Aula 3 - Segurança e Auditoria de Sistemas - Engenharia Social - 1o Sem 2014

Anlise e Desenvolvimento de Sistemas
4 semestre Turma A
Aula n 03
Prof. Paulo Rangel
paulo.rangel@tyaro.com.br
Segurana e Auditoria de Sistemas

Livro adotado para a Resenha Critica:
Conforme informamos verbalmente na aula anterior, o livro a
ser adotado :
MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de
Hackers : Controlando o Fator Humano na Segurana da
Informao. So Paulo: Pearson Education, 2003.
Reviso dos Exerccios da aula 2
Contedo Previsto

1. Em nossas aulas discutimos conceitos fundamentais que devem ser garantidos para que a segurana
da informao esteja presente. Diga quais so esses conceitos e a que aspectos da segurana da
informao eles se referem?
Os conceitos fundamentais necessrios para garantir a segurana da informao so:
Confidencialidade - Garantir que a informao ser acessada apenas pelas pessoas autorizadas.
Integridade - Garantir a exatido e completeza da informao e dos mtodos de processamento.
Disponibilidade - Garantir que os usurios autorizados tenham acesso informao e aos ativos
correspondentes sempre que necessrio.
2. Nos estudos que realizamos em aula identificamos que cada organizao pode ter nveis de riscos
diferentes em relao a outras empresas mesmo quando ambas atuam no mesmo mercado. Porque
isso ocorre? Quais as variveis que influenciam esses riscos? Como essas variveis s podem ser
classificadas?
As organizaes podem ter niveis de riscos diferentes em razo de caracteristicas influenciadas pelo seu
ambiente interno e pelo ambiente externo no qual esta inserida. Estas variveis podem ser classificadas em
vriaveis internas e vriaveis externas e so as seguintes:

Variveis internas:
Humanas
Tecnolgicas
Fsicas
Segurana da Informao (aula 2)

Variveis externas:
Macro econmicas
Mercadolgicas
Naturais

3. Aprendemos que ao longo do tempo surgiram uma srie de facilitadores de riscos e ameaas. Alguns
desses facilitadores podem ser vistos pela sociedade como positivos e outros negativos. Porque isso
ocorre? Cite pelo menos 3 exemplos de facilitadores de riscos e ameaas positivos e 3 exemplos de
negativos.

Facilitadores para o aumento dos riscos e ameaas com Aspectos Positivos:
1. Crescimento do uso das informaes digitalizadas
2. Aumento da conectividade das empresas
3. Crescimento das relaes eletrnicas entre as empresas
4. Crescimento do compartilhamento da informao
5. Acesso a conexes Internet em banda larga
6. Reduo dos preos dos computadores
7. Crescimento do valor da informao para as organizaes
Facilitadores para o aumento dos riscos e ameaas com Aspectos Negativos:
1. Baixo nvel de identificao na Internet
2. Compartilhamento de tcnicas de ataque e defesa
3. Variedade de ferramentas de ataque e defesa, fceis de serem obtidas e utilizadas
4. Legislao e mecanismos legais deficientes sobre a responsabilizao no ambiente virtual
5. Ataque vindos do exterior so muito mais difceis de terem seus autores identificados e responsabilizados


4. Discutimos em nossas aulas a questo do ciclo de vida da informao: manuseio, armazenamento,
transporte e descarte. Conceitue cada um desses momentos e destaque pontos de ateno que uma
organizao deve observar em cada um desses momentos durante o ciclo de vida da informao.

O ciclo de vida caracterizado pelos momentos vividos pela Informao que a colocam em risco e que podem
alterar as suas propriedades de Confidencialidade, Integridade e Disponibilidade. Esses momentos podem ser
divididos da seguinte forma :
1. Manuseio - Momento em que a informao criada e manipulada. Ateno quanto ao acesso e o
processamento correto e exato da informao;
2. Armazenamento - Quando a informao armazenada. Ateno em garantir a confidencialidade
atravs do uso de criptografia do meio fsico se necessrio e a preservao atravs de cpias de segurana;
3. Transporte - Quando a informao transportada, seja por correio eletrnico ou atravs de uma rede
para ser consultada em uma estao. Ateno em garantir a confidencialidade atravs do uso de
criptografia entre a origem e o destino.
4. Descarte - Quando a informao descartada. Garantir que os dados crticos foram destrudos.

Em todas as fases o cuidado com a segurana deve estar presente. Por exemplo, nada vale termos precaues
durante os momentos de manuseio, armazenamento e transporte e sermos descuidados no momento do seu
descarte.



Contedo Previsto:
O perfil do atacante
O fator Humano
Vulnerabilidades
Ameaas
Equao do Risco
Legislaes, Normas e Regulamentaes na Gesto da
Segurana da Informao
O comportamento humano face a Segurana da
Informao A Engenharia Social
Filme: Hackers Criminosos e anjos
Questes / Estudo de Caso


O fator humano
Todos que acham que os produtos de segurana sozinhos oferecem a
verdadeira segurana esto fadados a sofrer da iluso da segurana. Esse
o caso de viver em um mundo de fantasia: mais cedo ou mais tarde eles
sero vtimas de um incidente de segurana.
Outros livros sobre segurana corporativa concentram-se na tecnologia
de hardware e software e no abordam adequadamente a ameaa mais
sria de todas: a fraude humana

Kevin Mitnick

Todos os sistema esto sujeitos interveno humana, desta forma tambm
est sujeitos a todas as fraquezas humanas.
As pessoas frequentemente no percebem a importncia das informaes
que detm, ou das consequncias do seu uso inadequado.
Como no tem essa conscincia no tomam os cuidados que seriam
necessrios para protege-las.

As pessoas so vaidosas e desta forma mais receptivas quando recebem uma avaliao
positiva em relao sua personalidade ou profisso.
Buscam transmitir confiana, demonstraes que fazem algo bem, e que possuem
domnio sobre determinado assunto, alm de valorizar suas habilidades pessoais,
tcnicas ou profissionais.
Some-se isso vontade de ser til, a busca por novas amizades ou relacionamentos
profissionais, e tornam as pessoas suscetveis a entregarem informaes importantes,
crendo que esto provando sua capacidade, porm, uma pessoa com poder de persuaso, e
que saiba explorar estes fatores, facilmente pode obter informaes importantes, e at
mesmo confidenciais.


O que Engenharia Social?
um conjunto de prticas, usadas para ter acesso a informaes
importantes, explorando a confiana das pessoas.
Dentro do contexto de um sistema de segurana da informao uma
forma de ataque no tcnica, uma vez que no requer qualquer
conhecimento de tecnologia.
Concentra-se nas habilidades interpessoais, utilizadas para ganhar a
confiana das pessoas utilizando-se de diversas tcnicas para alcanar seus
objetivos.

Quem o Engenheiro Social?
Algum que usa a fraude, a influncia e a persuaso contra as empresas,
em geral visando suas informaes.
o agente de aes que podem quebrar todo o aparato de segurana
baseado em tecnologia.
A medida que os especialistas contribuem para o desenvolvimento
contnuo de melhores tecnologias de segurana, tornando ainda mais
difcil a explorao de vulnerabilidades tcnicas, os atacantes se voltaro
cada vez mais para a explorao do elemento humano. Quebrar a firewall
humana quase sempre fcil, no exige nenhum investimento alm do
custo de uma ligao telefnica e envolve um risco mnimo.
Kevin Mitnick

Como inicia o Ataque?
A Engenharia Social comea com a busca de informaes.
O engenheiro social busca as mais diversas informaes dos usurios,
como: CPF, RG, nomes dos pais, manuais da empresa, etc.
Essas informaes visam estabelecer uma relao com algum da
empresa visada.
A coleta de informaes pode ocorrer em diversos momentos,
obtendo informaes de uma pessoa, que poder levar a outra e assim
por diante at atingir aquele que possui a informao que realmente
interessa.

O engenheiro social explora a natureza humana de ser confiante e assim
obter informaes da vtima, por exemplo, senha, agenda de compromissos,
dados bancrios ou carto de crdito que sero utilizados no ataque.
Dependendo do grau de acesso que o criminoso tem dentro de uma
empresa, pode se aproveitar tambm do descuido, de informaes expostas
enquanto deveriam estar protegidas, seja na forma de um papel esquecido
em cima da mesa, ou mesmo escutando uma conversa na hora do caf.
E assim, formada a base de conhecimento o ataque propriamente dito
executado, atingindo a empresa ou pessoa, atravs do uso de todas as
informaes obtidas.

A segurana no um problema de tecnologia; uma questo
social. Tratando-a como um problema que pode ser resolvido
por meios tecnolgicos, voc estar se expondo a um ataque.
A segurana corporativa uma questo de equilbrio. Pouca ou
nenhuma segurana deixa a sua empresa vulnervel, mas uma
nfase exagerada atrapalha a realizao dos negcios e inibe o
crescimento e a prosperidade da empresa. O desafio atingir
um equilbrio entre a segurana e a prosperidade.
Assim cabe ao defensor reduzir as oportunidades dentro da
equao do negcio da organizao e, sempre que possvel
diminuir a motivao dos atacantes.

Os atacantes podem ser divididos em trs categorias:
Navegadores, aproveitadores e vndalos
Espies e sabotadores
(ex-)Funcionrios e (ex-)contratados
Cada um desses grupos apresentam probabilidades de ataque,
nmero potencial de atacantes, motivaes e habilidades
diferentes.


Em resumo, por uma questo de ordem prtica, a segurana
no pode custar mais que o que est sendo protegido e nem
pode ser um entrave para a operao da empresa.
Assim, sempre dever haver um equilbrio entre esses
aspectos, de forma a existir um nvel de risco aceitvel.
Dentro desse contexto, em algum momento poderemos ter
um evento de quebra de segurana, bastando que o atacante
tenha a motivao e habilidades suficientes para identificar e
explorar as oportunidades que existirem.

Vulnerabilidades
Podem ter vrias origens, de ordem tecnolgica ou no:
Tecnolgicas:
Equipamentos de baixa qualidade
Criptografia fraca
Sistema operacional desatualizado
Configurao imprpria do firewall
Links no redundantes
Configurao imprpria do roteador
Bug nos softwares
Autorizao de acesso lgico inadequado


Vulnerabilidades
Fsicas:
Ausncia de gerador de energia
Ausncia de normas para senhas
Ausncia de fragmentadora de papel
Mdia de backup mal acondicionada
Falta de controles fsicos de acesso
Instalao eltrica imprpria
Cabeamento desestruturado

Vulnerabilidades
Humanas:
Falta de treinamento
Falta de qualificao
Ausncia de polticas de RH
Ambiente/clima organizacional ruim

Vulnerabilidades
A esse conjunto de vulnerabilidades listadas como exemplos, pode-se
acrescentar ou retirar algumas, ou considerar maior ou menor a sua
influncia dentro de cada organizao, em funo do equilbrio entre
o seu negcio, os recursos disponveis para segurana e o nvel de
risco aceitvel para a sua operao.
Por exemplo, se o seu ciclo operacional muito curto, com pouca
margem para atrasos junto aos seus clientes, vale a pena considerar a
necessidade de um sistema de geradores para casos onde ocorram
falhas no fornecimento de energia eltrica. Se a empresa recebe
informaes sigilosas de seus clientes, uma criptografia fraca poder
ser um problema muito srio.

Vulnerabilidades

Vulnerabilidades
Viso corporativa Integrada

Em uma Viso Corporativa de Segurana, as trs categorias de
vulnerabilidades devem ser associadas e trabalhadas de forma
integrada para se obter um nvel adequado de risco a ser
administrado, sendo representado pela figura do prximo slide:


Vulnerabilidades

Ameaas
Agentes ou condies que causam incidentes que
comprometem as informaes e seus ativos por meio da
explorao de vulnerabilidades, provocando perdas de
confidencialidade, integridade e disponibilidade e,
consequentemente, causando impactos aos negcios de uma
organizao.

Ameaas
Podem ser classificadas em funo do seu grau de
intencionalidade:
Naturais: Decorrentes de fenmenos naturais. (enchentes,
terremotos, tempestades eletromagnticas, maremotos, etc.)
Involuntrias: Ameaas inconscientes, quase sempre causadas
pelo desconhecido. Por exemplo, acidentes, erros, falta de
energia, etc.
Voluntrias: Ameaas propositais causadas por agentes
humanos como crackers, invasores, espies, ladres, criadores e
disseminadores de vrus de computador, etc.


Equao do Risco:
Conceitos a abordar:
Medidas de Segurana
Praticas, procedimentos e todos os mecanismos utilizados
para proteger a informao e seus ativos, visando impedir que
as ameaas explorem as vulnerabilidades, a reduo dessas
vulnerabilidades, limitem o impacto ou minimizem o risco de
qualquer forma.
Podem ser:
Preventivas buscam evitar a ocorrncia das causas
Detectivas buscam flagrar a ocorrncia das causas
Corretivas buscam combater, eliminar ou reduzir as
consequncias
Restauradores Restabelecem a normalidade

Equao do Risco:
Riscos
Probabilidade das ameaas explorarem vulnerabilidades,
provocando perdas de confidencialidade, integridade e
disponibilidade e assim causando impactos ao negcio.
Impacto
a abrangncia dos danos causados por um incidente de
segurana sobre um ou mais processos de negcios.
Incidente
Fato ou evento decorrente da ao de uma ameaa, quando
uma ou mais vulnerabilidades so exploradas, levando perda
de princpios fundamentais da segurana da informao:
Confidencialidade, Integridade e Disponibilidade.

Equao do Risco:
O risco a possibilidade de que ameaas explorem
vulnerabilidades, expondo as informaes e seus ativos a perda
de alguma de suas propriedades fundamentais
(confidencialidade, integridade e disponibilidade), causando
impactos nos negcios. Tais impactos so reduzidos por medidas
de segurana que protegem as informaes e seus ativos e
buscam impedir que as ameaas explorem as vulnerabilidades
dos componentes envolvidos no ciclo de vida da informao,
diminuindo o risco:

Equao do Risco:


Legislaes, Normas e Regulamentaes
ISO 27001 e ISO 27002
Publicaes do Governo Federal
Publicaes do Banco Central
Regulamentaes do ICP-Brasil
Cobit
Publicaes da CVM
Publicaes da Anatel
Publicaes estrangeiras (Sarbanes e Oxley)
Etc.

Tendncias

Tendncias
Kevin Mitnick
A arte de enganar

Classificao e controle dos ativos de informao
Recomenda-se manter classificados e controlados os ativos da
organizao. No se trata apenas dos dispositivos fsicos
(hardware) e lgicos (programas e suas licenas) mas tambm
de tudo que oferece algum tipo de suporte ou possui algum
envolvimento com a informao, por exemplo Servios de
comunicao, utilidades gerais (suporte), manuais, material
de treinamento, etc.


Inventrio dos ativos da informao:
A organizao precisa conhecer e ser capaz de identificar seus ativos,
podendo atribuir valores e importncia a cada um deles, possibilitando
assim, proporcionar nveis de proteo adequados.
O inventrio dos ativos permite organizao ter conhecimento e
auxilia na verificao da efetividade das medidas de segurana
aplicadas.
Este controle tambm poder ser utilizado para outras finalidades,
como, por exemplo, no controle de ativo imobilizado realizado pela
Contabilidade, pela Segurana Patrimonial, pelo Financeiro, no
dimensionamento de coberturas de Seguros, etc.


Classificao da Informao:
Busca-se assegurar que os ativos de informao recebam um nvel
adequado de proteo.
A informao possui vrios nveis de sensibilidade e criticidade, assim,
alguns itens podem necessitar um nvel adicional de proteo ou
tratamento especial. Convm que um sistema de classificao da
informao seja usado para definir um conjunto apropriado de nveis
de proteo e determinar a necessidade de medidas especiais de
tratamento.


Recomenda-se para classificao da Informao:
Que na classificao e seus controles, sejam levados em considerao
as necessidades dos negcios para compartilhar ou restringir o acesso,
alm de avaliar os impactos nos negcios em caso de acesso indevido
ou danos s informaes;
Que os dados provenientes de sistemas que processam informaes
classificadas tambm sejam rotulados de acordo com o seu valor,
sensibilidade e criticidade para a organizao;

Recomenda-se para classificao da Informao:
Que como a informao pode deixar de ser sensvel ou crtica ao
longo do tempo. Assim, isso precisar ser considerado e dever
ocorrer a previso para a sua reclassificao automtica, no existindo,
nesses casos, uma classificao fixa. Isso evitar gastos desnecessrios;
Que exista um cuidado em no se criar muitas categorias de
classificao, pois o excesso poder prejudicar o resultado final de sua
aplicao;
Que a responsabilidade pela definio da classificao de um item de
informao fique com o autor ou com o proprietrio responsvel pela
informao.

Rtulos e tratamento da informao:
Deve existir um procedimento apropriado para rotular e tratar a
informao de acordo com a classificao que lhe foi atribuda. Este
procedimento dever abranger tanto a informao no formato fsico
como no formato eletrnico, devendo abordar os seguintes tipos de
atividades de processamento da informao:
Cpia;
Armazenamento;
Transmisso pelo correio, fax ou correio eletrnico;
Transmisso pela fala, incluindo telefonia mvel, correio de voz ou
secretrias eletrnicas;
Destruio / descarte.

Rtulos e tratamento da informao:
Todas as sadas de sistemas que contenham informaes classificadas
como sensveis ou crticas devero ter um rtulo apropriado sua
classificao.
Devem ser considerados relatrios impressos, telas, mdias magnticas
(fitas, discos, CDs, cassetes), mensagens eletrnicas e transferncias de
arquivos. A Norma tambm coloca a necessidade de uso de rtulos
eletrnicos em informaes no formato eletrnico.


Como prevenir-se?
Estabelecer medidas de preveno fcil quando os esforos so
concentrados sobre as pessoas, j que, tecnologias de segurana que
envolvem hardware ou software sero ineficazes contra este tipo de
ameaa.
O primeiro passo educar e treinar.
Conscientizar as pessoas sobre o valor da informao que elas
acessam;
Mostrar como age um engenheiro social;
Deve-se mostrar a responsabilidade do indivduo sobre a
informao e as consequncias de sua m administrao.

O segundo passo so as polticas de segurana.
Possuem papel fundamental neste processo de proteo, pois
orientam as pessoas, estabelecem o que permitido ou no,
permite que medidas punitivas sejam tomadas e assim
concretize as consequncias que desvios de conduta podem ter
contra as pessoas que os praticam.

Terceiro passo controlar os acessos fsico.
Permitir o acesso a dependncias da empresa apenas s pessoas
autorizadas;
Dispor de equipe de segurana para monitorar entrada e sada da
organizao so cuidados importantes.
Quanto mais restrito for o acesso informao, menor a suas
vulnerabilidades, e assim reduzimos as oportunidades e chances de um
engenheiro social ter sucesso.

O fator humano crtico dentro do contexto da segurana: pelo poder de
compromet-lo e pela pouca ateno que recebe.
Desta forma a Engenharia Social, torna-se uma forte ameaa, capaz de explorar as
falhas humanas.
As empresas investem cada vez mais em recursos tecnolgicos para se
protegerem, mas deixam de lado o ele mais fraco da corrente que a falha
humana.
A conscientizao dos funcionrios e o estabelecimento de polticas claras de
segurana so medidas fundamentais, mas no as nicas, quando se quer evitar a
falha humana deve ser dada a significativa importncia ao valor que as pessoas
representam dentro de um sistema de segurana da informao.

Filme: Hackers Criminosos e anjos


Referencia Bibliogrfica:
LYRA, M. R. Segurana e auditoria em sistema de
informao. 1 Edio. Rio de Janeiro: Cincia Moderna, 2009.
CERT.BR, Cartilha de Segurana para a Internet, verso
4.0 CGI Comit Gestor da Internet no Brasil, 2012.

Segurana de Dados

DVIDAS

Aula 3 - Segurança e Auditoria de Sistemas - Engenharia Social - 1o Sem 2014

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Aula 3 - Segurança e Auditoria de Sistemas - Engenharia Social - 1o Sem 2014

Transféré par

Droits d'auteur :

Formats disponibles

Anlise e Desenvolvimento de Sistemas

Vous aimerez peut-être aussi