segurança de redes. por que falar em seguranÇa da informaÇÃo?
TRANSCRIPT
Segurança de Redes
POR QUE FALAR EM SEGURANÇA DA INFORMAÇÃO?
O MUNDO REAL ESTÁ MIGRANDO PARA O VIRTUAL?
A TRAGÉDIA QUE MUDOU O MUNDO MODERNO.
INFORMAÇÃO VALEM MAIS DO QUE BENS FÍSICOS.
O QUE É INFORMAÇÃO?
OS PRIMEIROS CUIDADOS COM A INFORMAÇÃO NA ANTIGUIDADE.
Out/2008
A história da Informação
~ 35000 AC – Homo Sapiens
Out/2008
A história da Informação
~ 32000 AC – Registro de desenhos nas cavernas
Out/2008
A história da Informação
~ 3500 AC – Escrita cuneiforme - Sumérios
Out/2008
A história da Informação
~ 2700 AC – Surgimento dos hieróglifos egípcios
Out/2008
A história da Informação
~ 2100 AC - Antikythera – calculadora astronômica
usada na Grécia
Out/2008
A história da Informação
~ 1200 AC – Guerra de Tróia
Out/2008
A história da Informação
~ 490 AC – Maraton – 42 km levando uma informação
Out/2008
A história da Informação
~ 23 AC – Correio Romano – Transporte oficial de
informações
Out/2008
A história da Informação
325 – Imperador Constantino – A Bíblia Cristã
Out/2008
641 – Biblioteca da Alexandria é destruída pelos árabes
História da Segurança da Informação
Out/2008
1455 – Impressão da Bíblia de Gutenberg
História da Segurança da Informação
Out/2008
1497 – Os “segredos” da “Última Ceia” de Da Vinci
História da Segurança da Informação
Out/2008
1559 – Santa Inquisição Index Librorum Prohibitorum
História da Segurança da Informação
Out/2008
1642 – Calculadora Mecânica de Pascal
História da Segurança da Informação
Out/2008
1863 – Uso do cilindro criptográfico na Guerra da secessão - EUA
História da Segurança da Informação
Out/2008
1876 – Alexander Graham Bell inventa o telefone
História da Segurança da Informação
Out/2008
1917 – Máquina de criptografia de Hebern – introdução do teclado
História da Segurança da Informação
Out/2008
1946 – O ENIAC, criado pelo exército americano, é o primeiro computador eletrônico
História da Segurança da Informação
Out/2008
1957 – É lançado o Satélite Russo Sputinik
História da Segurança da Informação
Out/2008
1958 – Fundada a ARPA (Advanced Research Projects Agency) em resposta ao projeto Sputinik
História da Segurança da Informação
Out/2008
1964 – IBM lança o Mainframe S/390, primeiro computador multitarefa comercial tornando-se um sucesso de vendas
História da Segurança da Informação
Out/2008
1969 – Criação da ARPANET, com a finalidade de interligar centros de computação militares e acadêmicos
História da Segurança da Informação
Out/2008
1980 - Início da onda de popularização dos computadores pessoais.
História da Segurança da Informação
Out/2008
1982 - Primeiro programa com características de vírus que se tem notícia, era chamado de ELK CLONER e foi criado para a plataforma Apple II.
História da Segurança da Informação
Out/2008
1983 – É Lançado o Windows 1.0
História da Segurança da Informação
Out/2008
1984 – Criada a ISSA – Information Systems Security Association, primeira associação para profissionais de Segurança de Sistemas.
História da Segurança da Informação
Out/2008
1986 - Computer Fraud and Abuse Act é a primeira lei que tipifica crimes de computador.
História da Segurança da Informação
Out/2008
1986 - Brain é o primeiro vírus de computador agindo no setor de boot
História da Segurança da Informação
Out/2008
1988 – Worm do estudante Robert Morris derruba 10% dos computadores da Internet, foi condenado a 400 horas de serviço comunitário e uma multa de $ 10.000.
História da Segurança da Informação
Out/2008
1989 - Surgimento dos primeiros softwares comerciais de antivírus.
História da Segurança da Informação
Out/2008
1991 – Linux é proposto por Linus Torvalds
História da Segurança da Informação
Out/2008
1995 – O Windows 95 é lançado e transforma o mercado de PC’s – promessas de um sistema seguro
História da Segurança da Informação
Out/2008
1995 – Publicada a primeira versão da BS 7799
História da Segurança da Informação
Out/2008
1995 – Primeiro teste com as urnas eletrônicas dá liderança tecnológica na área ao Brasil
História da Segurança da Informação
Out/2008
1997 - Receita Federal começa a receber declarações de Imposto de Renda pela Internet, em 97 foram recebidas 470.000 declarações pela web
História da Segurança da Informação
Out/2008
1999 - Vírus de macro Melissa se propaga por e-mails causando prejuízos estimados em US$ 80 milhões
História da Segurança da Informação
Out/2008
2000 - Loveletter – 45 milhões de computadores infectados em 24 horas, parando serviços de e-mail mundo afora.
História da Segurança da Informação
Out/2008
2000 - Ataques DDoS (Denial of Service Attacks) derrubam grandes portais como Amazon.com, CNN, MSN, eBay, Time Warners, CNN e YAHOO!
História da Segurança da Informação
Out/2008
2000 - BS 7799 vira a norma ISSO/IEC 17799
História da Segurança da Informação
Out/2008
2001 - ICP-Brasil é instituída através de medida provisória e transforma o Brasil no primeiro país do mundo a ter legislação específica.
História da Segurança da Informação
Out/2008
2001 – Surge os vírus CODE RED e NIMDA explorando as “Blackdoor”
História da Segurança da Informação
Out/2008
2001 - 11/9 transforma para sempre o conceito de Segurança da Informação
• Crise econômica global e retração de investimentos
• Terrorismo e criminalidade
• Continuidade de negócios
• Segurança incorporada ao dia-a-dia
História da Segurança da Informação
Out/2008
2002 –Aprovada nos EUA a lei Sarbanes-Oxley
História da Segurança da Informação
Out/2008
2002 – Decreto 4.553 (Classificação das Informações) Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado...
História da Segurança da Informação
Out/2008
2003 – SQL Slammer o virus mais rápido
– Explosão das fraudes no Brasil e no mundo.
História da Segurança da Informação
Out/2008
2004 – Sasser e Blaster atacam
História da Segurança da Informação
Out/2008
2006 – Trojan Storm e suas variações Peacomm , Nuwar, etc. se utilizando de email`s de catástrofes, assuntos polêmicos, mensagens de amor e vídeos, o cibercrime prolifera e dá lucro.
História da Segurança da Informação
Out/2008
... – A criatividade dos criminosos visando somente lucro e a ingenuidade das pessoas torna-se campo fértil para roubo de senhas $$$$$$$$$$$$$$$$
História da Segurança da Informação
“E DISSE O SENHOR DEUS Á MULHER: POR QUE FIZESTE ISTO? E DISSE A MULHER: A SERPENTE ME ENGANOU, E EU COMI.”
GN 3,13
“Ao longo da história, o ser humano sempre buscou o controle sobre a informações que lhe eram importantes
de alguma forma; isso é verdadeiro mesmo na mais remota antiguidade.” (Caruso, 1999)
Breve Histórico
• Preocupações com a segurança...
Júlio César Cofre Backup
Ambientes MilitaresA Criptologia ajudou nos principais conflitos da 2a Guerra Mundial
Cerca de 1900 a.C
Introdução
• Redes de Computadores e a Segurança• As corporações (empresas, governos e escolas) estão cada vez
mais dependentes de seus sistemas – exigem informações compartilhadas;
• Uso de informações sigilosas (comércio eletrônico)• Novas tecnologias (por exemplo, redes sem fio)
Necessidade de se manter a Segurança das Informações
As preocupações crescem....
• Aumento do uso da Internet• Aumento do registro dos incidentes de segurança
(intrusos e funcionários insatisfeitos)• Numerosos relatos de vulnerabilidades de softwares
(inclusive os de segurança)• Proteção física é dificilmente concretizada
Segurança de Redes é uma tarefa árdua e complexa !
9a Pesquisa Nacional de Segurança da Informação
Hackers
Causa desconhecida
Funcionários
Ex-funcionários
Prestadores de
serviço
Concorrentes
Outros
Hackers
Causa desconhecida
Funcionários
Ex-funcionários
Prestadores de
serviço
Concorrentes
Outros
32%32%
26%26%
23%23%
4%
4%
4%
4%
1%1%
10%10%
PRINCIPAIS
RESPONSÁVEIS
Sistemas
Internos
23%
Sistemas
Internos
23%
Invasão física6%
Invasão física6%
Outros5%
Outros5%
Internet60%
Internet60%
Acesso remoto
6%
Acesso remoto
6%
PRINCIPAIS PONTOS
DE INVASÃO
“Capacidade de assegurar a prevenção ao acesso e à manipulação ilegítima da informação, ou ainda, de
evitar a interferência indevida na sua operação normal”.
O conceito de Segurança Computacional
Integridade
Confidencialidade
Disponibilidade
Objetivos de SegurançaManuseio
Des
cart
e
Transporte
Arm
azenamento
INFORMAÇÂO
Int.
Disp.
Conf.
Objetivos de Segurança
Autenticidade Garantir que um sujeito usando uma identificação é seu verdadeiro detentor
Não-repudiaçãoGarantir que o participante de uma comunicação não possa negá-la posteriormente
ConfidencialidadeGarantir que as informações não serão reveladas a pessoas não autorizadas;
IntegridadeGarantir a consistência dos dados, prevenindo a criação não autorizada e a alteração ou destruição dos dados;
DisponibilidadeGarantir que usuários legítimos não terão o acesso negado a informações e recursos;
Violações e Ataques de Segurança
• Quando os objetivos de segurança não são alcançados – propriedades não são garantidas – há uma violação da segurança !• Revelação não autorizada da informação• Modificação não autorizada da informação• Negação indevida de serviço
• Ataques de Segurança
Passivo: ameaça a confidencialidadeAtivo: ameaça a integridade e/ou a disponibilidade
Ataques de Segurança
Fluxo Normal
A BFonte de
InformaçãoDestino daInformação
Modificação Fabricação
A B
Interrupção
A B
InterceptaçãoI
A B
M
A B
F
9a Pesquisa Nacional de Segurança da Informação
PRINCIPAIS AMEAÇAS À
SEGURANÇA DA
INFORMAÇÃO
Vírus
Funcionários insatisfeitos
Divulgação de senhas
Acessos indevidos
Vazamento de informações
Fraudes, erros e acidentes
Hackers
Falhas na segurança física
Uso de notebooks
Fraudes em e-mail
Vírus
Funcionários insatisfeitos
Divulgação de senhas
Acessos indevidos
Vazamento de informações
Fraudes, erros e acidentes
Hackers
Falhas na segurança física
Uso de notebooks
Fraudes em e-mail
66%66%
53%53%
51%51%
49%49%
47%47%
41%41%
39%39%
37%37%
31%31%
29%29%
9a Pesquisa Nacional de Segurança da Informação
PREJUÍZOS CONTABILIZADO
S
>35% das empresas no Brasil tiveram perdas financeiras
>22% das empresas acima registraram perdas de até R$ 50 mil, 8% entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milhão
>65% não conseguem quantificar o valor dos prejuízos
De R$ 500 mil a
R$ 1 milhão4%
De R$ 500 mil a
R$ 1 milhão4%
Não foi possível quantificar
65%
Não foi possível quantificar
65%
Mais de1 milhão
1%
Mais de1 milhão
1%
Até R$ 50 mil22%
Até R$ 50 mil22%
De R$ 50 mil a
R$ 500 mil8%
De R$ 50 mil a
R$ 500 mil8%
Perfil dos Intrusos
• O Script Kid – Um atacante tecnicamente pouco dotado que pesquisa aleatoriamente um grande número de sistemas à procura de vítimas e depois as explora de forma imprevista (destruição ou subversão); tende a deixar muitos vestígios da sua atividade no sistema
• O Cracker Intrusivo – Um atacante tecnicamente avançado que orienta os seus ataques para vítimas específicas, visando quase sempre apropriar-se de informação valiosa sem deixar rastros; é o atacante mais temido por qualquer administrador informático
• O Cracker Ético (Hacker) – Semelhante ao cracker intrusivo mas com intenções totalmente opostas, atuando muitas vezes ao serviço de empresas da área da segurança na informática
A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor.
INFORMAÇÃO DADOS CONHECIMENTO
“[...] uma área do conhecimento dedicada á proteção de ativos da informação contra acessos não autorizado,
alterações indevidas ou sua indisponibilidade.”(Sêmola, 3003)
ATRIBUTOS DA SEGURANÇA DA INFORMAÇÃO
“A CONFIDENCIALIDADE DIZ QUE A INFORMAÇÃO SÓ ESTÁ DISPONÍVEL PARA AQUELES DEVIDAMENTE AUTORIZADOS; A
INTEGRIDADE DIZ QUE A INFORMAÇÃO NÃO É DESTRUÍDA OU CORROMPIDA E O SISTEMA TEM UM DESEMPENHO
CORRETO, E A DISPONIBILIDADE DIZ QUE OS SERVIÇOS/RECURSOS DO SISTEMA ESTÃO DISPONÍVEIS
SEMPRE QUE FOREM NECESSÁRIOS. (CGI, 2006)