Académique Documents
Professionnel Documents
Culture Documents
Introduo
A arte da guerra nos ensina a no
contar com a possibilidade do
inimigo no vir, e sim, estar
preparado para ele; no depender do
inimigo no atacar, mas depender
principalmente de estar em uma
posio invulnervel
A Arte da Guerra, Sun Tzu
Pensamento
O nico sistema verdadeiramente
seguro aquele que est desligado,
desconectado, trancado num cofre de
titnio, lacrado, enterrado em um bunker
de concreto, envolto por gs venenoso e
vigiado por guardas armados muito bem
pagos. Mesmo assim, eu no apostaria
minha vida nisso.
Gene Spafford
Diretor de Operaes de Computador, Auditoria e Tecnologia da Segurana
Purdue University
Cenrio Atual
Os requisitos de Segurana da Informao
se modificaram nos ltimos tempos
Tradicionalmente a segurana era obtida
por mecanismos fsicos ou administrativos
O uso dos computadores requer
ferramentas automatizadas para proteger
arquivos e outras informaes
armazenadas
O uso de redes e enlaces de comunicao
requer medidas de proteo durante a
transmisso de dados
Definies
Segurana Computacional nome
genrico para a coleo de ferramentas
projetadas para proteger dados e evitar
os hackers
Segurana de Rede medidas para
proteger os dados durante as
transmisses
Segurana na Internet medidas
para proteger dados durante as
transmisses sobre um conjunto de
redes interconectadas
Segurana
quando tudo vai bem, ningum
lembra que existe;
quando tudo vai mal, dizem que no
existe;
quando para investir, acha-se que
no preciso que exista;
porm, quando realmente no
existe, todos concordam que deveria
existir!!!
Riscos, Vulnerabilidades e
Ameaas
Ameaa: um evento com o potencial de
causar dano aos recursos de informao,
aplicaes ou sistemas
Ex: Inundao, Roubo, Erro de Usurio, Falha de
Hardware
Tipos de Ameaas
Naturais
Externas
Internas
Combinadas
Disciplinas:
Anlise de Riscos
Anlise de Vulnerabilidades
Do que ou de quem
proteger?
Ameaas Externas x Ameaas
Internas
Ameaas Naturais x Ameaas Nonaturais
Rtulos
Hackers quebram a segurana com o
objetivo de obter status e projeo
pessoal. Os ataques so no-destrutivos
Espies quebram a segurana para ter
acesso a informaes que possuem valor
comercial ou poltico
Terroristas violam sistemas para causar
danos que acarretem em ganhos polticos
Invasores Internos empregados de
corporaes que tem objetivos de ganhos
financeiros
Rtulos
Criminosos Profissionais pessoas
que tem objetivos comerciais
financeiros pessoais
Vndalos tem como objetivo nico
e exclusivo causar danos irreparveis
a vtima (crackers)
Outros tipos e denominaes:
lammer, wannabe, phreaker, script
kid etc.
Vulnerabilidades, Controles e
Custos
Segurana fsica e do
ambiente
Gerenciamento das
operaes e
comunicaes
Controle de acesso
Desenvolvimento e
manuteno de
sistemas
Gesto da
continuidade do
negcio
Conformidade
Exemplos Prticos
Modificao
Invaso para a pichao de sites WEB
Alterao de informaes em bancos de dados
Interrupo
DoS e DDoS
Interceptao
Roubo de senhas
Monitoramento de transaes de e-commerce
Fabricao
IP Spoofing
Evoluo da (In)Segurana
Arquitetura de Segurana
OSI
ITU-T X.800 Security Architecture for
OSI
Defines uma forma sistemtica de
definir e prover requisitos de
segurana
Proporciona uma viso geral dos
conceitos de segurana
Aspectos de Segurana
Considere 3 aspectos de segurana
da informao:
Ataque na segurana
Mecanismo de segurana
Servios de segurana
Ataques na Segurana
Qualquer ao que comprometa a
segurana da informao de propriedade
de uma organizao
Segurana da informao diz respeito ao
modo de prever ataques, ou na falha do
primeiro, para detectar ataques em
sistemas baseados na informao
normalmente ameaa & ataque so
usados com o mesmo significado
Existe uma grande variedade de ataques
Categorias de Ataques
Fluxo normal
fonte
destino
Categorias de Ataques
Interrupo
fonte
destino
Categorias de Ataques
Interceptao
fonte
destino
Categorias de Ataques
Modificao
fonte
destino
Categorias de Ataques
Fabricao
fonte
destino
Ataques Passivos
Ataques Ativos
Servios de Segurana
Incrementam a segurana dos sistemas
de processamento de dados e das
transferncias de informao de uma
organizao
Tentam conter os ataques segurana
Utiliza um ou mais mecanismos de
segurana
Em geral replicam funes normalmente
associadas com documentos fsicos
Os quais, por exemplo, tem assinaturas,
datas, so protegidos de acesso indevido,
adulterao ou destruio; so registrados e
reconhecidos (cartrio); gravados ou
licenciados
Servios de Segurana
X.800:
um servio fornecido por uma camada de
protocolo de um sistema de
comunicaes aberto, o qual garante
uma segurana adequada para os
sistemas ou transferncias de dados
RFC 2828:
um servio de processamento ou
comunicao fornecido por um sistema
para das um tipo especfico de proteo
aos recursos do sistema
Servios de Segurana
(X.800)
Autenticao assegura que a entidade
de comunicao a verdadeira
Controle de Acesso preveno de uso
de recurso no autorizado
Confidencialidade dos Dados
proteo de dados por algum no
autorizado
Integridade dos Dados assegura que
os dados recebidos so exatamente os
transmitidos pela entidade autorizada
No-Repdio proteo contra a
negao por uma das partes envolvidas
na comunicao
Mecanismos de Segurana
Caracterstica projetada para
detectar, prevenir ou recuperar de
um ataque segurana
Nenhum mecanismo sozinho ir
suportar todo o servio requerido
Por outro lado, existe um elemento
particular que agrupa muitos dos
mecanismos de segurana em uso:
Tcnicas de criptografia
Mecanismos de Segurana
(X.800)
Mecanismos de segurana
especficos:
cifragem, assinatura digital, controles de
acesso, integridade de dados, intercmbio
de autenticao, preenchimento de
trafico, controle de roteamento, registro
Mecanismos de segurana
pervasivos:
Funcionalidade confivel, etiquetas de
segurana, deteco de eventos, trilha de
auditoria segura, recuperao segura
Informao
secreta
Destinat
rio
Oponente
Transforma
o relativa
segurana
Mensagem
Canal de
informa
o
Mensagem segura
Transforma
o relativa
segurana
Mensagem segura
Mensagem
Remeten
te
Informao
secreta
Sistemas de computadores
confiveis pode ser til na
implementao deste modelo