segurança de redes. por que falar em seguranÇa da informaÇÃo?

Segurança de Redes

POR QUE FALAR EM SEGURANÇA DA INFORMAÇÃO?

O MUNDO REAL ESTÁ MIGRANDO PARA O VIRTUAL?

A TRAGÉDIA QUE MUDOU O MUNDO MODERNO.

INFORMAÇÃO VALEM MAIS DO QUE BENS FÍSICOS.

O QUE É INFORMAÇÃO?

OS PRIMEIROS CUIDADOS COM A INFORMAÇÃO NA ANTIGUIDADE.

Out/2008

A história da Informação

~ 35000 AC – Homo Sapiens

Out/2008


~ 32000 AC – Registro de desenhos nas cavernas

Out/2008


~ 3500 AC – Escrita cuneiforme - Sumérios

Out/2008


~ 2700 AC – Surgimento dos hieróglifos egípcios

Out/2008


~ 2100 AC - Antikythera – calculadora astronômica

usada na Grécia

Out/2008


~ 1200 AC – Guerra de Tróia

Out/2008


~ 490 AC – Maraton – 42 km levando uma informação

Out/2008


~ 23 AC – Correio Romano – Transporte oficial de

informações

Out/2008


325 – Imperador Constantino – A Bíblia Cristã

Out/2008

641 – Biblioteca da Alexandria é destruída pelos árabes

História da Segurança da Informação

Out/2008

1455 – Impressão da Bíblia de Gutenberg


Out/2008

1497 – Os “segredos” da “Última Ceia” de Da Vinci


Out/2008

1559 – Santa Inquisição Index Librorum Prohibitorum


Out/2008

1642 – Calculadora Mecânica de Pascal


Out/2008

1863 – Uso do cilindro criptográfico na Guerra da secessão - EUA


Out/2008

1876 – Alexander Graham Bell inventa o telefone


Out/2008

1917 – Máquina de criptografia de Hebern – introdução do teclado


Out/2008

1946 – O ENIAC, criado pelo exército americano, é o primeiro computador eletrônico


Out/2008

1957 – É lançado o Satélite Russo Sputinik


Out/2008

1958 – Fundada a ARPA (Advanced Research Projects Agency) em resposta ao projeto Sputinik


Out/2008

1964 – IBM lança o Mainframe S/390, primeiro computador multitarefa comercial tornando-se um sucesso de vendas


Out/2008

1969 – Criação da ARPANET, com a finalidade de interligar centros de computação militares e acadêmicos


Out/2008

1980 - Início da onda de popularização dos computadores pessoais.


Out/2008

1982 - Primeiro programa com características de vírus que se tem notícia, era chamado de ELK CLONER e foi criado para a plataforma Apple II.


Out/2008

1983 – É Lançado o Windows 1.0


Out/2008

1984 – Criada a ISSA – Information Systems Security Association, primeira associação para profissionais de Segurança de Sistemas.


Out/2008

1986 - Computer Fraud and Abuse Act é a primeira lei que tipifica crimes de computador.


Out/2008

1986 - Brain é o primeiro vírus de computador agindo no setor de boot


Out/2008

1988 – Worm do estudante Robert Morris derruba 10% dos computadores da Internet, foi condenado a 400 horas de serviço comunitário e uma multa de $ 10.000.


Out/2008

1989 - Surgimento dos primeiros softwares comerciais de antivírus.


Out/2008

1991 – Linux é proposto por Linus Torvalds


Out/2008

1995 – O Windows 95 é lançado e transforma o mercado de PC’s – promessas de um sistema seguro


Out/2008

1995 – Publicada a primeira versão da BS 7799


Out/2008

1995 – Primeiro teste com as urnas eletrônicas dá liderança tecnológica na área ao Brasil


Out/2008

1997 - Receita Federal começa a receber declarações de Imposto de Renda pela Internet, em 97 foram recebidas 470.000 declarações pela web


Out/2008

1999 - Vírus de macro Melissa se propaga por e-mails causando prejuízos estimados em US$ 80 milhões


Out/2008

2000 - Loveletter – 45 milhões de computadores infectados em 24 horas, parando serviços de e-mail mundo afora.


Out/2008

2000 - Ataques DDoS (Denial of Service Attacks) derrubam grandes portais como Amazon.com, CNN, MSN, eBay, Time Warners, CNN e YAHOO!


Out/2008

2000 - BS 7799 vira a norma ISSO/IEC 17799


Out/2008

2001 - ICP-Brasil é instituída através de medida provisória e transforma o Brasil no primeiro país do mundo a ter legislação específica.


Out/2008

2001 – Surge os vírus CODE RED e NIMDA explorando as “Blackdoor”


http://old.antivir.ru/yicons/codered.gif

Out/2008

2001 - 11/9 transforma para sempre o conceito de Segurança da Informação

• Crise econômica global e retração de investimentos

• Terrorismo e criminalidade

• Continuidade de negócios

• Segurança incorporada ao dia-a-dia


Out/2008

2002 –Aprovada nos EUA a lei Sarbanes-Oxley


Out/2008

2002 – Decreto 4.553 (Classificação das Informações) Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado...


Out/2008

2003 – SQL Slammer o virus mais rápido

– Explosão das fraudes no Brasil e no mundo.


Out/2008

2004 – Sasser e Blaster atacam


Out/2008

2006 – Trojan Storm e suas variações Peacomm , Nuwar, etc. se utilizando de email`s de catástrofes, assuntos polêmicos, mensagens de amor e vídeos, o cibercrime prolifera e dá lucro.


Out/2008

... – A criatividade dos criminosos visando somente lucro e a ingenuidade das pessoas torna-se campo fértil para roubo de senhas $$$$$$$$$$$$$$$$


“E DISSE O SENHOR DEUS Á MULHER: POR QUE FIZESTE ISTO? E DISSE A MULHER: A SERPENTE ME ENGANOU, E EU COMI.”

GN 3,13

“Ao longo da história, o ser humano sempre buscou o controle sobre a informações que lhe eram importantes

de alguma forma; isso é verdadeiro mesmo na mais remota antiguidade.” (Caruso, 1999)

Breve Histórico

• Preocupações com a segurança...

Júlio César Cofre Backup

Ambientes MilitaresA Criptologia ajudou nos principais conflitos da 2a Guerra Mundial

Cerca de 1900 a.C

Introdução

• Redes de Computadores e a Segurança• As corporações (empresas, governos e escolas) estão cada vez

mais dependentes de seus sistemas – exigem informações compartilhadas;

• Uso de informações sigilosas (comércio eletrônico)• Novas tecnologias (por exemplo, redes sem fio)

Necessidade de se manter a Segurança das Informações

As preocupações crescem....

• Aumento do uso da Internet• Aumento do registro dos incidentes de segurança

(intrusos e funcionários insatisfeitos)• Numerosos relatos de vulnerabilidades de softwares

(inclusive os de segurança)• Proteção física é dificilmente concretizada

Segurança de Redes é uma tarefa árdua e complexa !

9a Pesquisa Nacional de Segurança da Informação

Hackers

Causa desconhecida

Funcionários

Ex-funcionários

Prestadores de

serviço

Concorrentes

Outros

Hackers

Causa desconhecida

Funcionários

Ex-funcionários

Prestadores de

serviço

Concorrentes

Outros

32%32%

26%26%

23%23%

4%

4%

4%

4%

1%1%

10%10%

PRINCIPAIS

RESPONSÁVEIS

Sistemas

Internos

23%

Sistemas

Internos

23%

Invasão física6%

Invasão física6%

Outros5%

Outros5%

Internet60%

Internet60%

Acesso remoto

6%

Acesso remoto

6%

PRINCIPAIS PONTOS

DE INVASÃO

“Capacidade de assegurar a prevenção ao acesso e à manipulação ilegítima da informação, ou ainda, de

evitar a interferência indevida na sua operação normal”.

O conceito de Segurança Computacional

Integridade

Confidencialidade

Disponibilidade

Objetivos de SegurançaManuseio

Des

cart

e

Transporte

Arm

azenamento

INFORMAÇÂO

Int.

Disp.

Conf.

Objetivos de Segurança

Autenticidade Garantir que um sujeito usando uma identificação é seu verdadeiro detentor

Não-repudiaçãoGarantir que o participante de uma comunicação não possa negá-la posteriormente

ConfidencialidadeGarantir que as informações não serão reveladas a pessoas não autorizadas;

IntegridadeGarantir a consistência dos dados, prevenindo a criação não autorizada e a alteração ou destruição dos dados;

DisponibilidadeGarantir que usuários legítimos não terão o acesso negado a informações e recursos;

Violações e Ataques de Segurança

• Quando os objetivos de segurança não são alcançados – propriedades não são garantidas – há uma violação da segurança !• Revelação não autorizada da informação• Modificação não autorizada da informação• Negação indevida de serviço

• Ataques de Segurança

Passivo: ameaça a confidencialidadeAtivo: ameaça a integridade e/ou a disponibilidade

Ataques de Segurança

Fluxo Normal

A BFonte de

InformaçãoDestino daInformação

Modificação Fabricação

A B

Interrupção

A B

InterceptaçãoI

A B

M

A B

F


PRINCIPAIS AMEAÇAS À

SEGURANÇA DA

INFORMAÇÃO

Vírus

Funcionários insatisfeitos

Divulgação de senhas

Acessos indevidos

Vazamento de informações

Fraudes, erros e acidentes

Hackers

Falhas na segurança física

Uso de notebooks

Fraudes em e-mail

Vírus

Funcionários insatisfeitos

Divulgação de senhas

Acessos indevidos

Vazamento de informações

Fraudes, erros e acidentes

Hackers

Falhas na segurança física

Uso de notebooks

Fraudes em e-mail

66%66%

53%53%

51%51%

49%49%

47%47%

41%41%

39%39%

37%37%

31%31%

29%29%


PREJUÍZOS CONTABILIZADO

S

>35% das empresas no Brasil tiveram perdas financeiras

>22% das empresas acima registraram perdas de até R$ 50 mil, 8% entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milhão

>65% não conseguem quantificar o valor dos prejuízos

De R$ 500 mil a

R$ 1 milhão4%

De R$ 500 mil a

R$ 1 milhão4%

Não foi possível quantificar

65%

Não foi possível quantificar

65%

Mais de1 milhão

1%

Mais de1 milhão

1%

Até R$ 50 mil22%

Até R$ 50 mil22%

De R$ 50 mil a

R$ 500 mil8%

De R$ 50 mil a

R$ 500 mil8%

Perfil dos Intrusos

• O Script Kid – Um atacante tecnicamente pouco dotado que pesquisa aleatoriamente um grande número de sistemas à procura de vítimas e depois as explora de forma imprevista (destruição ou subversão); tende a deixar muitos vestígios da sua atividade no sistema

• O Cracker Intrusivo – Um atacante tecnicamente avançado que orienta os seus ataques para vítimas específicas, visando quase sempre apropriar-se de informação valiosa sem deixar rastros; é o atacante mais temido por qualquer administrador informático

• O Cracker Ético (Hacker) – Semelhante ao cracker intrusivo mas com intenções totalmente opostas, atuando muitas vezes ao serviço de empresas da área da segurança na informática

A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor.

INFORMAÇÃO DADOS CONHECIMENTO

“[...] uma área do conhecimento dedicada á proteção de ativos da informação contra acessos não autorizado,

alterações indevidas ou sua indisponibilidade.”(Sêmola, 3003)

ATRIBUTOS DA SEGURANÇA DA INFORMAÇÃO

“A CONFIDENCIALIDADE DIZ QUE A INFORMAÇÃO SÓ ESTÁ DISPONÍVEL PARA AQUELES DEVIDAMENTE AUTORIZADOS; A

INTEGRIDADE DIZ QUE A INFORMAÇÃO NÃO É DESTRUÍDA OU CORROMPIDA E O SISTEMA TEM UM DESEMPENHO

CORRETO, E A DISPONIBILIDADE DIZ QUE OS SERVIÇOS/RECURSOS DO SISTEMA ESTÃO DISPONÍVEIS

SEMPRE QUE FOREM NECESSÁRIOS. (CGI, 2006)

segurança de redes. por que falar em seguranÇa da informaÇÃo?

Documents