Segurança da Informação – Aula 18professor.ufop.br/sites/default/files/janniele/files/aula18_0.pdf · Ataque de negação de serviço contra sites de reputação (eBay, CNN,

Segurança da Informação – Aula 18

Profa Janniele Aparecida Soares Araujo

CSI462 – Sistemas de Apoio à Decisão

2

Segurança da Informação

● A Importância da Informação● Possuir informação é ganhar agilidade, competitividade, previsibilidade, dinamismo.

● Indivíduo● Aumento da gasolina● Precipitação de chuva● Promoção da passagem aérea● Queda da Bovespa● ...

● Empresa● Discurso do presidente● Valorização do Petróleo● Tendências tecnológicas● Oscilação da taxa de juros● ...

3


● Contextualizando...● Um computador conectado à Internet sem firewall ou antivírus pode

ser danificado em segundos● E se for um computador corporativo com dados confidenciais...

http://globaltechconsultants.org/?q=content/what-difference-between-virus-worm-trojan-and-rootkit

4


● Contextualizando...● Acidentes e ataques podem dizimar todos os dados de uma empresa

que não investe em segurança da informação

5


● Internet das Coisas (IoT) impactará o modo como interagimos com o mundo à nossa volta.

● Bilhões de "coisas" conversando umas com as outras: de TVs, geladeiras e carros a medidores inteligentes, monitores de saúde e dispositivos vestíveis (wearables).

● Os dados transmitidos pela IoT formarão uma representação gráfica de cada um de nós. O grande desafio será proteger essas informações.

6

Internet das Coisas (IoT) e os Desafios de Segurança

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

7



8



9



10


“Segurança da Informação é adotar controles físicos, tecnológicos e humanos personalizados, que viabilizem a redução e administração

dos riscos, levando a empresa a atingir o nível de segurança adequado ao seu negócio.” Marcos Sêmola

11


● Em segurança da informação três aspectos importantes se destacam● Confidencialidade: capacidade de um sistema de permitir que

alguns usuários acessem determinadas informações ao mesmo tempo em que impede que outros, não autorizados, a vejam.

● Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida.

● Disponibilidade: a informação deve estar disponível para todos que precisarem dela para a realização dos objetivos empresariais.

12


● Outros aspectos● Autenticação: garantir que um usuário é de fato quem alega ser.● Não-repúdio: capacidade do sistema de provar que um usuário

executou uma determinada ação.● Legalidade: garantir que o sistema esteja aderente à legislação

pertinente.● Privacidade: capacidade de um sistema de manter anônimo um

usuário, impossibilitando o relacionamento entre o usuário e suas ações (exe.: sistema de voto)

● Auditoria: capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataques.

13


● Quando falamos em segurança da informação, estamos nos referindo a tomar ações para garantir os aspectos da segurança das informações dentro das necessidades do clientes.

● Um incidente de segurança é a ocorrência de um evento que possa causar interrupções nos processos de negócio em consequência da violação de algum aspecto de segurança.

14


● Vulnerabilidades e uso indevido dos SI● SI's são vulneráveis pois o acesso aos seus dados no formato

eletrônico é feito através de redes, que podem sofrer ataques em qualquer um dos pontos de acesso à ela

Cliente(usuário)

● Acesso não autorizado● Erros

Servidores corporativos

● Ciberpirataria● Vírus e worms● Roubo e fraude● Vandalismo● Ataques de recusa de serviço

Linhas de comunicação

● Escuta clandestina● Sniffing (farejamento)● Alteração de mensagem● Roubo e fraude● Radiação

Banco de dados

Sistemas Corporativos

● Roubo, cópia e alteração de dados● Falha de hardware e de software

HardwareSistemas Operacionais

Software

Figura: Vulnerabilidaes e desafios de segurança contemporâneos. Fonte: Laudon e Laudon 9a ed.

15


● Vulnerabilidades e uso indevido dos SI● Atacantes● Possíveis ataques

● Técnicas e ferramentas utilizadas

● Objetivo: mostrar que a preocupação com segurança é essencial para continuidade do negócio

16


● Software mal-intencionado● Programas de software mal-intencionados são designados malware● Vírus

● Se anexa a outros programas ou dados a fim de serem executados sem a permissão do usuário

● Quando executado, pode realizar diversos estragos: formatar o disco, entupir a memória, impedir a inicialização

● São transmitidos na cópia de arquivos infectados

17


● Software mal-intencionado● Worms

● Programas que se reproduzem automaticamente pela rede● São executados automaticamente e são tão devastadores quanto os vírus

18


● Software mal-intencionado● Cavalo de Troia

● Software que parece benigno, mas depois faz algo diferente do esperado● Termo se refere ao cavalo de madeira usado pelos gregos para invadir Troia com

guerreiros escondidos● Geralmente serve de porta de entrada para outros malwares

19


● Software mal-intencionado● SQL injection

● Código SQL é inserido em formulários e para gerar comandos prejudiciais ao Banco de Dados. Ex.:● USER: jo’; DROP TABLE clientes; --● PASS: 1234● Gera o seguinte comando no BD

SELECT user, pass

FROM clientes

WHERE user = ‘jo’; DROP TABLE clientes ; --'

AND pass = ‘1234';

20


● Software mal-intencionado● Spyware

● Programas que instalam-se no computador do usuário e monitora suas atividades a fim de usar as informações para marketing

● Key loggers● Categoria de spyware que registra as teclas pressionadas para detectar senhas de

usuários

21

Analisando Impactos e Calculando Riscos

● Alguns exemplos de vírus● Beijing: no 129o boot e a cada 6o boot, a tela apresenta a mensagem “Bloody June 4 1989”,

menção ao massacre ocorrido na Praça da Paz Celestial em Pequim● Dark Avenger: vírus identificado inicialmente em 1989 com a intenção de infectar

arquivos .com, .exe e .ovl, é um vírus destrutivo que encolhe aleatoriamente áreas do disco rígido cujos dados são apagados gradativamente

● Melissa: aparição em 1999, infecta documentos do Word e envia cópias de arquivos infectados aos 50 primeiros endereços do diretório do outlook

● Conficker: aparição em 2008, explora uma velha vulnerabilidade do Windows para se espalhar pela internet por mídias removíveis e por redes desprotegidas, criados para bloquear acesso a sites de empresas de segurança e atualizações de antivírus, além de impedir a restauração do sistema

● Majava: explora vulnerabilidades na plataforma de desenvolvimento Java, dependendo do nível podem dar ao invasor controle total da máquina

● Browlock: aparição em 2014, bloqueia o acesso do usuário a arquivos em seu computador

22

Analisando Impactos e Calculando Riscos

● Alguns outros exemplos de ameaças● Golpes no WhatsApp: após acessar o link um vírus poderia ser

instalado no dispositivo oferecendo acesso a seus dados e propagando ainda mais o link para outros contatos

● Ovos de páscoa prometidos pelas lojas Kopenhagen (o nome da empresa foi usada pelos atacantes)

● Golpes do FGTS: em 2017 cresceu o número de domínios falsos com o objetivo de roubar o dinheiro de quem tinha direito ao benefício

● Ataque homográfico: a URL de um site parece de um forma para o usuário mas na verdade é outro

23


● Hackers e Cibervandalismo● Hacker

● Indivíduo que pretende obter acesso não autorizado a um sistema de computador● O termo Cracker designa o Hacker com intenções criminosas (o Hacker pode, por

exemplo, estar testando sistemas)

● Cibervandalismo● Interrupção, alteração da aparência de um site ou SI corporativo

24


Exemplo: Kevin Mitnick

● Engenharia social e técnicas de apropriação de informações confidenciais● Invadiu vários computadores, como de operadora de celulares, de empresas

de tecnologia e provedores de internet● Foi preso em 1995 e libertado em 2000, ficou três anos em condicional,

sem poder conectar-se à internet● Filme: Caçada Virtual ("Takedown" - 2000)

25


Exemplo: Timothy Allen Lloyd● Instalou uma bomba lógica que destruiu softwares de manufatura da Omega

Engeneering Corp● Sentença de um pouco mais de 3 ano● Ele trabalhava há 11 anos● Prejuízos: 10 milhões

26


● Exemplo: Michael Calce (Mafiaboy),

● Ataque de negação de serviço contra sites de reputação● (eBay, CNN, Amazon, Dell e Yahoo)

● Ele tinha 15 anos e o dano foi de 1.2 bilhões● Pena: oito meses de regime aberto, um ano de liberdade condicional,

uso restrito da Internet e uma pequena multa

27


● Spoofing e Sniffing● Spoofing ou Phishing

● Disfarce de identidade que Hackers, por exemplo, e-mail falso● Envolve também o redirecionamento a sites falsos

● Sniffing● Programa que monitora informações transmitidas pela rede

28


● Ataques de Recusa de Serviço● DoS (Denial of Service)

● Hackers lotam um servidor com centenas de requisições falsas a fim de inutilizar a rede

● A rede recebe tantas consultas que não consegue lidar com elas e ficam indisponíveis para solicitações de serviço legítimas● Exs.: Wikileaks em 2010● Receita Federal em 2011

29


● Roubo de Identidade● Crime onde impostor obtém informações pessoais importantes como

senha do cartão de crédito e CPF e se passa por outra pessoa● E-commerce facilita essa prática

● Evil twins● Redes sem fio monitoradas por hackers que fingem oferecer conexão gratuita à

Internet

30


● Fraude do Clique● Algumas propagandas são cobradas por cliques● Indivíduo ou programa clica repetidamente em anúncio sem interesse

no mesmo● Empresas contratam pessoas para clicar em anúncios e aumentar os

custos da concorrente com marketing

31


● Valor Empresarial da Segurança e do Controle● Como a segurança não está diretamente relacionada à receita de

vendas, muitas organizações relutam em gastar muito em segurança● No entanto, organizações têm ativos de informação valiosos

● Registros médicos● Segredos de negócio● Informações sobre estratégias militares

● Controle e segurança inadequados podem criar sérios riscos legais● Violação de privacidade● Corrupção de dados

32


● Valor Empresarial da Segurança e do Controle● Prova eletrônica e Forense Computacional

● Cada vez mais provas são apresentadas na forma de dados, como e-mails e transações de e-commerce pela Internet

● Procedimento de coleta, exame, autenticação preservação e análise de dados mantidos em meios de armazenamento digital de maneira que possam ser usadas como prova em juízo● Recuperar dados sem prejudicar seu valor probatório● Armazenar e administrar com segurança os dados eletrônicos recuperados● Encontrar informações significativas em uma grande base de dados

33


● Estrutura para Segurança e Controle● Quanto investimento deve ser dedicado à Segurança da Informação?● Avaliação de risco

● Determina o nível de risco para a empresa caso uma atividade ou processo específico não sejam controlados adequadamente

● Deve-se investir anualmente no máximo até o prejuízo esperado

Exposição Pobabilidade de ocorrência (%)

Faixa de prejuízo/média ($) Prejuízo anual esperado ($)

Falta de energia elétrica 30 5.000-200.000 (102.500)

30.750

Ataque de negação de serviço 5 1.000-50.000 (25.500)

1.275

Erro de usuário 98 200-40.000 (20.100)

19.698

34


● Estrutura para Segurança e Controle● Política de segurança

● A Segurança da Informação "inicia" através da definição de uma política clara e concisa acerca da proteção das informações

● Através de uma política de segurança, a empresa formaliza suas estratégias e abordagens para a preservação de seus ativos de informação

● Essas regras devem especificar quem pode acessar quais recursos● Especificar quais recursos são disponíveis no sistema, bem como procedimento e

controles necessários para proteger as informações

35



● Diretrizes● Conjunto de regras gerais de nível estratégico que tem como base a visão e a missão da

empresa● Representam às preocupações da empresa sobre a segurança das informações

● Normas● Geralmente são elaboradas com foco em assuntos mais específicos como: controle de

acesso, uso da Internet, uso do correio eletrônico, acesso físico, instruções sobre criação de senhas, realização de backups...

● Serve para o usuário ter consciência de seu papel para a manutenção de segurança na organização

36



● Procedimentos e Instruções● Conjunto de orientações para realizar atividades e instruções operacionais relacionadas a

segurança● Comandos operacionais a serem executados no momento da realização de um

procedimento de segurança● Importante para o técnico ou administrador de segurança● Exemplo: definição e implementação das regras de filtragem do firewall

37


● Estrutura para Segurança e Controle● Plano de continuidade dos negócios

● Como a empresa pode restaurar suas operações após um desastre● Identificar processos críticos e elaborar planos de ação para lidar com funções essenciais

caso os sistemas saiam do ar● Plano da recuperação de desastres

● Estratégias para recuperar os serviços de computação e comunicação após algum ataque (terremoto, incêndio, ataques terroristas)● Centro de informática duplicado

38


● Estrutura para Segurança e Controle● Auditoria de sistemas

● Identifica todos os controles que governam sistemas individuais de informação e avalia sua efetividade

● O auditor entrevista indivíduos-chave e pode até mesmo simular um ataque ou desastre para verificar como os recursos tecnológicos, a equipe de TI e os funcionários reagem

39


● Tecnologias e ferramentas para garantir a segurança dos recursos de informação● Controle de Acesso

● Conjunto de políticas e procedimentos que uma empresa usa para evitar acesso indevido a seus sistemas por pessoas não autorizadas dentro e fora da organização

● O controle é feito pela autenticação● Capacidade de saber que uma pessoa é quem declara ser● Geralmente feita por meio de senha secreta

● Senhas fáceis comprometem a segurança● Autenticação biométrica● Token

40


● Tecnologias e ferramentas para garantir a segurança dos recursos de informação● Firewall

● Combinação de hardware e software que controla o fluxo de trafego que entra ou sai da rede

● Age como um porteiro que verifica as credenciais de cada conexão● Usa regras de acesso● Ex.:

Se IPcliente = “200.243.100.002”,

recusar conexão;

Se Requisição = “FTP”,

recusar conexão;

41


Rede 1

Rede 2Firewall

Ponto único de acesso

Formado por um ou mais componentes

● Controle de acesso● Autenticação● Registro de Tráfego

42


● Tecnologias e ferramentas para garantir a segurança dos recursos de informação● Sistemas de Detecção de Invasão

● Ferramentas de monitoração contínua instaladas nos pontos mais vulneráveis das redes corporativas

● Emite um alarme quando encontra um evento suspeito ou anômalo

43


● Tecnologias e ferramentas para garantir a segurança dos recursos de informação● Software antivírus

● Software projetado para verificar sistemas e processos a fim de detectar a presença de malware e eliminá-los

● Criptografia● Processo de transformar textos comuns ou dados em texto cifrado, legível somente

ao destinatário

● Backups e redundância de hardware● Manter cópias de dados importantes da organização em outra(s) localidade(s)

física(s) de modo a permitir sua recuperação em caso de sinistro

44


45


● Aspectos Humanos da Segurança da Informação● Apesar de algumas tecnologias colaborarem para a segurança da

informação, o usuário continua sendo um elemento chave● Engenharia Social

● Hackers se passam por outras pessoas para conquistar informações dos usuários● Os usuários devem ter conhecimento sobre algumas práticas de hackers e pessoas

mal-intencionadas na Internet● Um usuário com conhecimentos sobre ameaças virtuais estará muito mais protegido● A empresa deve preocupar com questões referentes ao recrutamento, treinamento,

desligamento...

46

Exercícios

1)Por que as empresas devem garantir a segurança de seus sistemas de informação?

2)Quais são os três aspectos da segurança da informação que se destacam?

3)Descreva algumas das ameaças às quais SIs estão expostos.

4)Como se estabelece o valor a ser investido em Segurança da Informação?

5)Descreva as principais tecnologias e ferramentas para salvaguardar recursos de informação.

6)Por que é importante a organização se preocupar com os aspectos humanos?

47

Bibliografia básica

● LAUDON, Kenneth C.; LAUDON, Jane Price. Sistemas de Informação Gerenciais. 9a ed. São Paulo: Pearson Education do Brasil, 2011.

● SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 1.ed. Rio de Janeiro: Campus, 2003

● https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

● Fonseca, G.H.G. Notas de Aula. Fundamentos e Teoria de Sistemas de Informação

Documents

Segurança da Informação – Aula 18professor.ufop.br/sites/default/files/janniele/files/aula18_0.pdf · Ataque de negação de serviço contra sites de reputação (eBay, CNN,