Introduo a Segurana da Informao

Carlos Sampaio

Contedo Programtico
Parte
Parte
Parte
Parte
Parte
Parte

1:
2:
3:
4:
5:
6:

A Informao
Conceitos
Por onde comear?
Repositrios de Informao
Genealogia de um Hacker
Ameaas Digitais

PARTE 1

A Informao

Informao

(Michaelis)

do Lat. informatione

s. f.,
Ato ou efeito de informar ou informar-se;
Comunicao;
Conjunto de conhecimentos sobre algum ou
alguma coisa;
Conhecimentos obtidos por algum;
Fato ou acontecimento que levado ao
conhecimento de algum ou de um pblico
atravs de palavras, sons ou imagens;
Elemento de conhecimento susceptvel de ser
transmitido e conservado graas a um suporte e
um cdigo.

Propriedade

(Michealis)

do Lat. proprietate

s. f.,
Aquilo que pertena legitimamente a algum ou
sobre o qual algum tenha direito pleno;
Bens, posses;
Patrimnio fsico(tangvel) e imaterial(intangvel).

Considerao

quando o patrimnio a
informao?

Consideraes

Segundo a Universidade da Califrnia

em Berkeley(2005):
Existe aproximadamente 2.5 Bilhes de
documentos acessveis na WEB;
Este nmero cresce em cerca de 700 mil
pginas por dia.

Velhos jarges

O segredo a alma do negcio;

Novas tendncias

Mundo Globalizado, Ubiqidade, Acesso a

Informao.

PARTE 2

Conceitos

Axioma de Segurana

Uma corrente no mais forte

que o seu elo mais fraco

Segurana da Informao

A segurana da informao um
conjunto de medidas que se
constituem basicamente de controles e
poltica de segurana, tendo como
objetivo a proteo das informaes
dos clientes e da empresa
(ativos/bens), controlando o risco de
revelao ou alterao por pessoas no
autorizadas.

Poltica de Segurana

Trata-se um conjunto de diretrizes

(normas) que definem formalmente
as regras e os direitos dos usurios,
visando proteo adequada dos
ativos da informao

Ativos (Bens)
Dados

Servios

Nmero de
Cartes de Crdito
Planos de Marketing
Cdigos Fonte
Informaes de RH

Web sites
Acesso a Internet
Controladores
de Domnio
ERP

Comunicao

Logins
Transao Financeira
Correio Eletrnico

Definies

Ameaa

Evento ou atitude indesejvel que

potencialmente remove, desabilita, danifica ou
destri um recurso;

Vulnerabilidade

Caracterstica de fraqueza de um bem;

Caractersticas de modificao e de captao de
que podem ser alvos os bens, ativos, ou recursos
intangveis de informtica, respectivamente,
software, ou programas de bancos de dados, ou
informaes, ou ainda a imagem corporativa.

Conceitos Bsicos

Risco
A probabilidade da ocorrncia de uma
ameaa em particular
A probabilidade que uma ameaa
explore uma determinada
vulnerabilidade de um recurso

Ameaa, Vulnerabilidade e Risco

Ameaa (evento)

Vulnerabilidade (ponto falho)

assalto a uma agncia bancria

liberao manual das portas giratrias
pelos vigilantes

Risco
baixo, devido ao percentual de assaltos
versus o universo de agncias
alto, se comparando as tentativas
frustradas versus as bem sucedidas

Conceitos Fundamentais

Princpios da Segurana

Confidencialidade

Segurana
Integridade

Disponibilidade
(Availability)

CIA Confidencialidade
Propriedade de manter a informao
a salvo de acesso e divulgao no
autorizados;
Proteger as informaes contra
acesso de qualquer pessoa no
devidamente autorizada pelo dono da
informao, ou seja, as informaes e
processos so liberados apenas a
pessoas autorizadas.

CIA Integridade
Propriedade de manter a informao
acurada, completa e atualizada
Princpio de segurana da informao
atravs do qual garantida a
autenticidade da informao
O usurio que arquiva dados espera
que o contedo de seus arquivos no
seja alterado por erros de sistema no
suporte fsico ou lgico

CIA Disponibilidade

(Availability)

Propriedade de manter a informao

disponvel para os usurios, quando
estes dela necessitarem
Relao ou percentagem de tempo,
em que uma unidade do equipamento
de processamento est funcionando
corretamente

Princpios Auxiliares

Autenticao

Identificao
Sigilo

Autorizao

Controle de Acesso

Auditoria

Mtodos
- DAC
- MAC
- RBAC

Vias
-O que Sou
-O que Sei
-O que Tenho

Controle de Acesso
Suporta os princpios da CIA
So mecanismos que limitam o
acesso a recursos, baseando-se na
identidade do usurio, grupo que
integra e funo que assume.
Em segurana, suportado pela
trade AAA (definida na RFC 3127)

Auditoria (Accountability)
a capacidade que um sistema tem
de determinar as aes e
comportamentos de um nico
indivduo no sistema, e de identificar
este indivduo;
Trilha de auditoria, tentativas de
acesso, problemas e erros de
mquina, e outros eventos
monitorados ou controlados.

Autenticao
Propriedade de confirmar a
identidade de uma pessoa ou
entidade.
Meio pelo qual a identidade de um
usurio confirmada, e garante que
ele realmente quem diz ser

Autorizao
So os direitos ou permisses,
concedidos a um indivduo ou
processo, que permite acesso a um
dado recurso.
Aps a identificao e autenticao
de um usurio terem sido
estabelecidas, os nveis de
autorizao iro determinar a
extenso dos direitos que este
usurio pode ter em um dado
sistema.

Sigilo

Trata-se do nvel de confidencialidade e

garantia de privacidade de um usurio no
sistema;
Ex.: Garante a privacidade dos dados de
um usurio em relao ao operador do
sistema.

Identificao

Meio pelo qual o usurio apresenta sua

identidade. Mais frequentemente utilizado
para controle de acesso, necessrio para
estabelecer Autenticao e Autorizao.

Mecanismos de Controle de Acesso

PARTE 3

Onde Comear ?

Leis Imutveis da Segurana

Ningum acredita que nada de mal possa

acontecer at que acontece;
Segurana s funciona se a forma de se
manter seguro for uma forma simples;
Se voc no realiza as correes de
segurana, sua rede no ser sua por
muito tempo;
Vigilncia eterna o preo da segurana;
Segurana por Obscuridade, no
segurana;
LOGs, se no audit-los, melhor no t-los.

Leis Imutveis da Segurana

Existe realmente algum tentando quebrar

(adivinhar) sua senha;
A rede mais segura uma rede bem
administrada;
A dificuldade de defender uma rede
diretamente proporcional a sua
complexidade;
Segurana no se prope a evitar os riscos,
e sim gerenci-los;
Tecnologia no tudo.
By Scott Pulp Security Program Manager at
Microsoft Security Response Center

Responsabilidades da
Empresa

Desde que uma empresa fornece

acesso internet a seus funcionrios,
esta empresa torna-se responsvel
pelo que ele faz, a menos que possa
provar que tomou as medidas
cabveis para evitar problemas
Corporate Politics on the Internet:
Connection with Controversy, 1996

Segurana nas Organizaes

Segurana um processo que tenta manter

protegido um sistema complexo composto de
muitas entidades:

Tecnologia (hardware, software, redes)

Processos (procedimentos, manuais)
Pessoas (cultura, conhecimento)

Estas entidades interagem das formas mais

variadas e imprevisveis
A Segurana falhar se focar apenas em
parte do problema
Tecnologia no nem o problema inteiro,
nem a soluo inteira

Ciclo de Segurana

Anlise da Segurana (Risk Assessment)

Definio e Atualizao de Regras de
Segurana (Poltica de Segurana)
Implementao e Divulgao das Regras
de Segurana (Implementao)
Administrao de Segurana
(Monitoramento, Alertas e Respostas a
Incidentes)
Auditorias (Verificao do Cumprimento da
Poltica)

Domnios de Conhecimento

The International Information

Systems Security Certification
Consortium, Inc. [(ISC)]

http://www.isc2.org

A (ISC)2 define 10 domnios de

conhecimento (CBK), para sua
certificao introdutria CISSP
Certified Information Systems Security
Professional
Common Body of Knowledge

CBK Common Body Of Knowledge

Security Management Practices

Access Control Systems
Telecommunications and Network Security
Cryptography
Security Architecture and Models
Operations Security
Applications and Systems Development
Business Continuity Planning and Disaster
Recovery Planning
Law, Investigation, and Ethics
Physical Security

Outras Certificaes

GIAC - Global Information Assurance

Certification (Sans.Org)
3 Nveis de Expertise em 5 reas de
Conhecimento
Nveis
reas de
Conhecimento
GIAC Silver

GIAC Gold

2 ou mais testes
Silver + Pesquisa e
Publicao

GIAC Platinum

Gold em 2 ou mais
ACs + testes(3 dias)

Administrao de
Segurana
Gerncia de Segurana
Operaes
Legislao
Auditoria

Outras Certificaes

CompTIA Security+

5 Domnios de Conhecimento
Communication

Security
Infrastructure Security
Cryptography
Operational Security
General Security Concepts

Outras Certificaes

MCSO Mdulo Certified Security

Officer

2 Mdulos compreendendo:
Conceitos,

Fundamentos de Segurana da Informao

Organizao de departamentos
Gesto de pessoas
Poltica de Segurana da Informao.

Gesto

Padres e Aplicaes

de Tecnologias

Windows/Unix
Segurana em redes e telecomunicaes
Controle de acesso
Arquitetura e modelos de segurana
Criptografia

Outros Recursos

Academia Latino Americana de

Segurana da Informao
Parceria Mdulo / Microsoft
Composta por:

Estgio

Bsico (4 mdulos)
Graduao

Cada disciplina tem seu nmero de mdulos

Em 2006 foram oferecidos o Estgio Bsico e a
disciplina de ISO17799:2005
Ainda sem calendrio e nmero de vagas para
2007
Necessrio possuir usurio cadastrado no site do
TechNet

PARTE 4

Repositrios

Sites teis
http://www.insecure.org
http://www.securityfocus.com
http://www.sans.org
http://www.digg.com
http://techrepublic.com.com
http://www.hackaday.com
http://slashdot.org
http://www.modulo.com.br
http://www.invasao.com.br

RSS e PodCasts

Agregadores:
Itunes
Democracy Player
FireAnt
Plugins do IE e Firefox

Mdias
udio mp3/mp4/aac
Vdeo DivX/A3C/Streaming

Alguns PodCasts

Security Now!

2600 - Off The Hook

http://www.sploitcast.com

TWiT This Week in Tech

http://www.2600.com/offthehook

SploitCast

http://www.grc.com/securitynow.htm

http://www.twit.tv/TWiT

Extreme Tech

http://www.extremetech.com

Video PodCasts

HAK.5

Local Area Security

http://irongeek.com
Hacking Illustrated

Revision3

http://www.localareasecurity.com

IronGeek

http://www.hak5.org

http://www.revision3.com

Digital Life Television (DL Tv)

http://dl.tv

Congressos e Eventos

HOPE Hacker on Planet Earth

DEFCon

http://www.blackhat.com Archives

H2HC Hackers 2 Hackers Conference

http://www.defcon.org Archives

BlackHat

http://www.hopenumbersix.net

http://www.h2hc.org.br

CCC.de Chaos Computer Club

http://www.ccc.de

Filmes

Jogos de Guerra
(WarGames)

Quebra de Sigilo
(Sneakers)

1995, Keanu Reeves

2001, John Travolta

A Rede (The Net)

1995, Sandra Bullock

1999, vrios

A Batalha do Atlntico (U571)

2000, Russell Wong

Piratas do Vale do Silcio

(Pirates of Silicon Valley)

1999, Keanu Reeves

Caada Virtual (Takedown)

2001, Ryan Phillippe

Matrix (The Matrix)

A Senha (Swordfish)

Ameaa Virtual (Antitrust)

1995, Angelina Jolie

O Cyborg do Futuro
(Johnny Mnemonic)

1992, Robert Redford

Piratas de Computador
(Hackers)

1983, vrios

2000, Matthew
McConaughey

O Caador de Andrides
(Blade Runner)

1982, Harrison Ford

Listas de Discusso

CISSPBr

Yahoo Groups

BugTraq
Modulo Newsletter

Outras Fontes
The Hacker News Network

PARTE 5

Genealogia de um Hacker

Hacker

Unauthorized user who attempts to or gains access

to an information system.

A person who illegally gains access to your

computer system.

www.infosec.gov.hk/english/general/glossary_gj.htm

A person who illegally gains access to and

sometimes tampers with information in a computer
system.

www.tecrime.com/0gloss.htm

http://www.webster.com/dictionary/hacker

A person who accesses computer files without

authorization, often destroying vast amounts of
data.

www.boydslaw.co.uk/glossary/gloss_itip.html

Linha do Tempo: Hacker

- Novas tcnicas, antigos padres
- Phreaker = Julgamento
-Legislao:
Freak, Phone,
doFree
primeiro hacker por invaso constante do
- Negao de Servio, novos vros em arquivos de dados (mp3,
- Surgiu
DoD
poraps
diversos
a substituio
anos, Pat Riddle
das telefonistas
AKA Captain
por sistemas
ZAP telefonicos
jpeg,)
-gerenciados
Apenas acessar
por computador
j no era suficiente, distribuio de rpogramas e
- Nasce a conscincia comum de Segurana da Informao
- Lendae do
jogos,
o aparecimento
garoto cego que
de individuos
conseguiu que
assoviar
no mais
um tom
respeitavam
de 2600 Hz
os
- Corporaes
reconhecem a necessidade por segurana
Proliferao
enquantodeconversava
cdigos
tica
com sua Combate
tia
a
Surgimento
- A mdia perpetua
o Hacker como uma ameaa
dos
PCs
- Os
Fatoverdadeiros
Captain Crunch
hackers
e ocomeam
apito
da caixa
aHacker
se distanciar
de cereaisdos
queque
gerava
agra ose
ameaa
da BELL TC
- Iniciativas isoladas tentam resgatar
o aspecto
positivo dos Hackers
mesmo
conhece
ton
como
de 2600
Crackers
Hz
1980-1985
1878-1969 - Surgem
Anos 90
os termos White Hat e Black
Hat
- Surgem
Steeve Jobs
os primeiros
+ Steve Wozniak
Virus e Worms
+ Altair8000 = 1o. BlueBox (Berkley)
Anos- 70
Primeira gerao1985-1990
de- Kevin
Hackers
de Computadores;
Mitnick
2000+
Primeiros
- Estudantes doRoubos,
MIT
anos
60;
-A-nos
Evoluo
da
cultura
Hacker
surge
comhoje
o na
Bugs
e
Em resposta as diversas prises
anunciadas
Hackining:
- Capacidade de alterar
programas
em
Phreakers
aparecimento
do('hacks')
PC
Federais
mdia,
o termo
Hacker
passaeano
ter futuro
uma conotao
mainframes para melhorar
programas.
- Filme
War
Games
pejorativa
- Neste caso 'Hacker'
conotao
positiva.
- Surgimento
da 2600:
Hacker
Quaterly
- tinha
Surgeuma
o filme
Hackers
- Indicava pessoas -capazes
levar programas
almaquilo que possa lhe
Acessardecomputadores,
e tudo
de sua capacidade original.
ensinar mais alguma coisa sobre como o mundo
funciona, deve ser ilimitado e completo.

Trilha Evolutiva
White Hat

Black Hat

Hacker

Cracker

Script Kid

Lammer

Geek

Nerd

Usurio

Populao por segmento

White e
Black Hats
Hackers e Crackers
Script Kidies e Lammers
Geeks e Nerds

Usurios, Curiosos e Iniciantes

VT: Parte 1 (1,5 ponto)

Dividir a sala em 6 grupos aproximadamente

iguais.
Cada grupo apresentar um dos temas abaixo,
sendo 15 min para apresentao e 5 min para
perguntas
Data da Apresentao:

Prx. Quarta-Feira (14/MAR/2007)

Temas:

Vrus
Worm
Backdoor
Cavalo de Tria
(Trojan)
Bomba Lgica
RootKit

Composio do trabalho:

Uma apresentao (ex.:

PPT) 1 ponto
Uma pesquisa sobre o
tema escolhido (ex.: DOC)
0,5 ponto

PARTE 6

Ameaas Digitais

Ataques

Geralmente divididos nos seguintes tipos:

Ataques Ativos

Pesquisa de vulnerabilidade, sniffing, ...

Ataques de Senha

DoS, DDoS, buffer overflow, inundao de SYN

Ataques Passvos

Pelo alvo geral do ataque (aplicaes, redes ou misto)

Se o ataque ativo ou passivo
Pelo mecanismo de ataque (quebra de senha, explorao
de cdigo, ...)

Fora bruta, Dicionrio, hackish, Rainbow Tables

Cdigo malicioso (malware)

Vrus, trojans, worms, ...

Ataques Ativos

DoS/DDoS

Reduzir a qualidade de servio a nveis

intolerveis
Tanto mais difcil quanto maior for a infraestrutura do alvo
Enquanto DoS de fcil execuo e pode ser
corrigido, DDoS de difcil e no pode ser evitado
Zombies e Mestres (Masters), ataque smurf
BOTs e BOTNets, ataques massificados por
banda larga
Tipos

Consumo de Recursos (largura de banda, cpu, RAM, ...)

Pacotes malformados (todas as flags ligadas)

Ataques Ativos (cont.)

Buffer Overflow

Ataques SYN

Sobrescrever o prprio cdigo em execuo

Shell code, escrito em assembler
Tem como objetivo executar algum cdigo, ou
conseguir acesso privilegiado
Fragilidade nativa do TCP/IP
Conexo de 3-vias (Syn, Syn-Ack, Ack)

Spoofing

Se fazer passar por outro ativo da rede

MITM (Man-In-The-Middle)

Dsniff

Ataques Ativos (Cont.)

Lixeiros

Documentos sensveis mal descartados

Informaes em hardwares obsoletos
Falta de Poltica de Classificao da Informao

Engenharia social

Kevin Mitnick
Normalmente relevada nos esquemas de segurana
Utiliza-se do orgulho e necessidade de autoreconhecimento, intrnseco do ser humano

Um computador no estar seguro nem

quando desligado e trancado em uma sala,
pois mesmo assim algum pode ser instrudo a
lig-lo.
[ Kevin Mitnick A arte de enganar/The Art of Deception ]

Ataques ativos por cdigo malicioso

Malware
MALicious softWARE
No apenas Spyware ou Adware
Payload Vs Vetor

Vrus
Auto replicante
Interfere com hardware, sistemas
operacionais e aplicaes
Desenvolvidos para se replicar e iludir
deteco
Precisa ser executado para ser ativado

Ataques ativos por cdigo malicioso

(cont)

Cavalos de Tria (Trojans)

Cdigo malicioso escondido em uma aplicao

aparentemente legtma (um jogo por exemplo)
Fica dormente at ser ativado
Muito comum em programas de gerncia
remota (BO e NetBus)
No se auto replica e precisa ser executado

Bombas Lgicas

Caindo em desuso pela utilizao de segurana

no desenvolvimento
Aguarda uma condio ser atingda
Chernobyl, como exemplo famoso (26, Abril)

Ataques ativos por cdigo malicioso

(cont)

Worms

Auto replicante, mas sem alterao de

arquivos
Praticamente imperceptveis at que todo o
recurso disponvel seja consumido
Meio de contaminao mais comum atravs
de e-mails e/ou vulnerabilidades em
aplicaes de rede
No necessita de ponto de execuo
Se multiplica em proporo geomtrica
Exemplos famosos:

LoveLetter, Nimda, CodeRed, Melissa, Blaster,

Sasser, ...

Ataques ativos por cdigo malicioso

(cont)

Back Door

Trojan, root kits e programas legtmos

VNC, PCAnyware, DameWare

SubSeven, Th0rnkit

Prov acesso no autenticado a um sistema

Rootkit

Coleo de ferramentas que possibilitam a

criao on-demand de backdoors
Modificam rotinas de checagem dos sistemas
operacionais comprometidos para impedir
deteco
Iniciam no boot junto com os processos do
sistema

Ataques Passvos

Normalmente utilizado antes de um ataque ativo

Pesquisa de Vulnerabilidades

Pesquisa por Portas/Servios

http://www.insecure.org Nmap

Escuta (sniffing)

Extremamente difcil deteco

No provoca rudo sensvel
Senhas em texto claro, comunicaes no encriptadas
Redes compartilhadas Vs comutadas

Switch Vs Hub

WireShark (Lin/Win), TCPDump (Lin)

http://www.wireshark.org
http://www.tcpdump.org

Ataques Passvos (cont)

Ataques de Senha

Muito comuns pela facilidade de execuo e taxa

de sucesso

Compara Hashs, no texto

Fora Bruta

Teste de todos os caracteres possveis

Taxa de 5 a 6 Milhes de testes/seg, em um P4

Ataques de Dicionrio

Reduz sensivelmente o tempo de quebra

J testa modificado para estilo hackish

Cain&Abel, LC5, John The Ripper, ...

B4n4n4, C@73dr@l, P1p0c@, R007, ...

Rainbow Tables

Princpio Time Memory Trade-off (TMTO)