Académique Documents
Professionnel Documents
Culture Documents
Agenda
Apresentao
Apresentao
Segurana da Informao
Pesquisa e desenvolvimento
A disciplina
3 encontros:
Atividades:
Presena total = 68
Mximo de 17 faltas.
Nota:
Exerccios
Frum
Prova
Auto-avaliao
Agenda
Apresentao
Captulo 01
Redes de Computadores
Imagem: http://www.jofarsystems.com/computer-networking
Redes de Computadores
Redes de Computadores
Transmisso de dados
Transmisso de dados
Estratgia Armazena-e-Encaminha:
Protocolos
Protocolos
Protocolos
Protocolos - Camadas
A funo desta camada garantir que o envio de cada bit 0 seja recebido
como um bit 0, e cada bit 1 seja recebido como um bit 1. No h
necessidade de preocupao com a leitura das informaes nem com os
erros ocorridos durante a transmisso.
Protocolos - Encapsulamento /
Desencapsulamento
Ameaas na rede
Consequncias
Prejuzos financeiros;
Processos judiciais;
Danos imagem...
Segurana da Informao
Agenda
Apresentao
Captulo 02
Criptografia
Imagem: http://www.baboo.com.br/seguranca/criptografia-de-dados-se-torna-comum-entre-empresas-de-tecnologia/
Criptologia
Criptografia
Criptoanlise
Esteganografia
Criptografia oculta.
Termos comuns
Encriptao e decriptao
Chaves criptogrficas
Sistemas criptogrficos
Sistemas criptogrficos so compostos por uma famlia de
transformaes Ek e Dk para encriptao e decriptao,
respectivamente, e por um espao de chaves K no qual esto todas as
chaves possveis para um dado sistema criptogrfico.
Sistemas criptogrficos
Devem garantir que no ser possvel obter o texto plano e/ou a chave
criptogrfica a partir do texto cifrado ou de pares (texto plano, texto
cifrado).
Sistemas criptogrficos
Sistemas criptogrficos
Um sistema criptogrfico computacionalmente seguro ou forte
aquele que no capaz de ser quebrado, em tempo hbil, por mtodos
sistemticos, ainda que utilizando todos os recursos disponveis.
Criptografia Simtrica
Cifra: GNAAOZG
Algortimo de Substituio
Cifra: JRQCDJD
Encriptao
Texto
plano
Algoritmo de
Encriptao
Texto
cifrado
Texto
cifrado
Jos
Maria
Decriptao
Texto
cifrado
Algoritmo de
Decriptao
Texto
plano
Texto
plano
Jos
Maria
Discusso
Criptografia Assimtrica
Uma mensagem encriptada com uma das chaves, s poder ser recuperada
com a utilizao da outra chave correspondente.
Texto
plano
PRIJos
PUBMaria
Algoritmo de
Encriptao
Texto
cifrado
PRIMaria PUBMaria
PUBJos
Texto
cifrado
Jos
Maria
PRIJos
PRIMaria
Algoritmo de
Decriptao
Texto
plano
PRIMaria PUBMaria
PUBJos
Jos
Maria
Discusso
Confidencialidade garantida!
Como saber que a mensagem foi enviada por aquele que diz t-la
enviado? Integridade da fonte
Como verificar que a mensagem recebida aquela que foi, de fato,
enviada? Integridade da mensagem
Integridade da fonte
Texto
plano
PRIJos
PRIJos
Algoritmo de
Encriptao
Texto
cifrado
PRIMaria PUBMaria
PUBJos
Texto
cifrado
Jos
Maria
Texto
cifrado
PRIJos
PUBJos
Algoritmo de
Decriptao
Texto
plano
PRIMaria PUBMaria
PUBJos
Jos
Maria
Discusso
Jos
Maria
Maria
Jos
Jos
Jos
6. Maria agora recuperou a mensagem original e verificou que foi enviada por
Jos.
Discusso
Jos e Maria podem trocar mensagens de tal forma que, somente eles
podero acessar o contedo e cada um pode garantir que as mensagens
foram enviadas por eles.
Como verificar que a mensagem recebida aquela que foi, de fato,
enviada? Integridade da mensagem
Qualquer alterao, por menor que seja, sobre o dado original, resulta em
um resumo totalmente diferente.
Assinatura Digital
Prov:
Discusso
Como garantir que a chave criptogrfica de fato de quem diz ser seu
detentor?
Certificado Digital
Deve ser fcil checar se foi violado e/ou perdeu sua validade
Certificado Digital
Certificado Digital
Cadeia de certificao
Agenda
Apresentao
Captulo 03
Segurana da Informao
No mundo atual
Fonte: http://www.ioxsus.com/#!worldwide-customer-support/zoom/mainPage/image5e1.
Dados de Funcionrios
Informaes
Financeiras
Investimentos
Conhecimento
Informao
Projetos
O que Informao?
Tipos de informao
Consequncias
Prejuzos financeiros;
Processos judiciais;
Danos imagem...
Princpios Bsicos
Segurana da Informao
Confidencialidade
Integridade
Disponibilidade
Confidencialidade
Confidencialidade
Criptografia
Senhas
Regras
Integridade
Est relacionada confiabilidade em
uma informao ou recurso. (Matt
Bishop)
Integridade
Mudanas no autorizadas
Mecanismos de Deteco
Disponibilidade
Est relacionada habilidade em
utilizar a informao ou recurso
quando desejado. (Matt Bishop)
Disponibilidade
Mecanismos de resilincia
Princpios Bsicos
Segurana da Informao
Confidencialidade
Integridade
Disponibilidade
Violao de Segurana
Autorizao
Autenticao
Responsabilidade (Accountability)
No-repdio
Autenticao
a verificao da identidade de algo ou algum.
Autorizao
Consiste em verificar se um usurio/entidade tem as permisses
necessrias, ou autoridade, para realizar uma determinada ao.
Responsabilidade (Accountability)
Consiste em ter a capacidade de identificar quem realizou uma
determinada ao.
Mecanismos de autenticao;
No-repdio
Capacidade de garantir que uma entidade no ser capaz de negar que
realizou uma determinada ao.
Envolve uma srie de garantias por parte da terceira parte, e a confiana por
parte de quem utiliza essa terceira parte.
Exemplos: entidades de e-commerce e Autoridades Certificadoras.
Segurana da Informao
Segurana consiste em separar o ativo das ameaas. (OSSTMM)
Ameaas
Correspondem a uma potencial violao de segurana.
Ameaas
Humanas
Maliciosas
Externas
Internas
Criminosos /
Concorrentes
Funcionrios
Insatisfeitos
Naturais
No maliciosas
Inundaes /
Terremotos /
Incndios
Usurio
Ignorante
Vulnerabilidades
So os pontos fracos existentes em um sistema.
Podem ser:
Ataques
Resultado da explorao de
uma vulnerabilidade.
Ataques
Ativos
Passivos
Personificao
Escutas / Espionagem
Negao de Servio
Varreduras em rede
Roubo de Informaes
Adulterao/Modificao de
Informaes/Dados
Obteno de acesso no
autorizado...
Segurana da Informao
Segurana consiste em separar o ativo das ameaas. (OSSTMM)
Separar fisicamente/logicamente
Destruir a ameaa
Polticas e
Mecanismos de
Segurana
Complicado ou Ilegal
Indesejvel
Polticas e Mecanismos
Poltica:
Mecanismo:
Objetivos:
Preveno;
Deteco;
Recuperao.
Mecanismos de Segurana
Mecanismos de preveno
Mecanismos de deteco
Mecanismos de recuperao
Implementando Segurana
No existe um sistema 100% seguro.
nico
ponto de
entrada
Defense-in-Depth
Torre
Muralha
Colina
Fosso
Fonte: http://itsleslielive.com/tag/cardiff/
Defense-in-Depth
Infraestrutura Fsica
Redes e Comunicaes
Hospedeiro
Dados/
Informao
Alinhamento
Legislao
Tecnologia
Negcio
SegInfo no s T.I.
Pessoas
Processos
Tecnologia
Nveis de implementao
Negcio
Produto
Estratgico
Especificao
(Diretrizes)
(O que quero)
Ttico
Projeto
(Normas)
(Componentes)
Operacional
Implementao
(Procedimentos)
(Tcnicas)
Balancear
Custo
Praticidade
ISO no Brasil
DSIC-GSIPR
Dificuldades
A cultura organizacional:
Hbitos/costumes;
Resistncia a mudanas.
Desconhecimento do ambiente:
Dificuldades
Custo elevado:
Profissional qualificado;
Importante
Agenda
Apresentao
Captulo 04
Testes de Intruso
Imagem: http://www.potech-consulting.com/service/penetration-tests
Testes de Intruso
Tipos de Pentest
Conhecimento
sobre o alvo
Escopo
Posicionamento
da equipe
Completo
Black box
Interno
Parcial
Gray box
Externo
Direcionado
White box
Antes de iniciar qualquer atividade, deve ser realizada uma reunio na qual devem
estar presentes:
Nesta reunio, tratar sobre questes como o escopo do teste, questes financeiras,
entre outras
Tudo dever ser posto em um documento assinado por todos os envolvidos a fim de evitar
complicaes legais para ambos os lados.
Fases do pentest
Reconhecimento
Anlise de
Vulnerabilidades
Ataque
Ocultao das
evidncias
Reconhecimento passivo
O atacante utiliza tcnicas para obter informaes sobre o alvo, sem que este
perceba.
Serve para ter uma viso geral do alvo: comportamentos, pessoas, informaes
disponveis atravs da Internet.
Reconhecimento ativo
Serve para ter uma viso mais detalhada do alvo: sistemas utilizados, servios em
execuo, mquinas conectadas, etc.
Esses exploits podem ser lanados local ou remotamente e atravs de redes com ou
sem fio.
Ao final de um pentest
Todo o contedo deste documento deve, por razes bvias, ser mantido
confidencial e ser acessado somente por aqueles encarregados na empresa
em tomar as devidas providncias.
Metodologias
OSSTM;
ISSAF;
OWASP;
Agenda
Apresentao
Prximo encontro
19/06:
Tira dvidas!!!
20/06:
NPC
Obrigado!
gonzaga@insert.uece.br