análise das principais ameaças e vulnerabilidades cerutti -ies abnt nbr iso/iec 27000:2013

Análise das principais ameaças e vulnerabilidades

Cerutti -IES

ABNT NBR ISO/IEC 27000:2013

Ativos de Informação

Ativos de Informação:• Pessoas• Aplicações• Dados• Documentos• Equipamentos• Instalações• Sistemas Operacionais• Logs e arquivos de

configuração

Normas ISO

Marco de Internet Brasil – 2013/14

PILARES DA SEGURANÇA DA INFORMAÇÃO

1. Confidencialidade: oferecer suporte a prevenção de revelação não autorizada da informação.

2. Integridade: prevenir a modificação não autorizada da informação.

3. Disponibilidade: prover acesso confiável a qualquer momento à informação.

4. Não repúdio: assegura que nem o emissor nem o receptor de uma informação possam negar o fato

5. Autenticidade: assegurar a integridade de origem da informação compreendendo o que denominamos de responsabilidade final.

6. Privacidade: Assegurar que dados pessoais disponíveis estejam disponíveis só para autorizados

Riscos – Capítulo separado

• Humanos• Lógicos• Físicos

Tarefas

• Identificar as necessidades de segurança de rede.• Identificar algumas das causas dos problemas de

segurança de rede.• Identificar características e fatores motivadores

de invasão de rede.• Identificar as ameaças mais significativas na

segurança de rede.• Conceituar vulnerabilidade, ameaça, risco e

gerenciamento de risco.

Ameaças Acidentais

• Falhas de equipamento• Erros humanos• Falhas do Software• Falhas de alimentação

• Problemas causados pelas forças da natureza

Ameaças Causadas por Pessoas

• Espionagem• Crimes• Empregados insatisfeitos• Empregados “doentes”• Empregados desonestos• Vandalismo• Terrorismo• Erros dos usuários

Ameaças• Analisando ameaças

• Ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erros de programação/usuários, etc...), ou deliberada (roubo, espionagem, sabotagem, invasão, etc...).

• Pode ser uma pessoa, uma coisa, um evento, uma idéia capaz de causar dano.

• Ameaças deliberadas:• Passivas – envolvem invasão e/ou

monitoramento, sem alteração de informações.• Ativas – Envolvem alteração nos dados.• A magnitude de uma ameaça deliberada está

relacionada com a oportunidade, motivação e forma de detecção e punição de quebras de segurança.

Vulnerabilidades dos Computadores

• Pequenos suportes guardam grandes volumes de dados

• Os dados são invisíveis• Os suportes podem falhar• Copiar não anula a informação• Dados podem ficar inadvertidamente retidos• Avanços Tecnológicos• Sistemas Distribuídos• Normas de Segurança

Um Firewall Corporativo

O firewall é colocado entre a Internet pública ou outra rede pouco confiável e arede privada da empresa, com a intenção de proteger esta contra tráfego não autorizado.

Tecnologias e Ferramentas para Garantir a Segurança

??

Impo

rtân

cia

os d

esas

tres

Gastos com desastres naturais sendo a maioria nos países desenvolvidos

Dados do PNUD (2004), retrabalhados para esta apresentação

y = 2E-53e0,0641x

R2 = 0,969esponencial ajustada pelo

método dos mínimos quadradosAtente-se para o grau de aderência

0

500

1.000

1.500

2.000

2.500

1940 1960 1980 2000 2020

Década

Perd

as m

édia

s anua

is em

milh

ões

de

dóla

res

Conceitos

• Sinistro– Evento externo ao indivíduo ou grupo de indivíduos que

altera as condições que estavam causando perturbações, danos, prejuízos sempre gerando vítmas podendo até ser fatal.

• Desastre– É o sinistro que ultrapassa a capacidade de resposta da

comunidade afetada• Emergência

– Sinistro que pode ser absorvido (tratado e superado) pela comunidade afetada sem necessidade de auxílio externo

Porque os sistemas são frágeis?

Conceitos (2)

• Ameaças– Fenômenos naturais ou de origem tecnológica ou

social que possam causar sinistros • Vulnerabilidade

– Situação em que se encontram pessoas ou bens que permitam com maior ou menor facilidade a ocorrência de sinistros.

– A vulnerabilidade varia de acordo com cada ameaça.

• Problema: Grande número de usuários de serviços financeiros on-line vulneráveis, facilidade de criar sites falsos

• Soluções: Implantar software antiphishing e serviços e sistema de autenticação multinível para identificar ameaças e reduzir tentativas de phishing

• Implantar novas ferramentas, tecnologias e procedimentos de segurança, além de educar os consumidores, aumenta a confiabilidade e a confiança dos clientes.

Ameaça 1- Phishing

COMUNICAÇÃO

2-Vírusprograma desenvolvido para alterar a forma

como um computador opera, sem a permissão ou o conhecimento do seu usuário.

Um vírus precisa atender a dois critérios:

1)deverá executar a si próprio, freqüentemente inserindo alguma versão do seu próprio código no caminho de execução de outro programa.

2)ele deve se disseminar.• pode se copiar em outros arquivos executáveis ou em discos que o

usuário acessa.

• podem invadir tanto computadores desktop como servidores de rede.

Tipos de vírus

• Vírus de programa: têm extensões como .COM, .EXE, .OVL, .DLL, .DVR, .SYS,.BIN e, até mesmo, .BAT. Exemplos de vírus de programa conhecidos são Jerusalem e Cascade.

• Vírus de setor de boot: infectam a área do sistema de um disco - ou seja, o registro de inicialização em disquetes e discos rígidos.

• Vírus de macro: infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access.

• Variações mais recentes também estão aparecendo em outros programas. Usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa. Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados.

Ameaças• Bugs de Software

• Bug - erro num programa de computador que o faz executar incorretamente.

• Bugs trazem aborrecimentos e muitas vezes prejuízo.

• Back doors – Bugs propositalmente inseridos nos programas para permitir acesso não autorizado (brechas de segurança).

• Hackers estão sempre em busca de back doors para invadir sistemas.• Ameaças programadas

• Programas podem passar a ter comportamentos estranho, pela execução de códigos gerados para danificar ou adulterar o comportamento normal dos softwares.

• Podem ser confundidos ou identificados como vírus.

• Mais freqüentes em microcomputadores.

PILARES DA SEGURANÇA DA INFORMAÇÃO

Os pilares refletem na organização e envolvem 3 aspectos principais:

• Pessoas – Usuários bem orientados, treinados e conscientizados.

• Processos – Regras claras para utilização dos recursos tecnológicos fornecidos pela empresa e leis que em caso de desvio de informações punam severamente o infrator.

• Tecnologia – Sistemas bemimplementados proteger as informações da empresa

para assegurar e

• O que torna determinado e-mail suspeito?

• Você costuma abrir e-mails suspeitos? Quais são as conseqüências dessa ação?

• Você costuma reportar e-mails suspeitos a alguém?

• Que medidas você tem adotado para proteger-se do phishing?

• Sua instituição possui política clara sobre as ameaças e riscos do phising? Como seria um rascunho dessa política (inclua punições cabíveis)

Discussão: Phishing

Software Mal-intencionado: Vírus, Worms, Cavalos de Tróia e Spyware

• Malware• Vírus• Worms• Cavalos de Tróia• Spyware• Key loggers (registradores de teclas)

2 - Malwares

é um software destinado a infiltrar-se em um sistema de computador de forma ilícita, com o intuito de causar:1. danos, 2. alterações 3. ou roubo de informações (confidenciais ou

não).

"malware”=malicious software”

• Vírus de computador, • worms, • trojans (cavalos de troia) • Spywares

como os códigos maliciosos podem infectar ou comprometer um computador (EXEMPLOS)

• pela exploração de vulnerabilidades existentes nos programas instalados;

• pela auto-execução de mídias removíveis infectadas, como pen-drives;

• pelo acesso a páginas Web maliciosas, utilizando navegadores vulneráveis;

EXEMPLOS

• pela ação direta de atacantes que, após invadirem o computador, incluem arquivos contendo códigos maliciosos;

• pela execução de arquivos previamente infectados,

• obtidos em anexos de mensagens eletrônicas, • via mídias removíveis, • em páginas Web ou • diretamente de outros computadores (através do

compartilhamento de recursos).

pode ser considerada malware uma aplicação legal que, por uma falha de programação (intencional ou não) execute funções que maliciosas

Os programas antivírus e firewalls são algumas das ferramentas mais comuns para prevenir que estes tipos de programas entrem no computador e o danifiquem.

Os antivírus modernos também protegem contra spywares e adwares. Antivírus têm proteção em tempo real para verificar os processos em execução no sistema.

Os antivírus devem ser constantemente atualizados para que possam oferecer proteção contra os mais novos tipos de malware.

PROTEÇÃO POSSÍVEL

A melhor forma de evitar um malware é o bom senso.• Computadores com windows são mais propensos

à infecção mas computadores da Apple também estão sujeitos aos malwares.

• Não baixar nenhum programa ou arquivo executável de origem desconhecida.

• Não entrar em sites suspeitos. • O simples ato de entrar em um site pode infectar

o seu computador com o uso de exploits.

• Cuidar ao trocar arquivos com outros usuários, mesmo que sejam conhecidos.

• Existem ataques como o man-in-the browser que roubam informações passadas em uma conexão.

• O recomendável para se fazer antes da instalação de algum software é a criação de um ponto de restauração no computador. (Ponto de retorno).

• uso de um produto antivírus é indispensável, porém não deve ser a única medida de segurança em um computador.

• Firewalls também são necessários para barrar intrusões na máquina e protegem a rede local.

• Em sistemas operacionais Unix, somente o superusuário deve se preocupar com danos, já que cada usuário tem sua própria estrutura.

O Comitê Gestor da Internet (CGI) no Brasil tem uma cartilha descrevendo os procedimentos para evitar estes softwares maliciosos.

http://cartilha.cert.br/

Ataques• Geralmente divididos nos seguintes tipos:

– Pelo alvo geral do ataque (aplicações, redes ou misto)– Se o ataque é ativo ou passivo– Pelo mecanismo de ataque (quebra de senha, exploração

de código, ...)• Ataques Ativos

– DoS, DDoS, buffer overflow, inundação de SYN• Ataques Passívos

– Pesquisa de vulnerabilidade, sniffing, ...• Ataques de Senha

– Força bruta, Dicionário, “hackish”, Rainbow Tables• Código malicioso (malware)

– Vírus, trojans, worms, ...

Ataques Ativos• DoS/DDoS

– Reduzir a qualidade de serviço a níveis intoleráveis

– Tanto mais difícil quanto maior for a infra-estrutura do alvo

– Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado

– “Zombies” e Mestres (Masters), ataque smurf

– BOTs e BOTNets, ataques “massificados” por banda larga

– Tipos• Consumo de Recursos (largura de banda, cpu,

RAM, ...)• Pacotes malformados (todas as flags ligadas)

Ataques Ativos (cont.)• Buffer Overflow

– Sobrescrever o próprio código em execução– “Shell code”, escrito em assembler– Tem como objetivo executar algum código, ou

conseguir acesso privilegiado• Ataques SYN

– Fragilidade nativa do TCP/IP– Conexão de 3-vias (Syn, Syn-Ack, Ack)

• Spoofing– Se fazer passar por outro ativo da rede– MITM (Man-In-The-Middle)

Dsniff

http://ettercap.sourceforge.net/

http://www.monkey.org/~dugsong/dsniff/

http://www.monkey.org/~dugsong/dsniff/

Ataques Ativos (Cont.)• Lixeiros

– Documentos sensíveis mal descartados– Informações em hardwares obsoletos– Falta de Política de Classificação da

Informação• Engenharia social

– Kevin Mitnick– Normalmente relevada nos esquemas de

segurança– Utiliza-se do orgulho e necessidade de auto-

reconhecimento, intrínseco do ser humano

“Um computador não estará seguro nem quando desligado e trancado em uma

sala, pois mesmo assim alguém pode ser instruído a ligá-lo.”

[ Kevin Mitnick – A arte de enganar/The Art of Deception ]

Ataques ativos por código malicioso

• Malware– MALicious softWARE– Não apenas Spyware ou Adware– “Payload” Vs Vetor

• Vírus– Auto replicante– Interfere com hardware, sistemas

operacionais e aplicações– Desenvolvidos para se replicar e iludir

detecção– Precisa ser executado para ser ativado

Ataques ativos por código malicioso (cont)

• Cavalos de Tróia (Trojans)– Código malicioso escondido em uma aplicação

aparentemente legítma (um jogo por exemplo)– Fica dormente até ser ativado– Muito comum em programas de gerência remota (BO

e NetBus)– Não se auto replica e precisa ser executado

• Bombas Lógicas– Caindo em desuso pela utilização de segurança no

desenvolvimento– Aguarda uma condição ser atingída– Chernobyl, como exemplo famoso (26, Abril)


• Worms– Auto replicante, mas sem alteração de

arquivos– Praticamente imperceptíveis até que

todo o recurso disponível seja consumido

– Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede

– Não necessita de ponto de execução– Se multiplica em proporção geométrica– Exemplos famosos:

• LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ...


• Back Door– Trojan, root kits e programas legítmos

• VNC, PCAnyware, DameWare• SubSeven, Th0rnkit

– Provê acesso não autenticado a um sistema

• Rootkit– Coleção de ferramentas que possibilitam a

criação “on-demand” de backdoors– Modificam rotinas de checagem dos

sistemas operacionais comprometidos para impedir detecção

– Iniciam no boot junto com os processos do sistema

http://www.cultdeadcow.com/tools/bo_press.php

Ataques Passívos• Normalmente utilizado antes de um ataque

ativo• Pesquisa de Vulnerabilidades

– Pesquisa por Portas/Serviços• http://www.insecure.org – Nmap

• Escuta (sniffing)– Extremamente difícil detecção– Não provoca ruído sensível– Senhas em texto claro, comunicações não

encriptadas– Redes compartilhadas Vs comutadas

• Switch Vs Hub– WireShark (Lin/Win), TCPDump (Lin)

• http://www.wireshark.org• http://www.tcpdump.org

http://www.insecure.org/

Ataques Passívos (cont)• Ataques de Senha

– Muito comuns pela facilidade de execução e taxa de sucesso

• Cain&Abel, LC5, John The Ripper, ...– Compara Hash’s, não texto

• Força Bruta– Teste de todos os caracteres possíveis– Taxa de 5 a 6 Milhões de testes/seg, em

um P4• Ataques de Dicionário

– Reduz sensivelmente o tempo de quebra– Já testa modificado para estilo “hackish”

• B4n4n4, C@73dr@l, P1p0c@, R007, ...• Rainbow Tables

– Princípio Time Memory Trade-off (TMTO)

http://www.oxid.it/cain.html

http://www.openwall.com/john/

http://rainbowtables.shmoo.com/

Vulnerabilidade dos Sistemas e Uso Indevido

• Um computador desprotegido conectado à Internet pode ser danificado em poucos segundos

• Segurança: políticas, procedimentos e medidas técnicas usados para impedir acesso não autorizado, alteração, roubo ou danos físicos a sistemas de informação

• Controles: métodos, políticas e procedimentos organizacionais que garantem

• a segurança dos ativos da organização,• a precisão • a confiabilidade de seus registros • a adesão operacional aos padrões administrativos

Por que os Sistemas São Vulneráveis?

• Problemas de hardware (quebras, erros de configuração, danos por uso impróprio ou crime)

• Problemas de software (erros de programação, erros de instalação, mudanças não autorizadas)

• Desastres (quedas de energia, enchentes, incêndios etc.)

• Vulnerabilidades da Internet

• Desafios da segurança sem fio

Vulnerabilidade dos Sistemas e Uso Indevido

Desafios de Segurança Contemporâneos

Por que os Sistemas São Vulneráveis?Vulnerabilidade dos Sistemas e Uso Indevido

• Visite o site http://securelist.com/ • Quais são os principais vírus em termos de taxa de infecção?

• Quais são as ameaças de vírus mais recentes?• Leia descrições dos principais vírus e das ameaças mais recentes• O que os downloads do securelist oferecem para ajudar os usuários a

proteger e a reparar seus computadores?• Compare e contraste o conteúdo disponível no security com as ofertas

do site da Symantec em www.symantec.com


Hackers e Cibervandalismo

• Hackers versus crackers• Cibervandalismo• Spoofing• Sniffing• Ataque de recusa de serviço (DoS)• Ataque Distribuído de Recusa de Serviço (DDoS)• Botnets (‘redes de robôs’)


• Encontre as definições e formas de proteçao para essas ameaças. Responda:• Qual problema as empresas enfrentam com essas

ameaças? Como são detectados? Como afetam os negócios?

• Quais eram as soluções disponíveis para resolver o problema?

• Que outras soluções poderiam ter sido consideradas?• Como as questões humanas, organizacionais e

tecnológicas contribuíram para o problema?

Chantagem Cibernética e Redes de Zumbis: Novas Ameaças dos Ataques DoS


Crimes de Informática e Ciberterrorismo

• Crime de informática: ‘Quaisquer violações da legislação criminal que envolvam um conhecimento de tecnologia da informática em sua perpetração, investigação ou instauração de processo’ – Departamento de Justiça dos Estados Unidos

• As empresas norte-americanas perdem 14 bilhões de dólares por ano para o cibercrime

• Roubo de identidade (phishing, evil twins, pharming, uso indevido do computador [spamming])

• Ciberterrorismo e guerra cibernética


Ameaças Internas: Funcionários

• Ameaças à segurança freqüentemente se originam dentro da empresa

• Engenharia social

Vulnerabilidades do Software

• Softwares comerciais contêm falhas que criam vulnerabilidades de segurança

• Patches (remendos)


• O não funcionamento dos sistemas de computador pode levar a perdas significativas ou totais das funções empresariais

• As empresas estão agora mais vulneráveis do que nunca• Uma brecha de segurança pode reduzir o valor de mercado

de uma empresa quase imediatamente• Segurança e controles inadequados também produzem

problemas de confiabilidade

Valor Empresarial da Segurança e do Controle


Prova Eletrônica e Perícia Forense Computacional

• Grande parte das provas para ações legais são encontradas hoje em formato digital

• O controle adequado de dados pode economizar dinheiro quando for necessário apresentar informações

• Perícia forense computacional: procedimento científico de coleta, exame, autenticação, preservação e análise de dados mantidos em — ou recuperados por — meios de armazenamento digital, de tal maneira que as informações possam ser usadas como prova em juízo

• Dados ambientes

Valor Empresarial da Segurança e do Controle


Como Estabelecer uma Estrutura para Segurança e Controle

• ISO 27000:2013• Avaliação de risco• Política de segurança

• Chief security officer (CSO)• Política de uso aceitável (AUP)• Políticas de autorização• Sistemas de gerenciamento de autorização


Como Assegurar a Continuidade dos Negócios-Capítulo Específico

• Downtime• Sistemas de computação tolerantes a falhas• Computação de alta disponibilidade• Computação orientada a recuperação• Plano da recuperação de desastres• Plano de continuidade dos negócios• Outsourcing da segurança (provedores de serviços de

segurança gerenciada)


O Papel da Auditoria no Processo de Controle

• Auditoria de sistemas• Identifica todos os controles que governam sistemas

individuais de informação e avalia sua efetividade. • O auditor entrevista indivíduos-chave e examina os

controles de aplicação, os controles gerais de integridade e as disciplinas de controle.


Controle de Acesso


• Autenticação• Tokens• Smart cards• Autenticação biométrica


Ataques

Ameaças Digitais Mais "Focadas”

Novas Soluções para o Gerenciamento de Identidade

• Quais os problemas que grandes empresa podem enfrentarn com o Authentication, authorization,& accounting (AAA)?• Qual pode ser impacto desses problemas? Como eles poderiam ser

resolvidos? • Quais são as soluções disponíveis para as empresas? • Quais questões humanas, organizacionais e tecnológicas precisam ser

abordadas no desenvolvimento das soluções? • Você acha que as soluções podem efetivamente resolver o problema da

Authentication, authorization, & accounting (AAA) e Por quê?


Triple A (AAA)

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html

• Firewall: a combinação de hardware e software que controla o fluxo de tráfego que entra ou sai da rede

• Sistemas de detecção (IDS) e prevenção (IPS) de invasão monitoram em redes corporativas para detectar e deter intrusos

• Software antivírus e antispyware de gateway (emair router ou SMTP server) verifica a presença de malware em computadores e freqüentemente também é capaz de eliminá-lo

Firewalls, Sistemas de Detecção e Prevenção de Invasão e Software Antivírus


• A segurança WEP pode ser melhorada quando usada com a tecnologia VPN

• Especificações Wi-Fi Alliance/Acesso Protegido (WPA/WPA2)

• Protocolo de Autenticação Extensível (EAP)• Proteção contra redes falsas• IEEE 802.1x

Segurança em Redes Sem Fio


• Criptografia: transformar textos comuns ou dados em um texto cifrado, que não possa ser lido por ninguém a não ser o remetente e o destinatário desejado• Secure Sockets Layer (SSL)• Transport Layer Security (TLS)• Secure Hypertext Transfer Protocol (S-HTTP)• Criptografia de chave pública• Assinatura digital• Certificado digital• Intra-estrutura de chave pública (PKI)

Criptografia e Infra-Estrutura de Chave Pública


Criptografia – Capítulo específico

Analise o Documento Symantec Threats to virtual environments no site da disciplinaE responda:1. Máquinas virtuais são mais seguras que as físicas? Explique.2. Quais os principais problemas que podem afetar os ambientes virtualizados?3. Quais as melhores práticas para se evitarem problemas nesses ambientes?

Capítulo específicoDentre os diversos assuntos tratados pela

gestão de segurança da informação, um dos principais elementos que direcionam as ações é o gerenciamento de risco, iniciado com a implementação de um processo de análise de risco.

Risco e Gestão de Risco

Avaliação dos Riscos

• O que é um risco?– É um contexto que inclui as ameças,

vulnerabilidades e o valor a proteger

• O que é a análise de risco?– É o processo de avaliar em que medida é que um

certo contexto é ou não aceitável para uma organização

Técnicas de Análise de Risco

• Prever cenários de:– Ameaças– Vulnerabilidades

• Para cada cenário:– Prever os prejuízos / Recursos a envolver para

evitar a concretização dos cenários– Fazer uma análise de custo/benefício


• Análise subjectiva– Documentos escritos com vários cenários como

base para sessão de “brainstorming”• Análise Quantitativa

– Para cada ameaça quantificar a sua incidência– Estimar o valor dos prejuízos que pode causar– Estimar o custo de combater a ameaça– Pesar as várias ameaças para obter um valor

final (que algoritmo?)


• Técnicas Automatizadas– Uso de ferramentas informáticas que

implementam UM algoritmo específico– CRAMM no Reino Unido

• CCTA Risk Analysis and Management Method– CCTA - Central Computer Telecommunications Agency

CRAMM

• 3 Etapas– Etapa 1 - Identificação dos recursos a proteger, seu

custo, grau de criticalidade da sua indisponibilidade, ...

– Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças)

• São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas

CRAMM

– Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.

Vulnerabilidades do Software

• Bugs do sistema operativo– Especificações com erros– Implementação com erros

• Bugs das aplicações– Especificações com erros– Implementação com erros

CERT

• CERT - Computer Emergency Response Team• Estrutura organizativa que recolhe e divulga

debilidades de segurança• Cadeia segura de troca de informação

– Bugs de sistema operativo– Bugs de aplicativos comuns– Vírus

análise das principais ameaças e vulnerabilidades cerutti -ies abnt nbr iso/iec 27000:2013

Documents