Introdução aos Sistemas de Segurança

(1)

Faculdade de Engenharia da Computação

Disciplina:

Segurança Aplicada à Computação Segurança Aplicada à Computação

Introdução aos Sistemas de Segurançaç g ç

Site : http://www1.univap.br/~wagner/ec.html

Prof. Responsáveis

W S t C d J

Wagner Santos C. de Jesus

(2)

Conceito de Segurança da

(3)

Conceito de

Informação

(4)

Dado

Informação

(5)

Dado

É um conjunto de letras, números ou dígitos que colocado isoladamente, não agrega nenhum conhecimento não contem significado claro

agrega nenhum conhecimento, não contem significado claro.

2,4,6,8,10; xyz; Maria

Dado

ado

(6)

Exemplo de dado

(Informação)

Exemplo de dado

(Informação)

A B C D

E F G H

(7)

Dado => Informação

/

-.-. --- -.. .. --. --- / -- --- .-. ... .

C O D I G O (espaço) M O R S E

7

(8)

Informação

O i d i f ã

O conceito de informação vem ser o dado trabalhado ou tratado agregadog g com sentido natural e lógico para quem usa a informação. Define-se como algo usa a informação. Define se como algo útil.

2,4,6,8,10 – São Múltiplos de dois. x,y,z - São coordenadas cartesianas.

M i N d

(9)

Conhecimento

Q f “ ”

Quando a informação é “trabalhada” por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, geração de cenários, simulações e oportunidades, pode ser chamada de conhecimento.

Exemplo: Percepção da dificuldade;

Uso de experiências semelhantes;

Concepção de equipamentos, pessoas,

t i i ã it i i

materiais e pessoas, que são vitais para um serviço. Entendimento de contratos que podem ser negociados visando à adequação à realidade de ser negociados, visando à adequação à realidade de uma atividade.

(10)

Exemplo de Conhecimento

Problema

Desenvolver uma função

matemática para gerar apenas múltiplos p g p p de dois.

N={2,4,6,8,10...} <= Dado

Informação, todos são múltiplos de dois

dois.

(11)

Conhecimento

Defini-se como conhecimento a interpretação dos dados.

Alemão - Verfahren Inglês - Processg Espanhol - acción

Francês - processus

Processo

(12)

Simbologias (SI)

Proibido Fumar Alta Tensão

Enviar dados para Deficiente Físico Enviar dados para

Impressora Radiação no local _{Mulher e Homem}

Laser no local _Proibido Estacionar

(13)

Conceito de Segurança da

Informação

Deve estar relacionado com a

ã d j d

preservação de um conjunto de informações, no sentido de preservar os valor que possuem para um individuo uma organização.

organização.

(14)

Motivação

• Segurança não Binária.

• Não

existe

ambiente

totalmente

• Não

existe

ambiente

totalmente

seguro.

• Gerenciamento

de

Sistemas

de

Informação devem ser constantes

(15)

Preservação da Informação

Informação Patrimônio Adequadamente Adequadamente Protegida Importância Negócios 15 Negócios Organização

(16)

Classificação da Informação

Públi I f ã d i úbli i

• Pública: Informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da empresa;

• Interna: O acesso a esse tipo de informação deve ser evitado,p ç , embora as conseqüências do uso não autorizado não sejam por demais sérias;

• Confidencial: Informação restrita aos limites da empresa cuja

• Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras;

• Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas.

(17)

Ciclo de Vida da Informação

Manuseio Autenticidade Informação Descarte Armazena mento Disponibilidade Retratabilidade 17 Transporte

(18)

Preservação de

• Confidencialidade;

Confidencialidade;

• Integridade;

Disponibilidade

• Disponibilidade.

(19)

Segurança da Informação

Dados e Serviços Disponibilidade Serviços p 19

(20)

Sistema seguro

• ConfidencialidadeConfidencialidade

A informação somente pode ser acessada por pessoas explicitamente autorizadas; é a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham informação para impedir que pessoas não autorizadas tenham acesso ao mesmo.

• Disponibilidade

A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária

no momento em que a mesma for necessária.

• Integridadeg

A informação deve ser retornada em sua forma original no momento em que foi armazenada.

(21)

Sistema seguro

- Autenticidade: Garante de que a informação vem da fonte anunciada.ç

- Retratabilidade (Não Repudio) : Garantia de que a pessoa não negue ter criado a de que a pessoa não negue ter criado a informação.

21

(22)

Gestão de Continuidade de

Negócios

Processo que identifica ameaças em potencial e os possí eis impactos às potencial e os possíveis impactos às operações de negócio caso essas ameaças se concretize, buscando desenvolver uma cultura organizacionalg capaz de responder e salvaguardar as informações e a reputação do órgão ou informações e a reputação do órgão ou entidade.

(23)

Gestão de Riscos

Atividades coordenadas para direcionar e controlar ma organi ação no direcionar e controlar uma organização no que se refere a riscos, incluindo, inclusive, análise e avaliação, tratamento, aceitação e comunicação dos riscos.ç

(24)

Componentes de um Sistema

de Informação (SI)

Segurança da Informação Gestão SI Segurança de rede Informação Política Segurança de Computadores e Dados

(25)

Como o SI

pode ser Obtido ?

(26)

Para se obter um SI

Implementando

CONTROLES,

para garantir que os objetivos de

segurança sejam alcançados

(27)

Tópicos de Controle

p

Políticas Práticas Procedimentos Estruturas organizacionais F õ d ft /h d Funções de softwares/hardware 27

(28)

Por que SI é necessária?

• As informações são constantemente colocadas à prova por diversos tipos de ameaças

F d l t ô i b t d li t

• Fraudes eletrônicas, sabotagem, vandalismo, etc.

• Dependência nos sistemas de informação torna as organizações mais vulneráveis às ameaças

organizações mais vulneráveis às ameaças • Controle de acesso é cada vez mais difícil

• Sistemas de informação não foram projetados para • Sistemas de informação não foram projetados para

serem seguros

• Codificação segura (evita buffer overflow SQL Injection • Codificação segura (evita buffer overflow, SQL Injection,

(29)

Mitos de Segurança

• Segurança da informação é responsabilidade única da TI; • Os engenheiros sempre me proverá sistemas seguros;

• Os ataques a informações são sofisticados por isso são realizados apenas por hackers ;

realizados apenas por hackers.;

• Somente devemos nos preocupar com as informações salvas em meu computador ou na rede;p ;

• Estagiários e terceirizados não estão incluídos no processo de segurança da informação;

• Meu website é seguro porque utiliza SSL e Criptografia de Dados;

O Firewall nos protege de todos os ataques externo; • O Firewall nos protege de todos os ataques externo; • Falhas em aplicações internas não são tão importantes;

(30)

(31)

Segurança

Fí i

Física

(32)

Segurança: Principais Ameaças

g

ç

p

ç

• Falhas em equipamentos SO e aplicativosFalhas em equipamentos, SO e aplicativos

• Acesso físico não autorizado (infraestrutura predial) • Perda de comunicação voz e dados

• Perda de comunicação voz e dados • Vandalismo, roubo, furto

• Fatores naturais • Fatores naturais

–Incêndio, Inundação, Furacões, Desabamentos

Explosões Raios Terremotos

–Explosões, Raios, Terremotos • Fatores humanos envolvidos

Negligência

–Negligência –Despreparo

(33)

Cofres Antigos

(34)

(35)

Câmeras de Monitoramento

(36)

Dispositivos de Autenticação

• Tokens : O que você tem;

• Passwords: O que você sabe;

• Smart Card: O que você sabe mais o que • Smart Card: O que você sabe mais o que

você tem;

(37)

Biometria

(38)

Biometria

• Impressão Digital; • Retina/Íris dos olhos; • Retina/Íris dos olhos; • Características faciais;

Reconhecimento de Vo • Reconhecimento de Voz;

• Geometria e veias das mãos;

P d ã d it • Padrão de escrita; • Poros da pele; A áli d DNA • Análise de DNA; • Formato da orelha; C

• Composição química do odor corporal; • Emissões Térmicas;

(39)

Engenharia

Social

(40)

Conceito

Engenharia social em segurança da

informação,ç , se refere a práticap de interações humanas para que pessoas revelem dados sensíveis sobre um revelem dados sensíveis sobre um sistema de computadores ou de informações

(41)

Exemplo (Golpe)

Alguém te liga, dizendo se, passar por funcionário do banco e pergunta dados funcionário do banco e pergunta dados sobre sua conta pedindo que você os confirme Mesmo que você não diga a confirme. Mesmo que você não diga a senha ele poderá ficar com informações valiosas sobre sua pessoa.

(42)

Exemplo

2 (Golpe)

Exemplo – 2 (Golpe)

Alguém te manda um boleto bancário exatamente igual a data de sua fatura da exatamente igual a data de sua fatura da (Sky, Net ou outro serviço); Quando você

f t t édit ã i á

efetua o pagamento o crédito não irá para operadora original e sim para a conta de um golpista.

(43)

Exemplo Browser (Internet)

Não grave sua senha em computadores de estranhos

(44)

(45)

Hacker da década de 90

P f i Preso em fevereiro de 1995 a Janeiro de 2000 25 õ 2000, 25 acusações federais; Fraude em Si t T l fô i Sistema Telefônicos, Roubo de Software (S M t l N ll

Kevin David Mitnick

(Sun,Motorola,Novell e Nokia).

(46)

Entendendo a Engenharia

Social

• Vaidade pessoal e/ou profissional; • Autoconfiança;Autoconfiança;

• Formação profissional; • Vontade de ser útil;

• Busca por novas amizades; • Busca por novas amizades;

• Propagação de responsabilidade; • Persuasão

(47)

C

l

ã

Conclusão

(48)

Conclusão

A engenharia social não é A engenharia social não é exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde engenharia social é uma ferramenta onde exploram-se falhas humanas em organizações físicas ou jurídicas onde operadores do sistema de segurança dap g ç informação possuem poder de decisão parcial ou total ao sistema de segurança parcial ou total ao sistema de segurança da informação seja ele físico ou virtual.

(49)

Tipos de Ataques

(50)

D S N ã d i • DoS Negação de serviço • Spamp

• Phishing spam (Captura dados pessoais)

At d f b t

• Ataques de força-bruta

• Interceptação de pacotes (Packet Sniffing)e cep ação de paco es ( ac e S g) • Varreduras

• Ataques ao TCP/IP

• MalwareMalware (Programas(Programas ExecutáveisExecutáveis ouou Scripts)

(51)

Legislação

g

ç

(52)

Artigo Primeiro

O acesso, o processamento e a disseminação de informações através das redesç ç de computadores devem estar a serviço do cidadão e da sociedade, respeitados os critériosp de garantia dos direitos individuais e coletivos e de privacidade e segurança de pessoas físicasp g ç p e jurídicas e da garantia de acesso às informações disseminadas pelos serviços deç p ç rede.

(53)

Artigo Segundo

É livre a estruturação e o funcionamento das redes de funcionamento das redes de computadores e seus serviços,

l d di i õ ífi

ressalvadas disposições específicas reguladas em lei.

(54)

Artigo Terceiro

Para fins desta lei, entende-se por

i f õ i d l l i à

informações privadas aquelas relativas à pessoa física ou jurídica identificada ouj identificável.

(55)

Sistemas Usados para

diminuição dos riscos.

(56)

• Educação do usuário final; • Antivírus;

• Antispyware (Eliminar ameaças por • Antispyware (Eliminar ameaças por

varredura) Exemplo Windows Defender; • Filtro Anti Spam;

• Backup dos Dados; • Backup dos Dados; • Criptografia;

• Firewall;

• Sistemas de Detecção de Intrusão; • Sistemas de Detecção de Intrusão; • Política de segurança;

(57)

Topologias de

Segurança

(58)

Sistema de Segurança

(P

)

(Pequeno)

Sistema de Segurança

(59)

Sistema de Segurança (Médio)

Si t d

59

(60)