- Conceitos de segurança – Engenharia Social – Principais Normas Apresentação • Professor: – Izequiel Pereira de Norões – Bacharel em Informática (Unifor) – Pós em Gerência Estratégica da Informação (Unifor) – Pós em Tecnologias da Informação – Ênfase Web (UFC)
Contato: izequiel@gmail.com
Material da disciplina: http://fatene.ipn.eti.br
Izequiel Pereira de Norões - 2008
A disciplina • Objetivos: – Conhecer os principais aspectos de segurança na rede mundial de computadores; – Dominar os conceitos de segurança na internet; – Discutir as principais linhas de produtos de suporte à implementação, à administração e revisão de segurança de informações na internet; – Dominar sistemas de controle de acesso, de isolamento de rede, de detecção de invasão e de detecção de vulnerabilidade – Dominar as técnicas do uso seguro da WWW e correio eletrônico.
Izequiel Pereira de Norões - 2008
Plano do Conteúdo • Módulo 1: Conceitos Fundamentais; • Módulo 2: Segurança na WWW I – (TCP/IP e IP) • Módulo 3: Criptografia; • Módulo 4: Segurança na WWW II - (Cont. IP Sec – HTTP – SSL e outros protocolos); • Módulo 5: Ferramentas de Segurança da Informação e Sistemas WEB ( Hackers – Ameaças – Sistemas WEB); • Módulo 6: Virtual Private Network(VPN); Extras • Módulo 7: Auditoria, Analise de Riscos e Políticas de Segurança; • Módulo 8: Direito e Internet. Izequiel Pereira de Norões - 2008 Sugestões bibliográficas • Hack Notes: Segurança de Redes. – SHEMA, C e CLINTON M. • Hack Notes: Segurança na Web – SCHEMA, C. • Segurança no Desenvolvimento de Software – ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. • Segurança Máxima – Autor Anônimo. • TCP/IP – Internet, Intranet e Segurança – STARLIN, Gorki. Izequiel Pereira de Norões - 2008 Metodologia de Avaliação • Trabalhos individuais. • 1 prova. • ------------------------- 1ª Nota • 1 Trabalho em equipe + apresentação. (Prova). • ------------------------- 2ª Nota
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Introdução - “ É fácil ter-se um sistema de computação seguro. Você meramente tem que desconectar o seu sistema de qualquer rede externa, e permitir somente terminais ligados diretamente a ele. Pôr a máquina e seus terminais em uma sala fechada,e um guarda na porta.“ F.T. Grampp e R.H. Morris - Kevin Mitnick um dos hackers mais famosos do mundo, diz que um computador seguro é aquele que está desligado. Isso é verdade? Completando a idéia: “Sim, aquele que está desligado e enterrado no fundo do quintal”. - “Nem um computador desligado é seguro!” Izequiel Norões – 2006
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Objetivos da Segurança – Quando se pensa em segurança de informações, a primeira idéia que nos vem à mente é a proteção da mesma, não importando onde esteja. Um sistema computacional é considerado seguro se houver uma garantia de que é capaz de atuar exatamente como esperado. Porém segurança é um conceito que vai muito além disso. É expectativa de todos que a informação armazenada em um sistema computacional, permaneçam lá, sem que pessoas não autorizadas tenham acesso a seu conteúdo. Ou seja, é expectativa de qualquer usuário que a informação esteja disponível no local e momento que desejar, que sejam confiáveis, corretas e permaneçam imunes a acessos não autorizados
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Conceitos de Segurança: – Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos - MODELO CIA (Confidentiality, Integrity and Availability) - relacionados aos recursos que o compõem: • Confidencialidade: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda; (Dados disponíveis somente para quem precisa deles) • Integridade: alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal; (Dados não devem ser alterados) • Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal. (Dados disponíveis no momento necessário) Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Conceitos de Segurança: – Em complemento ao Modelo CIA podemos acrescentar: • Consistência – certificar-se de que o sistema atua de acordo com a expectativa dos usuários. • Isolamento ou uso legítimo – controlar o acesso ao sistema. Garantir que somente usuários autorizados possuam acesso ao sistema. • Auditoria – proteger os sistemas contra erros e atos cometidos por usuários autorizados. Para identificar autores e ações, são utilizadas trilhas de auditorias e logs, que registram o que foi executado no sistema, por quem e quando. • Confiabilidade – garantir que, mesmo em condições adversas, os sistema atuará conforme esperado.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Antes de implementar um programa de segurança de informações, é aconselhável responder às seguintes questões: – O que se proteger? – Contra que ou quem? – Quais as ameaças mais prováveis? – Qual a importância de cada recurso? – Qual o grau de proteção desejado? – Quanto tempo, recursos humanos e financeiros se pretende gastar para atingir os objetivos de segurança desejados? – Quais as expectativas dos usuários e clientes em relação à segurança de informações? – Quais as conseqüências para a instituição se seus sistemas e informações forem corrompidos ou roubados?
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Por que devo me preocupar com a segurança do meu computador? – Computadores domésticos são utilizados para realizar inúmeras tarefas, tais como: transações financeiras, sejam elas bancárias ou mesmo compra de produtos e serviços; comunicação, por exemplo, através de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. – É importante que você se preocupe com a segurança de seu computador, pois você, provavelmente, não gostaria que: • suas senhas e números de cartões de crédito fossem furtados e utilizados por terceiros; • sua conta de acesso a Internet fosse utilizada por alguém não autorizado; • seus dados pessoais, ou até mesmo comerciais, fossem alterados, destruídos ou visualizados por terceiros; • seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Por que alguém iria querer invadir meu computador? – A resposta para esta pergunta não é simples. Os motivos pelos quais alguém tentaria invadir seu computador são inúmeros. Alguns destes motivos podem ser: • utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor; • utilizar seu computador para lançar ataques contra outros computadores; • utilizar seu disco rígido como repositório de dados; • destruir informações (vandalismo); • disseminar mensagens alarmantes e falsas; • ler e enviar e-mails em seu nome;
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Por que alguém iria querer invadir meu computador? • propagar vírus de computador; • furtar números de cartões de crédito e senhas bancárias; • furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você; • furtar dados do seu computador, como por exemplo, informações do seu Imposto de Renda.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Política de segurança das informações – A política de segurança é um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos e externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais. – A política de segurança de informações deve estabelecer princípios de como a instituição irá se proteger, controlar e monitorar seus recursos de informática.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Política de segurança das informações
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Política de segurança das informações – O principal objetivo da implantação de uma política de segurança é preservar a informação quanto a sua integridade, disponibilidade e confidencialidade. – Para seu bom funcionamento, algumas premissas devem ser atingidas: • Definição do público alvo – Hoje em dia o público alvo de uma política de segurança não é somente os funcionários da empresa. Percebemos que todos os usuários de informação deverão seguir esta política. Quando dizemos usuários de informação, falamos a respeito de todos aqueles que direta ou indiretamente têm contato com alguma informação da empresa. Nesse contexto não podemos deixar de fora as pessoas terceirizadas, os fornecedores e clientes da empresa. • Implantação da gestão de segurança – Deve-se indicar um responsável pela gerência de segurança, que acompanhará a implementação da política de segurança e participará de suas revisões. Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Política de segurança das informações – Uma boa política de segurança deve abranger os seguintes tópicos: • Propriedade da Informação - Toda informação deve possuir um proprietário (owner), responsável por definir os usuários que terão acesso á informação e o setor de informática será o custodiante da mesma, ou seja, é o responsável pelas operações de manutenção da informação. • Classificação da Informação - As informações devem ser classificadas quanto aos princípios da disponibilidade, integridade e confidencialidade pelo seu gestor. • Controle de Acesso - Deve atender ao princípio de menor privilégio. Todo pedido de acesso deve ser documentado, com a justificativa de acesso. Deve-se atentar para que haja segregação de função, ou seja, não deixar que um único usuário tenha acesso a todas as informações de um processo, por exemplo, um funcionário não deve ter acesso à geração de pagamentos e liberação do mesmo. É importante que se mantenha trilhas de auditorias. Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Política de segurança das informações – Uma boa política de segurança deve abranger os seguintes tópicos: • Gerência de Usuários e Senhas - As senhas devem ser únicas e individuais e seguir critérios de qualidade. A responsabilidade da senha é do usuário proprietário da mesma. • Segurança Física - Os acessos a áreas de servidores devem ser consentidos mediante autorização. Deve-se haver controle sobre a entrada e saída de equipamentos. • Gestão de Segurança - Deve ser criado um comitê de segurança e uma administração de segurança responsáveis por revisões periódicas na política de segurança e sanções em caso de violação da mesma.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Política de segurança das informações – Uma boa política de segurança deve abranger os seguintes tópicos: • Desenvolvimento de Sistemas - É importante que se tenha uma metodologia interna. • Capacitação e Conscientização - Deve-se haver uma divulgação da política para que haja conscientização da mesma. • Continuidade de Negócios – A elaboração de um plano de continuidade de negócios é um tópico dos mais importantes na política de segurança.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Política de segurança das informações – Para a implantação da política de segurança, destacamos as principais fases: • 1. Identificação dos recursos críticos. • 2. Classificação das informações. • 3. Definição dos objetivos de segurança a serem atingidos. • 4. Análise das necessidades de segurança ( identificação da possíveis ameaças, análise de riscos e impactos). • 5. Elaboração de proposta da política. • 6. Discussões abertas com os envolvidos. • 7. Apresentação de documento formal à gerência superior. • 8. Aprovação. • 9. Implementação. • 10. Revisão.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Mecanismos de Segurança – O suporte para as recomendações de segurança pode ser encontrado em: • Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação)que a suporta. • Existem mecanismos de segurança que apóiam os controles físicos como: Portas / trancas / paredes / blindagem / guardas / etc ..
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Mecanismos de Segurança – O suporte para as recomendações de segurança pode ser encontrado em: • Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado. – Existem mecanismos de segurança que apóiam os controles lógicos: • Mecanismos de criptografia. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração. Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Mecanismos de Segurança – Existem mecanismos de segurança que apóiam os controles lógicos: • Assinatura digital - Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade do documento associado, mas não a sua confidencialidade. • Mecanismos de garantia da integridade da informação - Usando funções de "Hashing" ou de checagem, consistindo na adição. • Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Mecanismos de Segurança – Existem mecanismos de segurança que apóiam os controles lógicos: • Mecanismos de certificação: Atesta a validade de um documento. • Integridade: Medida em que um serviço/informação é genuino, isto é, esta protegido contra a personificação por intrusos. • Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Modelo dos ciclos de vida da Segurança – Modelo ARBIL (Asset and Risk Based INFOSEC lifecycle – Ciclo de vida da segurança baseado em bens e riscos)
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Modelo dos ciclos de vida da Segurança – Ciclo Externo segurança operacional e gerencial: • Compreender – saber o papel da empresa ou entidade, dos seus produtos e serviços, de seus funcionários, a sua missão, etc. • Coletar Compilar informações sobre os recursos organizacionais, departamentais e de grupo, incluindo tipo de dados e pessoas, infra-estrutura de rede e computacional, mecanismos de proteção e controles adotados e processos e procedimento aplicados/ausentes. Com entrevistas, questionários e pesquisa documental. • Avaliar Determinar quem, o que, onde, quando, e como estão inseridos no papel da empresa os objetivos que as apóiam e as funções operacionais que são necessárias para que ocorram.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Modelo dos ciclos de vida da Segurança – Ciclo Externo segurança operacional e gerencial: • Fazer auditoria teste e avaliação dos controles, mecanismos de segurança e também as etapas de solução alternativa necessárias para da conta dos pontos vulneráveis. • Implementar Quando ações corretivas são determinadas, elas são priorizadas e designadas para implementação. Algumas vezes, a implementação pode ser orientada por uma análise da relação custo/benefício. • Gerenciar Depois de todos os passos anteriores os controles e mecanismos de proteção aplicados devem ser gerenciados aplicando os princípios usados no círculo interno ou recomeçar a fase de compreensão pelo círculo externo.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Modelo dos ciclos de vida da Segurança – Ciclo Interno controles e mecanismos orientados por ações: • Mecanismo de proteção processos, procedimentos, métodos administrativos, hardware e software para os bens organizacionais. • Monitorar auditar e registrar alertas e dados do sistema e depois, avaliar essas informações para triggers e eventos de segurança. • Reagir tomar medidas apropriadas e preparar recursos para iniciar a defesa. • Defender proteger e minimizar os danos. • Recuperar no caso de um incidente, avaliar danos e iniciar a recuperação e assim reavaliar as necessidades de segurança.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Visão rápida do processo hacking – Árvores de ataque; – Listas de ameaças; – Listas de vulnerabilidades.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Visão rápida do processo hacking – Árvores de ataque avaliação de cada ponto de exposição em potencial dentro da empresa/entidade.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Visão rápida do processo hacking – Lista de ameaças compreender cada ameaça presente depois de mapeadas as árvores de ataque – Ameaças Deliberadas
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Visão rápida do processo hacking – Lista de ameaças compreender cada ameaça presente depois de mapeadas as árvores de ataque – Ameaças Acidentais
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Visão rápida do processo hacking – Lista de ameaças compreender cada ameaça presente depois de mapeadas as árvores de ataque – Ameaças Ambientais
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Visão rápida do processo hacking – Lista de vulnerabilidades
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Avaliação e gerenciamento de riscos – Gerenciamento de riscos é uma prática e um processo pelos quais os riscos e ameaças são devidamente avaliados e os métodos de proteção, implementados de acordo, de modo a não interferirem, atrapalharem nem mesmo prejudicarem a capacidade de a empresa realizar a missão que se destina. – Meio de encapsular a postura de segurança da empresa/entidade e permitir que sejam tomadas decisões razoáveis e eficazes de proteção aos bens que lhe são fundamentais em termos operacionais. – Determina a direção e o contexto corretos para o plano de segurança da informação e para as políticas e procedimentos de segurança.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Avaliação e gerenciamento de riscos – Avaliação Componente principal em todo programa de gerenciamento de riscos e plano de segurança, descreve o processo e os procedimentos gerais, é feita com base mas informações compiladas obtidas durante o processo. Que compõe: • Avaliação de riscos fundamentais; – Importância fundamental dos dados. – Importância fundamental da missão operacional. – Importância fundamental da organização. – Dificuldade em substituir ou restaurar. • Avaliação de ameaças; – Mapeamento de vulnerabilidades – Revisões de arquitetura – Avaliações de estações – Revisão de políticas e procedimentos – Revisões de aplicações WEB – Revisões de segurança física • Avaliação de vulnerabilidades; • Análise de risco; e • Resolução de risco. Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Engenharia Social – é um método utilizado para obter acesso à informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o 'engenheiro' pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. – É uma forma de entrar em organizações muito facilmente, porque não necessita da força bruta ou de erros em máquinas, ela explora com muita sofisticação as falhas de segurança dos humanos, que quando não treinados para esses ataques, podem ser facilmente manipulados. Algumas empresas investem fortunas em tecnologias de segurança de informações e protegem fisicamente seus sistemas, mas a maioria não possui métodos que protegem seus funcionários das armadilhas de engenharia social.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – É importante salientar que, independente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de engenharia social. Dentre essas características, pode-se destacar: • Vontade de ser útil : O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário. • Busca por novas amizades : O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações. • Propagação de responsabilidade : Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades. • Persuasão : Compreende quase uma arte, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis a manipulação. Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Engenharia Social – É importante observar que o sucesso da engenharia social depende da compreensão do comportamento do ser humano, além da habilidade de persuadir outros a disponibilizarem informações ou realizarem ações desejadas pelo engenheiro social. Perceba ainda que o medo de perder seu emprego ou vontade de ascender pode resultar na entrega de informação de natureza proprietária. Nesse sentido, observa-se que a engenharia social possui uma seqüência de passos na qual um ataque pode ocorrer: • Coleta de informações – O hacker ou engenheiro social busca as mais diversas informações dos usuários como número de CPF, data de nascimento, nomes dos pais, manuais da empresa, etc. Essas informações ajudarão no estabelecimento de uma relação com alguém da empresa visada. Ex: “Google Hacking”
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social • Desenvolvimento de relacionamento – O engenheiro social explora a natureza humana de ser confiante nas pessoas até que se prove o contrário.
• Exploração de um relacionamento – O engenheiro social
procura obter informações da vítima ou empresa como, por exemplo, senha, agenda de compromissos, dados de conta bancária ou cartão de crédito a serem usados no ataque.
• Execução do ataque – O hacker ou engenheiro social
realiza o ataque a empresa ou vítima, fazendo uso de todas informações e recursos obtidos.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – Especialistas afirmam que a medida que nossa sociedade torna-se cada vez mais dependente da informação, a engenharia social tende a crescer e constituir-se numa das principais ameaças aos sistemas de segurança das (grandes) organizações. Entretanto, embora as situações apresentadas até agora sejam um tanto indesejáveis e até certo ponto assustadoras, há mecanismos através dos quais uma organização pode implementar a fim de detectar e prevenir ataques de engenharia social. Tais medidas visam, principalmente, atenuar a participação do componente humano. Essas medidas compreendem: • Educação e Treinamento – Importante conscientizar as pessoas sobre o valor da informação que elas dispõem e manipulam, seja ela de uso pessoal ou institucional. Informar os usuários sobre como age um engenheiro social. Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Engenharia Social • Segurança Física – Permitir o acesso a dependências de uma organização apenas às pessoas devidamente autorizadas, bem como dispor de funcionários de segurança a fim de monitorar entrada e saída da organização. • Política de Segurança – Estabelecer procedimentos que eliminem quaisquer trocas de senhas. Por exemplo, um administrador jamais deve solicitar a senha e/ou ser capaz de ter acesso a senha de usuários de um sistema. Estimular o uso de senhas de difícil descoberta, além de remover contas de usuários que deixaram a instituição. • Controle de Acesso – Os mecanismos de controle de acesso tem o objetivo de implementar privilégios mínimos a usuários a fim de que estes possam realizar suas atividades. O controle de acesso pode também evitar que usuários sem permissão possam criar/remover/alterar contas e instalar software danosos a organização. Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Engenharia Social – Principais Ataques: • Ataque indireto
O ataque indireto consiste basicamente na utilização de
ferramentas de invasão (como cavalos de tróia e sites com código malicioso) e de impostura (como cartas, e- mails e sites falsos com a aparência dos verdadeiros) para obter informações pessoais. Os usuários individuais de quem o hacker extrai os dados são apenas vetores para a coleta de informações de uma entidade maior - empresa, organização ou governo. sua intenção não é atacar cada um desses usuários, e sim o organismo maior ao qual elas pertencem.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – Principais Ataques: • Ataque direto
São caracterizados pelo contato pessoal. Geralmente são
feitos por fax ou telefone (embora hackers mais confiantes ousem fazê-los pessoalmente...) e exigem planejamento detalhado e antecipado, vários planos de emergência para cada uma das fases do ataque previamente planejadas e um pouco de dom artístico. Sim, um bom invasor tem a obrigação de ser bom ator. Este deve ser bem articulado para que seu plano não seja desmascarado, e também ter raciocínio rápido para encontrar saídas caso algo fora do planejado dê errado.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – Ataques comuns • Vírus que se espalham por e-mail: criadores de vírus geralmente usam e-mail para a propagação de suas criações. Na maioria dos casos, é necessário que o usuário que receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Uma dos métodos mais usados é colocar um texto que desperte a curiosidade do internauta. Assim, o texto pode tratar de sexo, de amor, de notícias atuais, etc. Um dos exemplos mais clássicos é o vírus I Love You, que chegava ao e-mail das pessoas usando este mesmo nome. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – Ataques comuns • E-mails falsos (scam): é usado principalmente para obter informações financeiras da pessoa, como número de conta- corrente e senha. Neste caso, o aspecto explorado é a confiança. Boa parte dos criadores desses e-mails são criminosos que desejam roubar o dinheiro presente em contas bancárias. Como é inviável tentar burlar a seguranças dos sistemas bancários, é mais fácil ao criminoso tentar enganar as pessoas para que elas forneçam suas informações bancárias. A tática usada é a seguinte: o criminoso adquire uma lista de e-mails usados para SPAM que contém milhões de endereços, depois vai a um site de um banco muito conhecido, copia o layout da página e o salva em um site provisório, que tem a url semelhante ao site do banco. Por exemplo: www.infowester.com usa-se: www.infoweste.com ou www.imfowester.com ou www.infowezter.com
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – Ataques comuns • E-mails falsos (scam): O passo seguinte é enviar um e- mail à lista adquirida usando um layout semelhante ao do site. Esse e-mail é acompanhado por um link que leva ao site falso. Para fazer com que o internauta clique no link, o texto da mensagem pode, por exemplo, sugerir uma premiação: "Você acaba de ser premiado com 10 mil reais. Clique no link para atualizar seu cadastro e receber o prêmio". Como a instituição bancária escolhida geralmente é muito conhecida, as chances de que o internauta que recebeu o e-mail seja cliente do banco são grandes. Assim, ele pode pensar que de fato foi o banco que enviou aquela mensagem, afinal, o e-mail e o site do link tem o layout da instituição. Como conseqüência, a vítima ingenuamente digita seus dados e dias depois percebe que todo o dinheiro da sua conta sumiu! Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Engenharia Social – Ataques comuns • Salas de bate-papo (chat): esse é um dos meios mais perigosos de enganação e costumam vitimar principalmente crianças e adolescentes. O perigo ocorre porque a conseqüência do golpe pode trazer danos físicos e morais à pessoa. Nas salas de bate-papo, os golpistas vão ganhando a confiança da futura vítima através da conversa. Por este meio, ele aos poucos vai convencendo a pessoa a fornecer seus dados, como telefone, endereço residencial, endereço escolar, etc. Um criminoso pode, por exemplo, entrar em uma sala de bate-papo para jovens e dizer coisas que convencem uma adolescente de 13 anos de que ele pode ser seu namorado perfeito. Ela então fornece seus dados ou marca um encontro na expectativa de ver seu "príncipe encantado". Golpes assim também podem ser aplicados em adultos. Por exemplo, com uma mulher divorciada e que usa um chat esperando encontrar um novo parceiro.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – Ataques comuns • Salas de bate-papo (chat): esse é um dos meios mais perigosos de enganação e costumam vitimar principalmente crianças e adolescentes. O perigo ocorre porque a conseqüência do golpe pode trazer danos físicos e morais à pessoa. Nas salas de bate-papo, os golpistas vão ganhando a confiança da futura vítima através da conversa. Por este meio, ele aos poucos vai convencendo a pessoa a fornecer seus dados, como telefone, endereço residencial, endereço escolar, etc. Um criminoso pode, por exemplo, entrar em uma sala de bate-papo para jovens e dizer coisas que convencem uma adolescente de 13 anos de que ele pode ser seu namorado perfeito. Ela então fornece seus dados ou marca um encontro na expectativa de ver seu "príncipe encantado". Golpes assim também podem ser aplicados em adultos. Por exemplo, com uma mulher divorciada e que usa um chat esperando encontrar um novo parceiro.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – As principais armas de um engenheiro social podem ser divididas em dois grandes grupos: pesquisa e impostura. Comecemos pela pesquisa. A aquisição de material, como relatórios anuais e lista de pagamento, pode dar uma ótima visão da hierarquia adotada na empresa. Isso ajuda muito na hora da seleção dos alvos pontuais (lembre-se: um pedacinho de informação extraído de cada usuário resulta em um bolo valiosíssimo quando reunido às outras pequenas informações extraídas dos outros usuários). O hacker pode descobrir quem detém o material necessário para a invasão e outras informações importantes para o ataque, como departamento em que a pessoa trabalha, softwares utilizados, sistema operacional, hardware e sistemas empresariais.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – Observe que nem sempre os dados úteis estão escritos: uma análise dos resultados de sua busca, compreendendo combinações e cruzamento de informações, é importantíssima. "Ler nas entrelinhas" nunca foi tão necessário... Mesmo assim, a pesquisa é só o começo. Depois de descobrir quem guarda as informações e quais são elas, o hacker deve pensar nos meios que utilizará para extrair mais dados. É nesse ponto que entra a impostura: o hacker deve se fazer passar por outras pessoas (seja da própria empresa, seja clientes, fornecedores, seja até agentes do governo) para, de posse das informações já "garimpadas", angariar dados e documentos mais sérios, específicos e, pricipalmente, valiosos.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – O Lixo é rico! • o lixo de um escritório é, potencialmente, uma das maiores fontes de informações para o hacker. • é nele que as pessoas jogam aqueles pedaços de papéis em que anotam suas senhas antes de memorizá-las ou transcrever para uma agenda. • o lixo de uma grande empresa recebe dezenas de relatórios que podem parecer banais mas que, na verdade, guardam informações sobre o patrimônio da empresa, funcionários cadastrados e aspectos dos sistemas. • A falta de preocupação só com esse fator isolado pode render uma invasão bem-sucedida e ainda ajudar o invasor a limpar seus rastros. Muitas vezes, ele mesmo pode estar lá para recolher o lixo da sala do administrador. Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Engenharia Social – Disfarces • Como um bom espião, o engenheiro social deve dispor de diversos disfarces para alcançar seus objetivos. Entre eles deve constar desde se passar por faxineiro até consultor em visita. Certas empresas adoram receber consultores de empresas famosas, para tanto, basta apenas que o hacker tenha um terno, boa lábia e um crachá. O fator idade não é mais um problema tão grande, pois o perfil do profissional de informática é cada vez mais jovem, basta apenas tratar um pouco da aparência e da linguagem a ser utilizada.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Engenharia Social – Disfarces • A incorporação do personagem é um fator de grande importãncia para o sucesso. Imagine um hacker disfarçado de faxineiro. Ele simplesmente não vai andar até a lata de lixo, separar os papéis de seu interesse, e virar as costas, será até estranho se ninguém suspeitar. Ele deve fazer todo o serviço, desde limpar a mesa até varrer o chão, conseguindo mais oportunidades para entender o que acontece ao seu redor. Depois de um certo tempo, as pessoas passam a confiar mais e o invasor pode tranqüilamente limpar as mesas repletas de material importante para o desenvolvimento de um ataque bem-sucedido.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Ameaças Programadas – Os sistemas informatizados podem passar a ter um comportamento estranho, não por acidente, mas pela execução de códigos gerados com intuito de danificar ou adulterar o comportamento normal dos softwares. Esses códigos são chamados de ameaças programadas. Normalmente as ameaças programadas são chamadas de vírus, mas tecnicamente, existem outras nomenclaturas mais específicas. As diversas ameaças programadas são classificadas pela forma como se comportam, como são ativadas ou como se espalham. Os tipos principais são:
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Ameaças Programadas – Vírus pequenos programas projetados para se replicarem e se espalharem de um computador a outro, atacando programas ou o setor de boot de um disco rígido. São seqüências de código inseridas em outro código executável, de forma que, quando esses programas são ativados, os vírus também são executados. Como os vírus não são programas executáveis por si mesmos, sempre necessitam de outro código para que sejam executados. São variações de cavalos de Tróia, com um mecanismo de ativação (evento ou data) e com uma missão (apagar arquivos, enviar dados, etc.), que se propagam (anexando-se a arquivos e programas). Uma vez ativo, o vírus pode infectar imediatamente outras partes do computador (outros programas, arquivos, disquetes e setores de disco) ou permanecer residente na memória do computador e oportunamente infectar outros programas e disquetes. Izequiel Pereira de Norões - 2008 Conceitos Fundamentais • Ameaças Programadas – Worms programas que se propagam de um computador a outro em uma rede, sem necessariamente modificar programas nas máquinas de destino. Worms são programas que podem rodar independentemente e trafegam de uma máquina a outra através das conexões de rede, podendo ter pedaços de si mesmos rodando em várias máquinas. As worms geralmente não modificam outros programas, embora possam carregar outros códigos que o façam (como vírus, por exemplo). Um exemplo de worm, ocorreu em maio de 2000, a VBS/LoveLetter e suas variantes, causaram problemas em redes de computadores do mundo inteiro.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Ameaças Programadas – Bactéria programa que gera cópias de si mesmo com intuito de sobrecarregar um sistema de computador. As bactérias são programas que não causam explicitamente danos aos arquivos. Seu único propósito é a sua replicação. Essa reprodução de bactérias e exponencial, podendo assumir toda a capacidade do processador, da memória ou do espaço em disco, impedindo o acesso de usuárias autorizados a esses recursos.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Ameaças Programadas – Bomba lógica ameaça programada, camuflada em programas, que é ativada quando certas condições são satisfeitas. As bombas lógicas permanecem dormentes, ou inativas, em softwares de uso comum por um longo período de tempo até que sejam ativadas. Quando isso ocorre, executam funções que alteram o comportamento do software “hospedeiro”. Geralmente as condições ativadoras de bombas lógicas são: um dia da semana ou do ano; a presença ou ausência de certos arquivos; ou um determinado usuário rodando a aplicação. Uma vez ativada, a bomba lógica pode alterar ou destruir dados, travar o computador ou danificar o sistema.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Ameaças Programadas – Cavalo de Tróia programa que parece ter uma função mas que, na realidade, executa outras funções. Análogos ao mito da história grega, os cavalos de Tróia modernos se parecem com um programa que o usuário gostaria de rodar (como um jogo, uma planilha eletrônica ou editor de textos). Enquanto parece estar executando o que o usuário quer, na verdade, o cavalo de Tróia está fazendo algo completamente diferente, como por exemplo, apagando arquivos, reformatando discos ou alterando dados. Tudo o que o usuário vê é apenas a interface adulterada do programa que ele queria utilizar. Quando o cavalo de Tróia é percebido, geralmente já é tarde demais. Normalmente os cavalos de Tróia são utilizados como veículos para vírus, worms e outras ameaças programadas.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • ISO 27001 – ISO 27001 é uma norma internacional para referência da implantação de processos de gestão de segurança da informação, publicada pelo International Organization for Standardization em outubro de 2005.
– A norma ISO/IEC 27001 (Information Technology -
Information Security Management Systems - Requirements) trata da implantação de um processo de gestão de segurança da informação (ISMS - Information Security Management Systems). Esta norma em conjunto com a ISO 17799 (Código de Boas Práticas da Gestão de Segurança da Informação) são as principais referências, atualmente, para a quem procura tratar a questão da segurança da informação de maneira eficiente e com eficácia.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • ISO 27001 – No Brasil, apenas oito organizações conseguiram obter o certificado BS7799-2: Serasa, Banco Matone, Samarco, Módulo Security, Unisys, PRODESP, SERPRO e Telefônica. A Módulo Security foi a primeira empresa do mundo a obter a nova certificação ISO 27001. As outras empresas deverão, em algum momento, se recertificar.
– Em conjunto com a iniciativa desta nova norma, a
International Organization for Standardization vem desenvolvendo um novo conjunto de normas voltadas para a segurança da informação, que foram agrupadas sob a designação genérica de "normas grupo ISO 27000", que virão detalhar e aprofundar alguns assuntos mais críticos e substituir a atual ISO 17799.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Security Officer – O cargo de Security Officer tomou destaque nos últimos anos em função do despertar das organizações para a questão da segurança da informação. Seja por causa de situações que aconteceram ou seja pela existência de legislação. Cada vez mais, fica evidente que essa proteção não pode se restringir à área de tecnologia, mas deve contemplar todo o negócio independente de como a informação se apresenta ou está armazenada.
– As organizações de grande porte devem ter um funcionário
em nível de gestor executivo, dedicado a este aspecto. Para as médias e pequenas empresas, soluções internas ou de prestador de serviço devem ser avaliadas para uma solução específica para a organização.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Security Officer – Em termos de Brasil, pensando de uma forma estruturada, foi no final da década de 80 que começou a surgir esta função profissional, apesar de não ter este nome específico. As instituições financeiras e as companhias aéreas representam os primeiros segmentos a se preocupar com o assunto. Isso se explica pelo tipo de informação que essas organizações utilizam. Porém naquela época, os profissionais designados para a função, estavam adentrando em um mundo desconhecido.
– Atualmente existem desafios que todo profissional designado
para a função executiva de gestor da segurança da informação deve conhecer, enfrentar e superar. Evidentemente, sempre considerando o porte da organização e as características do negócio. De uma forma estratégica destacamos que o profissional deve:
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Security Officer a) Estar ciente que o seu objetivo é fazer acontecer a segurança O Security Officer é responsável pela execução do processo de segurança da informação. Ele tem que garantir que os requisitos de segurança existem, são de conhecimento dos envolvidos e são cumpridos ao longo do tempo. A responsabilidade por realizar a segurança da informação será de cada colaborador da organização: do usuário que realiza a mais simples função até o mais alto executivo. b) Construir estratégia da segurança da informação O Security Officer tem que definir a abordagem estratégica que vai adotar para a organização. Esta estratégia deve: - estar alinhada às normas e procedimentos éticos da corporação; - definir a forma de atuação do grupo de segurança; - ter por base as normas e melhores práticas de mercado; - proteger os recursos de informação; - definir os controles para as novas iniciativas de negócio e - acompanhar a eficácia da proteção ao longo do tempo.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Security Officer c) Transmitir a visão estratégica A direção da organização deve conhecer e compartilhar a visão estratégica da proteção da informação. De forma complementar a estratégia do negócio deve ser de conhecimento do Security Officer. Essa “avenida de mão dupla” é um fator crítico de sucesso para a proteção da informação e possibilita a transformação da teoria em prática.
d) Estruturar políticas, normas, padrões e procedimentos
Sou de opinião que devemos ter distintos documentos organizacionais, cada um com seu objetivo. A política explicita a filosofia da organização sobre o assunto segurança, deve ser de fácil lembrança e deve ser como os dez mandamentos: informar as regras básicas que devem ser seguidas. As normas e procedimentos tratarão do detalhamento e do como executar esses controles.
Izequiel Pereira de Norões - 2008
Conceitos Fundamentais • Security Officer e) Garantir a conscientização e treinamento das pessoas O sucesso do processo de segurança da informação depende do nível de comprometimento dos usuários. As pessoas precisam ser conscientizadas da necessidade de proteção da informação e também precisam ser treinada para fazer corretamente essa proteção.
f) Lembrar que nem sempre o Security Officer sabe tudo
A proteção da informação atua sobre um leque abrangente de assuntos, situações e novas tecnologias. Algumas vezes, o Security Officer não saberá detalhes de como implementar. Mas, deve saber contar com a colaboração de especialistas para a implantação adequada.
Além desses desafios, o profissional de segurança da informação
deve ter, pelo menos, duas características básicas: amar o que faz e ser ético. Com essas características e complementando com profissionalismo, o processo de segurança da informação existirá de forma efetiva na organização!