10/08/2013

Segurana em sistemas de redes

Segurana

em

sistemas

de

redes

Professor: Professor : Anderson Paulo da Cruz

Por que a segurana da informao se tornou to relevante atualmente?

Devido ao cenrio de perda de dados (provocado por incidentes relacionados a Crise Financeira); Crescimento de uso de mobilidade; Devido a exposio demasiada de colaboradores, parceiros e executivos em Redes Sociais; Devido ao crescimento do uso de terceirizados; Devido aos prejuzos financeiros e de imagem que podem ser causados;

10/08/2013

Estudo revela que 25% dos funcionrios roubariam dados corporativos

Pesquisa realizada pela Cyber-Ark aponta que 40% dos entrevistados j pegaram informaes corporativas: pen drive o meio preferido. Um entre quatro trabalhadores de escritrio roubaria dados da companhia se soubesse que isso ajudaria um amigo ou parente a manter um emprego, segundo estudo da Cyber-Ark Software. O estudo da empresa tambm revelou que quatro em cada dez trabalhadores j pegaram dados da companhia, e que o meio preferido de transportar informaes por meio de memria flash USB. (...)No h desculpa para os trabalhadores que esto dispostos a comprometer a sua tica para salvar o trabalho, mas grande parte da responsabilidade de proteger dados de clientes do empregador, disse o vice-presidente de produtos e estratgia da Cyber-Ark, Adam Bosnian. (...)
http://idgnow.uol.com.br/seguranca/2009/11/24/estudo-revela-que-25-dos-funcionarios-roubariam-dados-corporativos. Acesso em: 24/11/2009.

Quem aqui a mame disse: No pegue o que no seu E quem ouviu a mame dizer: nem d CTRL C CTRL V no contedo alheio.

H caractersticas peculiares da cultura brasileira que favorecem isso: Americanos edoEuropeus 79% copiaram informaes sem autorizao empregador. Utilizaram CD/DVD, Drive USB ou conta pessoal de correio eletrnico. Na opinio deles, 59% eram tendem a s fazer o que informaes confidenciais. estiver autorizado. 61% relataram ter uma viso desfavorvel do seu antigo empregador. Brasileiros tendem a fazer 82% disse que seu empregador no realizou uma auditoria ou uma reviso dos papis ou documentos eletrnicos antes que ele/ela deixasse o emprego. tudo que no esteja proibido.
24% tiveram acesso ao sistema ou rede de computadores de empregador aps a sada da empresa.
Fonte: http://www.constatti.com.br/?tag=engenharia-social. Acessado em: 26/02/2010.

Funcionrios levam informaes da Empresa!

A Symantec e o Instituto Ponemon, uma empresa de pesquisa lder em gerenciamento de informao e privacidade, realizaram pesquisa junto a trabalhadores que perderam ou deixaram seus empregos em 2008 e constataram em relao s informaes da empresa:

As regras de TI esto claras, documentadas e em uso? 1. 2. 3. 4. 5. 6. 7. As equipes sabem usar senha de forma segura? o uso de webmail no ambiente de trabalho permitido? E acesso a sites de web ? E o uso de MSN ou outros comunicadores? E o uso de VoIP? E acesso remoto (VPN)? E a entrada com dispositivos com cmeras e aparelhos de MP3? 8. E as portas USB, esto liberadas? Pode-se baixar ou instalar qualquer coisa nas mquinas?

9. A segurana est andando junto com os dados?

10/08/2013

Qual o nvel da segurana da informao na empresa?

Para fazer a Segurana da informao necessrio conhecer as situaes de risco, principalmente as comportamentais.

Uma analogia! Os Sistemas de Segurana tm um papel de detector e so como uma extenso dos sentidos do ser humano. Por meio destes possvel a partir de um nico local monitorar qualquer foco de incndio, fuga de gs, abertura indevida de uma porta, entrada numa zona restrita, e confirmar e guardar todos estes eventos por meio de imagens.

ISO/IEC 17799
O que segurana da informao? Informaes so ativos que, como qualquer outro ativo importante A segurana da informao obtida atravs da implementao de um para os negcios, possuem valor para uma organizao e conjunto consequentemente adequado de precisam controles, ser que protegidos podem ser adequadamente adequadamente. polticas, prticas, . A segurana de estruturas informaes protege as informaes contra uma procedimentos, organizacionais e funes de software. amplacontroles gama de ameaas, assegurar a assegurar continuidade Esses precisam ser para estabelecidos para quedos os negcios, de minimizar prejuzos e maximizar o retorno de objetivos segurana especficos da organizao sejam investimentos e oportunidades comerciais comerciais. . alcanados. As informaes podem existir sob muitas formas formas. . Podem ser impressas ou escritas em papel, armazenadas eletronicamente, enviadas pelo correio ou usando meios eletrnicos, mostradas em filmes, ou faladas em conversas conversas. . Qualquer que seja a forma que as informaes assumam, ou os meios pelos quais sejam compartilhadas ou armazenadas, elas devem ser sempre protegidas adequadamente adequadamente. .
Fonte: PADRO ISO/IEC INTERNACIONAL 17799 - Tecnologia da Informao Cdigo de Prtica para Gesto da Segurana de Informaes

10/08/2013

Princpios da Segurana
Autenticao
- Processo pelo qual a identidade de uma entidade verificada

Autorizao
- Associar uma identidade a uma lista de direitos, privilgios, ou reas de acesso

Controle de Acesso
- Garantir que usurios no autorizados sero mandados embora

Confidencialidade
- Proteger informaes sensveis de forma que estas no sejam vistas indiscriminadamente

Integridade
- Assegurar que recursos ou dados no sejam alterados por entidades no autorizadas

No repudiao
- Quando no se pode negar a autenticidade de um documento, a sua assinatura ou o seu envio

Disponibilidade
- Legitimar que os usurios tenham acesso quando necessitarem

Questes
Como os bancos atualmente utilizam as tecnologias de autenticao para garantir mais segurana nos seus sistemas via Internet? Quantas senhas voc tem de se lembrar atualmente? Quais so as possveis solues para diminuir esse nmero?

Autenticao

Evoluo dos mtodos de verificao pessoal ris Impresso digital face Smart cards

senha O que voc sabe

token Cartes tradicionais O que voc carrega

voz

mo O que Voc

assinatura Evoluo

10/08/2013

Login e Senhas!!!!!
De acesso ao sistema da empresa De acesso ao sistema da faculdade De acesso a MSN, Skype, etc. De acesso conta bancria De acesso ao carto de crdito

, ento, natural que, os usurios optem pela soluo mais fcil que,
utilizar da mesma para todos os recursos ou, mais simplesmente, a manuteno de uma lista escrita e que, por isso, vulnervel.

Login/usurio As palavras-passe (Login) so, um mal necessrio e, por isso devemos procurar maneiras de as substituir por formas simples e mais seguras.

identidade
A verificao da identidade baseia-se no pressuposto que a entidade a nica capaz de enviar uma dada informao, a qual o resultado de algo que a entidade Sabe
Senha (= palavra chave = palavra passe = password) ex: Senhas Unix, PAP, CHAP, Kerberos

tem,
Testemunhos (Tokens) ex: carto multibanco, S/Key, SecurID, SmartCard

Biometria ex: ris, impresso digital, timbre vocal

Para maior comodidade dos usurios: Single Sign on (autentica-se uma vez no incio)
Ex: Kerberos

Biometria (no tem que se lembrar de senhas)

10/08/2013

Autenticao
Autenticao o processo de comprovar a identidade digital de um usurio, objeto na rede ou um recurso. Depois de autenticados, os usurios podem acessar recursos com base em seus privilgios. Existem diferentes mecanismos para autenticao e a escolha do mecanismo apropriado vai depender do ambiente onde se dar a autenticao.

Autenticao
Username e Password
Os mtodos de autenticao mais freqentes baseiamse na utilizao de palavras chave (passwords). Dada a fragilidade dos mecanismos da password, tm sido desenvolvidos vrios mtodos para as tornar mais seguras.

Autenticao
Cartes inteligentes (Smart Card)
O contedo de um Smart Card um pouco complexo: Circuitos integrados, memria de at 384 Kb, microprocessador de 16bits e outros componentes ...

10/08/2013

Autenticao
Cartes inteligentes (Smart Card)
Este mecanismo de autenticao proporciona um alto nvel de segurana e diversos equipamentos utilizam esta tecnologia para identificar usurios.

Autenticao
Token
O Token um dispositivo eletrnico que gera uma nova senha numrica randmica a cada 36 segundos, ou o tempo que for programado. Este dispositiva utilizada como um fator de segurana adicional na autenticao pois garante total privacidade em caso de roubo de senhas (atravs de um spy, por exemplo).

Autenticao
Token
A soluo do Token baseada no conceito OTP (One Time Password) que gera senhas descartveis, obrigando o usurio a informar senhas diferentes a cada acesso. O uso de senhas descartveis OTP uma soluo simples e de fcil implementao. Quando o usurio vai acessar o sistema, o cdigo de acesso do Token solicitado, garantindo segurana.

10/08/2013

Autenticao Senhas

Podem ser quebradas de diversas maneiras: Adivinhao Pesca de senhas - busca por papeizinhos com as senhas Quebra de sigilo - inteno do prprio usurio Monitoramento e captura de senhas Acesso ao arquivo de senhas Ataque de fora bruta Keylogger

Autenticao Senhas
O esquecimento de senhas um fato comum e representa certa de 30% dos chamados em Help Desk. Possvel soluo
One-time password: senhas vlidas por apenas uma vez.

Autenticao Dispositivos inteligentes

Possuem circuitos integrados que atuam no processamento de algumas informao Caractersticas fsicas: smart cards, chaveiros, calculadora, ... Interface Manuais Eletrnicas: requer dispositivo de leitura Protocolos de autenticao: troca de senhas estticas gerao dinmica de senhas desafio resposta

10/08/2013

Autenticao Dispositivos de memria e inteligentes

Desvantagens: custo alto dificuldade de administrao possibilidade de perda, roubo ou decodificao insatisfao dos usurios com sua manipulao

Autenticao baseada nas caractersticas do usurio

Impresso digital Caractersticas faciais Reconhecimento de voz Retina ris do olho Geometria das mos Padro de escrita Padro de digitao

Apenas esses so nicos para cada pessoa

Autenticao baseada nas caractersticas do usurio

Poros da pele DNA Formato da orelha Composio qumica do odor corporal Emisses trmicas Geometria dos dedos Identificao de unha Maneira de andar

10/08/2013

Autenticao baseada nas caractersticas do usurio

Fatores que podem dificultar o reconhecimento atravs de biometria:

Impresso digital: sujeira, aspereza, idade, ... Geometria da mo: ferimento, idade, peso, ... ris: falta de luz Face: culos, peso, idade, cabelo, ... Assinatura: mudana na assinatura Voz: rudo, gripe, ...

Autenticao baseada nas caractersticas do usurio

Formas de burlar a biometria:

Face: fotos, vdeos, ... Voz: gravao, imitador, .. ...

Autenticao Controle de acesso

Controle do acesso lgico responsvel por: Proteo contra modificaes ou manipulaes no autorizadas de sistemas operacionais e outros sistemas Garantia de integridade e disponibilidade das informaes Sigilo das informaes

10

10/08/2013

Autenticao Controle de acesso

Elementos considerados no controle: identificao funo localizao tempo transao servios (limite para saques, permisso para envio de emails, ...) direitos (leitura, gravao, remoo, ...)

Autenticao Controle de acesso

Mtodos de controle que no utilizam autenticao: ACLs Interfaces especficas (shells mais restritivos, ...) Labels (indicam quais dados so pblicos e quais so restritos - BD)

Autenticao Single Sign-On

Mtodo de identificao e autorizao que permite uma administrao consistente, de maneira que os usurios podem acessar vrios sistemas diferentes, de modo transparente e unificado, por meio de uma nica autenticao.

11

10/08/2013

Autenticao Single Sign-On

Principais caractersticas de um sistema de SSO:

Combinao nica de nome de usurio e senha nico mtodo de administrao Slida segurana nas sesses de logon e no armazenamento das informaes do usurio e senha Integrao das regras de autorizao nas mltiplas aplicaes

Autenticao Single Sign-On

Algumas consideraes sobre segurana relacionadas a SSO:

Identificao da senha permite acesso a todos os sistemas Repositrio central passou a ser ponto importante e centralizado de invaso Servio de autenticao forma ponto nico de falha

Dvidas

12