Introdução aos Sistemas de Informações Unidade Didática 6: Segurança e Auditoria de Sistemas.
Segurança e Auditoria de Sistemas
description
Transcript of Segurança e Auditoria de Sistemas
-
Segurana e Auditoria de Sistemas
Prof. Fernando Curvelo
-
A Era da Informao
Informao: cada vez mais valorizada;
Empresarial;
Particular;
Crescimento da dependncia;
Dcadas atrs a informao no era to automatizada e era armazenada em umnico local centralizado;
A TIC evoluiu e o compartilhamento das informaes passou a ser uma prticanecessria;
Para uma empresa ser bem sucedida, a informao uma ferramentapoderosa;
-
Uma receita amarga
Muitas empresas encaram (ainda!) a Segurana da Informao
como um gasto e no como investimento;
Para tentar compreender melhor a situao com relao
segurana vivida nas empresas, uma forma didtica seria associar
as situaes vividas a uma receita de bolo;
Ingredientes:
Crescimento da digitalizao da informao;
Crescimento da conectividade nas empresas;
Crescimento das relaes eletrnicas entre as empresas;
-
Uma receita amarga
Ingredientes:
Crescimento do compartilhamento da informao;
Baixo preo dos computadores e com isso facilidade de aquisio;
Internet grtis e de alta velocidade;
Falha no nvel de identificao de usurios em acesso gratuito a Internet;
Alta disponibilidade sobre tcnicas e ferramentas de invaso e ataques;
Carncias leis para julgar atos ilcitos em meio eletrnico;
Carncia da conscientizao de similaridade entre crime real e eletrnico;
Entre outros;
Se misturar tudo isso e mais um pouco, o produto final desta receita seramargo e difcil de degustar;
-
Ciclo de vida da Informao
A Informao tem trs pilares de sustentao:
Confidencialidade: toda a informao deve ser protegida de acordo com o
grau de sigilo de seu contedo;
Integridade: toda a informao deve ser mantida na mesma condio em que
foi disponibilizada pelo proprietrio;
Disponibilidade: Toda a informao gerada ou adquirida deve estar
disponvel aos seus usurios no momento em que se necessite delas;
O Ciclo de Vida da informao identificado pelos momentos
vividos por ela, ou seja, so aqueles momentos quando os ativos
fsicos, tecnolgicos e humanos fazem uso dela, sustentando
processos, que por sua vez, mantm a empresa em operao;
-
Ciclo de vida da Informao
Os momentos vividos pela informao so:
Manuseio: momento onde a informao criada e manipulada;
Armazenamento: momento onde a informao armazenada, no importaonde;
Transporte: momento onde a informao e transportada, seja por e-mail,correios, redes, entre outros;
Descarte: momento onde a informao e descartada, seja em uma lixeira, sejaeliminar um arquivo eletrnico;
Se pensar na segurana como um todo, adianta garantir 3 dos 4conceitos? No!
-
Conceitos de Segurana em TIC
Segurana em TIC a segurana da INFORMAO e dos recursoshumanos, lgicos e fsicos envolvidos com a coleta, tratamento,armazenamento, disseminao e eliminao.
possvel considerar tambm que Segurana em TIC a prtica dagesto dos riscos de incidentes que possam impactar nocomprometimento dos trs principais conceitos da segurana que so: aconfidencialidade, integridade e disponibilidade.
Com estas definies possvel definir regras que incidiram sobre todo ociclo de vida da informao: manuseio, armazenamento, transporte edescarte.
NO EXISTE SEGURANA TOTAL!
-
Conceitos de Segurana em TIC
Segundo a norma ABNT NBR ISSO/IEC 27002:2005, a Segurana
da informao a proteo da informao de vrios tipos de
ameaas para garantir a continuidade do negcio, minimizando os
riscos e maximizando o retorno sobre investimentos e as
oportunidades de negcio. A segurana da informao obtida
como resultado da implementao de um conjunto de controles,
compreendendo polticas, processos, procedimentos, estruturas
organizacionais e funes de hardware e software.
NO EXISTE SEGURANA TOTAL!
-
Conceitos de Segurana em TIC
Segurana Fsica
Transmisso e destruio da informao
Segurana Lgica
Processamento e acesso
-
Conceitos de Segurana em TIC
Consistncia da coleta de dados
Tanto a coleta manual quanto a automtica exigem processos de validao.
Manual: erro humano.
Automtica: erro nos coletores.
Consistncia no processamento
O tratamento dos dados um processo com vulnerabilidades.
Testes dos programas.
Conhecimento do processo.
Filtros e limites.
Histrico e documentao.
-
Conceitos de Segurana em TIC
Aspectos de Segurana da Informao
Autenticao: processo que consiste na identificao e reconhecimento formal
da identidade dos elementos que se comunicam ou que fazem parte de uma
transao eletrnica que permitir o acesso a informao.
Legalidade: caracterstica da informao. Ela possui um valor legal dentro do
processo de comunicao, onde a informao est de acordo com clausulas
contratuais pactuadas ou legislao vigente (internacional e/ou nacional).
-
Conceitos de Segurana em TIC
Aspectos associados
Autorizao: concesso de permisso para acesso informao e
funcionalidades das aplicaes envolvidas (usurio ou mquina).
Auditoria: processo de coleta de evidncias do uso dos recursos existentes na
troca de informaes.
Autenticidade: garantia de que as entidades envolvidas (informao, mquina
ou usurios) no processo de comunicao, sejam exatamente o que dizem ser e
que a mensagem ou informao no foi modificada aps o seu envio.
Severidade: gravidade de um dano que o ativo pode sofrer devido a
explorao de uma vulnerabilidade.
-
Conceitos de Segurana em TIC
Aspectos associados
Ativo: Qualquer coisa que tenha valor para a empresa e para os negcios.
Exemplos: Banco de dados, softwares, equipamentos, entre outros.
Relevncia do processo de negcio: grau de importncia de um processo de
negocio para o alcance de um objetivo e sobrevivncia da empresa.
Criticidade: gravidade do impacto ao negcio, causado pela ausncia de um
ativo, pela perda ou reduo de suas funcionalidades em um processo de
negcio ou pelo uso indevido.
Irretratabilidade: caracterstica da informao que possui a identificao do
emissor que o autentica como o autor.
-
Conceitos de Segurana em TIC
Ameaas: agentes ou condies que causam incidentes que podemcomprometer a informao e seus ativos por meio da explorao devulnerabilidades e que podem provocar a perda de integridade,confiana e disponibilidade da informao, impactando assimnegativamente nos processos de negcio.
Naturais: Ameaas provenientes de fenmenos da natureza.
Involuntrias: Ameaas inconsistentes, causadas na maioria dos casos por
desconhecimento.
Voluntrias / Intencionais: ameaas propositais causadas por agentes
humanos.
-
Conceitos de Segurana em TIC
Vulnerabilidades: fragilidade presente ou associada a ativos quemanipulam a informao que, ao ser explorada por ameaas permite aocorrncia de um incidente de segurana.
Fsicas: instalaes prediais fora de padres, sala de CPD mal planejada, falta deextintores, entre outros.
Naturais: causas naturais tais como incndios, enchentes, acmulo de poeira, entreoutros.
Hardware: falha nos equipamentos (desgaste, m utilizao) ou erro de instalao.
Software: Erros na instalao ou m configurao.
Mdias: Discos, fitas, relatrios, entre outros, podem ser danificados ou perdidos.
Comunicao: acesso no autorizado ou perda de comunicao.
Humanas: falta de treinamento, compartilhamento de informaes confidenciais,no execuo de rotinas de segurana, sabotagem, entre outras.
-
Conceitos de Segurana em TIC
Medidas de Segurana: prticas, procedimentos e/ou mecanismos
utilizados para a proteo das informaes e seus ativos.
Preventivas: medidas de segurana que tem como objetivo evitar que
incidentes aconteam.
Detectveis: medidas de segurana que visam identificar condies ou
indivduos que possam causar danos s informaes.
Corretivas: aes voltadas para a correo de uma estrutura (tecnolgica e
humana), adaptando-as s condies de segurana estabelecidas.
-
Conceitos de Segurana em TIC
Riscos: Probabilidade de ameaas explorarem vulnerabilidades.
Impacto: Abrangncia dos danos causados por um incidente de
segurana.
Incidente: Fato decorrente da ao de uma ameaa que explorou
uma ou mais vulnerabilidades, provocando a perda de informao
ou princpios da segurana da informao.
-
Conceitos de Segurana em TIC
Ataques
H 4 modelos de ataques Interrupo, Interceptao, Modificao eFabricao.
Fonte da
informao
Destinoda
informao
Fluxo normal
Interrupo Interceptao Modificao Fabricao
-
Conceitos de Segurana em TIC
Ataques
Interrupo: quando o ativo destrudo ou fica indisponvel (inutilizvel),
caracterizando ataque contra disponibilidade. Exemplo: destruio de um HD.
Interceptao: quando o ativo acessado por uma parte no autorizada (pessoa,
software ou computador), caracterizando ataque contra a confidencialidade.
Exemplo: cpia no autorizada de arquivos.
Modificao: quando o ativo acessado por uma parte no autorizada (pessoa,
software ou computador) e ainda alterado, caracterizando ataque contra a
integridade.
Fabricao: quando uma parte no autorizada (pessoa, software ou computador)
insere objetos falsificados em ativos, caracterizando ataque contra a autenticidade.
Exemplo: adio de registro no banco de dados.
-
Conceitos de Segurana em TIC
Ataques
O ataque um ato deliberado que tenta se desviar dos controles de seguranacom o objetivo de encontrar e de aproveitar as vulnerabilidades.
Ataque Passivo: baseado em escutas e monitoramento de transmisses com o
intuito de obter informaes. O ataque desta categoria difcil de detectar porque
no envolve alteraes de dados, todavia, possvel de prevenir com a utilizao de
criptografia. Exemplo: escuta telefnica.
Ataque Ativo: envolve modificao de dados, criao de objetos e falsificao ou
negao de servio. So ataques de difcil preveno, por causa da necessidade de
proteo completa de toda as etapas de comunicao e processamento, o tempo
todo.
-
Conceitos de Segurana em TIC
Barreiras de Segurana
Desencorajar: esta barreira tem o objetivo de desencorajar as ameaas. O
estimulo pela tentativa de quebra da segurana pode ser feito atravs de
mecanismos fsicos, humanos ou tecnolgicos;
Dificultar: esta barreira tem o objetivo dificultar o acesso indevido e para isso
pode-se utilizar dispositivos de autenticao para acesso fsico, leitores de
cartes, senhas, entre outros;
Discriminar: nesta barreira, o importante ter recursos que permitem
identificar e gerir os acessos, definindo assim os perfis e autorizando
permisses;
-
Conceitos de Segurana em TIC
Barreiras de Segurana
Detectar: esta barreira deve ter a soluo de segurana, ou seja, ter os dispositivos
que sinalizem, alertem os gestores da segurana sobre uma tentativa de invaso;
Deter: nesta barreira o objetivo impedir que a ameaa atinja os ativos do negcio;
Diagnosticar: est barreira apesar de ser a ltima, ela importante pois representa
a continuidade do processo de gesto de negcio e ela quem faz o elo com a
primeira barreira, criando assim um movimento contnuo. Aqui nesta barreira
devem ser feitas as analises dos riscos (aspectos tecnolgicos, humanos e fsicos)
-
Conceitos de Segurana em TIC
Controle e distribuio da informao impressa:
uma prova objetiva da responsabilidade de quem a elabora.
A impresso: um momento que exige proteo (na empresa) e proteo +
contrato bem elaborado (outsourcing).
A destruio dos relatrios utilizados.
A garantia de autenticidade (exemplo: certificados da Receita Federal).
Controle das impresses.
Malas diretas e etiquetas em geral.
-
Segurana em TIC
Controle sobre o acesso on-line da informao:
Identificao do usurio.
Filtros de pacotes e listas de acesso.
Firewall.
Anlise de contedos (sites, palavras, figuras?).
Vrus e cavalos de Tria.
Controle de acesso por faixa etria.
-
Segurana em TIC
Controle sobre informao pessoal:
Um perfil para cada usurio e com senhas diferentes.
Backup dos documentos, fotos em um local fora do computador pessoal.
Utilizao de programas de segurana, como por exemplo, firewalls, antivrus e
controles de pais (para quem tem filhos).
Quando no estiver utilizando o computador, no deixar o perfil logado.
Se for preciso levar o dispositivo a um tcnico, evite de deixar arquivos salvos
no nele.
Lei contra crimes eletrnicos lei 12.737 (Carolina Dieckmann).
-
Segurana em TIC
INTERNET
Motivos do sucesso:
Aplicaes padronizadas FTP (Transmisso de arquivos) e SMTP (e-mail).
Rpida evoluo do microprocessador.
Ambiente grfico.
Relao entre custos e os benefcios.
Profissionalizao da microinformtica.
Vulnerabilidades
Conectividade mundial
Conhecimento disponvel para interessados, de forma fcil e gratuita.
-
Segurana em TIC
INTERNET
Expectativas do usurio Consideraes
Disponibilidade 24 horas X 7 dias
Desempenho Tempo de resposta adequado
Navegabilidade Planejamento, quantidade de telas e lgica de navegao
Segurana e Privacidade O usurio deve se sentir seguro
-
Segurana em TIC
Item Alvo Consideraes
Balanceamento de carga dos equipamentos - ajuste dos recursos de acordo com a demanda.- carga compartilhada por vrios servidores.
Redimensionamento - agilidade em ajustar os recursos para atender as demandas.
Confiabilidade - falhas especficas no refletem em paralisao geral.- obedincia rigorosa a poltica de segurana e privacidade.- processadores paralelos, espelhamento, firewall.
Flexibilidade - acompanhar o ritmo da tecnologia.- escalabilidade.- evoluo horizontal e vertical.
Continuidade operacional - plano de ao para minimizar impactos.- monitorao permanente dos servios.- controle rgido sobre os recursos.
REDE
-
Segurana em TIC
Risco
Denominao genrica dos eventos que podem causar algum tipo de impacto
na capacidade de uma organizao em alcanar os seus objetivos de negcio.
Esto presentes na esfera de abrangncia do risco os seguintes elementos:
incerteza preocupao com a eficincia operacional;
ameaa perda financeira, mcula na imagem;
oportunidade investimentos na estrutura de proteo.
-
Segurana em TIC
Identificao do Risco
uma atividade contnua que deve observar as seguintes orientaes:
entender os objetivos estratgicos e operacionais da empresa e os fatores
crticos de sucesso, ameaas e oportunidades;
anlise das funes crticas para identificar os riscos das atividades que as
compem;
classificar os riscos para priorizar investimentos;
definir aes que diminuam e monitorem os riscos identificados;
avaliao do equilbrio entre risco e ROI dos produtos e servios.
-
Segurana em TIC
Avaliao do Risco
Aps a identificao dos riscos importante elaborar os relatrios que apresentem:
possveis riscos;
impactos;
ocorrncias;
aes preventivas;
gerenciamento a ser adotado;
-
Segurana em TIC
Ambiente de controle
O ambiente de controle importante para o gerenciamento de riscos.
Fatores importantes para a implantao do ambiente:
comprometimento da administrao;
padres para a linguagem e os processos;
coordenao no gerenciamento de mudanas;
envolvimento das reas de negcio, tecnologia, segurana e auditoria;
aculturao dos funcionrios;
acompanhamento dos casos de sucesso e fracasso;
monitorao dos processo;
reviso contnua do ambiente.
-
Segurana em TIC
Desenvolvimento do Servio
As fases que compem o desenvolvimento do servio a ser prestado:
desenvolvimento da estratgia do servio;
entendimento da organizao e das competncias;
definio dos processos;
determinao dos indicadores de desempenho;
projeto do sistema e da tecnologia;
projeto da segurana das informaes;
projeto da entrega do servio para a produo;
avaliao de aspectos legais.
-
Segurana em TIC
Desenvolvimento da estratgia do servio
As atividades dessa fase so: reviso da estratgia de negcio;
anlise do mercado potencial e receita esperada;
avaliao de conflitos;
anlise de fortalezas, deficincias, oportunidades e ameaas;
definio a estratgia do servio;
definio do valor agregado do servio;
projeto dos produtos a serem oferecidos;
especificao de funcionalidades;
identificao dos riscos;
avaliao dos impactos nos processos, estrutura e sistemas;
anlise de parcerias e terceirizaes;
definio da gesto das informaes;
desenvolver o estudo de viabilidade tcnica
-
Segurana em TIC
Entendimento da organizao e das competncias
As atividades dessa fase so:
identificao das estruturas gerencial e organizacional;
identificao e descrio de funes;
detalhamento das competncias necessrias por funo;
identificao dos profissionais internos e esternos e atribuio de responsabilidades;
desenvolvimento de programa de treinamento para os profissionais envolvidos com o projeto;
elaborao de plano de recrutamento, se necessrio;
elaborao, aprovao e divulgao do plano para gerenciamento de mudanas;
desenvolvimento de estratgia de relacionamento com parcerias, alianas e terceiros;
efetuar acordo do SLA com parceiros, aliados e terceiros.
-
Segurana em TIC
Definio dos processos
As atividades dessa fase so:
projeto dos processos para atender os servios;
definir as fases do projeto;
especificao o gerenciamento de risco dos clientes on-line;
anlise impactos e definir solues para processos existentes;
planejar, desenvolver e testar novos servios;
definio das responsabilidades de terceiros;
integrao entre os processos novos e os existentes;
definio da gerncia de clientes;
definio dos procedimentos de controle interno;
efetuar a avaliao da eficcia do website;
definio das variveis para medir os efeitos do servio.
-
Segurana em TIC
Definio dos indicadores de desempenho
As atividades dessa fase so:
definio de um sistema de medio geral do servio;
planejamento, medio, monitorao e controle do desempenho dos processos de:
atendimento aos clientes;
publicidade;
valor agregado de produtos e servios;
website;
preos;
-
Segurana em TIC
Projeto de sistema e tecnologia
As atividades dessa fase so:
definio da especificao funcional do sistema;
especificao de dados, funes e relacionamentos;
identificao das interfaces entre o sistema novo e os existentes;
especificao das interfaces com os usurios;
especificao da infra-estrutura tcnica para o sistema;
definio da arquitetura de segurana;
identificao de fornecedores e pacotes;
identificao das necessidades de conexo a internet ISP;
identificao de recursos especficos para o servio;
efetuar a sintonia fina para alcanar e manter o SLA.
-
O TCO foi desenvolvido por uma empresa de consultoria e pesquisa de
mercado em TI chamada Gartner Group.
TCO um modelo do ciclo de vida de um equipamento, um produto ou
um servio, ou seja, levado em considerao os custos com a
aquisio, propriedade, operao e manuteno ao longo da sua vida
til.
Custo Total de Propriedade (TCO Total Cost of Ownership)
-
Custo Total de Propriedade (TCO Total Cost of Ownership)
No TCO os custos da empresa externa e interna devem ser includos,isto significa que devem ser includos os custos e negociao com ofornecedor, transporte, inspeo e manuseio de materiais. Ele tambminclui os custos de entregas atrasadas, o tempo de inatividade causadospor falhas, garantias, custos de descarte e problemas gerados pelaqualidade do produto ou servio oferecido.
No TCO os custos com os valores associados, ou seja, custos comtreinamento de usurios, manuteno regular, auditoria, atualizaes desoftware, tarefas de gerenciamento, entre outros, tambm estoincludos.
-
Implantar e manter uma grande infra-estrutura pode tornar-se onerosae consequentemente sobrecarregar de trabalho s equipes de rede e istopode aumentar o Custo Total de Propriedade.
Reduzir o TCO um desafio contnuo para todas empresa. O TCOrelativo a cada uma das solues oferecidas pelo mercado extremamente relevante, pois um relacionamento de longo prazo. Ogerenciamento do ciclo de vida de informaes da empresa permiteobter o mximo dos recursos disponveis com o TCO mais baixo emcada estgio.
O TCO bem feito possibilita uma reduo de custos de at 40%,especialmente para pequenas e mdias empresas.
Custo Total de Propriedade (TCO Total Cost of Ownership)
-
A segurana da informao em uma empresa representa a proteo deum bem ainda imensurvel. Por exemplo, quando uma informao perdida por causa de um vrus, o administrador da rede poderiarecuper-la atravs do backup. Embora a poltica de segurana de muitasempresas tenha o backup dos arquivos como obrigatrio, muitas vezeseles so esquecidos ou mal feitos, prejudicando assim a recuperao.
Quando se adota uma poltica de segurana eficaz, um longo processoque analisa os ambientes, os sistemas e as pessoas precisa seracompanhada por profissionais de todas as reas envolvidas. Afinal decontas uma poltica de segurana custa bem menos do que um dia deperda de informaes.
Custo Total de Propriedade (TCO Total Cost of Ownership)
-
O conceito de TCO no novo para os administradores de empresas epara as empresas que utilizam mtodos de custeio em seus processosprodutivos e/ou de prestao de servios. De certa forma, o TCO j erautilizado pelas empresas, antes mesmo de ser "homologado" oureconhecido como tal.
Cada vez mais, ainda que empiricamente, as empresas esto adotando oconceito de TCO na gesto dos custos dos ativos operacionais, lanandomo de um foco mais agressivo na determinao dos custos invisveisoriundos do uso intensivo da Tecnologia da Informao. A esse esforosegue-se uma reduo do custo total de propriedade da rede uma vezque a possibilidade de acesso s informaes amplia-se, melhorando ogerenciamento da prpria informao.
Custo Total de Propriedade (TCO Total Cost of Ownership)
-
Criptografia a cincia que se utiliza de algoritmos matemticos paraencriptar (cripto = esconder) dados (texto claro) de uma forma nolegvel (texto cifrado) e depois recuper-los (decriptograf-los).
Com a criptografia, o custo para tentar decifrar o contedo dasmensagens cifradas torna-se maior do que o potencial ganho com osdados.
Criptoanlise a cincia que estuda mtodos, algoritmos e dispositivosa fim de quebrar a segurana dos sistemas criptogrficos, ou seja,tentam descobrir o texto claro a partir do texto cifrado.
Criptografia
-
Encriptao: o processo de transformar texto claro em uma formailegvel. O propsito da encriptao de manter a privacidade, ou seja,manter a informao escondida para qualquer pessoa que no seja odestinatrio.
Decriptao: o processo reverso da encriptao, ou seja, transformarnovamente em texto claro um texto cifrado.
Texto Claro: a mensagem a ser enviada. Se interceptado pode ser lidosem problema.
Texto Cifrado: a mensagem que passou pelo processo da encriptao.Se interceptado no pode ser lido, a menos que seja o destinatrio.
Criptografia
-
Como a criptografia uma cincia matemtica ela existe muito antes docomputador.
Um exemplo de criptografia antiga a que Julio Cesar criou, chamadade Julio Cypher. Como os meios de comunicao eram limitados eusava-se mensageiros a cavalo para enviar mensagens ao campo debatalha, as mensagens corriam o srio risco de serem interceptadas eenviadas aos inimigos.
Jlio Cesar criou um algoritmo que consistia em deslocar as letras damensagem trs posies para a direita, com isso as mensagens ficavamdifceis de ler, caso fossem interceptadas pelo inimigo. Para fazer adecriptao bastava deslocar trs posies para a esquerda.
Criptografia - Histria
-
Veja um exemplo de texto cifrado utilizando a cifragem de Jlio Cesar.
Cdigo:
Chave com o deslocamento de 3
ATACAR (texto claro)
DWDFDU (texto cifrado)
Criptografia - Histria
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
-
Outro exemplo de aplicao em guerra foi durante a Segunda GrandeGuerra, onde os nazistas desenvolveram um sistema criptogrfico quese em equipamento mecnico para criar as mensagens criptografadas.Elas eram enviadas via ondas de rdio para os submarinos que ficavamno Atlntico Norte. Estes submarinos tambm possuam esteequipamento, pois s assim eles conseguiam fazer a decriptografia.
Os aliados s conseguiram decifra as mensagens interceptadas depoisque eles capturaram um submarino que tinha este equipamento intacto.
Criptografia - Histria
-
A criptografia pode ser usada para:
Garantir a confidencialidade da mensagem para que usurios desautorizados notenham acesso a ela;
Garantir a autenticidade da mensagem;
Validao da origem da mensagem;
Manter a integridade da mensagem;
Garantir que a mensagem no seja modificada no encaminhamento;
Provar o envio;
No repdio.
Criptografia - Uso
-
Para ser considerado seguro, um algoritmo criptogrfico deve ter umachave que seja quase impossvel de ser quebrada ou que com o uso declculos seja impossvel extrair o texto claro do texto cifrado sem oconhecimento da chave.
A encriptao computacionamente segura, ou seja, os dados esto asalvo desde que no exista nenhum poder de computao de altacapacidade capaz de quebrar a cifragem.
Os sistemas perderiam o seu uso se algum conseguisse reverter oalgoritmo usado para fazer a encriptao, ou seja, a reverso de umalgoritmo criptogrfico est associado a despendimento de tempo eesforo.
Criptografia seguro?
-
Toda a informao que for reservado ou que possuir algum valor para aempresa e que podem ou sero transportadas em um meio inseguro,devem ser criptografadas.
Para isso existem trs sistemas criptogrficos:
Sistema de chave secreta;
Sistema de chave publica;
Baseado em funo de hashing;
Criptografia O que encriptar?
-
Sistema de Chave Secreta
o conhecimento de uma chave secreta que as partes de umacomunicao possui. Este sistema usado, geralmente, quando h umagrande quantidade de dados a serem criptografados.
Nesse sistema no possvel prover o no repdio, pois, ambas aspartes so conhecedoras da chave secreta.
Para manter esse sistema seguro, a chave secreta deve ser mantida emsegredo, pois a segurana parte dela.
Criptografia
-
Sistema de Chave Pblica
Em 1977 os professores Ronald Rivest, Adi Shamir e Len Adleman doInstituto de Tecnologia de Massachusetts criaram o Sistema Criptogrfico deChave Pblica.
Neste sistema usado um par combinado de chaves codificadoras edecodificadoras. Cada chave tem uma funo, ou seja, cada chave executauma transformao de via nica nos dados. Cada chave tem uma funoinversa da outra: o que uma faz a outra desfaz.
A chave pblica disponibilizada pelo proprietrio, enquanto que a privada mantida em segredo. Para enviar uma mensagem criptografada o autorembaralha a chave pblica do destinatrio. Isto quer dizer que, uma vezcriptografada, a mensagem s pode ser decriptografada com a chave privadado destinatrio.
Criptografia
-
Message Digest
Nesse sistema, textos de tamanhos variados so crifrados em textos detamanho fixo. So usados para computar hashes e checksum demensagens.
O objetivo de produzir uma pequena string que ser nica para cadatexto criptografado.
Essa tcnica usada para saber se a mensagem foi alterada no meio docaminho durante o seu transporte.
Criptografia
-
Implementao dos Sistemas Criptogrficos
A implementao via software mais barata, porm o processo maislento e no to seguro, visto que o software mais simples de sermodificado e forjado.
A implementao via hardware feita por chips e/oumicroprocessadores dedicados. Eles so mais rpidos, porm menosflexveis.
Criptografia
-
Definio
Para encriptar e decriptar necessrio o uso de informaes secretas,normalmente conhecidas como chaves.
A chave um nmero, normalmente primo, utilizado em conjunto comum algoritmo criptogrfico para a criao dos textos cifrados.
Alguns atributos destas chaves so:
Tamanho: nmero de bit/bytes;
Espao: coleo de combinaes matemticas que tm o mesmotamanho da chave;
Criptografia Chaves Criptogrficas
-
Gerenciamento
Para gerenciar uma chave criptogrfica, o sistema precisa definirmecanismos para:
Gerao;
Distribuio;
Entrada e sada;
Armazenamento;
Arquivamento de chaves;
Criptografia Chaves Criptogrficas
-
Gerao de chaves
Para gerar uma chave, obrigatrio o uso de um algoritmo devidamente testado. O geradorde nmeros aleatrios deve garantir que todos os valores dos bits so gerado igualmente. Opadro de gerao de chaves no pode ser de conhecimento pblico, por isso a necessidadede algoritmos randmicos que geram nmeros aleatrios.
Distribuio da chave
Para distribuir uma chave, o processo pode ser manual, automtico ou misto. A entrada dachave pode ser feita atravs do teclado, automaticamente ou at mesmo atravs e smartcards.
O canal que ser utilizado para a troca das chaves criptogrficas deve ser seguro.
Criptografia Chaves Criptogrficas
-
Armazenamento da chave
As chaves no devem ser acessveis, porm aconselhvel e til manter as
chaves criptogrficas em um arquivo como uma forma de backup,
permitindo assim a sua recuperao caso seja necessrio. Este arquivo deve
ser mantido em computador que esteja em um ambiente controlado e seguro
ou em dispositivos de armazenamento removvel, desde que eles fiquem
guardados em um local seguro e controlado.
Criptografia Chaves Criptogrficas
-
Troca de chaves
o processo que define os mecanismos que sero utilizados para que as
partes envolvidas na comunicao tenham conhecimento das chaves
criptogrficas.
O que se busca um dispositivo capaz de trocar as chaves de uma
maneira segura sem que seja necessrio estabelecer uma chave
compartilhada anteriormente.
Criptografia Chaves Criptogrficas
-
Criptografia Simtrica
Nos algoritmos de chave simtrica, as partes envolvidas na comunicao (origem edestino) precisam possuir a mesma chave. Esses algoritmos so rpidos, pormexiste a necessidade de um canal seguro para fazer a comunicao da chave secreta,pois existe o risco de algum descobrir a chave secreta e assim decriptar amensagem.
Na criptografia simtrica, o no repdio da mensagem, tambm no garantido.
Criptografia Tipos de Criptografia
TAD-NC4
Origem
!@#$%
TAD-NC4
Encriptao DestinoDecriptao
Texto CifradoTexto Claro Texto Original
-
Criptografia Simtrica Principais Algoritmos
DES e 3DES
O DES (Data Encryption Standard) um algoritmo padro que foi desenvolvido nosanos 70 pelo NIST (National Institute of Standards and Tecnology) em conjunto com aIBM. Neste algoritmos a chave tem um tamanho de 56 bits.
No 3DES, o algoritmo DES aplicado trs vezes com trs chaves distintas a 168 bitsou duas distintas de 112 bits.
Este algoritmo trabalha com a substituio dos bits do texto claro pelos bits do textocifrado. O processo simples e por conta disto os algoritmos so executados rpido.
Criptografia
-
Criptografia Simtrica Principais Algoritmos
RC2
Foi desenvolvido por Ronald Rivest (um dos fundadores da RSA). Permite o uso dechaves criptogrficas de at 2048 bits e so comercializados pela prpria RSA.
RC4
a evoluo do RC2, sendo mais rpido. Trabalha com chaves de at 2048 bits etambm comercializado pela RSA.
Criptografia
-
Criptografia Simtrica Principais Algoritmos
RC5
Teve a sua publicao em 1994 e permite que o usurio defina o tamanho da chave.
IDEA
O IDEA (International Data Encryption Algorithm) foi desenvolvido por James Masseye Xuejia Lai. Este algoritmo utiliza chaves de 128 bits e a sua patente est com aempresa Ascom Tech AG, que da Suia.
Criptografia
-
Criptografia Simtrica Principais Algoritmos
AES
O AES um algoritmo que foi concebido tambm pela NIST. Ele um padro avanado etem como maior objetivo substituir os algoritmos DES e 3DES.
Este algoritmo surgiu em concurso realizado pela NIST e teve como fatores analisados paraa escolha do vencedor a segurana (esforo requerido para a criptoanalise), eficinciacomputacional, requisitos de hardware e software, simplicidade e eficincia.
O padro foi definido em 2001 e o algoritmo vencedor foi o criado por Vicent Rijmen e JoanDaemen.
Este algoritmo trabalha com blocos fixos de 128 bits e uma chave que tem o tamanhovariado que pode ser de 128, 192 ou 256 bits.
Criptografia
-
Criptografia Assimtrica
Este modo de criptografia est baseado na utilizao de duas chaves: uma mantida emsegredo e a outra pblica e ela foi criada em 1976 por Whitfield Diffie e Marin Hellman.
Enquanto uma chave e utilizada para a encriptao a outra usada para a decriptao.Como este modo mais complexo, ele muito mais lento que a criptografia simtrica, algoem torno de 100 a 1000 vezes mais lento.
Mas a vantagem desse modo que ele resolve o problema do gerenciamento das chaves. Acriptografia assimtrica tambm chamada de criptografia de chave pblica e comorequisito bsico, as chaves pblicas devem ser mantidas em um local seguro e autenticado.
A criptografia de chave pblica pode fornecer tambm mecanismos eficientes para aassinatura digital e para o certificado digital.
Criptografia
-
Criptografia Assimtrica
A criptografia assimtrica possvel porque ela utiliza funes matemticasunidirecionais, ou seja, no possvel conseguir o valor original se as funes foreminvertidas. A nica maneira de realizar a inverso ter a posse de parte docontedo do texto cifrado, porm, computacionalmente falando, a inverso no uma tarefa muito fcil.
Criptografia
TAD-NC4
!@#$%
TAD-NC4
Criptografia Decriptografia
Texto CifradoTexto Claro Texto Original
Chave Pblicado Fulano
Chave Privadado Fulano
-
Criptografia Assimtrica Principais algoritmos
RSA
O algoritmo RSA foi criado em 1977 pelos professores Ronald Rivest, Adi Shamir eLen Adleman do Instituto de Tecnologia de Massachusetts.
A segurana deste algoritmo est ligado diretamente com o grau de dificuldade emrealizar fatorao, pois, as chaves pblicas e privadas so nmeros primos grandes(com 100, 200 dgitos ou mais).
Este algoritmo muito utilizado para garantir a confidencialidade e autenticidadedas mensagens, porm, como ele mais lento que os algoritmos simtricos, ele no utilizado para encriptar grandes blocos de dados.
Criptografia
-
Criptografia Assimtrica Principais algoritmos
Diffie-Hellman
Criado em 1975 pelo Whitfield Diffie e Martin Hellman este algoritmo baseia-se nouso de chaves logartmicas discretas.
Este algoritmo utilizado pelos algoritmos criptogrficos para a troca de uma chavepblica compartilhada por um canal pblico no seguro de comunicao.
Criptografia
-
Criptografia Assimtrica Principais algoritmos
Assinatura Digital
A assinatura digital serve para verificar a autenticidade e a integridade de umamensagem.
A grande vantagem da criptografia assimtrica de que apenas o proprietrio podedecriptar a mensagem, porm a grande desvantagem que este processo muitolento e por isso aplica-se esse processo apenas na assinatura digital de documentos.
Para criar uma assinatura digital, a mensagem passada por uma funo de hashingpara gerar um hash. Esse hash, como pequeno, pode ser encriptado por funes decriptografia assimtrica e s ento anexado mensagem original.
Criptografia
-
Criptografia Assimtrica Principais algoritmos
Assinatura Digital
A assinatura digital que est anexada ao documento garante que ela foi gerada pelocriador da mensagem. Isto porque, qualquer mudana de caractere na mensagemaltera o hashing.
A autenticao pode ser fortalecida com o uso em conjunto de certificados digitais.
O princpio da assinatura digital o mesmo da assinatura normal de documentosem papel, ou seja, o emitente no pode repudiar o documento depois que assinou.A vantagem da assinatura digital que ela depende do documento e no hmaneira de copi-lo de um documento para o outro.
Criptografia
-
SSL Security Socker Layer
O SSL uma camada que fica entre a interface socket do TCP e a aplicao e temcomo benefcios:
Criptografar dados;
Verificao de identidade, ou seja, ambos lados podem verificar as identidadesapresentando certificados um para o outro;
A integridade garantida, pois qualquer alterao na mensagem invalida ochecksum;
Por ser uma poderosa ferramenta, a maioria dos bancos utiliza-o. A pea maisimportante deste sistema o certificado digital que comprova que o dono dachave primaria.
Criptografia
-
PGP Pretty Good Privacy
Por ser uma aplicao de alta segurana, o PGP, permite que os usurios troquemmensagens com total privacidade e com autenticao. As implementaes do PGPdisponibilizam mtodos para encriptar arquivos, criar chaves pblicas e privadas,gerenciar a troca de chaves e o uso das assinaturas digitais.
Para garantir a autenticidade de ambas as partes na transao, a troca de chavespblicas e privadas se faz necessria. No processo de inicializao da conexo PGP,uma chave pblica ser utilizada para transmitir uma chave. Ela ser utilizada emuma criptografia simtrica, usando o mecanismo de envelope digital.
Criptografia
-
Algoritmos de Clculo de Hashing
Os algoritmos de hashing so utilizados para garantir a integridade e checar se houverammudanas no previstas nas mensagens enviadas.
Quando utilizada, a funo de hashing mapeia blocos de dados de tamanho varivel oumensagens em valores de tamanho fixo que so chamados de cdigo hash. A funo foidesenvolvida para trabalhar em via nica (unidirecionalmente) e quando protegida,disponibiliza um elemento identificador da mensagem que o hash.
O mecanismo simples de entender, aplica-se mensagem uma funo de hashing e comoresposta teremos o hash, ou seja, um conjunto de bytes de tamanho fixo. Esse hash ser nicopara esta mensagem, ou seja, qualquer alterao por menor que seja, alterar o hash e comisso o conjunto de bytes no ser o mesmo.
Exemplos de algoritmos de hash so: MD4, MD5, SHA1, entre outros.
Criptografia
-
Certificados Digitais
Para fazer a verificao (determinar o usurio) de uma chave pblica, utiliza-se ocertificado. Um Autoridade de Certificao (CA) assina digitalmente o certificado,autenticando a chave pblica. Um dos padres mais utilizado definido pela norma ITU-TX.509.
Autoridade de Certificao (Certificate Authority)
A CA garante que uma chave pblica pertence a determinado usurio. No possvelalterar parte do certificado, pois eles so armazenados de forma cifrada. Quando h umacomunicao, a chave pblica no enviada e sim o certificado. Se a assinatura da CA foraceita, significa que o certificado foi emitido pela CA, porm isso no quer dizer que ocertificado seja vlido, pois necessrio uma consulta extra na CA para verificar se ele foiou no revogado.
Criptografia
-
Certificados X.509
No certificado X.509 as seguintes informaes esto inseridas:
Verso do formato do certificado;
Numero serial associado ao certificado. nico e controlado pela CA;
Identificao do algoritmo utilizado para assina-lo;
Emissor com informaes sobre a CA;
Perodo de validade (data inicial e data final);
Informaes sobre a chave pblica;
Assinatura da CA cobrindo todo o certificado.
Criptografia
-
Emisso do Certificado
A CA faz algumas exigncias para emitir um certificado digital. Essas exignciasvariam de acordo com o grau de segurana do certificado.
O grau de segurana de um certificado pode ser:
Classe 1 fcil obteno;
Classe 2 verificao da base de dados de consumidores, como por exemplo oSERASA;
Classe 3 presena diante de tabelio (f pblica);
Classe privada somente para empresas que se tornaro domnios de certificao.
Criptografia
-
Criao do Certificado
Randomicamente, o usurio cria as suas chaves pblicas e privadas. Depois eleenvia a chave pblica para a CA, que cria o certificado de acordo com asinformaes pertinentes e assina este certificado com a chave privada da CA.Depois disso o certificado retorna para o usurio assinado e com data de validade.
Lista de Revogao de Certificados (CRL Certificate Revogation List)
uma lista que contem todos os certificados sem validade. Ela fica armazenada naprpria CA ou em servios de diretrio. Ela deve ser sempre consultada paragarantir a validade de um certificado.
Criptografia
-
Revogao do certificado
O certificado ser revogado quando:
O usurio removido do domnio de segurana;
O proprietrio do certificado reconhece que perdeu a chave privada;
Quando h suspeitas de ataque;
A solicitao de revogao pode ser feita pela CA ou pelo prprio usurio.
Criptografia
-
Hierarquia de Certificao
H uma hierarquia de certificao em que as CAs de um nvel superior atestam aautenticidade de CAs de um nvel inferior. O mesmo processo pode ocorrer entreCAs que esto nas mesma hierarquia, e neste caso chamamos de verificaocruzada.
As principais funes de uma CA so:
Distribuio dos certificados;
Emisso e assinatura de novos certificados;
Revogao de certificados;
Renegociao de certificados;
Criptografia
-
Criptoanlise Quebra da criptografia
a cincia que estuda tcnicas para quebrar os cdigos criptogrficos, ou seja,descobrir o texto claro a partir do texto cifrado.
Um criptoanalista pode descobrir uma chave criptogrfica se ele souber o textoclaro. Com a comparao do texto claro e do texto cifrado possvel achar a chave.
Em outro tipo de ataque, o criptoanalista obtm o texto cifrado e com isso ele tentaobter o texto claro, com isso tentar achar a chave criptogrfica.
Os ataques com textos escolhidos so mais usuais, pois para tentar quebrar osistema criptogrfico, o criptoanalista escolhe parte do texto cifrado e tentadecriptografa-lo com sistemas computacionais, buscando assim sequencias clarascomo uma srie de palavras.
Criptografia
-
Na tabela a seguir, uma estimativa de tempo para quebrar uma chave criptogrfica.
Criptografia
Tamanho da chave
Hacker individual
Grupo Rede acadmicaGrande empresa
Inteligncia militar
40 bitsAlgumas semanas
Alguns dias Algumas horasAlguns
milissegundosAlguns
microssegundos
56 bits Alguns sculosAlgumas dcadas
Alguns anos Algumas horasAlguns
segundos
64 bits Alguns milnios Alguns sculosAlgumas dcadas
alguns dias Alguns minutos
112 bits Infinito Infinito Infinito Alguns sculos Alguns sculos
128 bits Infinito Infinito Infinito Infinito Alguns milnios
Fonte: livro Segurana em Redes, pag 95, Alexandre Fernandes de Moraes, 2010, editora Erica
-
Algumas atribuies que um CSO (Chief Security Office) ou Gestor da Segurana daInformao precisa exercer:
Estabelecer procedimentos em transaes da empresa;
Agir de acordo a regras de acesso, restries e procedimentos;
Criar hierarquia de responsabilidades;
Criar mtodos de reao a eventuais falhas ou vulnerabilidades;
Criar e manter um padro de segurana dentro da empresa.
Gestor da Segurana da Informao
-
O CSO precisa ter um grande conhecimento tanto em negcios quanto em
segurana para conseguir desenhar a estratgia da Segurana da Informao de
maneira competente, para ai sim implantar as polticas e escolher as medidas
apropriadas para as necessidades dos negcios da empresa, sem impactar na
produtividade de todos.
Gestor da Segurana da Informao
-
Atender a requisitos de segurana lgica e fsica de redes cada vez mais complexas e
vulnerveis, o perfil do CSO evoluiu e evoluiu muito. De um lado do cenrio as
ameaas crescentes e cada vez mais fatais tais como: hackers, vrus, ataques
terroristas, enchentes, terremotos e do outro lado, a vulnerabilidade e a
complexidade tecnolgica crescem e com isso aumentam as atribuies e as
habilidades necessrias para exercer a funo de CSO. Atualmente, um CSO tem de
entender de segurana, deve conhecer bem os negcios da empresa e deve
participar de todas as aes estratgicas da empresa. Mais do que um tcnico, ele
deve ser definitivamente um gestor de negcios.
Gestor da Segurana da Informao
-
As qualificaes que so exigidas para o cargo de CSOs so:
Habilidades em questes de segurana fsica;
Familiaridade com a linguagem e os dilemas prprios da TI;
Saber lidar com pessoas;
Facilidade de comunicao, pois deve ter a desenvoltura necessria para fazer ainterface nos diversos setores e nveis culturais da empresa;
Capacidade de liderana e de gerenciamento de equipes para atingir uma atuaobem-sucedida em qualquer empresa;
Ter conhecimentos maduros sobre questes como autenticao, auditoria,preservao da cena do crime real ou virtual e gerenciamento de risco.
Ter viso estratgica e experincia no gerenciamento das operaes.
Gestor da Segurana da Informao
-
O CSO possui graduao em Cincias da Computao, Engenharia ou Auditoria de
Sistemas. O grande retorno que um CSO pode trazer para as empresas
diminuindo os riscos das operaes. Mas a verdade : um profissional assim to
completo no encontrado facilmente no mercado. No Brasil, a demanda no chega
a ser to grande, mas esses profissionais j so comuns em instituies financeiras,
seguradoras, operadoras de telecomunicao e empresas com operaes na Internet.
Especialistas em carreira recomendam que o CSO tenha atuao independente e no
se reporte ao CIO, mas diretamente diretoria ou presidncia.
Gestor da Segurana da Informao
-
Uma dica para quem pretende ser um profissional da rea de Segurana da Informao
obter certificaes de uma associao de segurana profissional, para ajudar a impulsionar
a carreira. As certificaes so muito importantes na deciso de contratar algum.
A certificao de Segurana da Informao pode ser dependente e/ou independente de
fabricantes e ambas so teis para o desenvolvimento da carreira. As certificaes atreladas
a fabricantes (como as da Cisco e da Microsoft, por exemplo) so importantes para
conseguir as habilidades para o cargo. As certificaes que demonstrem uma ampla base de
conhecimento e experincia, como as certificaes Certified Information Systems Security
Professional (CISSP) e Certified Information Systems Auditor (CISA) tambm so timas
opes.
Gestor da Segurana da Informao
-
O CSO precisa ser capaz de explicar quais sero os benefcios da segurana em
termos de retorno do investimento (ROI), seu valor para melhorar a capacidade da
empresa em fechar negcios, alm de deixar claro quais sero as solues prticas
que ela pode trazer para a resoluo dos problemas.
Gestor da Segurana da Informao
-
Obrigado!
Contato: [email protected]