1

Segurança da Informação

“Uma corrente é tão segura quanto seu elo mais fraco”.

profa_samaris@yahoo.com.br

2

Definições

Segurança: estado, qualidade ou condição de seguro. Condição daquele(ilo) em que se pode confiar. Certeza, firmeza, convicção [Aurélio].

Um sistema é seguro se ele se comporta da forma que você espera que ele o faça.

Segurança em informática resume-se a uma série de soluções técnicas para problemas não técnicos. É um um mecanismo que providencia meios para mecanismo que providencia meios para reduzir as reduzir as vulnerabilidadesvulnerabilidades existentes em um Sistema de existentes em um Sistema de Informação.Informação.

3

Segurança da Informação em SistemasÉ a proteção de Sistemas de Informação contra:. Negação de Serviço,. Intrusão,. Modificação não Autorizada em dados/informação armazenada, em processamento ou em trânsito;

ambrangendo:. RH,. Documentação,. Instalações de Comunicação e Computacionais e

Destinada a:. Previnir,. Detectar,. Deter e . Documentar eventuais ameaças neste contexto.

4

Segurança da Informação Definição

Segurança envolve Segurança envolve

tecnologia, processos e pessoas.tecnologia, processos e pessoas.

É uma área emergente no Brasil.É uma área emergente no Brasil.

5

Importância da Segurança

Princípio básico:

Não existe sistema totalmente seguro!

• Quanto vale uma informação para uma Quanto vale uma informação para uma instituição?instituição?

• Sem informação uma instituição pode Sem informação uma instituição pode sobreviver quanto tempo?sobreviver quanto tempo?

• O que exatamente precisa ser protegido? O que exatamente precisa ser protegido?

6

7

Ciclo de Vida da Informação

• Criação• Manuseio• Armazenamento• Transporte• Descarte

A Segurança deve ser garantida em todas as fases do ciclo!

• Garantir a continuidade.• Minimizar os riscos.

8

Objetivos da Segurança da Informação

Confidencialidade

Disponibilidade

Integridade

Autenticidade

Não repúdio

Legalidade

Domínios Melhores práticas de mercado (ISO 27.00x)

1. Controle de Acesso

2. Segurança em Rede e Telecomunicações

3. Práticas e Gerenciamento de Segurança

4. Desenvolvimento de Sistemas e Aplicações

5. Criptografia / PKI

6. Modelos e Arquiteturas de Segurança

7. Segurança de Operações

8. Continuidade de Negócios (BCP e DRP)

9. Compliance e análise forense10. Segurança Física

10

O Homem InvadeO homem nasce com impulso de explorar

o desconhecido e proibido.

O desconhecido traz emoções tão intensas que permite a alguns indivíduos,

atos que a maioria mesmo tendo vontade, não se permitiriam.

Cultura, educação e índole determinarão o lado que estes indivíduos estarão.

11

O Homem possibilita a Invasão Curiosidade

Ambição Financeira Ingenuidade

Confiança na humanidade Ser prestativo

Desejo de ajudar Falta de informação

Carência Afetiva

12

Auto-confiança excessivaVai dar, não vou ter problemas...

Busca de prazer instantâneoFast-food, lava-rápido, fumar...

Preservação da ImagemFazer backup perde tempo, um capacete me deixa feio...

Comportamento do Ser Humano

13

Mudança Cultural“Segurança de Informação

é um processo e não um produto”(Bruce Schneier, criptólogo e especialista em segurança)

A conscientização da segurança de informação deve estar contida na cultura

do ser homem moderno.

Conhecer ao máximo o Sistema Operacional para se proteger por exemplo, de extensões perigosas.

14

Hackers e Crackers

Hacker. Termo inicialmente utilizado para designar pessoa altamente habilidosa em criar e modificar software e hardware básicos de computador;

Passou a ser utilizado genericamente pela mídia como sinônimo de pirata digital, invasor ou vândalo;

Atualmente, um Hacker criminoso é denotado como Cracker.

Script kiddies. Geralmente são jovens inexperientes que utilizam programas prontos disponíveis na Internet para invadir os sistemas.

15

Engenharia Social Kevin Mitnick

Mitnick (1963, americano) é considerado por muitos o Hacker mais famoso do mundo.

Ficou preso de 1995 a

2000 e hoje é consultor

de Segurança da

Informação.

16

Sistemas Seguros

Programadores bons desenvolvem sistemas ruins (inseguros)! Por que?

• Livros de programação não abordam programação segura;

• Professores de programação também não;

• Mentalidade: Programar é resolver problema.

17

Banco de Dados Seguros``Testes podem apenas mostrar a

presença de erros e não a sua ausência'‘.(Dijkstra, cientista da computação holandês, 1930-2002)

Dificuldades

• Trabalho não valorizado pelo cliente;

• Trabalho não valorizado pelo profissional;

• Não é objetivo final;

• Cultura da velocidade;• Ambientes de desenvolvimento e SGBD.

18

Política de Segurança

• Conjunto de normas e diretrizes destinadas para proteção dos bens da organização.

• Objetivo: Definir a forma da utilização dos seus recursos através de procedimentos para prevenir incidentes de segurança.

• Importância: A informação é um recurso valioso, sendo tático, estratégico ou operacional. Política de segurança visa proteger a informação.

19

Segurança Física: Mobile Recovery Center

20

Tipos de Ataques à Comunicação

21

Criptografia``A habilidade humana não pode inventar código que a

habilidade humana não possa decifrar.'‘ (Allan Poe, escritor norte-americano, 1809-1849)

(do grego:(do grego: kryptóskryptós, escondido e , escondido e grápheingráphein, escrever), escrever)

Estudo das técnicas (usualmente matemáticas) pelas quais uma informação pode ser

transformada da sua forma legível para outra ilegível, o que a torna não eficiente de ser lida

por alguém não autorizado.

22

John Markoff, colunista de tecnologia do NY Times, 2006, em comemoração dos 30 anos da

chave pública, disse que com a possível exceção de armas nucleares, não conseguia pensar em nenhuma tecnologia que tenha tido um impacto

político e econômico mais profundo sobre o mundo do que a criptografia.

Até 1993, a criptografia era considerada, pelas leis americanas, uma perigosa arma de guerra.

Impacto da Criptografia Computacional

23

Criptografia Simétrica

Cifração DecifraçãoTextolegível

ChaveK

Texto legível

P P

Canal seguro

K

Textocifrado

c

Alice Bob

Mesma chave no ciframento Mesma chave no ciframento

e no deciframento!e no deciframento!

São rápidos!São rápidos!

24

Criptografia Visual (VCK)

25

Duas Chaves: Duas Chaves:

Pública e Privada.Pública e Privada.

São Complexos!São Complexos!

Cifração DecifraçãoTextolegível

Par de chaves

Criptoanalista

Textolegível

CP P

Emissor A Receptor B

KR bKU b

KRa

^

P̂

Criptografia Assimétrica

26

Assegura a um documento por um prazo de validade:

integridade;não repúdio;

autenticidade de dados e autenticidade de origem.

Pode acrescentar confidencialidade.

Assinatura Digital

27

Função de Hash Comprime mensagem inicial.

Do hash não se calcula a mensagem inicial (funcao unidirecional);

Função de Hash Criptográfica Duas mensagens iniciais não criam o mesmo

hash (resistente a colisão). Do hash nunca se descobre a mensagem

inicial (resistente a pre-imagem).

Hash CriptográficaResumo da mensagem

28

“Utilizar o PGP é exercer o direito constitucional do sigilo na comunicação e da privacidade”.

Apagando permanentemente Arquivos: PGP Wipe

Cada gravação de bits “0” do PGP é chamada de passo e o número recomendado depende do nível de segurança necessário: 03 passos - uso pessoal; 10 passos - uso comercial; 18 passos - uso militar; 26 passos - máxima segurança.

Existe criptografia de fácil acesso e baixo custo?

29

Esteganografia

Métodos para ocultar a existência Métodos para ocultar a existência

de uma mensagem dentro de outra de uma mensagem dentro de outra

(ou um arquivo dentro de outro arquivo). (ou um arquivo dentro de outro arquivo).

30

Consegue achar

10 faces

nesta árvore?

31

EsteganografiaExemploExemplo

32

33

Biometria

• Impressão digital;Impressão digital;

• Retina;Retina;

• Íris;Íris;

• Geometria das mãos;Geometria das mãos;

• Face;Face;

• Voz;Voz;

• Assinatura.Assinatura.

34

Autenticaçao por Credenciaiscombinação mínima de dois métodos

O que se possui: cartão inteligente ou similar

O que se conhece: senha

O que se é: biometria

Onde se está: controle física de localização

35

 Pendrive com leitor biométrico desacoplável. O leitor biométrico é pago uma única vez.

Biometria e criptografia

Pendrive comleitor biométrico embutido,

ativado ao conectar o dispositivo na entrada USB 2.0.

36

RFID

37

Detecção de IntrusãoMonitoração de estações com o intuito de

descobrir ações de intrusos.

Um Sistema de Detecção de Intrusão (IDS)

tenta detectar ataques ou usos impróprios e alertar (mantém log).

Análogo ao sistema de detecção de ladrões,

utilizado em casas para prevenir incidentes.

38

Forense Computacional

Supri necessidades jurídicas

de evidências eletrônicas.

Ciência que estuda aquisição, preservação, recuperação e análise de

dados em formato eletrônico, armazenados em algum tipo de mídia

computacional.

39

Anti...

Antivírus - Detecta e destrói automaticamente os vírus do seu computador e protege suas informações

pessoais contra as ameaças da internet.

Anti-spyware - Spywares são programas espiões que coletam informações sobre uma pessoa ou

empresa, normalmente sem seu conhecimento. Com um ANTI-SPYWARE, seu computador fica ainda

mais protegido contra estas ameaças.

40

Marca D’água

41

Marca D’água

42

Marca D’água

43

Marca D’água

44

Foto adicionada em um

perfil no Orkut(dez/2007).

O crime pode renderpena de seis meses a três anos de detenção.

Imagem na

Internet

Diego, 20 anos, tirou foto na qual aparece em pé no teto da viatura

45

Pena aplicada:

Foto adicionada no mesmo

perfil no Orkut após algum tempo.

Imagem na

Internet

46

Perguntas?