata da eterna questão do estouro de buffer, enquanto o Capítulo 11 examina várias outras questões de segurança de software. O Capítulo 12 dá uma visão global da segurança do sistema operacional. O último capítulo dessa parte trata de computação confiável e segurança multinível, que são questões de software, bem como de hardware.
Parte Três: Questões de Gerenciamento: Essa parte preocupa-se com aspectos de gerenciamento da segurança de informações e de computadores. Os Capítulos 14 e 15 focalizam especificamente práticas de gerenciamento relacionadas a avaliação de risco, implementação de controles de segurança, e planos e procedimentos para gerenciar a segurança de computadores. O Capítulo 16 trata de medidas de segurança física que devem complementar as medidas de segurança técnica da Parte Um. O Capítulo 17 examina ampla gama de questões de fatores humanos relacionados com a segurança de computadores. Uma ferramenta de gerenciamento vital é a auditoria de segurança, examinada no Capítulo 18. Finalmente, o Capítulo 19 aborda aspectos legais e éticos da segurança de computadores.
Parte Quatro: Algoritmos Criptográficos: Muitas da medidas técnicas que dão suporte à segurança de computadores dependem fortemente de encriptação e de outros tipos de algoritmos criptográficos. A Parte Quatro é um levantamento técnico de tais algoritmos. Parte Cinco: Segurança de Rede: Essa parte examina os protocolos e padrões usados para prover segurança para comunicações pela Internet. O Capítulo 22 discute alguns dos protocolos de segurança mais importantes para utilização na Internet. O Capítu-lo 23 trata de vários protocoCapítu-los e padrões relacionados com autenticação na Internet. O Capítulo 24 examina aspectos importantes da segurança sem fio.
Vários outros apêndices on-line abrangem tópicos adicionais relevantes para o livro.
0.l Estrutura deste
livro ...1
0.2 Um guia para leitores e instrutores ...2
0.3 Suporte para certificação CISSP ...2
0.4 Recursos de Internet e Web ...4
Sites para este livro ...4
Site de recursos para o estudante de ciência da computação ...5
Outros sites ...5
Grupos on-line ...5
0.2 UM GUIA PARA LEITORES E INSTRUTORES
Este livro abrange grande quantidade de material. Se o instrutor ou leitor quiser um tratamento mais curto, há várias outras alternativas.
Para cobrir totalmente o material nas duas primeiras partes, os capítulos devem ser lidos em sequência. Se o leitor desejar um tratamento mais curto na Parte Um, pode pular o Capítulo 5 (Segurança de Bancos de Dados).
Embora a Parte Dois trate da segurança de software, ela deve ser de interesse de usuários, bem como de desenvolvedores de sistemas. Todavia, ela é mais imediatamente relevante para a última categoria. O Capítulo 13 (Computação Confiável e Segurança Multinível) pode ser considerado opcional.
Os capítulos da Parte Três são relativamente independentes uns dos outros, com exceção do Capítulo 14 (Gerenciamento de Segurança de TI e Avaliação de Riscos)e do Capítulo 15 (Controles, Planos e Procedimentos de Segurança de TI). Os capítulos podem ser lidos em qualquer ordem, e o leitor ou instrutor pode optar por selecionar apenas algumas partes dels.
A Parte Quatro fornece detalhes técnicos sobre algoritmos criptográficos para o leitor interessado.
A Parte Cinco trata da segurança na Internet e pode ser lida em qualquer ponto depois da Parte Um.
0.3 SUPORTE PARA CERTIFICAÇÃO CISSP
Este livro dá cobertura para todas as áreas de interesse especificadas para a certificação CISSP (Certified Information Systems Safety Professional).
Como os empregadores passaram a depender de pessoal interno para gerenciar e desen-volver políticas e tecnologias de segurança, e avaliar e gerenciar serviços e produtos de segurança externos, há necessidade de métodos para avaliar os candidatos. Cada vez mais, os empregadores recorrem à certificação como ferramenta para garantir que um empregado potencial tenha o nível de conhecimento exigido em uma gama de áreas de segurança. O padrão internacional ISO/IEC 17024 (General Requirements for Bodies Operating
Certifi-cation of Persons) define os seguintes nomes relacionados à certificação:
j Processo de certificação: Todas as atividades pelas quais um corpo de certificação
estabelece que uma pessoa preenche os requisitos de competência especificados.
j Esquema de certificação: Requisitos de certificação específicos relacionados a categorias
específicas de pessoas às quais se aplicam os mesmos padrões e regras particulares e os mesmos procedimentos.
j Competência: Capacidade demonstrada para aplicar conhecimento e/ou habilidades
e, onde relevante, atributos pessoais demonstrados, como definidos no esquema de certificação.
A designação CISSP do International Information Systems Safety Certification Consortium (ISC), uma organização sem fins lucrativos, é frequentemente denominada “padrão-ouro”, quando se trata de certificação de segurança de informações. É a única certificação univer-salmente reconhecida no setor da segurança [SAVA03]. Muitas organizações, incluindo o Departamento de Defesa dos Estados Unidos e muitas instituições financeiras, agora exigem que o pessoal de segurança cibernética tenha a certificação CISSP [DENNll]. Em 2004, o CISSP tornou-se o primeiro programa da TI a obter credenciamento sob o ISO/ IEC 17024.
0.3 Suporte para certificação CISSP 3
O exame do CISSP é baseado no Common Body of Knowledge (CBK), um compêndio de melhores práticas em segurança da informação, desenvolvido e mantido pelo (ISC). O CBK é composto por 10 domínios que compreendem o corpo de conhecimento exigido pela certificação CISSP. A Tabela 0.1 mostra o suporte para o corpo de conhecimento do CISSP fornecido neste livro.
Os 10 domínios são os seguintes:
j Controle de acesso: Coleção de mecanismos que funcionam juntos para criar uma
arquitetura de segurança para proteger recursos do sistema de informação.
j Segurança de desenvolvimento de aplicação: Trata dos conceitos de segurança
importantes que se aplicam ao desenvolvimento de software de aplicação. Esboça o ambiente no qual o software é projetado e desenvolvido, e explica o papel crítico que o software desempenha no fornecimento de segurança do sistema de informação.
Tabela 0.1 Cobertura de domínios CISSP
Domínio CISSP Tópicos principais no domínio Cobertura do capítulo
Controle de acesso • Tecnologias de identificação, autenticação e autorização • Modelos de controle de acesso discricionários versus obrigatórios • Controle de acesso baseado em regra e em papel desempenhado 4 — Controle de acesso Segurança de desenvolvimento
de aplicação • Modelos de desenvolvimento de software• Modelos de banco de dados • Componentes de banco de dados relacional 5 — Segurança de banco de dados l0 — Estouro de buffer 11 — Segurança de software Planejamento de continuidade do negócio e recuperação de desastre • Planejamento • Papéis e responsabilidades • Questões de responsabilidade e cuidado devido • Análise do impacto sobre o negócio 16 — Segurança física e de infraestrutura 17 — Segurança de recursos humanos Criptografia • Cifras de bloco e de corrente • Explanação e usos de algoritmos simétricos • Explanação e usos de algoritmos assimétricos 2 — Ferramentas criptográficas 20 — Encriptação simétrica e confidencia-lidade de mensagem 21 — Criptografia de chave pública e autenticação de mensagem Governança da segurança da informação e gerenciamento de risco • Tipos de controles de segurança • Políticas, padrões, procedimentos e diretrizes de segurança • Gerenciamento e análise de risco 14 — Gerenciamento de segurança e análise de risco de TI 15 — Controles, planos e procedimentos de segurança de TI Regulamentações legais,
investigações e conformidade • Leis e preocupações com privacidade• Investigação de crimes por computador • Tipos de evidência 19 — Aspectos legais e éticos Segurança de operações • Responsabilidades do departamento de operações • Pessoal e papéis desempenhados • Proteção de biblioteca e recursos de mídia 15 — Controles, planos e procedimentos de segurança de TI 17 — Segurança de recursos humanos 18 — Auditoria de segurança Segurança física (ambiental) • Questões de localização e construção de instalações • Vulnerabilidades e ameaças físicas • Proteção do perímetro 16 — Segurança física e de infraestrutura Arquitetura e projeto
de segurança • Componentes críticos• Modelos de controle de acesso • Certificação e credenciamento 13 — Computação confiável e segurança multinível Segurança de telecomunicações e rede • Conjunto de protocolos TCP/IP Tecnologias LAN, MAN e WAN • Tipos e arquiteturas de firewall Apêndice F — Arquitetura do protocolo TCP/IP 22 — Protocolos e padrões de segurança na Internet 24 — Segurança em rede sem fio
j Planejamento de continuidade do negócio e recuperação de desastre: Para
pre-servação e recuperação de operações de serviço no evento de uma interrupção no funcionamento.
j Criptografia: Princípios, meios e métodos de disfarçar informações para garantir sua
integridade, confidencialidade e autenticidade.
j Governança da segurança da informação e gerenciamento de risco: Identificação
dos recursos de informação da organização e o desenvolvimento, documentação e implementação de políticas, padrões, procedimentos e diretrizes. Ferramentas de gerenciamento, como classificação de dados e análise/avaliação de risco, são usadas para identificar ameaças, classificar recursos e avaliar vulnerabilidades do sistema de modo a possibilitar a implementação de controles efetivos.
j Regulamentações legais, investigações e conformidade: Leis e regulamentos
aplicá-veis a crimes por computador. Medições e tecnologias usadas para investigar incidentes de crimes por computador.
j Segurança de operações: Usada para identificar os controles sobre hardware, mídia
e os operadores e administradores que têm privilégios de acesso a esses recursos. Auditoria e monitoramento são os mecanismos, ferramentas e recursos que permitem a identificação de eventos de segurança e as ações subsequentes para identificar os elementos principais e relatar a informação pertinente ao indivíduo, grupo ou processo adequado.
j Segurança física (ambiental): Provê técnicas de proteção para toda a instalação, desde
o perímetro externo até o espaço interno do escritório, incluindo todos os recursos do sistema de informação.
j Arquitetura e projeto e segurança: Contém os conceitos, princípios, estruturas e
pa-drões usados para projetar, monitorar e garantir a segurança de sistemas operacionais, equipamentos, redes, aplicações e os controles usados para impor vários níveis de disponibilidade, integridade e confidencialidade.
j Segurança de telecomunicações e rede: Abrange estruturas de rede; métodos de
transmissão; formatos de transporte; medidas de segurança usadas para prover dis-ponibilidade, integridade e confidencialidade; e autenticação para transmissões por redes de comunicação e mídias privadas e públicas.
Neste livro, tratamos desses domínios com certa profundidade.
0.4 RECURSOS DE INTERNET E WEB
Há vários recursos disponíveis na Internet e na Web para dar suporte a este livro e ajudar a nos mantermos cientes dos desenvolvimentos nessa área.
Sites para este livro
Três sites fornecem recursos adicionais para estudantes e instrutores. Mantemos um Companion Web Site para este livro em WilliamStallings.com/ComputerSecurity. Para os estudantes, esse site inclui uma lista de links relevantes, organizados por capítulo, e uma errata para o livro. Para os instrutores, esse site fornece links para páginas de cursos ministrados por outros professores que adotam este livro.
Há também, na página do livro no site da Elsevier, uma grande quantidade de material de suporte, incluindo capítulos adicionais on-line, apêndices adicionais on-line, um conjunto de problemas com soluções para trabalhar em casa, cópias de vários artigos importantes nessa área e vários outros documentos de suporte. Finalmente, há material adicional para instrutores disponível no Instructor Resource Center (IRQ) para este livro. Consulte detalhes e informações de acesso no Prefácio.
0.5 Padrões 5
Site de recursos para o estudante de ciência da computação
William Stallings também mantém o Computer Science Student Resource Site no endereço ComputerScienceStudent.com. A finalidade desse site é fornecer documentos, informações e links para estudantes e profissionais de ciência da computação. Links e documentos estão organizados em cinco categorias:
j Matemática: Inclui uma revisão da matemática básica, uma cartilha de análise de
enfileiramento, várias cartilhas de sistema e links para vários sites de matemática
j Como fazer: Conselhos e orientação para resolver problemas em casa, redigir relatórios
técnicos e preparar apresentações técnicas
j Recursos de pesquisa: Links para importantes coletâneas de artigos, relatórios técnicos
e bibliografias
j Outros recursos úteis: Uma variedade de outros documentos e links úteis
j Carreiras em ciência da computação: Links e documentos úteis para quem está
considerando uma carreira na ciência da computação Outros sites
Há vários sites que fornecem informações relacionadas com os tópicos deste livro. Em capítulos subsequentes, podem-se encontrar ponteiros para sites específicos na seção
Leituras e sites recomendados. Como os endereços de sites tendem a mudar frequentemente,
não incluímos URLs no livro. Os links adequados para todos os sites citados neste livro podem ser encontrados no site do livro. Outros links não mencionados neste livro serão adicionados ao site no decorrer do tempo.
Grupos On-line Usenet newsgroups
Vários grupos de notícias USENET dedicam-se a algum aspecto da segurança de computa-dores. Como ocorre com praticamente todos os grupos USENET, a taxa ruído/sinal é alta, mas vale a pena experimentar para ver se qualquer deles resolve as suas necessidades. Os mais relevantes são os seguintes:
j sci.crypt.research: O melhor grupo a seguir sobre criptografia. É um grupo de debate
com moderador que trata de tópicos de pesquisa; as mensagens devem ter alguma relação com os aspectos técnicos da criptologia.
j sci.crypt: Discussão geral de criptologia e tópicos relacionados. j alt.security: Discussão geral de tópicos de segurança.
j comp.safety.misc: Discussão geral de tópicos de segurança de computadores. j comp.safety.firewalls: Discussão de produtos e tecnologia de firewalls.
j comp.safety.announce: Notícias e anúncios do CERT (Computer Emergency Response
Team).
j comp.risks: Discussão de riscos ao público causados por computadores e usuários. j comp.virus: Grupo de debate sobre de vírus de computador.
Fóruns
Há vários fóruns baseados da Web que vale a pena consultar, os quais tratam de aspectos de segurança de computadores. O site companheiro deste livro oferece links para alguns deles.
0.5 PADRÕES
Muitas das técnicas e aplicações de segurança descritas neste livro foram especificadas como padrões. Além disso, foram desenvolvidos padrões que abrangem práticas de gerenciamento e a arquitetura global de mecanismos e serviços de segurança. Em todo este
livro, descrevemos os padrões mais importantes em uso ou que estão sendo desenvolvidos para vários aspectos de segurança de computadores. Várias organizações foram envolvidas no desenvolvimento ou promoção desses padrões. As mais importantes (no contexto corrente) dessas organizações são as seguintes:
j National Institute of Standard and Technology: O NIST é uma agência federal dos
Estados Unidos que trata da ciência, padrões e tecnologia de medição relacionados com a utilização pelo governo e com a promoção de inovações do setor privado. Apesar do seu escopo nacional, o Federal Information Processing Standards (FIPS) e as Special Publications (SP) do NIST têm impacto mundial.
j Internet Society: A ISOC é uma associação de profissionais que aceita como sócios
organizações e indivíduos do mundo inteiro. Oferece liderança no tratamento de questões que confrontam o futuro da Internet e é a central de organização para os grupos responsáveis pelos padrões de infraestrutura da Internet, incluindo a Internet Engineering Task Force (IETF) e o Internet Architecture Board (IAB). Essas organizações desenvolvem padrões de Internet e especificações relacionadas, todos publicados como Requests for Comments (RFCs).
j ITU-T: A International Telecommunication Union (ITU) é uma organização dentro
do United Nations System (Sistema das Nações Unidas) na qual os governos e o setor privado coordenam redes e serviços de telecomunicação globais. O ITU Telecommu-nication Standardization Sector (ITU-T) é um dos três setores da ITU. A missão do ITU-T é a produção de padrões que abrangem todas as áreas das telecomunicações. Os padrões ITU-T são denominados Recommendations.
j ISO: A International Organization for Standardization (ISO)1 é uma federação mundial
de acervos de padrões nacionais de mais de 140 países, um de cada país. A ISO é uma organização não governamental que promove o desenvolvimento de padronização e atividades relacionadas com o intuito de facilitar a troca internacional de bens e serviços, e desenvolver cooperação nas esferas de atividade intelectual, científica, tecnológica e econômica. O trabalho da ISO resulta em acordos internacionais que são publicados como International Standards.
Uma discussão mais detalhada dessas organizações está contida no Apêndice C.
7
Visão geral
CAPÍTULO 1
Este capítulo dá uma visão geral da segurança de computadores. Começamos discutindo o que queremos dizer com segurança de computadores. Essencialmente, a área de segurança de computadores trata de ativos computacionais que estão sujeitos a uma variedade de ameaças e contra as quais se tomam várias medidas para proteger tais ativos. Desse modo, a próxima seção dá uma breve visão geral das categorias de ativos computacionais que usuários e gerentes de sistemas querem preservar e proteger, e examina várias ameaças e ataques que esses ativos podem sofrer. Então, examinamos as medidas que podem ser tomadas para lidar com tais ameaças e ataques. Para tal, adotamos três pontos de vista diferentes, nas Seções 1.3 a 1.5. Em seguida tratamos de algumas tendências recentes na área de segurança de computadores e apresentamos, em termos gerais, uma estratégia de segurança de computadores.
O foco deste capítulo e, na verdade, deste livro, está em três questões fundamentais: 1. Quais ativos precisamos proteger?
2. Como esses ativos são ameaçados?
3. O que podemos fazer para suavizar essas ameaças?
1.1 CONCEITOS DE SEGURANÇA DE COMPUTADORES
Uma definição de segurança de computadores
O Computer Security Handbook (“Livro de Bolso de Segurança de Computadores”) do NIST [NIST95] define a expressão segurança de computadores da seguinte maneira:
Segurança de computadores: A proteção oferecida a um sistema
de informação automatizado para atingir os objetivos apropriados de preservação da integridade, disponibilidade e confidencialidade de
ati-vos de sistemas de informação (incluindo hardware, software, firmware, informações/dados e telecomunicações).
1.1 Conceitos de segurança
de computadores ...7 Uma definição de segurança de computadores ...7 Exemplos ...9 Os desafios da segurança de computadores ...11 Um modelo para segurança de computadores ...12 1.2 Ameaças, ataques e ativos ...14 Ameaças e ataques ...14 Ameaças e ativos ...16 1.3 Requisitos funcionais de segurança ...19 1.4 Uma arquitetura de segurança para sistemas abertos ...21 Serviços de segurança ...22 Mecanismos de segurança ...25 1.5 Tendências da segurança de computadores ...26 1.6 Estratégia de segurança de computadores ...27 Política de segurança ...27 Implementação de segurança ...28 Garantia e avaliação ...29 1.7 Leituras e sites recomendados ...29 1.8 Termos principais, perguntas de revisão e problemas ...31 Depois de estudar este capítulo, você deverá ser capaz de:
j Descrever os requisitos de segurança fundamentais de confidencialidade, integridade
e disponibilidade.
j Discutir os tipos de ameaças e ataques à segurança que devemos tratar e dar
exem-plos dos tipos de ameaças e ataques que se aplicam a diferentes categorias de ativos computacionais e de rede.
j Resumir os requisitos funcionais para a segurança de computadores. j Descrever a arquitetura de segurança X.800 para o modelo OSI. j Discutir as principais tendências relativas a ameaças e contramedidas. j Entender os aspectos principais de uma estratégia de segurança abrangente.
Essa definição apresenta três objetivos fundamentais que constituem o coração da segu-rança de computadores:
j Confidencialidade: Esse termo abrange dois conceitos relacionados:
j Confidencialidade de dados:1 Garante que informações privadas ou confidenciais não fiquem disponíveis nem sejam reveladas a indivíduos não autorizados. j Privacidade: Garante que os indivíduos controlem ou influenciem quais
informa-ções sobre eles podem ser coletadas e armazenadas, e por quem e para quem tais informações podem ser reveladas.
j Integridade: Esse termo abrange dois conceitos relacionados:
j Integridade de dados: Garante que informações e programas sejam alterados
somente de maneira especificada e autorizada.
j Integridade de sistemas: Garante que um sistema desempenhe sua função
pre-tendida de maneira incólume, livre de manipulação não autorizada do sistema, seja deliberada, seja inadvertida.
j Disponibilidade: Garante que os sistemas funcionem prontamente e que não haja
negação de serviço a usuários autorizados.
Esses três conceitos formam o que é frequentemente denominado tríade CID (Figura 1.1). Os três conceitos incorporam os objetivos de segurança fundamentais para dados e informações, bem como para serviços de computação. Por exemplo, o padrão NIST denominado FIPS 199 (Standards for Security Categorization of Federal Information and
In-formation Systems) apresenta confidencialidade, integridade e disponibilidade como os três
objetivos de segurança para informações e para sistemas de informação. O FIPS PUB 199 fornece uma caracterização útil desses três objetivos em termos de requisitos e a definição de perda de segurança relativa a cada categoria:
j Confidencialidade: Preservar restrições autorizadas ao acesso e revelação de
in-formações, incluindo meios para proteger a privacidade pessoal e as informações
FIGURA 1.1 A tríade de requisitos de segurança
1 A RFC 2828 define informação como “fatos e ideias que podem ser representados (codificados) como várias
formas de dados”, e dados como “informação em uma representação física específica, usualmente uma sequência de símbolos que têm significado; especialmente uma representação de informação que pode ser processada ou produzida por um computador”. A literatura de segurança não costuma fazer grande distinção entre os dois, nem este livro.
1.1 Conceitos de segurança de computadores 9
proprietárias. Uma perda de confidencialidade consiste na revelação não autorizada de informações.
j Integridade: Defender contra a modificação ou destruição imprópria de informações,
garantindo a irretratabilidade (ou não repúdio) e a autenticidade das informações. Uma perda de integridade consiste na modificação ou destruição não autorizada de informações.
j Disponibilidade: Assegurar que o acesso e o uso das informações seja confiável e
realizado no tempo adequado. Uma perda de disponibilidade consiste na disrupção do acesso ou da utilização de informações ou de um sistema de informação.
Embora a utilização da tríade CID para definir objetivos de segurança seja bem estabeleci-da, algumas pessoas na área da segurança acreditam serem necessários conceitos adicionais para apresentar um quadro completo. Dois dos mais comumente mencionados são os seguintes:
j Autenticidade: A propriedade de ser genuína e poder ser verificada e confiável;
con-fiança na validade de uma transmissão, de uma mensagem ou do originador de uma mensagem. Isso significa verificar que os usuários são quem dizem ser e que cada dado que chega ao sistema veio de uma fonte confiável.
j Determinação de responsabilidade: O objetivo de segurança que leva à exigência
de que as ações de uma entidade sejam rastreadas e atribuídas unicamente àquela entidade. Isso dá suporte à irretratabilidade, à dissuasão, ao isolamento de falhas, à detecção e prevenção de intrusões, e à recuperação e à ação judicial após uma ação. Como sistemas verdadeiramente seguros ainda não são uma meta atingível, devemos ser capazes de rastrear uma violação de segurança até a entidade responsável. Os sistemas devem manter registros de suas atividades para permitir análise forense posterior, de modo a rastrear violações de segurança ou auxiliar em disputas sobre uma transação.
Observe que o FIPS PUB 199 inclui autenticidade como parte da integridade.
Exemplos
Agora fornecemos alguns exemplos de aplicações que ilustram os requisitos enumerados.2 Para esses exemplos, usamos três níveis de impacto sobre organizações ou indivíduos caso haja uma quebra de segurança (isto é, uma perda de confidencialidade, integridade ou disponibilidade). Esses níveis são definidos no FIPS PUB 199:
j Baixo: Pode-se esperar que a perda cause efeito adverso limitado sobre operações
organizacionais, ativos organizacionais ou indivíduos. Um efeito adverso limitado sig-nifica, por exemplo, que a perda de confidencialidade, integridade ou disponibilidade poderia (i) causar degradação na capacidade de completar uma tarefa até um ponto e por uma duração tal que a organização consegue executar suas funções primárias, mas a efetividade das funções sofre redução perceptível; (ii) resultar em dano desprezível a ativos organizacionais; (iii) resultar em perdas financeiras insignificantes; ou (iv) resultar em dano reduzido a indivíduos.
j Moderado: Pode-se esperar que a perda cause efeito adverso sério sobre operações
organizacionais, ativos organizacionais ou indivíduos. Um efeito adverso sério significa, por exemplo, que a perda poderia (i) causar degradação significativa na capacidade de completar uma tarefa até um ponto e por uma duração tal que a organização consegue executar suas funções primárias, mas a efetividade das funções sofre significativa redução; (ii) resultar em dano significativo a ativos organizacionais; 2 Esses exemplos foram retirados de um documento sobre política de segurança publicado pelo Information
(iii) resultar em perda financeira significativa; ou (iv) resultar em dano significativo a indivíduos, não envolvendo perda de vida ou ferimentos sérios que ameacem a vida.
j Alto: Pode-se esperar que a perda cause efeito adverso grave ou catastrófico sobre
operações organizacionais, ativos organizacionais ou indivíduos. Um efeito adver-so grave ou catastrófico significa, por exemplo, que a perda poderia (i) causar gra-ve degradação ou perda de capacidade de completar uma tarefa até um ponto e por uma duração tal que a organização não consegue executar uma ou mais de suas funções primárias; (ii) resultar em grande dano a ativos organizacionais; (iii) resultar em grande perda financeira; ou (iv) resultar em dano grave ou catastrófico a indivíduos, envolvendo perda de vida ou ferimentos sérios que ameacem a vida. Confidencialidade
Informações sobre notas obtidas por estudantes em exames são um ativo cuja confidencia-lidade é considerada de altíssima importância pelos próprios estudantes. Nos Estados Uni-dos, a liberação de tais informações é regulamentada pelo Family Educational Rights and Privacy Act (FERPA). Informações sobre tais notas só podem ser disponibilizadas pa-ra estudantes, seus pais e funcionários que necessitem das informações papa-ra realizar seu serviço. Informações sobre matrículas de estudantes podem ter grau moderado de confiabilidade. Embora ainda protegidas pelo FERPA, essas informações são vistas por mais pessoas diariamente, a probabilidade de serem visadas é menor do que a de informa-ções sobre notas de exames escolares, e sua revelação resulta em menor dano. Informainforma-ções catalogadas, como listas de estudantes ou de faculdades e departamentos, podem receber uma classificação de confidencialidade baixa ou até mesmo nula. Essas informações normalmente estão disponíveis livremente ao público e são publicadas no site da escola. Integridade
Vários aspectos de integridade são ilustrados pelo exemplo das informações de um hos-pital sobre as alergias de seus pacientes, armazenadas em um banco de dados. O médico tem de confiar que as informações são corretas e atualizadas. Entretanto, suponha que um funcionário (por exemplo, um enfermeiro) que está autorizado a ver e atualizar essas informações falsifique deliberadamente os dados para causar danos ao hospital. O banco de dados precisará ser restaurado rapidamente para um estado confiável e possibilitar o ras-treamento e a identificação da pessoa responsável pelo erro. Informações sobre as alergias dos pacientes são um exemplo de ativo que requer alto grau de integridade. Informações inexatas poderiam resultar em sérios danos e até na morte de um paciente e expor o hos-pital a uma ação judicial de responsabilidade.
Um exemplo de ativo ao qual pode ser imputado um requisito de integridade de nível moderado é um site da Web que oferece um fórum para usuários registrados discutirem algum tópico específico. Um usuário registrado ou um hacker poderia falsificar algumas entradas ou desfigurar o site. Se o fórum existir para ser utilizado somente pelos usuários, se gerar pouca ou nenhuma receita de anúncios publicitários e não for usado para algo importante como pesquisas, o dano potencial não é grave. O webmaster pode sofrer alguma perda de dados, de tempo ou financeira.
Um exemplo de requisito de integridade baixa é uma votação anônima on-line. Muitos sites da Web, como empresas jornalísticas, fornecem os resultados dessas votações a seus usuários com um número muito pequeno de ressalvas. Todavia, a inexatidão e a natureza não científica dessas votações é bem entendida.
Disponibilidade
Quanto mais crítico um componente ou serviço, mais alto é o nível de disponibilidade exigido. Considere um sistema que provê serviços de autenticação para sistemas, aplicações
1.1 Conceitos de segurança de computadores 11
e dispositivos críticos. Uma interrupção do serviço resultaria na incapacidade de os clientes acessarem ativos computacionais e de funcionários acessarem os ativos de que necessitam para executar tarefas críticas. A perda do serviço traduz-se em grande perda financeira e em termos de perda de produtividade dos empregados e potencial perda de clientes.
Um exemplo do que normalmente seria classificado como ativo que requer disponibilidade moderada é um site público de uma universidade; o site provê informações sobre es-tudantes e doadores atuais e potenciais. Tal site não é um componente crítico do sistema de informação da universidade, mas sua indisponibilidade causará algum constrangimento. Uma aplicação de consulta a listas telefônicas on-line seria classificada como requisito de disponibilidade baixa. Embora a perda temporária de acesso à aplicação possa ser um aborrecimento, há outros modos de acessar a informação, como uma lista em papel ou um telefonista.
Os desafios da segurança de computadores
O tema segurança de computadores é ao mesmo tempo fascinante e complexo. Algumas das razões são:
1. Segurança de computadores não é tão simples quanto poderia parecer à primeira vista ao novato. Os requisitos parecem ser simples; de fato, em sua maioria, os requisitos mais importantes para serviços de segurança podem receber rótulos autoexplicativos de uma única palavra: confidencialidade, autenticação, irretrata-bilidade, integridade. Mas os mecanismos usados para satisfazer esses requisitos podem ser bastante complexos, e entendê-los pode envolver raciocínio um tanto engenhoso.
2. Quando desenvolvemos determinado mecanismo ou algoritmo de segurança, deve-mos sempre considerar ataques potenciais a esses requisitos de segurança. Em muitos casos, ataques bem-sucedidos são projetados apenas enxergando o problema de um modo completamente diferente e, portanto, explorando uma fraqueza inesperada no mecanismo.
3. Como consequência do ponto 2, os procedimentos usados para prover determinados serviços são frequentemente anti-intuitivos. Normalmente, um mecanismo de segurança é complexo, e não fica óbvio, apenas pelo enunciado de determinado requisito, que medidas tão elaboradas são necessárias. É só quando consideramos os vários aspectos da ameaça que mecanismos de segurança elaborados fazem sentido.
4. Depois de projetados vários mecanismos de segurança, é necessário decidir onde usá-los. Isso vale tanto em termos de posicionamento físico (por exemplo, em quais pontos de uma rede certos mecanismos de segurança são necessários) quanto no sentido lógico (por exemplo, em qual camada ou camadas de uma arquitetura como a TCP/IP [Transmission Control Protocol/Internet Protocol] os mecanismos devem ser colocados).
5. Mecanismos de segurança normalmente envolvem mais de um algoritmo ou protocolo em particular. Além disso, eles exigem que os participantes es-tejam de posse de alguma informação secreta (por exemplo, uma chave cripto-gráfica), o que levanta questões sobre geração, distribuição e proteção dessa informação secreta. Pode haver também uma dependência de protocolos de co-municações cujo comportamento complique a tarefa de desenvolver o mecanismo de segurança. Por exemplo, se o funcionamento adequado do mecanismo de segurança exigir que sejam fixados limites de tempo para o intervalo de trânsito de uma mensagem do remetente ao destinatário, qualquer protocolo ou rede que introduza atrasos variáveis e imprevisíveis pode fazer com que tais limites de tempo percam completamente o significado.
6. Segurança de computadores é essencialmente uma batalha de capacidade entre um perpetrador que tenta encontrar brechas e o projetista ou administrador que tenta fechá-las. A grande vantagem que o atacante tem é que só precisa descobrir uma única fraqueza, ao passo que o projetista tem de encontrar e eliminar todas as fraquezas para conseguir segurança perfeita.
7. Há uma tendência natural da parte de usuários e gerentes de sistemas de perceberem pouco benefício em fazer investimento em segurança até ocorrer uma falha de segurança.
8. Segurança requer monitoramento regular, até constante, e isso é difícil no ambiente de curto prazo e sobrecarregado de hoje.
9. Segurança ainda é muito frequentemente mero acessório a ser incorporado a um sistema depois de concluído o projeto, em vez de ser parte integral do processo de construir o projeto.
10. Muitos usuários e até mesmo administradores de segurança consideram que segu-rança forte atrapalha a operação eficiente e amigável ao usuário de um sistema de informação ou a utilização da informação.
As dificuldades que acabamos de enumerar serão encontradas de diversas maneiras à medida que examinarmos as várias ameaças e mecanismos de segurança neste livro.
Um modelo para segurança de computadores
Apresentamos agora um pouco de terminologia que será útil em todo o livro, baseada no RFC 2828, Internet Security Glossary.3 A Tabela 1.1 define termos e a Figura 1.2 [CCPS09a] mostra a relação entre alguns desses termos. Começamos com o conceito de recurso de sistema, ou ativo de sistema, que usuários e proprietários querem proteger. Os ativos de um sistema de computador podem ser categorizados como segue:
j Hardware: Inclui sistemas de computador e outros dispositivos de processamento de
dados, armazenamento de dados e comunicações de dados.
j Software: Inclui o sistema operacional, utilitários de sistema e aplicações.
j Dados: Incluem arquivos e bancos de dados, bem como dados relacionados à
segu-rança, como arquivos de senhas.
j Instalações e redes de comunicações: Enlaces de comunicação, pontes, roteadores,
e assim por diante, de redes locais e de longa distância.
No contexto da segurança, nossa preocupação é com as vulnerabilidades dos ativos do sistema. [NRC02] apresenta uma lista das seguintes categorias gerais de vulnerabilidades de um ativo de sistema de computador ou rede:
j Ele pode ser corrompido, de modo a operar de forma errônea ou dar respostas erradas.
Por exemplo, valores de dados armazenados podem ser diferentes do que deveriam ser porque foram modificados inadequadamente.
j Ele pode estar vazando. Por exemplo, alguém que não deveria ter acesso a algumas
ou a todas as informações disponíveis por meio da rede obtém tal acesso.
j Ele pode tornar-se indisponível ou muito lento. Isto é, usar o sistema ou rede torna-se
impossível ou impraticável.
Esses três tipos gerais de vulnerabilidade correspondem aos conceitos de integridade, confidencialidade e disponibilidade, enumerados anteriormente nesta seção.
Correspondendo aos vários tipos de vulnerabilidades de um ativo de sistema estão as ameaças capazes de explorar essas vulnerabilidades. Uma ameaça representa um potencial dano à segurança de um ativo. Um ataque é uma ameaça que é executada (ação de ameaça) 3 Consulte o Capítulo 0 se quiser uma explanação sobre RFCs.
1.1 Conceitos de segurança de computadores 13
Tabela 1.1 Terminologia de segurança de computadores
Adversário (agente fonte de ameaça)
Entidade que ataca um sistema ou é uma ameaça para ele.
Ameaça
Um potencial para violação de segurança, que existe quando há circunstância, capacidade, ação ou evento que poderia infringir a segurança e causar dano. Isto é, uma ameaça é um perigo possível que poderia explorar uma vulnerabilidade.
Ataque
Tentativa de violação da segurança do sistema que deriva de ameaça inteligente, isto é, um ato inteligente que é uma tentativa deliberada (especialmente no sentido de envolver um método ou técnica) para burlar serviços de segurança e violar a política de segurança de um sistema.
Contramedida
Ação, dispositivo, procedimento ou técnica que reduz uma ameaça, uma vulnerabilidade ou um ataque, eliminando-o
ou prevenindo-o, minimizando o dano que ele pode causar ou descobrindo-o e relatando-o de modo a possibilitar uma ação corretiva.
Política de segurança
Conjunto de regras e práticas que especificam ou regulamentam como um sistema ou organização provê serviços de segurança para proteger ativos sensíveis e críticos de um sistema.
Recurso de sistema (ativo)
Dados contidos em um sistema de informação; serviço provido por um sistema; capacidade do sistema, como poder
de processamento ou largura de banda de comunicação; item de equipamento do sistema (isto é, um componente do sistema — hardware, firmware, software ou documentação); instalação que abrigue operações e equipamentos de sistema.
Risco
Expectativa de perda de segurança expressa como a probabilidade de que uma ameaça particular explorará uma vulnerabilidade particular com resultado danoso particular.
Vulnerabilidade
Falha, defeito ou fraqueza no projeto, implementação ou operação e gerenciamento de um sistema que poderia ser explorada para violar a política de segurança do sistema.
Fonte: RFC 2828, Internet Security Glossary, maio de 2000.
e, se bem-sucedido, resulta em uma violação indesejável de segurança ou consequência da ameaça. O agente que executa o ataque é denominado atacante ou agente fonte de ameaça. Podemos distinguir dois tipos de ataques:
j Ataque ativo: Tentativa de alterar ativos de sistemas ou afetar sua operação.
j Ataque passivo: Tentativa de descobrir ou fazer uso de informações advindas
do sistema que não afeta ativos do sistema.
Também podemos classificar os ataques com base na sua origem:
j Ataque interno: Iniciado por uma entidade que está dentro do perímetro
de segurança (um “usuário interno legítimo” ou “insider”). O insider está autorizado a acessar ativos de sistema, mas os usa de modo não aprovado por quem concedeu a autorização.
j Ataque externo: Iniciado de fora do perímetro por um usuário não autorizado
ou ilegítimo do sistema (um “outsider”). Na Internet, atacantes externos potenciais vão de amadores curiosos a criminosos organizados, terroristas internacionais e governos hostis.
Finalmente, uma contramedida é qualquer meio utilizado para lidar com um ataque à segurança. O ideal seria que uma contramedida pudesse ser projetada para impedir o sucesso de um tipo de ataque em particular. Quando a prevenção não é possível ou falha em alguma instância, a meta é detectar o ataque e recuperar o sistema dos efeitos do ataque. Uma contramedida pode em si introduzir novas vulnerabilidades. Seja qual for o caso, é possível que vulnerabilidades residuais permaneçam após a aplicação de contramedidas. Tais vulnerabilidades podem ser exploradas por agentes fonte de ameaça que representam um nível residual de risco para os ativos. Os proprietários procurarão minimizar tal risco dadas outras restrições.
1.2 AMEAÇAS, ATAQUES E ATIVOS
Passamos agora a um exame mais detalhado de ameaças, ataques e ativos. Em primeiro lugar, examinamos os tipos de ameaças à segurança que devem ser tratados e depois damos alguns exemplos dos tipos de ameaças que se aplicam a diferentes categorias de ativos.
Ameaças e ataques
A Tabela 1.2, baseada na RFC 2828, descreve quatro tipos de consequências de ameaças e dá uma lista de tipos de ataques que resultam em cada consequência.
Revelação não autorizada é uma ameaça à confidencialidade. Os seguintes tipos de ataques podem resultar nessa consequência de ameaça:
j Exposição: Pode ser deliberada, como ocorre quando um agente interno
(insi-der) divulga informações sensíveis, como números de cartões de crédito, a um
agente externo (outsider). Também pode ser o resultado de um erro humano, de hardware ou de software, que resulta em uma entidade obtendo conhecimento não autorizado sobre dados sensíveis. Há numerosos exemplos disso, como a publicação acidental na Web, por uma universidade, de informações confidenciais de estudantes.
j Interceptação: Interceptação é um ataque comum no contexto de comunicações.
Em uma rede local (LAN) compartilhada, como uma LAN sem fio ou uma rede Ethernet, qualquer dispositivo conectado à LAN pode receber uma cópia dos pa-cotes cujo destino pretendido era outro dispositivo. Na Internet, um hacker per-sistente pode obter acesso a tráfego de e-mail e outras transferências de dados.
1.2 Ameaças, ataques e ativos 15
Todas essas situações criam um cenário potencial para o acesso não autorizado a dados.
j Inferência: Um exemplo de inferência é conhecido como análise de tráfego, no
qual um adversário consegue obter informações mediante a observação do padrão de tráfego em uma rede, como a quantidade de tráfego entre determinados pares de máquinas na rede. Outro exemplo é a inferência de informações detalhadas de um banco de dados por um usuário cujo acesso é apenas limitado; isso é conseguido por meio de repetidas consultas cujos resultados combinados permitem fazer alguma inferência.
j Intrusão: Um exemplo de intrusão é um adversário obter acesso não autorizado a
dados sensíveis, burlando proteções de controle de acesso do sistema.
Fraude é uma ameaça à integridade de sistemas ou à integridade de dados. Os seguintes tipos de ataques podem resultar nessa consequência de ameaça:
j Personificação: Um exemplo de personificação é a tentativa por um usuário não
autorizado de obter acesso a um sistema fazendo-se passar por usuário autorizado; isso pode ocorrer se o usuário não autorizado conseguir descobrir qual é o ID de acesso e a senha do usuário. Outro exemplo é o uso de um programa malicioso, como um cavalo de Troia, que parece executar uma função útil ou desejável, mas na verdade obtém acesso não autorizado a ativos de sistema ou engana um usuário e o leva a executar outro programa malicioso.
j Falsificação: Refere-se à alteração ou substituição de dados válidos ou à introdução
de dados falsos em um arquivo ou banco de dados. Por exemplo, um estudante pode alterar suas notas em um banco de dados de uma escola.
j Retratação (ou repúdio): Nesse caso, um usuário nega o envio de dados ou nega
o recebimento ou a posse dos dados.
Tabela 1.2 Consequências de ameaça e tipos de ações de ameaça que causam cada consequência
Consequência de ameaça Ação de ameaça (ataque)
Revelação não autorizada
Circunstância ou evento pelo qual uma entidade obtém acesso a dados que não está autorizada a acessar.
Exposição: Dados sensíveis são revelados diretamente a uma entidade não autorizada. Interceptação: Entidade não autorizada acessa diretamente dados sensíveis
transportados entre origens e destinos autorizados.
Inferência: Ação de ameaça pela qual uma entidade não autorizada acessa indiretamente dados sensíveis (mas não necessariamente os dados contidos na comunicação) após analisar as características ou subprodutos de comunicações. Intrusão: Uma entidade não autorizada obtém acesso a dados sensíveis burlando as proteções de segurança de um sistema.
Fraude
Circunstância ou evento que pode resultar no recebimento, por uma entidade autorizada, de dados falsos na crença de que sejam verdadeiros.
Personificação: Entidade não autorizada obtém acesso a um sistema ou realiza um ato malicioso fazendo-se passar por entidade autorizada.
Falsificação: Dados falsos enganam uma entidade autorizada.
Retratação: Entidade engana outra negando falsamente a responsabilidade por um ato. Disrupção
Circunstância ou evento que interrompe ou impede a operação correta de serviços e funções de sistema.
Incapacitação: Impede ou interrompe a operação de um sistema desabilitando um componente de sistema.
Corrupção: Promove alterações indesejadas para a operação de uma sistema através da modificação adversa de funções ou dados do sistema.
Obstrução: Ação de ameaça que interrompe a entrega de serviços de sistema, atrapalhando a operação do sistema.
Usurpação
Circunstância ou evento que resulta no controle de serviços ou funções do sistema por entidade não autorizada.
Apropriação indevida: Uma entidade assume o controle lógico ou físico não autorizado de um ativo de sistema.
Utilização indevida: Faz com que um componente do sistema realize uma função ou serviço prejudicial à segurança do sistema.
