Material do Aluno
Versão 1.0
PDF Gerado em baixa resolução
para demonstração do material
2
Este material foi impresso pela...
3 4
5
Sumário
Conhecendo a Evolveris................................................... 6
1 - O Papel do CSO.....................
7
Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo inter-
nacional, proprietário de diversas universidad...
9
 Dados acadêmicos - Informações sobre a vida acadêmica dos estudan-
tes de cursos regulares, que envolvem seu período n...
11
Dentre os pontos a serem otimizados, encontramos a segurança física, finan-
ceira e de pessoal, além da estratégia de c...
13
 Daniel Oliva - Chief Financial Officer (CFO) - responsável pela gestão
financeira da Evolveris, além de fazer parte d...
15
Hilda solicitou que Willian identificasse todos os tipo de dados que a Evol-
veris processa e armazena, Olívia por sua ...
17
Hilda então procura Allan, responsável pela segurança corporativa, e Allan
prontifica-se a apresentar-lhe os controles ...
19
A posição de CISO – Chief Information Security Officer é relativamente
novo a maioria organização, o CISO deve fornecer...
21
A segurança próxima de 100% é uma meta normalmente buscada dentro do
meio militar, onde falhas podem custar vidas, ativ...
23
 Tecnologia: Apesar de ser o componente mais visível na manutenção
da segurança, não chega a ser o que mais requer esf...
25
Todas essas proteções dependem diretamente de processos bem definidos,
da execução de políticas bem elaboradas e de pes...
27
Outra grande origem de controles são os requisitos de negócio. Se uma orga-
nização opera com projetos automobilísticos...
29
Segundo a ISO 27002, os controles físicos previnem o acesso físico não
autorizado, danos e interferências com as instal...
31
O Sistema possui perfis de acesso pré-autorizados, dessa forma, a cada vez
que um novo colaborador entra em determinada...
33
Ao passar por um ponto de entrada, o visitante precisa apresentar seu cra-
chá para registro via RFID, apesar deste reg...
35
Cada unidade de Evolveris possui uma pequena sala de servidores, com
acesso biométrico, restrito a poucos técnicos, som...
37
Verifique se o acesso físico a pontos sem fio de acesso, gateways, dispositi-
vos portáteis, hardwares de comunicação/r...
39
A equipe de TI implementou uma política de bloqueio automático para as
estações após 5 minutos sem uso. Para servidores...
41
A Evolveris possui uma solução de no-break, ou fornecedor ininterrupto de
energia (UPS- Uninterruptible Power Supply), ...
43
A Norma ainda traz as seguintes recomendações:
 Convém que as chaves de emergência para desligamento da energia
fiquem...
45
Os meios de transmissão, com ou sem fio, estão sujeitos a interferências, que
podem comprometer a integridade e disponi...
47 48
49
Wallace promete a Hilda uma apresentação sobre o grau de maturida-
de da Evolveris se comparado à norma ISO 27001 e ao ...
51
Para as mídias com maior requisito de disponibilidade e integridade, uma
remoção mais simples dos dados pode ser o sufi...
53
A política prevê também uma separação dos hashes de dados da versão trun-
cada dos mesmos, e quando isso não é possível...
55
Métodos para minimizar os riscos, podemos truncar alguns dados críticos,
quando o armazenamento completo não for necess...
57 58
59
O Conceito de chaves assimétricas nasceu oficialmente com os trabalhos de
Whitfield Diffie e Martin Hellman, no início ...
61
No exemplo acima a operação se repete, mas dessa vez Allan utiliza uma
chave privada para criptografar o hash, antes de...
63
O Sistemas de criptografia de discos do Windows (2000 em diante) traz
uma abordagem híbrida, utilizando o melhor da cri...
65
A Evolveris possui uma política de controle de acesso fortemente documen-
tada e divulgada, que considera os seguintes ...
67
O termo “Triple A” define a tríade de acesso lógico à informação, composta
por autenticação, autorização e auditoria.
A...
69
Outra funcionalidade importante dessa mediação de acesso é a auditoria de
eventos. Cada objeto possui, além da lista de...
71
Listam que tipos de ações que um determinado usuário realiza em um deter-
minado recurso devem ser registradas.
 Base ...
73
 Deve-se instalar softwares de monitoramento de integridade (FIM—
File Integrity Monitor) dos arquivos ou detecção de ...
75
Os sistemas Windows possuem um banco de dados de contas de usuários
locais, chamado SAM (Security Account Manager). Ele...
77
A Política de controle de acesso da Evolveris destaca que cada colaborador
deve possuir identificação exclusiva em seus...
79
Quanto às senhas de usuário, a política exige usuários alterem as senhas
pelo menos a cada 60 dias, que tenham pelo men...
81
palavra final sobre o acesso. Após essa aprovação o acesso é automatica-
mente atribuído ao perfil do usuário.
Um relat...
83
sistemas que armazenam dados críticos, que recusem ou controlem (se esse
tráfego for necessário para fins comerciais) q...
85
conectados aos componentes do sistema por USB, ethernet, etc.
No caso de detecção de qualquer tipo de dispositivo como ...
87
A Política de desenvolvimento da Evolveris prevê que:
 Existam ambientes de desenvolvimento e testes separados do ambi...
89
O Buffer é a memória utilizada para guardar as entradas de um usuário, e ge-
ralmente tem um tamanho pré-fixado. Quando...
91 92
93 94
Após o lançamento de um software, uma vulnerabilidade não detecta-
da nas fases de teste permanece latente até que a...
95
Outra possibilidade a que ele não venha a publicá-la, e sim a disponi-
bilizá-la para um criador de vírus que utilizam ...
97
Assim como na lenda de Troia, o programa ―Cavalo de tróia‖ é normalmen-
te enviado como um Phishing, um falso presente ...
99
A ação dos especialistas mostrou que os endereços estavam sendo manipu-
lados por um malware bancário multi-modular, qu...
Upcoming SlideShare
Loading in …5
×

Antebellum SEC 110 - Tecnologia para proteção de dados críticos

902 views
868 views

Published on

Nesta amostra de 50 páginas, demonstramos os objetivos do curso SEC 110 - Tenologias pra proteção de dados críticos, e como os temas são abordados.

O Curso destina-se à proteção de dados como números de cartão de crédito (abordando todos os requisitos técnicos do PCI DSS), dados de clientes, dados de saúde, etc.

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
902
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
26
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Antebellum SEC 110 - Tecnologia para proteção de dados críticos

  1. 1. Material do Aluno Versão 1.0 PDF Gerado em baixa resolução para demonstração do material 2 Este material foi impresso pela Ekofootprint, utilizan- do papel reciclado e tecnologia de cera (Solid Ink) da Xerox, que reduz o impacto ambiental das impressões em 90%, se comparado à tecnologia Laser. Tecnologias para proteção de dados críticos 978-85-66649-00-0 Autor: Fernando Fonseca Direitos autorais garantidos para: Antebellum Capacitação Profissional Todos os direitos reservados. Este manual não pode ser copiado, fotocopiado, re- produzido, traduzido para outras línguas ou convertido em qualquer forma eletrô- nica ou legível por qualquer meio, em parte ou no todo, sem a aprovação prévia por escrito da Antebellum Capacitação Profissional ® 320 Páginas - Editora Antebellum www.antebellum.com.br cursos@antebellum.com.br Responsabilidade Social
  2. 2. 3 4
  3. 3. 5 Sumário Conhecendo a Evolveris................................................... 6 1 - O Papel do CSO................................................................. 16 2 - Controles Físicos.............................................................. 32 3 - Controles Tecnológicos.................................................... 58 4 - Controles Organizacionais............................................... 62 5 - Criptografia de Dados....................................................... 66 6 - .Criptografia Assimétrica.................................................. 76 7 - Criptografia Aplicada........................................................ 90 8 - Controle de Acesso........................................................... 96 9 - Reference Monitor........................................................... 110 10 - Autenticação.................................................................... 122 11 - Gestão de Identidades..................................................... 130 12 - Zonas e Domínios de Confiança....................................... 138 13 - Monitoramento................................................................ 157 14 - Segurança em Software................................................... 163 15 - Atualização....................................................................... 181 16 - Programas Antimalware.................................................. 193 17 - Legislação Conformidade................................................ 220 18 - Avalição............................................................................ 231 6 A Evolveris (do Latim, que significa “Que está evoluindo”) é uma empresa líder em educação de básica, média e universitária, além de oferecer dezenas de cursos de extensão e capacitação profissional. A Empresa foi fundada na década de 1970, por um grupo de professores com uma proposta de atender à demanda de formação profissional que o Brasil se encontrava, e começou oferecendo cursos de aperfeiçoamento profissional e cursos técnicos em eletrônica, eletrotécnica e mecânica. Com o passar do tempo e o sucesso do empreendimento o grupo aumentou a gama de cursos, e por fim passou a oferecer cursos de graduação, pós-graduação e MBA, já atuando em diversos estados brasileiros.
  4. 4. 7 Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo inter- nacional, proprietário de diversas universidades e centros de treinamento em todo o mundo. Desde então, e empresa tem realizando grandes esforços, em todos os sentidos, para se adaptar ao nível de exigência das regulamen- tações americanas e europeias, assim como atender aos anseios da governan- ça corporativa da empresa. 8 A Evolveris é uma organização de ensino e venda de conteúdo. A empresa possui centenas de produtos, que vão desde MBA’s até livros e cursos online gratuitos. Dentre os dados que a empresa armazena estão:  Cadastro pessoal - A instituição mantém um cadastro de alunos e co- laboradores, com dados pessoais de todos, e  Dados de cartão de crédito - Dados relacionado ao pagamento de ma- trícula, material didático e cursos de extensão.  Livros texto em formato eletrônico - Propriedade intelectual da Evol- veris. Engloba todo o material, para todos os tipos de curso
  5. 5. 9  Dados acadêmicos - Informações sobre a vida acadêmica dos estudan- tes de cursos regulares, que envolvem seu período na Evolveris e em instituições anteriores. Informações sobre as notas e frequeência dos estudantes de todos os tipos de curso no período de estudo atual, que podem ser acessadas pelos alunos e modificadas pelos professores. 10 Hilda Pfeiffer foi indicada pelo conselho de acionistas como a nova presiden- te do grupo Evolveris. Uma das principais metas de sua gestão é trazer transparência para a área de governança e criar mecanismos para garantir o controle do risco relacionado à não conformidade e vazamento de dados confidenciais. Hilda trabalhou em diversas empresas internacionais, muitas delas com for- tes requisitos de proteção a dados críticos e valiosos ativos de propriedade intelectual. Durante sua gestão, Hilda aprenderá sobre os sistemas gestão da Evolveris e sobre os controles aplicados na empresa. Ela deve avaliar, e sempre que pos- sível otimizar os resultados das ações para reduzir riscos, responder a inci- dentes e limitar a exposição legal da organização.
  6. 6. 11 Dentre os pontos a serem otimizados, encontramos a segurança física, finan- ceira e de pessoal, além da estratégia de continuidade de negócios da Evolve- ris. 12 Na hierarquia da Evolveris, encontramos as seguintes personagens:  Allan Garcia - Chief Security Officer (CSO) - Responsável pela segu- rança corporativa  Wallace Greco - Chief Information Security Officer (CISO) - Respon- sável pela segurança da informação  Willian Souza - Chief Information Officer (CIO) - Responsável pela TI  Olivia Nakamura - Legal and Corporate Affairs - Responsável pela proteção da propriedade intelectual da empresa , além do aconselha- mento em questões legais, regulatórias e éticas.
  7. 7. 13  Daniel Oliva - Chief Financial Officer (CFO) - responsável pela gestão financeira da Evolveris, além de fazer parte do comitê de segurança da informação, é responsável por aprovar orçamentos e solicitações de despesas de TI e Segurança.  Alex Tesla - Responsável pela infraestrutura de comunicação da Evol- veris. Alex é conhecido pelos milagres que opera em situações críticas, mantendo a estrutura da rede operando.  Gabriel Nunes - Também conhecido como Lenda, é o responsável pela desenvolvimento dos sistemas e gestão de todos os bancos de dados da Evolveris, assim como pela segurança dos dados neles hospedados.  Samuel Lopes - Responsável pela estrutura de servidores da Evolveris,, Samuel é um entusiasta por segurança e criptografia, assim como sis- temas operacionais. Samuel é o responsável pela segurança dos dados hospedados hospedados nos hosts da Evolveris. 14 Um dos pontos principais para Hilda, e entender a estrutura da Evolveris quando a empresa foi adquirida e a iniciativa de segurança começou, o está- gio atual de maturidade da empresa, e o nível de maturidade necessário para atender os anseios da governança.
  8. 8. 15 Hilda solicitou que Willian identificasse todos os tipo de dados que a Evol- veris processa e armazena, Olívia por sua vez identificou as leis, normas e regulamentações relacionadas a esses tipos de dados. Algumas se destaca- ram:  Código de Defesa do Consumidor  ABNT ISO/IEC 27001 e 27002  PCI DSS 16
  9. 9. 17 Hilda então procura Allan, responsável pela segurança corporativa, e Allan prontifica-se a apresentar-lhe os controles da Evolveris relacionados às normas levantadas, e indica Wallace para apresentar-lhe dados sobre a se- gurança da informação 18 A Evolveris denomina de CSO a pessoa responsável pela segurança de TI, no caso Wallace, com a incorporação da organização pela Antebellum, o cargo de CSO - Chief Securty Officer, foi atribuído a Allan, que passou a responder estrategicamente no que se refere a estabelecer e manter um pro- grama de segurança corporativa. Como CSO, Allan é responsável por identificar, desenvolver, implementar e manter processos de segurança em toda a organização, visando reduzir ris- cos, responder a incidentes e limitar a exposição legal, através da manuten- ção da segurança física, financeira e de pessoal, além da estratégia de conti- nuidade de negócios da Evolveris.
  10. 10. 19 A posição de CISO – Chief Information Security Officer é relativamente novo a maioria organização, o CISO deve fornecer a visão e aconselhamento tático do ponto de vista da Segurança da Informação e deve examinar as novas tecnologias e suas ramificações de forma a agregar valor no produto final. Antes da incorporação da Evolveris pela Antebellum Corp, Wallace era vis- to como um gerente dos recursos de segurança ( Firewalls, IDS, Sistemas de Resposta a Incidentes, etc), e não como um gestor de riscos. 20 A função da segurança da informação é proteger as informações e os siste- mas que as suportam contra acesso indevido, mal uso, vazamento, modifi- cação ou destruição. Como grande parte da doutrina acadêmica relacionada à Segurança da In- formação foi desenvolvida dentro dos meios militares, muitas pessoas têm uma tendência a ver a segurança pela perspectiva do ativo e do maior nível de proteção que ele pode possuir,. Essa ótica não é adequada nas organiza- ções, onde o nível de proteção deve ser proporcional ao valor do ativo, ou ao dano causado pelo incidente. A segurança da informação deve mirar os objetivos de negócio da empresa, o que pode levar os analistas a fazerem concessões a favor da eficiência do processo, em detrimento do nível de segurança.
  11. 11. 21 A segurança próxima de 100% é uma meta normalmente buscada dentro do meio militar, onde falhas podem custar vidas, ativo de valor imensurável. Na Evolveris, a disponibilidade de dados é uma premissa de negócio, definida pela governança da empresa. Alunos e professores precisam poder acessar e modificar os dados do sistema em qualquer lugar que estejam, e os candida- tos ou estudantes de e-learning precisam fazer todos os seus procedimentos através do website da empresa. Dentro deste contexto, procurou-se o melhor nível de segurança, que fosse economicamente viável, e que não ferisse essas premissas. Durante os próxi- mos capítulos apresentaremos as soluções encontradas. 22 Ao explicar as tarefas relacionadas à manutenção da segurança da informa- ção dentro da Evolveris, Wallace as divide em 3 grupos:  Processos: Definidos na política de segurança, são fundamentais para a manutenção da segurança do ambiente, pois eles definem o comportamento esperado dos colaboradores em relação à segurança da informação, e as tecnologias a serem utilizadas para assegurar a segurança da informação na organização.  Pessoas: Todos os colaboradores da organização, sejam eles funcio- nários, terceiros ou prestadores de serviço, necessitam de orientação para que possam desempenhar suas obrigações quanto à segurança da informação da melhor forma possível.
  12. 12. 23  Tecnologia: Apesar de ser o componente mais visível na manutenção da segurança, não chega a ser o que mais requer esforço e investimen- to. As ferramentas são essenciais para garantia a segurança da informa- ção e monitorar o seu uso. 24 Continuando sua explicação, Wallace toma como exemplo um sistema de ERP da Evolveris. Analisando as proteções de dentro para fora, podemos encontrar os dados sensíveis criptografados dentro da aplicação. Outra apli- cação que faz parte deste contexto é o banco de dados que guarda os dados do ERP. Essas aplicações são gerenciadas pelo sistema operacional do host (que tam- bém pode gerenciar dados diretamente), e o Host (máquina hospedeira) por sua vez, encontra-se na rede interna de uma empresa, que tem seu períme- tro lógico defendido por Firewall, IDS e IPS) e físico defendido pelo contro- le de acesso físico, com travas, fechaduras, guardas, etc.
  13. 13. 25 Todas essas proteções dependem diretamente de processos bem definidos, da execução de políticas bem elaboradas e de pessoas preparadas e compro- metidas para segui-las corretamente. Defesa em profundidade significa prover múltiplas camadas de proteção contra ameaças em diversas partes da organização. Deve-se aplicar a segu- rança no maior número de camadas possíveis. 26 Os controles de segurança da informação devem ter uma origem bem justifi- cada, e sofrer uma revisão periódica para analisar sua aderência e eficiência. Para definir os controles da Evolveris, a equipe de segurança solicitou a Olí- via, do LCA (Legal and Corporate Affairs), que levantasse as leis e regula- mentações vigentes. As organizações precisam atender às regulamentações da área em que estão inseridas, e para isso precisam ter em sua política de segurança controles que enderecem esses requisitos. Alguns dos requisitos relacionados na construção da política de segurança da informação vieram do padrão de dados de cartão de crédito (PCI DSS), integridade de relatórios financeiros (Sarbanes-Oxley) e segurança da infor- mação (ISO 27001 e ISO 27002.
  14. 14. 27 Outra grande origem de controles são os requisitos de negócio. Se uma orga- nização opera com projetos automobilísticos ou eletrônicos, ela precisa ga- rantia a confidencialidade de seus projetos para sobreviver no mercado. Por outro lado, se tratamos de uma organização que trabalha com venda de informações, precisa garantir a integridade e confidencialidade das mesmas. A Terceira e mais importante origem de controles é a análise de riscos. Não que os itens anteriores não precisem passar por uma análise de risco, mas a análise em questão é uma análise feita a partir da própria ISO 27002, para verificar o “Gap” entre a situação ideal e a situação atual da empresa. Os controles gerados são de três tipos: Físicos, organizacionais e Tecnológi- cos, sendo que:  Controles Físicos: roletas, catracas, portas, crachás e qualquer outra coisa que auxilie no controle de acesso físico aos ativos ou ajude a preservar a integridade física destes, como o sistema de refrigeração, estabilizadores e nobreaks.  Controles Organizacionais: Termos de aceitação da política de segurança, treinamentos, e todo tipo de ação que discipline a forma de uso dos ativos de informação.  Controles Tecnológicos: Firewall, IPS, IDS, antivírus e qualquer outra peça de hardware ou software que auxilie na preservação dos ativos. 28
  15. 15. 29 Segundo a ISO 27002, os controles físicos previnem o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. A Norma especifica dois importantes pontos a serem tratados:  Perímetro de segurança física: utilizar perímetros de segurança (paredes, portões de entrada com cartões, etc) para proteger as áreas processamento e armazenagem de informações  Controles de entrada física: visam assegurar que somente pesso- as autorizadas tenham acesso a um local. 30 Allan explica a Hilda que a Evolveris utiliza um sistema de controle de aces- so físico, e que os todos receberam crachás com RFID nas cores vermelho (alunos), verde (funcionários) e azul (terceiros) para acesso ao ambiente. Sempre que um colaborador precisa de um novo crachá, ele deve trazer o crachá anterior para ser avaliado, e no caso de perda do crachá ele deverá solicitar ao gestor do seu centro de custo um novo crachá, cujo valor será debitado de sua área. Em ambos os casos o funcionário recebe uma cartilha e assina um termo de recebimento e responsabilidade sobre o crachá, reconhe- cendo sua função como instrumento de acesso às instalações da empresa. O Sistema de segurança da Evolveris divide a empresa em áreas, e cada área possui um responsável, geralmente o gerente ou diretor da divisão.
  16. 16. 31 O Sistema possui perfis de acesso pré-autorizados, dessa forma, a cada vez que um novo colaborador entra em determinada função ele recebe os aces- sos previstos em seu perfil. A Cada vez que é necessário conceder um novo acesso a um determinado colaborador, este entra no sistema e solicita o acesso. O sistema emite um e-mail ao gestor do colaborador que aprova ou não sua solicitação, e uma vez aprovada essa solicitação vai para a aprova- ção do gestor da área, que dá a palavra final sobre o acesso. Após essa apro- vação o crachá já é aceito na área solicitada, sem nenhuma necessidade de intervenção da área de segurança. Um relatório diário de acessos concedidos é enviado à área de segurança patrimonial. Pesquisas por número de concessões e solicitações também podem ser executadas, além do sistema fornecer alertas quando esses nú- meros ultrapassam um determinado parâmetro. Quando um colaborador encerra suas atividades na Evolveris, o crachá é bloqueado e ele deve ser devolvido pelo mesmo. Ao ser transferido, um cola- borador perde todas suas permissões, e recebe as permições de acordo com o perfil de sua nova função. Qualquer acesso adicional tem que ser solicita- do ao seu gestor, conforme explicado anteriormente. O Acesso ao sistema de emissão de crachás é restrito a um pequeno grupo, e requer o uso de um crachá nível 2, que possui um chip RSA, para autentica- ção do mesmo. Palestras de conscientização sobre o valor do crachá são ministradas regu- larmente. 32 Na Evolveris, os visitantes são claramente identificados por um crachá ama- relo, em oposição aos vermelhos (alunos), verdes (funcionários) e azuis (terceiros). Estes crachás são somente para identificação, e apesar de regis- trar a passagem do visitante pelas instalações da empresa não permitem seu acesso a nenhum local, somente a sua saída. Os visitante somente entram na empresa acompanhados por um colaborador, e nas áreas menos sensíveis. Nas áreas com pontos de rede ativos e/ou outros ativos de informação, eles devem permanecer sempre acompanhados. Os crachás de visitante possuem uma validade definida no ato de sua emis- são, o que nunca ultrapassa um dia. A devolução do crachá é obrigatória na última catraca de saída da empresa.
  17. 17. 33 Ao passar por um ponto de entrada, o visitante precisa apresentar seu cra- chá para registro via RFID, apesar deste registro não abrir nenhuma porta para entrada do mesmo. O registro criado contém o nome do visitante, a empresa representada e o funcionário que está autorizando o acesso físico. Pela regulamentação do PCI DSS, este registro deveria ser mantido por pelo menos três meses, mas a deliberação da Evolveris é a de mantê-lo por 5 anos. 34 As áreas comuns das instalações da Evolveris (salas de aula, sala de professo- res, bibliotecas, etc.) possuem pontos de acesso com e sem fio (wireless) e são segregados fisicamente por switches e um firewall. Na política da Evolve- ris, todos os pontos de rede localizados fora do perímetro de segurança física são ligados na rede pública (de alunos). As áreas da rede administrativa da Evolveris possuem portas com fechaduras eletrônicas e o datacenter é hospedado em uma nuvem privada dentro de uma sala cofre na sua matriz, em Belo Horizonte. Os professores somente tem acesso aos sistemas quando nas salas de professores, que possuem um controle de acesso físico adequado.
  18. 18. 35 Cada unidade de Evolveris possui uma pequena sala de servidores, com acesso biométrico, restrito a poucos técnicos, somente com os servidores de autenticação e outras redundâncias para garantir a continuidade em caso de perda de comunicação com a matriz. Os leitores biométricos e de crachás são ligados à rede administrativa e transmitem seus logos a um centralizador localizado na matriz 36 Toda a entrada e saída de pessoas nas áreas sensíveis é monitorada por câ- meras IP, que armazenam localmente as imagens. por um período de 3 me- ses, e transmitem imagens estáticas à sede, para evitar um excesso de uso de banda e armazenamento.  As câmeras são protegidas fisicamente contra adulteração ou desati- vação  Os dados locais são armazenados por 3 meses  A sede armazena as imagens estáticas por 2 anos
  19. 19. 37 Verifique se o acesso físico a pontos sem fio de acesso, gateways, dispositi- vos portáteis, hardwares de comunicação/rede e linhas de telecomunicação é adequadamente restrito. Os pontos de rede:  Devem ser ativados somente quando necessário e pelos funcionários autorizados  Devem estar protegidos contra adulteração ou desativação  Visitantes Devem sempre ser acompanhados nas áreas com pontos de rede ativos 38 Allan explica a Hilda que apesar de toda a preocupação com a segregação física das áreas administrativas, ainda existe um risco residual de acesso não autorizado e a ameaça interna. Para conter essa ameaça, a Evolveris aposta em um programa de conscienti- zação para criar o hábito em todos os colaboradores de bloquear suas esta- ções, quando estas estiverem desassistidas. Os administradores , em especial, são orientados a nunca deixarem As con- soles de servidores e estações desbloqueadas, para impedir o uso não autori- zado dos privilégios administrativos.
  20. 20. 39 A equipe de TI implementou uma política de bloqueio automático para as estações após 5 minutos sem uso. Para servidores o bloqueio ocorre a cada 2 minutos, e as sessões iniciadas em sistemas que manipulam dados críticos se esgotam por ociosidade em no máximo 15 minutos. A Auditoria interna trabalha fortemente esse ponto, testando os colabora- dores quanto a este quesito da política de segurança 40 A Evolveris adota uma política de mesa e tela limpa, evitando que papeis e mídias removíveis fiquem acessíveis a terceiros, obedecendo a política de classificação da informação e requisitos legais. Todos os colaboradores devem evitar que papeis e mídias removíveis fiquem expostos, adotando regras proporcionais à classificação da informação. Den- tre as ações indicadas encontramos:  Colaboradores devem retirar seus papeis imediatamente das impres- soras  Controle de uso de copiadoras  Correios e fax devem ser protegidos
  21. 21. 41 A Evolveris possui uma solução de no-break, ou fornecedor ininterrupto de energia (UPS- Uninterruptible Power Supply), que garante a continuidade da alimentação elétrica mesmo que a energia principal venha a falhar. O tempo suportado pelo equipamento varia de acordo com a carga suporta- da por suas baterias. Normalmente o nobreak suporta o ambiente por alguns minutos ou algumas horas, depois desse tempo é necessário que seja utiliza- do um gerador externo para recarregar suas baterias. Allan destacou que dentre os projetos para o próximo exercício fiscal, en- contra-se a compra de um gerador para o Datacenter, projeto que não foi aprovado no ano anterior, e solicitou a atenção de Hilda para este assunto. 42 A ISO 27002 destaca em suas diretrizes para implementação que convém que todas as utilidades, tais como suprimento de energia elétrica, suprimento de água, esgotos, calefação/ventilação e ar condicionado sejam adequados para os sistemas que eles suportam. A norma recomenda também que estes sejam sempre inspecionados em in- tervalos regulares e testados de maneira apropriada para assegurar seu funci- onamento correto e reduzir os riscos de defeitos ou interrupções do funcio- namento, garantindo também um suprimento adequado de energia elétrica, de acordo com as especificações do fabricante dos equipamentos. Recomenda-se o uso de UPS (No-break) para suportar as paradas e desliga- mento dos equipamentos ou para manter o funcionamento contínuo dos equipamentos que suportam operações críticas dos negócios. Convém que seja considerado um gerador de emergência, e um suprimento de combustível adequado, caso seja necessário que o processamento continue mesmo se houver uma interrupção prolongada do suprimento de energia. A norma também aconselha que a capacidade dos geradores e nobreaks se- jam verificados em intervalos regulares para assegurar que eles tenham capa- cidade adequada, e sejam testados de acordo com as recomendações do fabri- cante. Além disto, deve ser considerado o uso de múltiplas fontes de energia ou de uma subestação de força separada, se o local for grande o suficiente.
  22. 22. 43 A Norma ainda traz as seguintes recomendações:  Convém que as chaves de emergência para desligamento da energia fiquem localizadas na proximidade das saídas de emergência das salas de equipamentos para facilitar o desligamento rápido da energia em caso de uma emergência.  Convém que seja providenciada iluminação de emergência para o caso de queda da energia.  Convém que os equipamentos de telecomunicações sejam conectados à rede pública de energia elétrica através de pelo menos duas linhas separadas, para evitar que a falha de uma das conexões interrompa os serviços de voz. Destaca ainda a norma em informações adicionais que, as opções para assegu- rar a continuidade do suprimento de energia incluem linhas de entrada re- dundantes, para evitar que uma falha em um único ponto comprometa o su- primento de energia. Mesmo com todos estes cuidados, é recomendável que hajam planos de con- tingência de energia referentes às providências a serem tomadas em caso de falha do UPS e/ou gerador. 44 A climatização é tão essencial quanto a energia elétrica para um datacenter. Ela garante que os equipamentos tenham um ambiente propício para seu funcionamento, livre de aquecimento e umidade em excesso. Existem inúmeros relatos de indisponibilidade e até mesmo perda de dados devido a superaquecimento. Os computadores dispersam muito calor, e sem um tratamento adequado o ambiente rapidamente chaga a uma temperatura onde há perda de integridade física (e consequentemente lógica) e/ou os próprios equipamentos deixam de funcionar para evitarem danos a si mes- mos. No clima tropical da América do Sul, uma climatização redundante é tão essencial como um nobreak para a disponibilidade dos dados.
  23. 23. 45 Os meios de transmissão, com ou sem fio, estão sujeitos a interferências, que podem comprometer a integridade e disponibilidade dos recursos de comu- nicação da empresa, ou ainda a confidencialidade caso sofram um ataque com o objetivo de roubar dados. A ISO 27002 atenta para os seguintes fatos:  Segurança do Cabeamento, que se aplica ao cabeamento de energia e de telecomunicações:  As linhas de energia e de telecomunicações que entram nas instalações de processamento da  informação sejam subterrâneas (ou fiquem abaixo do piso), sempre que possível, ou recebam uma proteção alternativa adequada; 46  Cabeamento de redes seja protegido contra interceptação não autori- zada ou danos, por exemplo, pelo uso de conduítes ou evitando traje- tos que passem por áreas públicas;  Os cabos de energia sejam segregados dos cabos de comunicações, para evitar interferências;  Nos cabos e nos equipamentos, sejam utilizadas marcações clara- mente identificáveis, a fim de minimizar erros de manuseio, como por exemplo, fazer de forma acidental conexões erradas em cabos da rede;  Seja utilizada uma lista de documentação das conexões para reduzir a possibilidade de erros;
  24. 24. 47 48
  25. 25. 49 Wallace promete a Hilda uma apresentação sobre o grau de maturida- de da Evolveris se comparado à norma ISO 27001 e ao padrão PCI DSS. O CISO da empresa aproveita para alertar a Hilda sobre a necessidade de investimentos para se estabelecer e manter um Sistema de Gestão da Segurança da Informação. 50 A política de segurança da Evolveris prevê a destruição de dados ao final da vida útil dos mesmos, e abrange todas as mídias, inclusive os materiais im- pressos, que devem ser picotados, triturados, incinerados ou amassados pa- ra que haja garantia razoável de que não possam ser reconstituídos. Os contêineres de armazenamento usados para as informações a serem des- truídas devem ter controles de segurança física aplicados, para que seu con- teúdo não seja acessado. A política prevê que os dados de alta sensibilidade existentes nas mídias eletrônicas tornem-se irrecuperáveis por meio de um programa de limpeza segura (wipe), de acordo com os padrões, que consistem em sobrescrever todo o disco por uma ou mais vezes, ou padrões mais “fortes” chegam a so- brescrever os discos dezenas de vezes, com sequências aleatórias de dados.
  26. 26. 51 Para as mídias com maior requisito de disponibilidade e integridade, uma remoção mais simples dos dados pode ser o suficiente para atender os requi- sitos de segurança. Para mídias que possuem um maior requisito de confidencialidade pode ser necessário lançar mão das técnicas de desmagnetização ou destruição física da mídia. 52 A Criptografia é uma ciência milenar, responsável por manter os segredos da antiga Roma, peça fundamental na Segunda Guerra Mundial e atual- mente é estrela do mundo da Segurança da Informação. Diversos sistemas operacionais, bancos de dados, protocolos de comunica- ção ou simples sistemas de armazenamento de arquivos chegam aos consu- midores providos desta função de embaralhar os dados. Através do uso de um algoritmo (sequência de passos para o embaralhamento) os dados a se- rem protegidos e de uma chave (conjunto de bits) transforma-se textos ou dados abertos em códigos ilegíveis. A chave existe para se misturar ao texto e embaralha-lo (encriptá-lo) e pos- teriormente, ser misturada ao texto criptografado e recuperá-lo (decriptar). Isso é Criptografia no mundo computacional, e isso era Criptografia há mil anos. Porém, se hoje temos computadores para criptografar dados e proces- sar informações que antes eram impossíveis. Os mesmos computadores são usados para quebrar algoritmos e descobrir a chave que foi usada (criptoanálise). Uma chave com poucos caracteres é fácil de ser adivinhada. Podem-se tentar algumas possibilidades até que se consiga chegar na chave certa. A criptografia é um componentes vital da proteção de dados críticos, e para garantir que todos os dados recebam o tratamento devido, a Evolveris man- tém um inventário de todas os locais onde os dados críticos estão armazena- dos, e uma forte política de criptografia de dados em diversos dispositivos, principalmente em mídias removível (por exemplo, fitas de back-up)
  27. 27. 53 A política prevê também uma separação dos hashes de dados da versão trun- cada dos mesmos, e quando isso não é possível a utilização de controles adi- cionais para garantir que as duas versões dos dados não possam ser utiliza- das para reconstruí-los. Wallace preparou uma apresentação, para explicar os diferentes tios de crip- tografia utilizados para embaralhar os dados nos sistemas, bancos de dados e canais de comunicação da Evolveris. A Criptografia simétrica é a mais antiga das formas de criptografia. Também conhecida como criptografia de chave compartilhada ou de chave secreta, possui dois elementos fundamentais: um algoritmo e uma chave que deve ser compartilhada entre os participantes na comunicação, daí o nome de simétri- ca ou de chave compartilhada. Na criptografia simétrica, a mesma chave é usada para codificar e decodificar as mensagens. O Conhecimento do algoritmo a empregado não interfere na segurança do sistema, uma vez que esta segurança vem do algoritmo em si, mas principal- mente do sigilo da chave utilizada. Para que um algoritmo possa ser considerado seguro, a única forma de se ob- ter o texto original a partir do texto cifrado, sem o conhecimento prévio da 54 chave, é tentar todas as combinações de chaves possíveis, o que chamamos de ataque de força bruta. Assim, os fatores envolvidos na quebra de um algoritmo de chave simétrica seguro são, basicamente, tempo e recursos, que estão diretamente ligados: quanto maior o capital empregado em equipamentos para a quebra da cripto- grafia, menor o tempo necessário. A Evolveris mantém um processo de homologação de sistemas, que analisa o tipo de sistema criptográfico utilizado, ao algoritmos utilizados e a forma como foram configurados, além de uma detalhada documentação sobre os sistemas que inclui:  Fornecedor do sistema  Tipo de sistema  Algoritmos utilizados  Configuração dos algoritmos
  28. 28. 55 Métodos para minimizar os riscos, podemos truncar alguns dados críticos, quando o armazenamento completo não for necessário (Ex: número de car- tão de crédito) A Truncagem de um número difere-se do hash, por eliminar permanente- mente parte do conteúdo, e impossibilitar que se compare uma truncagem a outra para verificar se o número original é o mesmo O Hash não pode ser utilizado para substituir a truncagem de um dado 56 Funções de hash baseados em criptografia forte podem ser utilizados para proteger dados críticos, como o número de cartões de crédito, desde que se- jam aplicadas ao numero como um todo. As funções hash, tomam como entrada uma mensagem qualquer e geram como saída o que chamamos de “mensagem digerida” (message digest), em um tamanho fixo de bits (128, 160, 256, etc). Essas funções não são desenha- dos para que os dados possam ser decriptados, e são utilizados simplesmen- te para verificar se um determinado dado é válido. Os algoritmos de Hash mais comumente utilizados são Message Digest 5 (MD5) e Secure Hash Standard (SHA-1).
  29. 29. 57 58
  30. 30. 59 O Conceito de chaves assimétricas nasceu oficialmente com os trabalhos de Whitfield Diffie e Martin Hellman, no início da década de 1970. A proposta era a de criar operações criptográficas que dependessem de duas chaves ma- tematicamente relacionadas: uma pública e outra privada. Este sistema, tam- bém chamado de criptografia de chave pública, veio a resolver dois dos gran- des problemas existentes com as cifras simétricas: troca segura de chaves e escalabilidade. Samuel, o especialista de infraestrutura da Evolveris é um entusiasta em criptografia. Ele é o responsável pela implantação da ICP (Infraestrutura de Chaves Públicas) da Evolveris, e a única foto em sua baia é a de sua conversa com Whitfield Diffie na Defcon. 60 Na criptografia assimétrica uma chave é capaz de abrir o que a outra chave criptografou, mas nunca o que ela mesmo criptografou. Utilizamos a cripto- grafia com chave pública para garantir confidencialidade, e com chave priva- da para garantir autenticidade, que é um dos componentes da integridade. No exemplo acima, Samuel precisa enviar uma mensagem confidencial para Hilda. Para que isso seja possível, ele solicita a chave pública de Hilda, crip- tografa a mensagem com ela, e a envia tranquilamente por um meio inseguro. Como vimos, uma chave não abre o que ela mesmo criptografou. Se alguém interceptou a comunicação de Samuel e Hilda, ele interceptou a chave públi- ca, mas ela é inútil para abrir o conteúdo. Somente a chave privada abrirá o conteúdo criptografado com a chave pública, e vice-versa.
  31. 31. 61 No exemplo acima a operação se repete, mas dessa vez Allan utiliza uma chave privada para criptografar o hash, antes de anexá-lo ao texto e enviá-lo a Olívia. Olívia adquire a chave pública de Allan na ICP da Evolveris e abre a mensa- gem criptografada pela chave privada. O sucesso da operação indica que o hash enviado foi criptografado pela chave pública de Allan, mas ainda não atesta a integridade do texto. Ao comparar o hash extraído com a chave pública de Allan com o hash ane- xado ao texto Olívia certifica-se que o texto está íntegro. 62 Explicar a diferença entre o CISO e o CSO
  32. 32. 63 O Sistemas de criptografia de discos do Windows (2000 em diante) traz uma abordagem híbrida, utilizando o melhor da criptografia simétrica e assi- métrica. Primeiramente é gerado um par de chaves assimétricas EFS, e com a chave pública do par é gerado um certificado digital. A chave privada é guar- dada no perfil do usuário. Em seguida, é gerada uma a FEK (File Encryption Key), e o arquivo é cripto- grafado com ela. A FEK é uma chave simétrica, mais apropriada para a crip- tografia de grandes volumes por ser mais rápida e requerer um menor esforço computacional. Em seguida a FEK é criptografada com chave pública do usuário e do agente de recuperação do domínio. As duas FEK criptografadas são anexadas ao arquivo, e este só poderá ser descriptografado com a chave privada do usuário ou do agente de recuperação do domínio. 64
  33. 33. 65 A Evolveris possui uma política de controle de acesso fortemente documen- tada e divulgada, que considera os seguintes itens:  Requisitos de segurança de aplicações de negócios individuais;  política para disseminação e autorização da informação (necessidade de conhecer princípios e níveis de segurança e classificação da infor- mação);  segregação de regras de controle de acesso (pedido de acesso, autori- zação e administração);  requisitos para autorização formal de pedidos de acesso;  requisitos para análise crítica periódica de controles de acesso;  remoção de direitos de acesso. 66
  34. 34. 67 O termo “Triple A” define a tríade de acesso lógico à informação, composta por autenticação, autorização e auditoria. Ao solicitar um acesso, a primeira parte da solicitação é a autenticação, com- posta por identificação e autenticação. Nela o usuário se apresenta e mostra algum comprovante (algo que sabe, que é ou que possui) de que realmente é a pessoa que diz ser. Posteriormente, o sistema consulta a base de dados de autorização e concede ou não o acesso. Neste momento, o sistema consulta a base de dados de auditoria e verifica se aquela solicitação, independente do resultado positivo ou negativo, deve ser registrada para auditoria posterior. Os usuários devem sempre estar familiarizados com os procedimentos e po- líticas de autenticação. 68 O reference monitor é o componente do sistema de controle de acesso, res- ponsável por mediar todos os acessos feitos pelos sujeitos aos objetos. Na prática, a cada solicitação de acesso que o sistema recebe, o reference moni- tor verifica todas as credenciais do sujeito e dos grupos aos quais ele perten- ce (UID do UNIX, SID do Windows, etc) e verifica se no objeto existe uma permissão ou negação explicita para algumas daquelas credenciais, autori- zando ou negando o acesso de acordo com as regras de acesso e do sistema. Em sistemas mais modernos como o Windows Vista, Windows Server 2008 e Windows 7, o sistema pode fazer uma segunda verificação, para checar a integridade do aplicativo que solicitou o acesso, e não somente as credenci- ais do usuário. Dessa forma, o mesmo usuário teria acesso permitido a um determinado arquivo, se estiver utilizando o Word, mas poderá ter seu aces- so negado se tentar acessar o mesmo arquivo utilizando o Internet Explorer.
  35. 35. 69 Outra funcionalidade importante dessa mediação de acesso é a auditoria de eventos. Cada objeto possui, além da lista de sujeitos que podem acessá-lo, uma lista de auditoria, que descreve quais tipos de acesso devem ser regis- trados para quais sujeitos. Ex: Pasta: LCA Grupo Todos: Registrar falha de acesso de escrita/leitura Grupo LCA: Registrar sucesso na alteração/remoção de documentos O Sistema de acesso deva valer para todos os componentes do sistema e de- vem estar configurados para impor os privilégios concedidos às pessoas com base na classificação e função do cargo. A configuração padrão dos sistemas de controle de acesso deve ser “recusar tudo”, e a partir dai os acessos específicos devem ser concedidos aos grupos. 70 As DACL’s listam, para um determinado recurso, quais são os usuários que podem acessá-lo e quais ações podem ser praticadas Elas são chamadas de discricionárias porque o administrador do recurso pode atribuir permissões a quem desejar, ao contrário das mandatórias (MAC), onde o criador da informações atribui o nível de classificação da mesma, e o sistema atribui as permissões.
  36. 36. 71 Listam que tipos de ações que um determinado usuário realiza em um deter- minado recurso devem ser registradas.  Base para auditoria  Grande granularidade de ações  Requer planejamento para não impactar na performance  Essencial para ações de forense 72 A política da Evolveris define que as trilhas de auditoria devem ser protegi- das e analisadas da forma a seguir:  Apenas os indivíduos que têm uma necessidade relacionada à função podem visualizar arquivos de trilha de auditoria.  Os arquivos de trilha de auditoria atuais estão protegidos de modifi- cações não autorizadas por meio de mecanismos de controle de aces- so, separação física e/ou segregação de redes.  As trilhas de auditoria atualizadas são prontamente salvas em um ser- vidor de log centralizado  Os logs de tecnologias com acesso externo (wireless, firewalls, DNS, mail, etc.) são transferidos imediatamente para um centralizado de log.
  37. 37. 73  Deve-se instalar softwares de monitoramento de integridade (FIM— File Integrity Monitor) dos arquivos ou detecção de mudanças nos logs.  Os registros de segurança são analisados diariamente e existe um procedimento formal para o acompanhamento das exceções é exigi- do.  O Centralizados realiza-se de log de todos os componentes do siste- ma.  Os registros de auditoria são retidos por cinco anos.  Os últimos três meses de log estão disponíveis para a análise imedia- ta. 74
  38. 38. 75 Os sistemas Windows possuem um banco de dados de contas de usuários locais, chamado SAM (Security Account Manager). Ele é semelhante ao mé- todo de autenticação do Unix utilizando passwd e shadow. Neste modelo, usuário e senha são comparados permitindo a autenticação e autorização ao sistema. Apesar de este método de autenticação ser muito utilizado, ele não permite a replicação dos dados e obriga que o cadastro dos usuários seja feito em cada host da rede A política da Evolveris exige que as senhas dos usuários devem permanecer criptografadas durante a transmissão e armazenamento em todos os siste- mas da organização 76
  39. 39. 77 A Política de controle de acesso da Evolveris destaca que cada colaborador deve possuir identificação exclusiva em seus sistemas da para assegurar que cada indivíduo seja exclusivamente responsável pelas suas ações A política prevê também que não podem existir senhas genéricas (Ex: Usuá- rio: Portaria, Senha: Guarda), ou senhas de grupo (Ex: Usuário: porteiros). Outra preocupação da política, é a de que não se compartilhe senhas do tipo administrador ou root. Para esses casos, a Evolveris desabilita essas contas, ou cria uma senha em que dois administradores sabem somente metade dela, a esta fica lacrada em um envelope, e depois cria um usuário com direitos administrativos para cada pessoa com necessidade de negócio para adminis- trar aquele servidor 78 A Política de gestão de senhas da Evolveris exige que se modifique todas as senhas padrão de dispositivos e sistemas adquiridos antes que os mesmos entrem em operação Para os Access Points de redes sem fio, a política prevê especificamente que as chaves de criptografia sejam alteradas do padrão na instalação e sempre que qualquer pessoa que conheça as chaves sai da empresa ou troca de cargo. Prevê também que os nomes de comunidades de SNMP padrão sejam altera- dos, que o firmware nos dispositivos sejam atualizado para ser compatível com a criptografia robusta para a autenticação e a transmissão em redes sem fio, e que outros padrões ligados à segurança do fornecedor wireless sejam alterados sempre que necessário.
  40. 40. 79 Quanto às senhas de usuário, a política exige usuários alterem as senhas pelo menos a cada 60 dias, que tenham pelo menos oito caracteres de com- primento, e três das quatro categorias de caracteres (numéricos, maiúscu- los , minúsculos e especiais). As senhas também não podem ser as mesas das seis últimas senhas utiliza- das, e devem ser bloqueadas após, seis tentativas inválidas de efetuar login, e que assim permaneçam por 30 minutos ou até que um administrador do sistema a desbloqueie. 80 O Sistema de gestão de identidades da Evolveris é o mesmo utilizado para conceder acesso físico às instalações da organização. O Sistema possui perfis de acesso em que os privilégios são concedidos às pessoas com base na classificação e na atribuição da função (também cha- mada de “role-based access control” ou RBAC), dessa forma, a cada vez que um novo colaborador entra em determinada função ele recebe os acessos previstos em seu perfil. A Cada vez que é necessário conceder um novo acesso a um determinado colaborador, este entra no sistema e solicita o acesso. O sistema emite um e- mail ao gestor do colaborador que aprova ou não sua solicitação, e uma vez aprovada essa solicitação vai para a aprovação do gestor da área, que dá a
  41. 41. 81 palavra final sobre o acesso. Após essa aprovação o acesso é automatica- mente atribuído ao perfil do usuário. Um relatório diário de acessos concedidos é enviado à área de segurança da informação. Pesquisas por número de concessões e solicitações também podem ser executadas, além do sistema fornecer alertas quando esses núme- ros ultrapassam um determinado parâmetro. Quando um colaborador encerra suas atividades na Evolveris, todos os seus privilégios são bloqueados, e ao ser transferido, um colaborador perde todas suas permissões, e recebe as permissões de acordo com o perfil de sua nova função. Qualquer acesso adicional tem que ser solicitado ao seu gestor, con- forme explicado anteriormente. O Acesso ao sistema gestão de identidades é restrito a um pequeno grupo, e requer o uso de um crachá nível 2, que possui um chip RSA, para autentica- ção do mesmo. 82 A Evolveris mantém sempre atualizado um diagrama da rede atualizado que mostra os fluxos de todos os dados sensíveis e registra todas as conexões com relação a estes dados, incluindo quaisquer redes sem fio. O diagrama lista também os serviços, protocolos e portas necessárias para os negócios - por exemplo, protocolos HTTP (hypertext transfer protocol) e SSL (Secure Sockets Layer), SSH (Secure Shell) e VPN (Virtual Private Network) A Organização mantém também um documento de padrões de configuração do firewall e do roteador, com uma descrição dos grupos, funções e responsa- bilidades quanto ao gerenciamento lógico dos componentes da rede. A Evolveris não permite o uso de serviços, protocolos e portas inseguras e exige a instalação de firewalls de perímetro entre quaisquer redes sem fio e
  42. 42. 83 sistemas que armazenam dados críticos, que recusem ou controlem (se esse tráfego for necessário para fins comerciais) qualquer tráfego entre esses dois ambientes. Além disso, o tráfego de saída do ambiente de dados para a Inter- net deve estar explicitamente autorizada. As configurações de firewall devem evitar a divulgação de endereços de IP privados e informações de roteamento das redes internas para a Internet. Todas as regras do firewall foram enviadas pela área de SI, e qualquer altera- ção ou criação de nova regra tem que ser feita através da abertura de um ticket no sistema de gestão de mudanças, e seguir o fluxo de aprovação. A cada mudança o diagrama de rede é atualizado A política de configuração do firewall e do roteador exigem a análise dos conjuntos de regras pelo menos a cada seis meses. 84 As vulnerabilidades estão sendo continuamente descobertas por indivíduos mal-intencionados e pesquisadores, e são apresentadas por novos softwares. Os componentes do sistema, processos e softwares personalizados devem ser testados com frequência para assegurar que os controles de segurança continuam adequados a um ambiente em constante transformação. Como parte da sua política de monitoramento de vulnerabilidades, a Evol- veris possui um processo para detectar e identificar trimestralmente pontos de acesso sem fio. O sistema de monitoramento gera um alerta caso cartões WLAN sejam inse- ridos nos componentes do sistema ou dispositivos portáteis sem fio sejam
  43. 43. 85 conectados aos componentes do sistema por USB, ethernet, etc. No caso de detecção de qualquer tipo de dispositivo como estes, um ticket é aberto automaticamente e um técnico vai ao local. Após o registro do ocor- rido as ações disciplinares cabíveis são tomadas. A Evolveris possui colaboradores qualificado, que executam varreduras por vulnerabilidade internas e externas trimestralmente e um ticket de proble- ma é aberto para cada vulnerabilidades definidas como "Alto". A Evolveris realiza um teste de penetração na camada de rede, e de invasão na camada de aplicação uma vez por ano e após quaisquer mudanças signifi- cativas no ambiente. Caso haja qualquer vulnerabilidades explorável, um ticket de problema é aberto, a vulnerabilidade é corrigida e os testes repeti- dos. 86 A Evolveris desenvolveu um processo para desenvolvimento de software seguro, baseado no SDL (Secure Development Lifecycle) da Microsoft, que inclui a segurança da informação desde o início do ciclo de vida de desenvol- vimento. A política ainda reza que as mudanças no código de todas as aplicações são revisadas por indivíduos que não sejam os autores do código, e por indiví- duos que tenham experiência em técnicas de revisão de código e práticas de código seguro. Os resultados da revisão do código são analisados e aprova- dos pela gestão antes de serem lançados e as correções apropriadas são im- plementadas antes do lançamento do software
  44. 44. 87 A Política de desenvolvimento da Evolveris prevê que:  Existam ambientes de desenvolvimento e testes separados do ambien- te de produção, com controle de acesso implementado para garantir, a separação.  Existe uma separação de funções entre o pessoal designado para de- senvolvimento/teste e o pessoal designado para o ambiente de produ- ção.  Dados de produção não são utilizados para teste ou desenvolvimento.  Contas e dados de teste são removidos antes que um sistema em pro- dução seja ativado. 88 O Código acima mostra uma falha é simples, um clássico Buffer Over- flow, o programa incrementava o ponteiro pwszServerName com o va- lor de pwszTemp enquanto o cliente de RPC não enviasse a string “”. Considerando-se que o programador escreveu o cliente e o servidor, essa lógica estaria perfeita, uma vez que o cliente era bem comportado e sempre enviaria a string corretamente. O problema é que o serviço de RPC espera por essa string através de uma porta de rede, onde qualquer aplicação pode se conectar e dizer que é o cliente RPC, até mesmo um vírus, que ao invés de mandar a string “” encheria o buffer da aplicação com seu próprio código, para posteriormente ser executado na própria máquina de destino.
  45. 45. 89 O Buffer é a memória utilizada para guardar as entradas de um usuário, e ge- ralmente tem um tamanho pré-fixado. Quando um usuário envia mais dados do que o Buffer foi programado para suportar, estes dados passam então a ocupar um espaço de memória destinado a guardar outras entradas de usuá- rios e até mesmo um ponteiro, destinado a guardar o endereço de memória onde o programa deve executar a próxima instrução. 90 A Injeção de código SQL (SQL Injection), é uma forma de ataque a aplicações onde o usuário ao invés de entrar com um dado “inocente” como um nome (Ex: Pietro) ou identificador (Ex: 1001) entra com uma expressão SQL, que altera o funcionamento da aplicação para realizar alguma ação que poderá comprometer a confidencialidade, disponibilidade e integridade das aplicações. string Status = "No"; string sqlstring =""; try { SqlConnection sql= new SqlConnection( @"data source=localhost;" + "user id=sa;password=password;"); sql.Open(); sqlstring="SELECT HasShipped" + " FROM detail WHERE ID='" + Id + "'"; SqlCommand cmd = new SqlCommand (sqlstring,sql); if ((int)cmd.ExecuteScalar() != 0) Status = "Yes"; } catch (SqlException se) { Status = sqlstring + " failednr"; foreach (SqlError e in se.Errors) { Status += e.Message + "nr"; } } catch (Exception e) { Status = e.ToString(); }
  46. 46. 91 92
  47. 47. 93 94 Após o lançamento de um software, uma vulnerabilidade não detecta- da nas fases de teste permanece latente até que algum pesquisador (esse sim, geralmente um Hacker) contratado pelo próprio fabricante, por terceiros ou independente a encontre. A índole do pesquisador vai ditar as regras de quando ele irá publicar a vulnerabilidade. Se o pesquisador estiver apoiando o fabricante, e este tratar segurança como algo sério, a vulnerabilidade somente será publicada após uma correção estar disponibilizada para os usuários. Caso ele não se importe com o fabricante ou com os usuários, a vulne- rabilidade pode ser publicada assim que ele a descobrir ou quando ele já tiver um código que a explore.
  48. 48. 95 Outra possibilidade a que ele não venha a publicá-la, e sim a disponi- bilizá-la para um criador de vírus que utilizam se de “zero-days”, ou seja, exploração de vulnerabilidades zero ou menos dias antes da pu- blicação da correção. Uma vez que a correção é publicada inicia-se o período de homologa- ção por parte do usuário, que pode levar de horas a dias. Os últimos estudos mostram que os vírus baseados em zero-days ou em corre- ções recém lançadas tem tido uma penetração maior em empresas do que em usuários domésticos, porque estes contam com um serviço de atualização automática, e as organizações perdem um tempo valioso em seu processo de homologação, que apesar de importante deve ser tratado com prioridade para que essa não fique exposta a ameaças durante muito tempo. 96 O cavalo de Tróia tem como característica trazer junto a um programa qual- quer um outro programa de código malicioso, o qual será instalado na má- quina no momento em que o programa principal for executado. Esta técnica pode trazer diferentes ameaças, com vírus, adware, spyware, key loggers etc. O Nome vem da lendária guerra entre Gregos e Troianos, onde os gregos deixam para os Troianos um enorme cavalo de madeira, que é interpretado como um símbolo de rendição e um presente para o vencedor da guerra. Po- rém, o ―Presente de Grego‖ encontra-se ―recheado‖ de soldados gregos que finalmente conseguem se infiltrar nas muralhas de Troia, sem no entan- to ter que superá-las.
  49. 49. 97 Assim como na lenda de Troia, o programa ―Cavalo de tróia‖ é normalmen- te enviado como um Phishing, um falso presente para a vítima, utilizando um tema que desperte seu interesse abrir o presente e inserir o Malware no computador sem o conhecimento do usuário e sem que este tenha que pas- sar pelo firewall ou outra proteção. Os trojans podem vir dentro de uma infinidade de tipos de arquivo, alguns exemplos são os cartões virtuais, descansos de tela, cracks‖, apresentações, vídeos e até fotos. Os trojans contam mais com o despreparo da vítima do que com as qualifi- cações do atacante, por esse motivo é considerado um ferramenta básica para atacantes iniciantes (Script Kids). O Trojan Horse é um dos Malwares mais encontrados em computadores domésticos, e podem desempenhar diversas funções (Spyware, vírus, back- door, etc) dependendo da finalidade com que foram concebidos. 98 Alerta: trojan bancário se passa por instalador do Google Chrome Segundo a Trend Micro, o malware aplica técnica ousada para fisgar suas vítimas Uma nova ameaça dedicada ao roubo de dados bancários, o TSPY_ Ban- ker.EUIQ foi descoberto pelos pesquisadores da TrendLabs Brasil, laborató- rio da Trend Micro. Segundo a companhia, o malware atacou mais de três mil usuários nos últimos dias, a maior parte deles aqui no país. A equipe de pesquisadores brasileiros encontrou algumas URLs suspeitas indicando caminhos não comuns para download do arquivo ChromeSe- tup.exe, que iludiam a vítima ao fazê-los acreditar que o arquivo estava hos- pedado em domínios como Facebook, Terra, Google, entre outros. Algumas das URLs são (para sua segurança, não tente testá-las):  hxxp://b r.msn.com/ChromeSetup.exe  hxxp://www.faceb ook.com.b r/ChromeSetup.exe  hxxp://www.faceb ook.com/ChromeSetup.exe  hxxp://www.glob o.com.b r/ChromeSetup.exe  hxxp://www.google.com.b r/ChromeSetup.exe  hxxp://www.terra.com.b r/ChromeSetup.exe
  50. 50. 99 A ação dos especialistas mostrou que os endereços estavam sendo manipu- lados por um malware bancário multi-modular, que utilizava uma aborda- gem inusitada para fazer o ataque. Ao acessar estas URLs, os usuários eram direcionados a outros endereços que não pertenciam aos domínios legíti- mos. De acordo com Alberto Medeiros, especialista da Trend Micro, a ameaça age induzindo a vítima a realizar o download do seu módulo principal, o ChromeSetup.exe. "Após a infecção, o malware envia informações da má- quina do usuário como IP, nome de host Windows da máquina, sistema operacional e versão para um servidor de C&C - Comando e Controle", ex- plica. Na sequência, a ameaça faz outro download, dessa vez de um arquivo que redireciona o acesso a páginas bancárias falsas sempre que o usuário tenta visitar sites bancários legítimos, apresentando sempre a seguinte mensagem: “Aguarde, carregando o sistema” Medeiros alerta para um detalhe importante que pode ajudar o usuário a identificar o malware. "A página falsa do banco apresenta um caractere sub- linhado (como mostrado na tela baixo), no título da janela, antes do nome do banco, como pode ser observado nas imagens acima. Caso isso aconteça, o usuário não deve cadastrar seus dados e senhas. Outro ponto de atenção é o fato do redirecionamento que o malware realiza para o link utilizado pe- los cibercriminosos. Sempre que for acessar contas bancárias, os usuários devem fazê-lo por meio de domínios válidos", finaliza. http://www.administradores.com.br/informe-se/tecnologia/alerta-trojan-bancario- se-passa-porinstalador-do-google-chrome/55300/ 100

×