Upload
felipetsi
View
1.390
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
Casos de invasão
Por volta das 22 horas do dia 17/09/2007, o site da emisora de TV SBT é atacado e pinchado. Ás 9:30 do dia seguinte a emissora limpou a página.
Aparentemente o mesmo grupo de hackers, no dia 15/08/2009 ataca e pincha também o site da emisora de TV Record. Em um momento de grande tensão com a Globo, a Record teve sua imagem prejudicada.
Um applet que alterava o arquivo hosts das máquinas dos usuários que acessavam a página da Vivo.
Quanto cada empresa perdeu com isto?
Estatisticas
• Segundo a empresa Dasient, mais de 640 mil sites estão infectados por malware. O total de páginas infestadas é 5,8 milhões no mundo.
• Cerca de sete mil sites são infectados diariamente.
• Taxa de reincidência da infecção em sites que já foram 'limpos' é de 39,6%.
Stuxnet worm
• AlvooSabotar o programa nuclear iraniano,
interferindo no funcionamento de centrifugas de usinas nucleares.
• O que ele fazoCriado para permitir que hackers
manipulem equipamentos físicos, invadindo sistemas de controle industriais.
oÉ o primeiro vírus de computador capaz de causar dano no meio físico.
Desastre
Uma informação dada pelo U.S.Small Business Administration e divulgada na Insight Magazine da conta que 43% das pequenas e médias empresas nunca reabrem após sofrer um desastre, e que 29% fecham em dois anos. É um dado assustador, pois somados são 72% das empresas, que não conseguem superar e sobreviver a um incidente de seguraça.
Segurança da Informação
• Família 27000– Aborda exclusivamente a Segurança da
Informação.– ABNT NBR atualmente temos:
27001
27002
27005
Sistema de Gestão de Segurança da Informação
Código de prática para Gestão da Segurança da Informação
Gestão de Risco
Segurança da Informação
• O que é Segurança da Informação?
É a proteção da informação de vários tipos de ameaças para:
garantir a continuidade do negócio;minimizar o risco ao negócio;maximizar o ROI e as oportunidades de
negócio.
ABNT NBR ISO/IEC 27002
Contexto atual
• Era da Informação
Produtividade Tecnologia Investimento
Segurança Proteção
Demanda Requer
Necessita
ImplicaCausa impacto
Requer
Origem da maioria dos ataques
• 80% dos incidentes de segurança ocorrem de dentro da empresa;
• É comum as empresas concentrarem seus esforços na implementação de mecanismos de segurança contra ameaças externas. Por que tal atitude?–Desconhecimento do perigo que pode
estar dentro da empresa;–Negligência em tratar as ameaças
internas;–Imperícia em lidar com assuntos relativos à
segurança e tratá-la de forma amadora.
Origem dos ataques
• Contra quem se defender?– Hacker
• Comprometimento com os seus objetivos (Bitolados);• Compartilhamento das informações e softwares.
– Funcionário• Em uma pesquisa foi revelado que:
20%
20% 60%
HonestosDesonestosTão honestos quanto a situação
IN TE R N E T
Telephone
Telephone
Telephone
Telephone
Telephone
Telephone
SERVIDORES INTERNET
ROTEADOR
FIREW ALL
SERVIDORRAS
SERVIDORESCORPORATIVOS
ESTAÇÕES
PROVEDOR
INTERNAUTAS
USUÁRIOS REM OTOS
Ataquesexternos
IN TE R N E T
Telephone
Telephone
Telephone
Telephone
Telephone
Telephone
SERVIDORES INTERNET
ROTEADOR
FIREW ALL
SERVIDORRAS
SERVIDORESCORPORATIVOS
ESTAÇÕES
PROVEDOR
INTERNAUTAS
USUÁRIOS REM OTOS
Ataquesinternos
Ataques Físicos
• Ataque Físico:–Exemplos:
Furto de fitas magnéticas, CD, disquetes.–Proteção:
Implementação de mecanismos de autenticação, criptografia e instrução
para os usuários sobre a potencial ameaça.
Ataques Lógicos
• Ataques de Rede– Denial of Service (Negação de serviço)
Sistema vítima
Sistema atacante
Internet
Excesso de requisições a determinado serviço em curto espaço de tempo, fazendo com que o sevidor fique respondendo às requisições forjadas.
Ataques Lógicos
• Ataques de Rede– Distributed Denial of Service (Negação de serviço
disttribuído). Exemplo: botnet
Sistema vítima
Sistema atacante
'DownDown
Uma técnica de comunicação muito utilizada por estes malwares é o IRC.
Ataques Lógicos
Um único sistema
Uma rede de sistemas
Sistema vítima
Pacotes destinados aos endereços de broadcast, explorando o IP Directed Broadcast
– Ataque smurf
Ataques LógicosIP spoofing:
www.hacker.com
Web browser da vítima
www.original.com
1
23
45
1. O web browser da vítima acessa a página do servidor hacker.1. O web browser da vítima acessa a página do servidor hacker.
2. O servidor hacker acessa a página no servidor original.2. O servidor hacker acessa a página no servidor original.
3. O servidor original envia a página para o servidor hacker.3. O servidor original envia a página para o servidor hacker.
4. O servidor hacker reescreve a página conforme necessário.4. O servidor hacker reescreve a página conforme necessário.
5. A vítima recebe a página hackeada com o conteúdo modificado.5. A vítima recebe a página hackeada com o conteúdo modificado.
Alguns tipos de ataques
• Sniffing– Captura de pacotes na redes.
ClienteServidor
Sniffer
PASWORDPASWORD
Serviços de Rede
• Telnet– Protocolo para emulação de terminal remoto. Uma vez estabelecida
uma conexão o protocolo passa a transmitir é digitado no teclado do usuário para o computador remoto e as respostas aos comandos para o monitor do usuário.
• Usa o protocolo de transporte TCP e porta 23.– Toda a transmissão, incluindo nome de usuário e senha, são
transmitidos às claras, isto é, sem qualquer forma de proteção.
• SSH– É um pacote de programas voltado para segurança em redes.
• É um substituto seguro para Telnet.
– Usa TCP e escuta na porta 22.
Serviços de Rede
• FTP – File Transfer Protocol, TFTP – Trivial File Transfer Protocol e SFTP – Secure FTP.
– FTP utiliza o protocolo de transporte TCP nas portas 20 (dados) e 21 (comandos) e permite acesso interativo, especificação de formatos de arquivos, possui controle de autenticação próprio e garante integridade dos arquivos transmitidos.
– TFTP utiliza o protocolo de transporte UDP na porta 69 e é usado quando os recursos do FTP não são requeridos
– SFTP é o mesmo protocolo FTP sob o SSH ou SSL e utiliza o protocolo TCP na porta 115.
Serviços de Rede
• SMTP - Simple Mail Transfer Protocol . – Protocolo para transferência de mensagens de correio
eletrônico;– É utilizado para enviar mensagens de um cliente para um
servidor ou entre servidores.Para que um cliente possa obter as mensagens que estão em sua
caixa de correio no servidor, isto é, para haver transmissão de mensagens entre o servidor e o cliente, utilizam-se os
protocolos POP – Post Office Protocol – ou IMAP – Internet Message Access Protocol .
– SMTP usa TCP na porta 25; POP3 usa TCP na porta 110; e, IMAP também usa TCP mas escuta na porta 143
Serviços de Rede
• WWW – World Wide Web– É um grande repositório de informações que podem ser
acessadas por usuários através de um navegador – browser;
– HTTP – Hypertext Transfer Protocol – é o protocolo que permite o funcionamento da Web; usa TCP e escuta por padrão na porta 80
– HTTPS – Hypertext Transfer Protocol Secure – é o protocolo que estabelece conexões seguras utilizando recursos da biblioteca SSL, isto é, fornece autenticação e integridade. Usa TCP e escuta na porta 443
• São mecanismos que controlam o acesso entre duas, ou mais redes protegendo-as de acessos não autorizados;
Mecanismo de Segurança
Mecanismo de Segurança
• Um Sistema de firewall pode ser visto, de forma esquemática, como uma barreira colocada na entrada da rede a ser protegida. Ela protege a rede interna evitando entrada e/ou saída de pacotes não autorizados. – todo tráfego entre as redes passa por ele e
somente o tráfego autorizado pela política de segurança é transmitido entre as redes.
• Também conhecidos como static packet filtering, devido à utilização de regras estáticas para filtragem de pacotes, é o tipo de firewall mais simples, sendo fácil, barato e flexível de serem implementados.– Exemplo:
Filtro de pacotes
IP Origem
IP Destino
Porta Origem
Porta Destino
Protocolo Ação
LAN WAN Todas 80 TCP Permitir
WAN LAN 80 Todas TCP Permitir
Todas Todas Todas Todas Todos Negar
Mecanismo de segurança
• Proxy–Não permite conexões diretas entre uma
máquina cliente e um servidor;–Faz a intermediação entre eles, onde o
cliente se conecta a um porta TCP no firewall e este abre uma conexão com o servidor.
–Pode atuar nas camadas de transporte, sessão e aplicação.
Mecanismo de segurança
• IDS é um Sistema de Detecção de Intrusão. O objetivo é monitorar sistemas a fim de perceber a ocorrência de um ataque ou mesmo algum comportamento anormal e produzir uma resposta.
• O IDS tem a função de alertar ao administrador da ocorrência de um ataque ou até mesmo uma tentativa. A diferença entre as duas situações reside no fato de que na primeira, o ataque está em andamento ou já foi realizado e na segunda ocorreu apenas uma tentativa mal sucedida.
Mecanismo de segurança
• Classificação do IDS–Baseada em Host
• Mais conhecidos como HIDS, fazem o monitoramento de um sistema com base nos eventos registrados nos arquivos de log ou pelos agente s de auditoria.
–Baseado em rede• Mais conhecidos como NIDS, monitoram o
tráfego de pacotes do segmento de rede em que se encontram.
• Monitoramento se dá mediante a captura dos pacotes e a posterior análise de seus cabeçalhos e conteúdo.
Mecanismo de segurança
• IPS (Sistema de Prevenção de Intrusão)–Tem como finalidade semelhante a do IDS
no que se refere a identificar ataques, com a diferença de ser capaz de intervir no tráfego ofensivo tomando ação de bloquear e impedir que o ataque se efetive.
–Assim como o IDS, também é possível utilizar métodos de detecção baseado em assinaturas e anomalia.
Mecanismo de segurança
• Honeypot é uma forma simples de detectar atividades ilícitas na rede. Seu principal objetivo é ser atacado (por pessoas, por vírus, por worms, cavalo de tróia, spyware etc).
• A idéia é adquirir informações para que se consiga proteger de forma mais eficiente conhecendo como seus ativos de rede podem ser atacados.