Your SlideShare is downloading. ×
  • Like
[SCTI 2011] - Fundamentos da Segurança da Informação
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

[SCTI 2011] - Fundamentos da Segurança da Informação

  • 2,320 views
Published

Palestrada ministrada por William da Silva Vianna

Palestrada ministrada por William da Silva Vianna

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
2,320
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
104
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. FUNDAMENTOS SEGURANÇA DA INFORMAÇÃO William da Silva Vianna – D. Sc Instituto Federal Fluminense
  • 2. FUNDAMENTOS SEGURANÇA DA INFORMAÇÃO ROTEIRO - Introdução; - Etapas de um ataque; - Tipos de ataque; - Fontes de (in)segurança; - Algumas medidas de segurança.IFF wvianna@iff.edu.br 2
  • 3. INTRODUÇÃO Desde o surgimento da Internet, a busca por melhores estratégias de segurança tem aumentado consideravelmente, tendo em vista milhares de ataques à segurança da informação, causando perdas e pânico. Esses ataques têm causado prejuízos financeiros e de imagem para empresas, instituições e pessoas físicas. Políticas de acesso e uso, firewalls, sistemas de detecção de intrusos, projetos de rede, backups, entre outros; têm sido as “armas” defensivas nesta guerra da informação.IFF wvianna@iff.edu.br 3
  • 4. INTRODUÇÃO Conceito de segurança de computadoresUm computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade.A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários. IFF wvianna@iff.edu.br 4
  • 5. INTRODUÇÃO Conceito de incidente de segurançaUm incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.São exemplos de incidentes de segurança:* tentativas de ganhar acesso não autorizado a sistemas ou dados;* ataques de negação de serviço;* uso ou acesso não autorizado a um sistema;* modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;* desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. IFF wvianna@iff.edu.br 5
  • 6. INTRODUÇÃO Conceito de vulnerabilidade Vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável.Fontes de pesquisa:http://metasploit.com/http://packetstormsecurity.org/http://www.securityfocus.com/vulnerabilitieshttp://www.exploit-db.com/IFF wvianna@iff.edu.br 6
  • 7. INTRODUÇÃO Conceito de malwareCódigo malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Na literatura de segurança o termo malware também é conhecido por "software malicioso".Alguns exemplos de malware são: * vírus; * worms e bots; * backdoors; * cavalos de tróia; * keyloggers e outros programas spyware;IFF * rootkits. wvianna@iff.edu.br 7
  • 8. INTRODUÇÃO Vídeo sobre malware CGI.br- Comitê Gestor da Internet no Brasil videos/cgi-invasores-g.wmvIFF wvianna@iff.edu.br 8
  • 9. INTRODUÇÃO Conceitos de segurança física e lógica Lógica – Proteção dos dados utilizando: sistemas de software (IDS, NIDS, filtros/firewall, anti-malware, etc), senhas fortes, políticas de segurança, monitoração constante do tráfego de rede, atualização dos sistemas vulneráveis, controle de acesso lógico por permissões, conscientização dos usuários, etc; Física – Arquitetura de rede segura, restrição do acesso físico, política e sistemas de backup, sistemas de condicionamento do ar para os servidores, sistema de fornecimento de energia elétrica initerrupta (geradores e no-breaks), etc.IFF wvianna@iff.edu.br 9
  • 10. INTRODUÇÃO Conceitos de segurança física e lógica Segurança físicaIFF wvianna@iff.edu.br 10
  • 11. INTRODUÇÃO O perfil dos invasores de sistemas •Script Kid •Larva •Lammer •Newbie, Noob ou a sigla NB •Phreaker •Hacker •White hat (hacker ético) •Gray hat •Black hat •Cracker •Warez •Virii •Guru ou Coder •Spammer •IFF wvianna@iff.edu.br 11
  • 12. INTRODUÇÃO Complexidade versus conhecimentoIFF wvianna@iff.edu.br 12
  • 13. INTRODUÇÃO Incidentes reportados ao CERT.brIFF wvianna@iff.edu.br 13
  • 14. INTRODUÇÃO Incidentes reportados ao CAIS - RNP Atualizado em: 14.10.2011IFF wvianna@iff.edu.br 14
  • 15. INTRODUÇÃO Considerações● Segurança da informação tem que ser consideração permanente de qualquer projeto de TI;● Não existe segurança absoluta;● A segurança é sempre uma questão de economia;● A segurança é antagônico ao desempenho;● O atacante não passa pela segurança, mas em torno dela;● Organize suas defesas em camadas;● Mantenha a coisa simples;● Se não é usado um programa ou protocolo, não importa se eles têm vulnerabilidades;● A conscientização a respeito das vulnerabilidades é uma forma de defesa;● Informações sobre (in)segurança são abundantes;● A situação tende a ficar cada vez pior ! IFF wvianna@iff.edu.br 15
  • 16. SEGURANÇA DE REDES E SISTEMAS Etapas de um ataque– Geralmente, as técnicas utilizadas para se planejar um ataque, são: – Footprinting - Obtenção de informações; – Scanning - Identificação de serviços ativos; – Enumeration - Identificação dos recursos que fornecem os serviçosIFF wvianna@iff.edu.br 16
  • 17. SEGURANÇA DE REDES E SISTEMAS Footprinting– “Footprinting” refere-se ao ato de coletar informações sobre o sistema alvo.– Um atacante sempre irá recolher o máximo de informações importantes sobre todos os aspectos de segurança de uma organização.– Seguindo uma metodologia estruturada os atacantes podem juntar sistematicamente informações de uma grande variedade de fontes e compilar esse “Footprinting”.– Alguns recursos disponíveis: – www.internic.net – whois.nic.gov – www.google.com – www.registro.br IFF wvianna@iff.edu.br 17
  • 18. SEGURANÇA DE REDES E SISTEMAS Ferramentas •Distribuição GNU/Linux •BacktrackIFF wvianna@iff.edu.br 18
  • 19. SEGURANÇA DE REDES E SISTEMAS Scanning– O scanning tenta identificar os serviços ativos: – Identificam serviços TCP/UDP; – Arquitetura do sistema; – Faixas de IPs.– Técnicas utilizadas: – Ping sweeps; – Port scans; – Identificação de sistemas operacionais. IFF wvianna@iff.edu.br 19
  • 20. SEGURANÇA DE REDES E SISTEMAS Ferramentas •Distribuição GNU/Linux •BacktrackIFF wvianna@iff.edu.br 20
  • 21. SEGURANÇA DE REDES E SISTEMAS Ennumeration– Processo de extrair dos sistemas alvos contas válidas, recursos que estão expostos, falta de pathing;– É mais intrusivo que o footprinting e o scanning;– Técnicas: – Coletas de nomes de usuários e grupos; – Banners de sistemas; – Tabelas de roteamento; – Informações SNMP; IFF wvianna@iff.edu.br 21
  • 22. SEGURANÇA DE REDES E SISTEMAS Ferramentas •Distribuição GNU/Linux •BacktrackIFF wvianna@iff.edu.br 22
  • 23. SEGURANÇA DE REDES E SISTEMAS Tipos de Ataques● Footprinting – Smurf Attacks● Exploração de Bugs – IP Spoofing● BackDoors – IP sequence prediction● Arp cache poisoning – IP fragementation Flooding● Denial of Service ( DoS ) – Port Scanners● Distributed Denial of Service ( DDoS ) – Password Crackers● SYN Flooding – Hijacking Attacks● Syn sniping – Phishing● XSS – Pharming – DNS● Ping of death – Botnet● Buffer overflow – SQL injection● Stack overflow – Outros, muitos outros. IFF wvianna@iff.edu.br 23
  • 24. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (1/10)Denial Of Service - DOS– O objetivo principal de ataques do tipo DoS, é bastante simples: indisponibilizar servidores de rede.– Os ataques DoS afetam diretamente a implementação do IP, o que os torna mais hosts, uma vez que a implementação do IP varia muito pouco de plataforma para plataforma. IFF wvianna@iff.edu.br 24
  • 25. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (2/10) Hijacking Attack– O sequestro ( hijacking ) de TCP é oriundo de um descuido fundamental do protocolo TCP. O TCP/IP permite que um pacote falsificado inserido em um fluxo ative a execução de comandos em um host remoto.– Existem produtos disponíveis na Internet que colocam a teoria do hijacking em prática, como o Juggernaut, Hunt e Ettercap.IFF wvianna@iff.edu.br 25
  • 26. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (3/10) ●Sniffers Sniffers ou analisadores de tráfego como também são conhecidos, são dispositivos que capturam os pacotes que estão trafegando pela rede. Estes analisadores, a princípio, podem ser utilizados para analisar o tráfego de rede e identificar áreas que estão sofrendo com problemas de tráfego. Devem trabalhar em “promiscous mode”IFF wvianna@iff.edu.br 26
  • 27. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (4/10) ●Password Crackers Password Crackers são ferramentas de simulação que empregam os mesmos algoritmos usados na criptografia de senhas. Estas ferramentas executam análises comparativas para checar a validação das senhas.IFF wvianna@iff.edu.br 27
  • 28. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (5/10) ● Buffer Overflow (estouro de buffer) ● É uma técnica utilizada para explorar bugs que geram vulnerabilidade. Ocorre quando um programa ou processo armazena mais dados no buffer (área temporária para armazenamento de dados) do que o previsto. O buffer é criado para conter uma quantidade finita de dados. Quando esta área é ultrapassada ocorre o estouro possibilitando o desvio do programa para operações não previstas. Esta técnica pode ser utilizada pelos atacantes para executar programa indevidamente em clientes e até mesmo servidores.IFF wvianna@iff.edu.br 28
  • 29. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (6/10) ● Cross-site scripting (XSS) ● é um tipo de vulnerabilidade encontrada normalmente em aplicações WEB que activam ataques maliciosos ao injetarem scripts nos clientes a partir de uma página WEB visitada. Um script de exploração de XSS pode ser usado pelos atacantes para: - roubar sessões de usuário; - introduzir um cavalo de tróia; - etc.IFF wvianna@iff.edu.br 29
  • 30. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (7/10) ● Google Hacking - Dorks ● Muitos atacantes usam o Google para localizar vulnerabilidades que posteriormente são exploradas. http://www.exploit-db.com/google-dorks/IFF wvianna@iff.edu.br 30
  • 31. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (8/10) ● SQL Injection ● A Injeção de SQL, mais conhecida através do termo americano SQL Injection, é um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.IFF wvianna@iff.edu.br 31
  • 32. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (7-8/10) A SEGUINTE DEMONSTRAÇÃO CONTÉM IMAGENS FORTES, TÉCNICAS OBSCURAS E MALICIOSAS. NÃO DEVE SER VISTA OU REPRODUZIDA POR NINGUÉM.IFF wvianna@iff.edu.br 32
  • 33. SEGURANÇA DE REDES E SISTEMAS Alguns tipos de ataque (9/10) Engenharia social– Phishing e variações Em computação, phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir fotos e músicas e outros dados pessoais , ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial. Isto ocorre de várias maneiras, principalmente por email, mensagem instantânea, SMS, dentre outros. Atualmente esta técnica é utilizada em conjunto com outras para promover a grande maioria dos ataques aos clientes da Internet.IFF wvianna@iff.edu.br 33
  • 34. SEGURANÇA DE REDES E SISTEMAS Nova anatomia de um ARTAQUE (10/10) ● Footpriting - who is, NSlookup, Dig, Google, Enumeration; ● Email malicioso - customização de um malware; ● Execução do Payload; ● Dano - Black email, espionagem, destruição, sequestro, roubo de seção, etc.IFF wvianna@iff.edu.br 34
  • 35. SEGURANÇA DE REDES E SISTEMAS As fontes de (in)segurança http://www.exploit-db.com http://packetstormsecurity.org http://www.securityfocus.com http://www.securiteam.com/exploits http://www.cert.org http://insecure.org/sploits.html http://www.us-cert.gov http://www.c4ads.org http://nvd.nist.gov/home.cfm http://www.nsa.gov http://www.first.org/ http://www.gocsi.com/ http://cve.mitre.org/ http://xforce.iss.net/ http://www.technewsworld.com/perl/section /security http://www.securiteam.com http://www.google.com http://www.insecure.orgIFF wvianna@iff.edu.br 35
  • 36. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (1/15) ●Definição da política de segurança e política de uso aceitável; Elaboração de uma arquitetura de rede segura; ● Elevação do nível de segurança dos hosts; ● ●Monitoração contínua do tráfego da rede e dos serviços; ●Definição de testes periódicos à procura de vulnerabilidades; Atualização periódica dos hosts; ● Programação segura. ●IFF wvianna@iff.edu.br 36
  • 37. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (2/15)Algumas característica da políticas desegurança e política de uso.●Definir regras para evitar a quebra de uma oumais de suas três propriedades fundamentais:confidencialidade, integridade edisponibilidade.●Atribui direitos e responsabilidades àspessoas que fazem uso dos recursos.●Definir direitos e responsabilidades doprovedor dos recursos.●Especificar ações previstas em caso deviolação da política. IFF wvianna@iff.edu.br 37
  • 38. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (3/15) Arquitetura de rede segura, na medida do possível, deve contemplar: ● Least Privilege; ● Choke Point; ● Defense In Depth; ● Weakest Link; ● Fail Safe; ● Universal Participation; ● Diversity of Defense; ● Simplicity; ● Type Enforcement (permissão).IFF wvianna@iff.edu.br 38
  • 39. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (4/15) Firewall O Firewall consiste em um conjunto de componentes organizados de uma forma a garantir certos requisitos de segurança. Os componentes básicos para a construção de um firewall são: ●Packet Filters: são responsáveis pela filtragem (exame) dos pacotes que trafegam entre dois segmentos de rede. ●Bastion Host: computador responsável pela segurança de um ou mais recursos (serviços) da rede.IFF wvianna@iff.edu.br 39
  • 40. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (5/15) Filtro de pacotes (Packet Filters): ● Hardware; ● Software de interação (http://www.netfilter.org/); IPTables - Linux 2.4 e 2.6. IPChains - Linux 2.2 e 2.4. IPFWADM - Linux 2.0. O filtro de pacotes é apenas um dos elementos do Firewall.IFF wvianna@iff.edu.br 40
  • 41. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (6/15) Algumas distribuições GNU/Linux criadas especialmente para implementar firewall de rede: Astaro Security Gateway, CensorNet, ClarkConnect, Coyote Linux, Devil-Linux, Endian Firewall, Euronode, Gibraltar Firewall, IPCop Firewall, Linux LiveCD Router, m0n0wall, O-Net, pfSense, Phayoune Secure Linux, redWall Firewall, Securepoint Firewall & VPN Server, SmoothWall Express, Untangle Gateway e VyattaIFF wvianna@iff.edu.br 41
  • 42. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (7/15) Algumas arquiteturas de Firewall. A topologia física e lógica de uma rede deve ser planejada e implementada para permitir a implementação da política de segurança e uso aceitável.IFF wvianna@iff.edu.br 42
  • 43. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (8/15) Algumas arquiteturas de Firewall. Existem várias topologias de redes que podem aumentar a segurança da informação. Os seguintes recursos geralmente são aplicados em conjunto com uma rede bem planejada: ● Filtro de pacotes; ● Proxy; ● Filtro de conteúdo; ● Analisadores de tráfego de rede; ● Filtro de aplicação; ● Entre outros.IFF wvianna@iff.edu.br 43
  • 44. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (9/15) Elevação do nível de segurança dos hosts: ●Particionamento adequado dos discos rígidos dos servidores; ●Desativação de serviços desnecessários; ●Definição de senhas seguras; ●Atualização periódica dos servidores; ●Equipamentos e procedimentos Backup; ●Leitura periódica de logs; ●Configuração de filtragem de pacotes nos servidores; ●Definição da administração remota segura; ●Controle de acesso a proxies WEB; ●Controle de acesso a sites “indesejados”; ●Remoção de shell desnecessários; ●Segurança física dos servidores; ●Pentests periódicos e correção das vulnerabilidades.IFF wvianna@iff.edu.br 44
  • 45. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (10/15)Técnicas de defecção de intruso.IDS – Sistemas de Detecção de Intruso Monitoração do sistema de arquivos: Tripwire; Aide. HoneyPot (pote de mel) DTK; PortSentry;NIDS – Sistema de Rede para Detecção de Intruso Snort.IFF wvianna@iff.edu.br 45
  • 46. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (11/15) LOGHOST Um LogHost centralizado é um sistema dedicado à coleta e ao armazenamento de logs de outros sistemas em uma rede, servindo como um repositório redundante de logs.IFF wvianna@iff.edu.br 46
  • 47. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (12/15)  Leitura de Logs: /var/log/messages /var/log/secure /var/log/maillog /var/log/xferlog last lastlog  Outras formas de monitoração de logs: Logcheck LogWatch ColorlogsIFF wvianna@iff.edu.br 47
  • 48. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (13/15)  Logs de comandos do Shell; .bash_history  Detecção de sniffers; AntiSniff  Detecção de rootkits; Chrootkit; Aide; Rkhunter; Tripware; Lsat; Kem_check; Lynis; Sam Hain; Prelude.IFF wvianna@iff.edu.br 48
  • 49. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (14/15)  Verificar o que esta sendo executado: ps –aux netstat –vat lsof fuser –av porta/protocolo who wIFF wvianna@iff.edu.br 49
  • 50. SEGURANÇA DE REDES E SISTEMAS Medidas de segurança (15/15)Monitoração contínua do tráfego da rede e dos serviços.●MRTG;●Sarg;●Webalizer;●Snort;●Nagios;●Driftnet;●Etherape;●AutoScan.Definição de testes periódicos à procura de vulnerabilidades.●OpenVas/Nessus;●Retina. IFF wvianna@iff.edu.br 50
  • 51. SEGURANÇA DE REDES E SISTEMAS Medidas de segurançaExistem ataques que geralmente não são bloqueados pelofirewall. Exemplos: XSS e SQL Injection. Estes ataquesexploram vulnerabilidades em serviços com códigos malescritos. Desta forma, um firewall bem configurado nãogarante segurança total, pois uma porta aberta gera semprepelo menos uma possibilidade de ataque.O projeto de qualquer sistema deve ter como base asegurança da informação. Atualização periódica dosdesenvolvedores na área de segurança, uso de técnicas elinguagens seguras são algumas ferramentas para combatera insegurança. IFF wvianna@iff.edu.br 51
  • 52. SEGURANÇA DE REDES E SISTEMAS Idiotices (1/2)* Assumir que os usuários irão ler a política de segurança por umamera solicitação;* Criar políticas de segurança que não podem ser garantidas;* Praticar políticas de segurança que não foram devidamenteaprovadas;* Executar testes de vulnerabilidade, mas não acompanhar osresultados; IFF wvianna@iff.edu.br 52
  • 53. SEGURANÇA DE REDES E SISTEMAS Idiotices (2/2)* Adquirir produtos caros quando uma simples correção poderiaconsertar 80% do problema;* Banir o uso de discos USB externos e continuar sem restringiracesso à Internet;* Agir com superioridade frente aos colegas da área de redes,administração de sistemas e desenvolvimento;* Usar a mesma senha em sistemas que diferem quanto aexposição ao risco ou criticidade de dados. IFF wvianna@iff.edu.br 53
  • 54. SEGURANÇA DE REDES E SISTEMAS FIM NÃO EXISTE PROTEÇÃO CONTRA IDIOTICE FIM Contato: wvianna@iff.edu.brIFF wvianna@iff.edu.br 54