Insegurança na Rede: problemas e soluções
-
Upload
elliando-dias -
Category
Technology
-
view
1.774 -
download
0
Transcript of Insegurança na Rede: problemas e soluções
GSegGSegUFRGSUFRGS
Insegurança na Rede:Insegurança na Rede:problemas e soluçõesproblemas e soluções
Vinícius S. SerafimVinícius S. SerafimGSeg - UFRGSGSeg - UFRGS
GSegGSegUFRGSUFRGS
2
RoteiroRoteiro
Evolução da Evolução da RRedeedeAtaquesAtaquesSegurança da InformaçãoSegurança da InformaçãoComo implementar S.I.?Como implementar S.I.?Requisitos para RHRequisitos para RHComo adquirir conhecimentos?Como adquirir conhecimentos?“A grande solução”“A grande solução”
GSegGSegUFRGSUFRGS
3
Grupo de Segurança - UFRGSGrupo de Segurança - UFRGS
Áreas de PesquisaÁreas de PesquisaSistemas operacionais segurosSistemas operacionais segurosSegurança em redes sem fioSegurança em redes sem fioInjeção de falhas maliciosasInjeção de falhas maliciosasEngenharia de segurançaEngenharia de segurançaVotação digitalVotação digital
CoordenadorCoordenadorProfProf. Raul Fernando Weber. Raul Fernando Weber
GSegGSegUFRGSUFRGS
4
Evolução da Evolução da RRedeede
Dial-up
ADSL
Wireless
GSegGSegUFRGSUFRGS
5
AtaquesAtaques
MotivaçõesMotivaçõesSimples curiosidadeSimples curiosidadeNotoriedadeNotoriedadeLucroLucroVingançaVingançaInvestigação legalInvestigação legal
privacidade x possibilidade de investigaçãoprivacidade x possibilidade de investigação
GSegGSegUFRGSUFRGS
6
AtaquesAtaques
Classes de agentesClasses de agentesHackersHackersCrackersCrackersScript kidsScript kids
AgentesAgentesAlunosAlunosEspiõesEspiõesAdministradores sem éticaAdministradores sem éticaAmparados pela leiAmparados pela lei“Turista acidental”“Turista acidental”
GSegGSegUFRGSUFRGS
7
Técnicas mais comunsTécnicas mais comunsMonitoramento/cópia de transmissõesMonitoramento/cópia de transmissões
sniffingsniffingethernetethernet ajuda muito ajuda muitowirelesswireless mais ainda mais ainda
Exploração de erros deExploração de erros deconfiguração de serviços e permissõesconfiguração de serviços e permissõesprogramação (programação (buffer overflowbuffer overflow))
Negação de serviçoNegação de serviçoBackdoorsBackdoorsVarredurasVarreduras
hosts hosts e redese redes
Engenharia socialEngenharia social
AtaquesAtaques
GSegGSegUFRGSUFRGS
8
AtaquesAtaques
Técnicas mais recentesTécnicas mais recentesGummy FingerprintGummy Fingerprint
Tsutomu Matsumoto Tsutomu Matsumoto (Matemático)(Matemático)Ingredientes: plástico Ingredientes: plástico moldávelmoldável e gelatina incolor e gelatina incolorFuncionou em 80% dos casosFuncionou em 80% dos casos
11
22
33
GSegGSegUFRGSUFRGS
9
AtaquesAtaques
Técnicas mais recentesTécnicas mais recentesPringles Pringles & & WirelessWireless
Crescente disseminaçãoCrescente disseminaçãoSegurança prevista é muito fraca ...Segurança prevista é muito fraca ...... e normalmente não é utilizada... e normalmente não é utilizadaWellenReiterWellenReiter, , AirAir--SnortSnort
GSegGSegUFRGSUFRGS
10
AtaquesAtaques
Ataques organizadosAtaques organizados
Escolha do alvo elevantamento de
informações
Obtenção e testesde ferramentas
Exploração dosResultados
Aplicação dasferramentas contra
o alvo
11 22 33 4411 22 33 44
Fontes públicasde informação
Fontes públicasde informação
Desenvolvimentoe teste em ambiente
controlado
Desenvolvimentoe teste em ambiente
controlado
Privilégios de acesso,eliminar indícios,garantir retorno
Privilégios de acesso,eliminar indícios,garantir retorno
GSegGSegUFRGSUFRGS
11
Segurança da InformaçãoSegurança da Informação
Garantia dos seguintes requisitosGarantia dos seguintes requisitosconfidencialidadeconfidencialidadeintegridadeintegridadedisponibilidadedisponibilidadeautenticidadeautenticidadeirrefutabilidadeirrefutabilidade
TiposTiposFísicaFísicaLógicaLógica
NBR ISO/IEC 17799NBR ISO/IEC 17799
GSegGSegUFRGSUFRGS
12
Por que investir em S.I.?Por que investir em S.I.?
Crescente número de ameaçasCrescente número de ameaçasRecursos cada vez mais complexosRecursos cada vez mais complexosFerramentas de ataque mais poderosasFerramentas de ataque mais poderosas
ProtegerProtegerCompetitividadeCompetitividadeLucratividadeLucratividadeCumprimento de requisitos legaisCumprimento de requisitos legaisImagem no mercadoImagem no mercado
GSegGSegUFRGSUFRGS
13
Como implementar S.I.?Como implementar S.I.?
Instalar mecanismosInstalar mecanismosFirewallsFirewallsSistemas de Detecção de Intrusão (IDS)Sistemas de Detecção de Intrusão (IDS)Controle de troca de senhasControle de troca de senhas
Monitorar usuáriosMonitorar usuários
Trancar tudo o que não é útilTrancar tudo o que não é útil
S.I.
CUID
ADO
GSegGSegUFRGSUFRGS
14
Segurança da InformaçãoSegurança da Informação
Alguns pontos de vistaAlguns pontos de vistasegurança é custosegurança é custosegurança versus facilidade de usosegurança versus facilidade de usosegurança por obscuridadesegurança por obscuridadeprofissionais com conhecimentos limitadosprofissionais com conhecimentos limitadosusuários ignoram aspectos técnicosusuários ignoram aspectos técnicossegurança x marketingsegurança x marketing
GSegGSegUFRGSUFRGS
15
Segurança da InformaçãoSegurança da Informação
Os três pilaresOs três pilares
Política
Cultura
Mecanismo
Segurança
GSegGSegUFRGSUFRGS
16
Segurança da InformaçãoSegurança da Informação
Não é possível provar segurançaNão é possível provar segurançamas sim o nível de insegurança em ummas sim o nível de insegurança em umdado instante de tempodado instante de tempo
Redução e controle de riscosRedução e controle de riscosO que é risco?O que é risco?
Risco = Impacto x (Ameaça x Vulnerabilidade)Risco = Impacto x (Ameaça x Vulnerabilidade)
Não existe redução 100%Não existe redução 100%Ciência dos riscosCiência dos riscos
GSegGSegUFRGSUFRGS
17
Como implementar S.I.?Como implementar S.I.?
Através de que processo garantimos aAtravés de que processo garantimos aqualidade de um software?qualidade de um software?
Existe software perfeito?Existe software perfeito?Testes garantem a inexistência deTestes garantem a inexistência deproblemas?problemas?
Engenharia de SegurançaEngenharia de SegurançaRedução de riscos a níveis aceitáveisRedução de riscos a níveis aceitáveisatravés da qualificação do processoatravés da qualificação do processo
GSegGSegUFRGSUFRGS
18
Como implementar S.I.?Como implementar S.I.?
Acima de tudo a missão da organizaçãoAcima de tudo a missão da organização
Participação de todosParticipação de todos
SegmentaçãoSegmentaçãoNíveis de segurançaNíveis de segurança
NBR ISO/IEC 17799NBR ISO/IEC 17799Não traz nada de novo, mas organizaNão traz nada de novo, mas organizae serve como referênciae serve como referênciaDeve-se ter sempre em mãosDeve-se ter sempre em mãos
GSegGSegUFRGSUFRGS
19
Requisitos para RHRequisitos para RH
Ética!!!Ética!!!Ex-Ex-hackershackers??
AutodidataAutodidata
Conhecimentos técnicosConhecimentos técnicosTeoria e práticaTeoria e práticaSempre atualizadosSempre atualizados
GSegGSegUFRGSUFRGS
20
Requisitos para RHRequisitos para RH
Capacidade para entender aCapacidade para entender aorganizaçãoorganização
Facilidade para interagir com pessoasFacilidade para interagir com pessoas
IniciativaIniciativa
GSegGSegUFRGSUFRGS
21
Como adquirir conhecimentos?Como adquirir conhecimentos?
InternetInternetwwwwww..packetstormsecuritypacketstormsecurity.com.comwwwwww..certcert..orgorgwwwwww..securityfocussecurityfocus.com/online.com/online
LivrosLivrosnão “não “Hackers Hackers em 24h”em 24h”
PráticaPrática
GSegGSegUFRGSUFRGS
22
“A grande solução”“A grande solução”
A Segurança da Informação tem queA Segurança da Informação tem queser tratada como item indispensável naser tratada como item indispensável naformação de recursos humanosformação de recursos humanos
ao longo do currículoao longo do currículodisciplinas específicasdisciplinas específicascursos especiaiscursos especiais
Andrew Yang, 2001
GSegGSegUFRGSUFRGS
23
ContatosContatos
GSegGSeghttp://http://wwwwww..infinf..ufrgsufrgs.br/~.br/~gseggseggseggseg@@infinf..ufrgsufrgs.br.br
Vinícius S. SerafimVinícius S. Serafimserafim@[email protected]
GNU/LinuxGNU/Linux