Segurança de Redes. POR QUE FALAR EM SEGURANÇA DA INFORMAÇÃO?
Transcript of Segurança de Redes. POR QUE FALAR EM SEGURANÇA DA INFORMAÇÃO?
Segurança de Redes
POR QUE FALAR EM SEGURANÇA DA INFORMAÇÃO?
O MUNDO REAL ESTÁ MIGRANDO PARA O VIRTUAL?
A TRAGÉDIA QUE MUDOU O MUNDO MODERNO.
INFORMAÇÃO VALEM MAIS DO QUE BENS FÍSICOS.
O QUE É INFORMAÇÃO?
OS PRIMEIROS CUIDADOS COM A INFORMAÇÃO NA ANTIGUIDADE.
Out/2008
A história da Informação
~ 35000 AC – Homo Sapiens
Out/2008
A história da Informação
~ 32000 AC – Registro de desenhos nas cavernas
Out/2008
A história da Informação
~ 3500 AC – Escrita cuneiforme - Sumérios
Out/2008
A história da Informação
~ 2700 AC – Surgimento dos hieróglifos egípcios
Out/2008
A história da Informação
~ 2100 AC - Antikythera – calculadora astronômica
usada na Grécia
Out/2008
A história da Informação
~ 1200 AC – Guerra de Tróia
Out/2008
A história da Informação
~ 490 AC – Maraton – 42 km levando uma informação
Out/2008
A história da Informação
~ 23 AC – Correio Romano – Transporte oficial de
informações
Out/2008
A história da Informação
325 – Imperador Constantino – A Bíblia Cristã
Out/2008
641 – Biblioteca da Alexandria é destruída pelos árabes
História da Segurança da Informação
Out/2008
1455 – Impressão da Bíblia de Gutenberg
História da Segurança da Informação
Out/2008
1497 – Os “segredos” da “Última Ceia” de Da Vinci
História da Segurança da Informação
Out/2008
1559 – Santa Inquisição Index Librorum Prohibitorum
História da Segurança da Informação
Out/2008
1642 – Calculadora Mecânica de Pascal
História da Segurança da Informação
Out/2008
1863 – Uso do cilindro criptográfico na Guerra da secessão - EUA
História da Segurança da Informação
Out/2008
1876 – Alexander Graham Bell inventa o telefone
História da Segurança da Informação
Out/2008
1917 – Máquina de criptografia de Hebern – introdução do teclado
História da Segurança da Informação
Out/2008
1946 – O ENIAC, criado pelo exército americano, é o primeiro computador eletrônico
História da Segurança da Informação
Out/2008
1957 – É lançado o Satélite Russo Sputinik
História da Segurança da Informação
Out/2008
1958 – Fundada a ARPA (Advanced Research Projects Agency) em resposta ao projeto Sputinik
História da Segurança da Informação
Out/2008
1964 – IBM lança o Mainframe S/390, primeiro computador multitarefa comercial tornando-se um sucesso de vendas
História da Segurança da Informação
Out/2008
1969 – Criação da ARPANET, com a finalidade de interligar centros de computação militares e acadêmicos
História da Segurança da Informação
Out/2008
1980 - Início da onda de popularização dos computadores pessoais.
História da Segurança da Informação
Out/2008
1982 - Primeiro programa com características de vírus que se tem notícia, era chamado de ELK CLONER e foi criado para a plataforma Apple II.
História da Segurança da Informação
Out/2008
1983 – É Lançado o Windows 1.0
História da Segurança da Informação
Out/2008
1984 – Criada a ISSA – Information Systems Security Association, primeira associação para profissionais de Segurança de Sistemas.
História da Segurança da Informação
Out/2008
1986 - Computer Fraud and Abuse Act é a primeira lei que tipifica crimes de computador.
História da Segurança da Informação
Out/2008
1986 - Brain é o primeiro vírus de computador agindo no setor de boot
História da Segurança da Informação
Out/2008
1988 – Worm do estudante Robert Morris derruba 10% dos computadores da Internet, foi condenado a 400 horas de serviço comunitário e uma multa de $ 10.000.
História da Segurança da Informação
Out/2008
1989 - Surgimento dos primeiros softwares comerciais de antivírus.
História da Segurança da Informação
Out/2008
1991 – Linux é proposto por Linus Torvalds
História da Segurança da Informação
Out/2008
1995 – O Windows 95 é lançado e transforma o mercado de PC’s – promessas de um sistema seguro
História da Segurança da Informação
Out/2008
1995 – Publicada a primeira versão da BS 7799
História da Segurança da Informação
Out/2008
1995 – Primeiro teste com as urnas eletrônicas dá liderança tecnológica na área ao Brasil
História da Segurança da Informação
Out/2008
1997 - Receita Federal começa a receber declarações de Imposto de Renda pela Internet, em 97 foram recebidas 470.000 declarações pela web
História da Segurança da Informação
Out/2008
1999 - Vírus de macro Melissa se propaga por e-mails causando prejuízos estimados em US$ 80 milhões
História da Segurança da Informação
Out/2008
2000 - Loveletter – 45 milhões de computadores infectados em 24 horas, parando serviços de e-mail mundo afora.
História da Segurança da Informação
Out/2008
2000 - Ataques DDoS (Denial of Service Attacks) derrubam grandes portais como Amazon.com, CNN, MSN, eBay, Time Warners, CNN e YAHOO!
História da Segurança da Informação
Out/2008
2000 - BS 7799 vira a norma ISSO/IEC 17799
História da Segurança da Informação
Out/2008
2001 - ICP-Brasil é instituída através de medida provisória e transforma o Brasil no primeiro país do mundo a ter legislação específica.
História da Segurança da Informação
Out/2008
2001 – Surge os vírus CODE RED e NIMDA explorando as “Blackdoor”
História da Segurança da Informação
Out/2008
2001 - 11/9 transforma para sempre o conceito de Segurança da Informação
• Crise econômica global e retração de investimentos
• Terrorismo e criminalidade
• Continuidade de negócios
• Segurança incorporada ao dia-a-dia
História da Segurança da Informação
Out/2008
2002 –Aprovada nos EUA a lei Sarbanes-Oxley
História da Segurança da Informação
Out/2008
2002 – Decreto 4.553 (Classificação das Informações) Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado...
História da Segurança da Informação
Out/2008
2003 – SQL Slammer o virus mais rápido
– Explosão das fraudes no Brasil e no mundo.
História da Segurança da Informação
Out/2008
2004 – Sasser e Blaster atacam
História da Segurança da Informação
Out/2008
2006 – Trojan Storm e suas variações Peacomm , Nuwar, etc. se utilizando de email`s de catástrofes, assuntos polêmicos, mensagens de amor e vídeos, o cibercrime prolifera e dá lucro.
História da Segurança da Informação
Out/2008
... – A criatividade dos criminosos visando somente lucro e a ingenuidade das pessoas torna-se campo fértil para roubo de senhas $$$$$$$$$$$$$$$$
História da Segurança da Informação
“E DISSE O SENHOR DEUS Á MULHER: POR QUE FIZESTE ISTO? E DISSE A MULHER: A SERPENTE ME ENGANOU, E EU COMI.”
GN 3,13
“Ao longo da história, o ser humano sempre buscou o controle sobre a informações que lhe eram importantes
de alguma forma; isso é verdadeiro mesmo na mais remota antiguidade.” (Caruso, 1999)
Breve Histórico
• Preocupações com a segurança...
Júlio César Cofre Backup
Ambientes MilitaresA Criptologia ajudou nos principais conflitos da 2a Guerra Mundial
Cerca de 1900 a.C
Introdução
• Redes de Computadores e a Segurança• As corporações (empresas, governos e escolas) estão cada vez
mais dependentes de seus sistemas – exigem informações compartilhadas;
• Uso de informações sigilosas (comércio eletrônico)• Novas tecnologias (por exemplo, redes sem fio)
Necessidade de se manter a Segurança das Informações
As preocupações crescem....
• Aumento do uso da Internet• Aumento do registro dos incidentes de segurança
(intrusos e funcionários insatisfeitos)• Numerosos relatos de vulnerabilidades de softwares
(inclusive os de segurança)• Proteção física é dificilmente concretizada
Segurança de Redes é uma tarefa árdua e complexa !
9a Pesquisa Nacional de Segurança da Informação
Hackers
Causa desconhecida
Funcionários
Ex-funcionários
Prestadores de
serviço
Concorrentes
Outros
Hackers
Causa desconhecida
Funcionários
Ex-funcionários
Prestadores de
serviço
Concorrentes
Outros
32%32%
26%26%
23%23%
4%
4%
4%
4%
1%1%
10%10%
PRINCIPAIS
RESPONSÁVEIS
Sistemas
Internos
23%
Sistemas
Internos
23%
Invasão física6%
Invasão física6%
Outros5%
Outros5%
Internet60%
Internet60%
Acesso remoto
6%
Acesso remoto
6%
PRINCIPAIS PONTOS
DE INVASÃO
“Capacidade de assegurar a prevenção ao acesso e à manipulação ilegítima da informação, ou ainda, de
evitar a interferência indevida na sua operação normal”.
O conceito de Segurança Computacional
Integridade
Confidencialidade
Disponibilidade
Objetivos de SegurançaManuseio
Des
cart
e
Transporte
Arm
azenamento
INFORMAÇÂO
Int.
Disp.
Conf.
Objetivos de Segurança
Autenticidade Garantir que um sujeito usando uma identificação é seu verdadeiro detentor
Não-repudiaçãoGarantir que o participante de uma comunicação não possa negá-la posteriormente
ConfidencialidadeGarantir que as informações não serão reveladas a pessoas não autorizadas;
IntegridadeGarantir a consistência dos dados, prevenindo a criação não autorizada e a alteração ou destruição dos dados;
DisponibilidadeGarantir que usuários legítimos não terão o acesso negado a informações e recursos;
Violações e Ataques de Segurança
• Quando os objetivos de segurança não são alcançados – propriedades não são garantidas – há uma violação da segurança !• Revelação não autorizada da informação• Modificação não autorizada da informação• Negação indevida de serviço
• Ataques de Segurança
Passivo: ameaça a confidencialidadeAtivo: ameaça a integridade e/ou a disponibilidade
Ataques de Segurança
Fluxo Normal
A BFonte de
InformaçãoDestino daInformação
Modificação Fabricação
A B
Interrupção
A B
InterceptaçãoI
A B
M
A B
F
9a Pesquisa Nacional de Segurança da Informação
PRINCIPAIS AMEAÇAS À
SEGURANÇA DA
INFORMAÇÃO
Vírus
Funcionários insatisfeitos
Divulgação de senhas
Acessos indevidos
Vazamento de informações
Fraudes, erros e acidentes
Hackers
Falhas na segurança física
Uso de notebooks
Fraudes em e-mail
Vírus
Funcionários insatisfeitos
Divulgação de senhas
Acessos indevidos
Vazamento de informações
Fraudes, erros e acidentes
Hackers
Falhas na segurança física
Uso de notebooks
Fraudes em e-mail
66%66%
53%53%
51%51%
49%49%
47%47%
41%41%
39%39%
37%37%
31%31%
29%29%
9a Pesquisa Nacional de Segurança da Informação
PREJUÍZOS CONTABILIZADO
S
>35% das empresas no Brasil tiveram perdas financeiras
>22% das empresas acima registraram perdas de até R$ 50 mil, 8% entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milhão
>65% não conseguem quantificar o valor dos prejuízos
De R$ 500 mil a
R$ 1 milhão4%
De R$ 500 mil a
R$ 1 milhão4%
Não foi possível quantificar
65%
Não foi possível quantificar
65%
Mais de1 milhão
1%
Mais de1 milhão
1%
Até R$ 50 mil22%
Até R$ 50 mil22%
De R$ 50 mil a
R$ 500 mil8%
De R$ 50 mil a
R$ 500 mil8%
Perfil dos Intrusos
• O Script Kid – Um atacante tecnicamente pouco dotado que pesquisa aleatoriamente um grande número de sistemas à procura de vítimas e depois as explora de forma imprevista (destruição ou subversão); tende a deixar muitos vestígios da sua atividade no sistema
• O Cracker Intrusivo – Um atacante tecnicamente avançado que orienta os seus ataques para vítimas específicas, visando quase sempre apropriar-se de informação valiosa sem deixar rastros; é o atacante mais temido por qualquer administrador informático
• O Cracker Ético (Hacker) – Semelhante ao cracker intrusivo mas com intenções totalmente opostas, atuando muitas vezes ao serviço de empresas da área da segurança na informática
A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor.
INFORMAÇÃO DADOS CONHECIMENTO
“[...] uma área do conhecimento dedicada á proteção de ativos da informação contra acessos não autorizado,
alterações indevidas ou sua indisponibilidade.”(Sêmola, 3003)
ATRIBUTOS DA SEGURANÇA DA INFORMAÇÃO
“A CONFIDENCIALIDADE DIZ QUE A INFORMAÇÃO SÓ ESTÁ DISPONÍVEL PARA AQUELES DEVIDAMENTE AUTORIZADOS; A
INTEGRIDADE DIZ QUE A INFORMAÇÃO NÃO É DESTRUÍDA OU CORROMPIDA E O SISTEMA TEM UM DESEMPENHO
CORRETO, E A DISPONIBILIDADE DIZ QUE OS SERVIÇOS/RECURSOS DO SISTEMA ESTÃO DISPONÍVEIS
SEMPRE QUE FOREM NECESSÁRIOS. (CGI, 2006)