2. Conteúdo Programático
Parte 1: A Informação
Parte 2: Conceitos
Parte 3: Por onde começar?
Parte 4: Repositórios de Informação
Parte 5: Genealogia de um Hacker
Parte 6: Ameaças Digitais
4. InformaçãoInformação (Michaelis)
do Lat. informatione
s. f.,
Ato ou efeito de informar ou informar-se;
Comunicação;
Conjunto de conhecimentos sobre alguém ou
alguma coisa;
Conhecimentos obtidos por alguém;
Fato ou acontecimento que é levado ao
conhecimento de alguém ou de um público
através de palavras, sons ou imagens;
Elemento de conhecimento susceptível de ser
transmitido e conservado graças a um suporte e
um código.
5. PropriedadePropriedade (Michealis)
do Lat. proprietate
s. f.,
Aquilo que pertença legitimamente a alguém ou
sobre o qual alguém tenha direito pleno;
Bens, posses;
Patrimônio físico(tangível) e imaterial(intangível).
7. Considerações
Segundo a Universidade da Califórnia
em Berkeley(2005):
Existe aproximadamente 2.5 Bilhões de
documentos acessíveis na WEB;
Este número cresce em cerca de 700 mil
páginas por dia.
Velhos jargões
“O segredo é a alma do negócio”;
Novas tendências
Mundo Globalizado, Ubiqüidade, Acesso a
Informação.
9. Axioma de Segurança
““Uma corrente não é mais forteUma corrente não é mais forte
que o seu elo mais fraco”que o seu elo mais fraco”
10. Segurança da Informação
“A segurança da informação é um
conjunto de medidas que se
constituem basicamente de controlescontroles e
política de segurançapolítica de segurança, tendo como
objetivo a proteção das informações
dos clientes e da empresa
(ativos/bensativos/bens), controlando o riscorisco de
revelação ou alteração por pessoas
não autorizadas.”
11. Política de Segurança
Trata-se um conjunto de diretrizes
(normas) que definem formalmente
as regras e os direitos dos usuários,
visando à proteção adequada dos
ativos da informação
12. Ativos (Bens)
Dados
Número de
Cartões de Crédito
Planos de Marketing
Códigos Fonte
Informações de RH
Serviços
Web sites
Acesso a Internet
Controladores
de Domínio
ERP
Comunicação
Logins
Transação Financeira
Correio Eletrônico
13. DefiniçõesDefinições
AmeaçaAmeaça
Evento ou atitude indesejável que
potencialmente remove, desabilita, danifica ou
destrói um recursorecurso;
VulnerabilidadeVulnerabilidade
Característica de fraqueza de um bem;
Características de modificação e de captação de
que podem ser alvos os bens, ativos, ou
recursos intangíveis de informática,
respectivamente, software, ou programas de
bancos de dados, ou informações, ou ainda a
imagem corporativa.
14. Conceitos BásicosConceitos Básicos
RiscoRisco
A probabilidadeprobabilidade da ocorrência de uma
ameaça em particular
A probabilidadeprobabilidade que uma ameaça
explore uma determinada
vulnerabilidade de um recurso
15. Ameaça, Vulnerabilidade e Risco
Ameaça (evento)
assalto a uma agência bancária
Vulnerabilidade (ponto falho)
liberação manual das portas giratórias
pelos vigilantes
Risco
baixobaixo, devido ao percentual de assaltos
versus o universo de agências
altoalto, se comparando as tentativas
frustradas versus as bem sucedidas
17. CIA – ConfidencialidadeCIA – Confidencialidade
Propriedade de manter a informação
a salvo de acesso e divulgação nãonão
autorizadosautorizados;
Proteger as informações contra
acesso de qualquer pessoa não
devidamente autorizada pelo donopelo dono da
informação, ou seja, as informações
e processos são liberados apenas a
pessoas autorizadaspessoas autorizadas.
18. CIACIA –– IntegridadeIntegridade
Propriedade de manter a informação
acurada, completa e atualizada
Princípio de segurança da
informação através do qual é
garantida a autenticidadeautenticidade da
informação
O usuário que arquiva dados espera
que o conteúdo de seus arquivos não
seja alterado por erros de sistema no
suporte físico ou lógico
19. CIA – DisponibilidadeCIA – Disponibilidade (Availability)(Availability)
Propriedade de manter a informação
disponível para os usuários, quando
estes dela necessitarem
Relação ou percentagem de tempo,
em que uma unidade do
equipamento de processamento está
funcionando corretamente
21. Controle de AcessoControle de Acesso
Suporta os princípios da CIA
São mecanismos que limitam o
acesso a recursos, baseando-se na
identidade do usuário, grupo que
integra e função que assume.
Em segurança, é suportado pela
tríade AAA (definida na RFC 3127)
22. Auditoria (Accountability)Auditoria (Accountability)
É a capacidade que um sistema tem
de determinar as ações e
comportamentos de um único
indivíduo no sistema, e de identificar
este indivíduo;
Trilha de auditoria, tentativas de
acesso, problemas e erros de
máquina, e outros eventos
monitorados ou controlados.
23. AutenticaçãoAutenticação
Propriedade de confirmar a
identidade de uma pessoa ou
entidade.
Meio pelo qual a identidade de um
usuário é confirmada, e garante que
ele realmente é quem diz ser
24. AutorizaçãoAutorização
São os direitos ou permissões,
concedidos a um indivíduo ou
processo, que permite acesso a um
dado recurso.
Após a identificação e autenticação
de um usuário terem sido
estabelecidas, os níveis de
autorização irão determinar a
extensão dos direitos que este
usuário pode ter em um dado
sistema.
25. SigiloSigilo
Trata-se do nível de confidencialidade e
garantia de privacidade de um usuário no
sistema;
Ex.: Garante a privacidade dos dados de
um usuário em relação ao operador do
sistema.
IdentificaçãoIdentificação
Meio pelo qual o usuário apresenta sua
identidade. Mais frequentemente utilizado
para controle de acesso, é necessário para
estabelecer Autenticação e Autorização.
28. Leis Imutáveis da
Segurança
Ninguém acredita que nada de mal possa
acontecer até que acontece;
Segurança só funciona se a forma de se
manter seguro for uma forma simples;
Se você não realiza as correções de
segurança, sua rede não será sua por
muito tempo;
Vigilância eterna é o preço da segurança;
Segurança por Obscuridade, não é
segurança;
LOGs, se não auditá-los, melhor não tê-
los.
29. Leis Imutáveis da
Segurança
Existe realmente alguém tentando quebrar
(adivinhar) sua senha;
A rede mais segura é uma rede bem
administrada;
A dificuldade de defender uma rede é
diretamente proporcional a sua
complexidade;
Segurança não se propõe a evitar os
riscos, e sim gerenciá-los;
Tecnologia não é tudo.
By Scott Pulp – Security Program Manager atBy Scott Pulp – Security Program Manager at
Microsoft Security Response CenterMicrosoft Security Response Center
30. Responsabilidades da
Empresa
“Desde que uma empresa fornece
acesso internet a seus funcionários,
esta empresa torna-se responsável
pelo que ele faz, a menos que possa
provar que tomou as medidas
cabíveis para evitar problemas”
Corporate Politics on the Internet:
Connection with Controversy, 1996
31. Segurança nas
Organizações
Segurança é um ”processo” que tenta manter
protegido um sistema complexo composto de
muitas entidades:
Tecnologia (hardware, software, redes)
Processos (procedimentos, manuais)
Pessoas (cultura, conhecimento)
Estas entidades interagem das formas mais
variadas e imprevisíveis
A Segurança falhará se focar apenas em
parte do problema
Tecnologia não é nem o problema inteiro,
nem a solução inteira
32. Ciclo de Segurança
Análise da Segurança (Risk Assessment)
Definição e Atualização de Regras de
Segurança (Política de Segurança)
Implementação e Divulgação das Regras
de Segurança (Implementação)
Administração de Segurança
(Monitoramento, Alertas e Respostas a
Incidentes)
Auditorias (Verificação do Cumprimento da
Política)
33. Domínios de Conhecimento
“The International Information
Systems Security Certification
Consortium, Inc. [(ISC)²]”
http://www.isc2.org
A (ISC)2
define 10 domínios de
conhecimento (CBK), para sua
certificação introdutória CISSP
Certified Information Systems Security
Professional
Common Body of Knowledge
34. CBK – Common Body Of
Knowledge
Security Management Practices
Access Control Systems
Telecommunications and Network Security
Cryptography
Security Architecture and Models
Operations Security
Applications and Systems Development
Business Continuity Planning and Disaster
Recovery Planning
Law, Investigation, and Ethics
Physical Security
35. Outras Certificações
GIAC - Global Information Assurance
Certification (Sans.Org)
3 Níveis de Expertise em 5 Áreas de
Conhecimento
Níveis
GIAC Silver
2 ou mais testes
GIAC Gold
Silver + Pesquisa e
Publicação
GIAC Platinum
Gold em 2 ou mais
AC’s + testes(3 dias)
Áreas de
Conhecimento
Administração de
Segurança
Gerência de
Segurança
Operações
Legislação
36. Outras Certificações
CompTIA – Security+
5 Domínios de Conhecimento
Communication Security
Infrastructure Security
Cryptography
Operational Security
General Security Concepts
37. Outras Certificações
MCSO – Módulo Certified Security
Officer
2 Módulos compreendendo:
Conceitos, Padrões e Aplicações
Fundamentos de Segurança da Informação
Organização de departamentos
Gestão de pessoas
Política de Segurança da Informação.
Gestão de Tecnologias
Windows/Unix
Segurança em redes e telecomunicações
Controle de acesso
Arquitetura e modelos de segurança
Criptografia
38. Outros Recursos
Academia Latino Americana de
Segurança da Informação
Parceria Módulo / Microsoft
Composta por:
Estágio Básico (4 módulos)
Graduação
Cada disciplina tem seu número de módulos
Em 2006 foram oferecidos o Estágio Básico e a
disciplina de ISO17799:2005
Ainda sem calendário e número de vagas para
2007
Necessário possuir usuário cadastrado no site do
TechNet
45. Filmes
Jogos de Guerra
(WarGames)
1983, vários
Quebra de Sigilo
(Sneakers)
1992, Robert Redford
Piratas de Computador
(Hackers)
1995, Angelina Jolie
O Cyborg do Futuro
(Johnny Mnemonic)
1995, Keanu Reeves
A Senha (Swordfish)
2001, John Travolta
A Rede (The Net)
1995, Sandra Bullock
Ameaça Virtual (Antitrust)
2001, Ryan Phillippe
Matrix (The Matrix)
1999, Keanu Reeves
Caçada Virtual (Takedown)
2000, Russell Wong
Piratas do Vale do Silício
(Pirates of Silicon Valley)
1999, vários
A Batalha do Atlântico (U-
571)
2000, Matthew
McConaughey
O Caçador de Andróides
(Blade Runner)
1982, Harrison Ford
46. Listas de Discussão
CISSPBr
Yahoo Groups
BugTraq
Modulo Newsletter
Outras Fontes
• The Hacker News Network
48. Hacker
“Unauthorized user who attempts to or gains access
to an information system.”
www.tecrime.com/0gloss.htm
“A person who illegally gains access to your
computer system.”
www.infosec.gov.hk/english/general/glossary_gj.htm
“A person who illegally gains access to and
sometimes tampers with information in a computer
system.”
http://www.webster.com/dictionary/hacker
“A person who accesses computer files without
authorization, often destroying vast amounts of data.”
www.boydslaw.co.uk/glossary/gloss_itip.html
49. Linha do Tempo: ‘Hacker’
1878-1969
Surgimento
da BELL TC
- Primeira geração de Hackers de Computadores;
- Estudantes do MIT nos anos 60;
- Capacidade de alterar programas ('hacks') em
mainframes para melhorar programas.
- Neste caso 'Hacker' tinha uma conotação positiva.
- Indicava pessoas capazes de levar programas além
de sua capacidade original.
Anos 70
Primeiros
Phreakers
- Phreaker = Freak, Phone, Free
- Surgiu após a substituição das telefonistas por sistemas telefonicos
gerenciados por computador
- Lenda do garoto cego que conseguiu assoviar um tom de 2600 Hz
enquanto conversava com sua tia
- Fato Captain Crunch e o apito da caixa de cereais que gerava o
mesmo ton de 2600 Hz
- Steeve Jobs + Steve Wozniak + Altair8000 = 1o. BlueBox (Berkley)
Proliferação
dos PCs
1980-1985
-A Evolução da cultura Hacker surge com o
aparecimento do PC
- Filme War Games
- Surgimento da 2600: Hacker Quaterly
- Acessar computadores, e tudo aquilo que possa
lhe ensinar mais alguma coisa sobre como o mundo
funciona, deve ser ilimitado e completo.
Anos 90
Combate a
ameaça Hacker
1985-1990
Roubos, Bugs e
Federais
-Legislação: Julgamento do primeiro hacker por invasão constante do
DoD por diversos anos, Pat Riddle AKA Captain ZAP
- Apenas acessar já não era suficiente, distribuição de rpogramas e
jogos, e o aparecimento de individuos que não mais respeitavam os
códigos de ética
- Os verdadeiros hackers começam a se distanciar dos que agra se
conhece como ‘Crackers’
- Surgem os primeiros Virus e Worms
2000+
Hackining: hoje
e no futuro
- Kevin Mitnick
- Em resposta as diversas prisões anunciadas na
mídia, o termo ‘Hacker’ passa a ter uma conotação
pejorativa
- Surge o filme Hackers
- Novas técnicas, antigos padrões
- Negação de Serviço, novos víros em arquivos de dados (mp3, jpeg,
…)
- Nasce a consciência comum de Segurança da Informação
- Corporações reconhecem a necessidade por segurança
- A mídia perpetua o Hacker como uma ameaça
- Iniciativas isoladas tentam resgatar o aspecto positivo dos Hackers
- Surgem os termos ‘White Hat’ e ‘Black Hat’
51. População por segmento
Usuários, Curiosos e Iniciantes
Geeks e Nerds
Script Kidies e Lammers
Hackers e Crackers
White e
Black Hats
52. VT: Parte 1 (1,5 ponto)
Dividir a sala em 6 grupos aproximadamente
iguais.
Cada grupo apresentará um dos temas abaixo,
sendo 15 min para apresentação e 5 min para
perguntas
Data da Apresentação:
Próx. Quarta-Feira (14/MAR/2007)Próx. Quarta-Feira (14/MAR/2007)
Temas:
Vírus
Worm
Backdoor
Cavalo de Tróia
(Trojan)
Bomba Lógica
RootKit
Composição do trabalho:
Uma apresentação (ex.:
PPT) – 1 ponto
Uma pesquisa sobre o
tema escolhido (ex.: DOC)
– 0,5 ponto
54. Ataques
Geralmente divididos nos seguintes tipos:
Pelo alvo geral do ataque (aplicações, redes ou misto)
Se o ataque é ativo ou passivo
Pelo mecanismo de ataque (quebra de senha,
exploração de código, ...)
Ataques Ativos
DoS, DDoS, buffer overflow, inundação de SYN
Ataques Passívos
Pesquisa de vulnerabilidade, sniffing, ...
Ataques de Senha
Força bruta, Dicionário, “hackish”, Rainbow Tables
Código malicioso (malware)
Vírus, trojans, worms, ...
55. Ataques Ativos
DoS/DDoS
Reduzir a qualidade de serviço a níveis
intoleráveis
Tanto mais difícil quanto maior for a infra-
estrutura do alvo
Enquanto DoS é de fácil execução e pode ser
corrigido, DDoS é de difícil e não pode ser
evitado
“Zombies” e Mestres (Masters), ataque smurf
BOTs e BOTNets, ataques “massificados” por
banda larga
Tipos
Consumo de Recursos (largura de banda, cpu,
RAM, ...)
Pacotes malformados (todas as flags ligadas)
56. Ataques Ativos (cont.)
Buffer Overflow
Sobrescrever o próprio código em execução
“Shell code”, escrito em assembler
Tem como objetivo executar algum código, ou
conseguir acesso privilegiado
Ataques SYN
Fragilidade nativa do TCP/IP
Conexão de 3-vias (Syn, Syn-Ack, Ack)
Spoofing
Se fazer passar por outro ativo da rede
MITM (Man-In-The-Middle)
Dsniff
57. Ataques Ativos (Cont.)
Lixeiros
Documentos sensíveis mal descartados
Informações em hardwares obsoletos
Falta de Política de Classificação da Informação
Engenharia social
Kevin Mitnick
Normalmente relevada nos esquemas de segurança
Utiliza-se do orgulho e necessidade de auto-
reconhecimento, intrínseco do ser humano
““Um computador não estará seguro nemUm computador não estará seguro nem
quando desligado e trancado em uma sala,quando desligado e trancado em uma sala,
pois mesmo assim alguém pode ser instruído apois mesmo assim alguém pode ser instruído a
ligá-lo.”ligá-lo.”
[ Kevin Mitnick – A arte de enganar/The Art of Deception ]
58. Ataques ativos por código malicioso
Malware
MALicious softWARE
Não apenas Spyware ou Adware
“Payload” Vs Vetor
Vírus
Auto replicante
Interfere com hardware, sistemas
operacionais e aplicações
Desenvolvidos para se replicar e iludir
detecção
Precisa ser executado para ser ativado
59. Ataques ativos por código malicioso
(cont)
Cavalos de Tróia (Trojans)
Código malicioso escondido em uma aplicação
aparentemente legítma (um jogo por exemplo)
Fica dormente até ser ativado
Muito comum em programas de gerência
remota (BO e NetBus)
Não se auto replica e precisa ser executado
Bombas Lógicas
Caindo em desuso pela utilização de
segurança no desenvolvimento
Aguarda uma condição ser atingída
Chernobyl, como exemplo famoso (26, Abril)
60. Ataques ativos por código malicioso
(cont)
Worms
Auto replicante, mas sem alteração de
arquivos
Praticamente imperceptíveis até que todo o
recurso disponível seja consumido
Meio de contaminação mais comum através
de e-mails e/ou vulnerabilidades em
aplicações de rede
Não necessita de ponto de execução
Se multiplica em proporção geométrica
Exemplos famosos:
LoveLetter, Nimda, CodeRed, Melissa, Blaster,
Sasser, ...
61. Ataques ativos por código malicioso
(cont)
Back Door
Trojan, root kits e programas legítmos
VNC, PCAnyware, DameWare
SubSeven, Th0rnkit
Provê acesso não autenticado a um sistema
Rootkit
Coleção de ferramentas que possibilitam a
criação “on-demand” de backdoors
Modificam rotinas de checagem dos sistemas
operacionais comprometidos para impedir
detecção
Iniciam no boot junto com os processos do
sistema
62. Ataques Passívos
Normalmente utilizado antes de um ataque ativo
Pesquisa de Vulnerabilidades
Pesquisa por Portas/Serviços
http://www.insecure.org – Nmap
Escuta (sniffing)
Extremamente difícil detecção
Não provoca ruído sensível
Senhas em texto claro, comunicações não encriptadas
Redes compartilhadas Vs comutadas
Switch Vs Hub
WireShark (Lin/Win), TCPDump (Lin)
http://www.wireshark.org
http://www.tcpdump.org
63. Ataques Passívos (cont)
Ataques de Senha
Muito comuns pela facilidade de execução e taxa
de sucesso
Cain&Abel, LC5, John The Ripper, ...
Compara Hash’s, não texto
Força Bruta
Teste de todos os caracteres possíveis
Taxa de 5 a 6 Milhões de testes/seg, em um P4
Ataques de Dicionário
Reduz sensivelmente o tempo de quebra
Já testa modificado para estilo “hackish”
B4n4n4, C@73dr@l, P1p0c@, R007, ...
Rainbow Tables
Princípio Time Memory Trade-off (TMTO)