Insegurança na Rede: problemas e soluções

2,178 views

Published on

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,178
On SlideShare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
75
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Insegurança na Rede: problemas e soluções

  1. 1. Insegurança na Rede: GSeg UFRGS UFRGS problemas e soluções Vinícius S. Serafim GSeg - UFRGS
  2. 2. GSeg Roteiro UFRGS UFRGS Evolução da Rede Ataques Segurança da Informação Como implementar S.I.? Requisitos para RH Como adquirir conhecimentos? “A grande solução” 2
  3. 3. GSeg Grupo de Segurança - UFRGS UFRGS UFRGS Áreas de Pesquisa Sistemas operacionais seguros Segurança em redes sem fio Injeção de falhas maliciosas Engenharia de segurança Votação digital Coordenador Prof. Raul Fernando Weber 3
  4. 4. GSeg Evolução da Rede UFRGS UFRGS Wireless Dial-up ADSL 4
  5. 5. GSeg Ataques UFRGS UFRGS Motivações Simples curiosidade Notoriedade Lucro Vingança Investigação legal privacidade x possibilidade de investigação 5
  6. 6. GSeg Ataques UFRGS UFRGS Classes de agentes Hackers Crackers Script kids Agentes Alunos Espiões Administradores sem ética Amparados pela lei “Turista acidental” 6
  7. 7. GSeg Ataques UFRGS UFRGS Técnicas mais comuns Monitoramento/cópia de transmissões sniffing ethernet ajuda muito wireless mais ainda Exploração de erros de configuração de serviços e permissões programação (buffer overflow) Negação de serviço Backdoors Varreduras hosts e redes Engenharia social 7
  8. 8. GSeg Ataques UFRGS UFRGS Técnicas mais recentes Gummy Fingerprint Tsutomu Matsumoto (Matemático) Ingredientes: plástico moldável e gelatina incolor Funcionou em 80% dos casos 1 2 3 8
  9. 9. GSeg Ataques UFRGS UFRGS Técnicas mais recentes Pringles & Wireless Crescente disseminação Segurança prevista é muito fraca ... ... e normalmente não é utilizada WellenReiter, Air-Snort 9
  10. 10. GSeg Ataques UFRGS UFRGS Ataques organizados Desenvolvimento Desenvolvimento e teste em ambiente e teste em ambiente controlado controlado Escolha do alvo e Obtenção e testes levantamento de de ferramentas informações Fontes públicas Fontes públicas de informação de informação Privilégios de acesso, Privilégios de acesso, eliminar indícios, eliminar indícios, garantir retorno garantir retorno Aplicação das Exploração dos ferramentas contra Resultados o alvo 1 2 3 4 10
  11. 11. GSeg Segurança da Informação UFRGS UFRGS Garantia dos seguintes requisitos confidencialidade integridade disponibilidade autenticidade irrefutabilidade Tipos NBR ISO/IEC 17799 Física Lógica 11
  12. 12. GSeg Por que investir em S.I.? UFRGS UFRGS Crescente número de ameaças Recursos cada vez mais complexos Ferramentas de ataque mais poderosas Proteger Competitividade Lucratividade Cumprimento de requisitos legais Imagem no mercado 12
  13. 13. GSeg Como implementar S.I.? UFRGS UFRGS Instalar mecanismos Firewalls Sistemas de Detecção de Intrusão (IDS) Controle de troca de senhas O D A ID Monitorar usuários CU Trancar tudo o que não é útil I. S. 13
  14. 14. GSeg Segurança da Informação UFRGS UFRGS Alguns pontos de vista segurança é custo segurança versus facilidade de uso segurança por obscuridade profissionais com conhecimentos limitados usuários ignoram aspectos técnicos segurança x marketing 14
  15. 15. GSeg Segurança da Informação UFRGS UFRGS Os três pilares Segurança Mecanismo Cultura Política 15
  16. 16. GSeg Segurança da Informação UFRGS UFRGS Não é possível provar segurança mas sim o nível de insegurança em um dado instante de tempo Redução e controle de riscos O que é risco? Risco = Impacto x (Ameaça x Vulnerabilidade) Não existe redução 100% Ciência dos riscos 16
  17. 17. GSeg Como implementar S.I.? UFRGS UFRGS Através de que processo garantimos a qualidade de um software? Existe software perfeito? Testes garantem a inexistência de problemas? Engenharia de Segurança Redução de riscos a níveis aceitáveis através da qualificação do processo 17
  18. 18. GSeg Como implementar S.I.? UFRGS UFRGS Acima de tudo a missão da organização Participação de todos Segmentação Níveis de segurança NBR ISO/IEC 17799 Não traz nada de novo, mas organiza e serve como referência Deve-se ter sempre em mãos 18
  19. 19. GSeg Requisitos para RH UFRGS UFRGS Ética!!! Ex-hackers? Autodidata Conhecimentos técnicos Teoria e prática Sempre atualizados 19
  20. 20. GSeg Requisitos para RH UFRGS UFRGS Capacidade para entender a organização Facilidade para interagir com pessoas Iniciativa 20
  21. 21. GSeg Como adquirir conhecimentos? UFRGS UFRGS Internet www.packetstormsecurity.com www.cert.org www.securityfocus.com/online Livros não “Hackers em 24h” Prática 21
  22. 22. GSeg “A grande solução” UFRGS UFRGS A Segurança da Informação tem que ser tratada como item indispensável na formação de recursos humanos ao longo do currículo disciplinas específicas cursos especiais Andrew Yang, 2001 22
  23. 23. GSeg Contatos UFRGS UFRGS GSeg http://www.inf.ufrgs.br/~gseg gseg@inf.ufrgs.br Vinícius S. Serafim serafim@inf.ufrgs.br GNU/Linux 23

×