Upload
bevis-acevedo
View
43
Download
0
Embed Size (px)
DESCRIPTION
Segurança da Informação “Uma corrente é tão segura quanto seu elo mais fraco”. [email protected]. Definições Segurança: estado, qualidade ou condição de seguro. Condição daquele(ilo) em que se pode confiar. Certeza, firmeza, convicção [Aurélio]. - PowerPoint PPT Presentation
Citation preview
2
Definições
Segurança: estado, qualidade ou condição de seguro. Condição daquele(ilo) em que se pode confiar. Certeza, firmeza, convicção [Aurélio].
Um sistema é seguro se ele se comporta da forma que você espera que ele o faça.
Segurança em informática resume-se a uma série de soluções técnicas para problemas não técnicos. É um um mecanismo que providencia meios para mecanismo que providencia meios para reduzir as reduzir as vulnerabilidadesvulnerabilidades existentes em um Sistema de existentes em um Sistema de Informação.Informação.
3
Segurança da Informação em SistemasÉ a proteção de Sistemas de Informação contra:. Negação de Serviço,. Intrusão,. Modificação não Autorizada em dados/informação armazenada, em processamento ou em trânsito;
ambrangendo:. RH,. Documentação,. Instalações de Comunicação e Computacionais e
Destinada a:. Previnir,. Detectar,. Deter e . Documentar eventuais ameaças neste contexto.
4
Segurança da Informação Definição
Segurança envolve Segurança envolve
tecnologia, processos e pessoas.tecnologia, processos e pessoas.
É uma área emergente no Brasil.É uma área emergente no Brasil.
5
Importância da Segurança
Princípio básico:
Não existe sistema totalmente seguro!
• Quanto vale uma informação para uma Quanto vale uma informação para uma instituição?instituição?
• Sem informação uma instituição pode Sem informação uma instituição pode sobreviver quanto tempo?sobreviver quanto tempo?
• O que exatamente precisa ser protegido? O que exatamente precisa ser protegido?
6
7
Ciclo de Vida da Informação
• Criação• Manuseio• Armazenamento• Transporte• Descarte
A Segurança deve ser garantida em todas as fases do ciclo!
• Garantir a continuidade.• Minimizar os riscos.
8
Objetivos da Segurança da Informação
Confidencialidade
Disponibilidade
Integridade
Autenticidade
Não repúdio
Legalidade
Domínios Melhores práticas de mercado (ISO 27.00x)
1. Controle de Acesso
2. Segurança em Rede e Telecomunicações
3. Práticas e Gerenciamento de Segurança
4. Desenvolvimento de Sistemas e Aplicações
5. Criptografia / PKI
6. Modelos e Arquiteturas de Segurança
7. Segurança de Operações
8. Continuidade de Negócios (BCP e DRP)
9. Compliance e análise forense10. Segurança Física
10
O Homem InvadeO homem nasce com impulso de explorar
o desconhecido e proibido.
O desconhecido traz emoções tão intensas que permite a alguns indivíduos,
atos que a maioria mesmo tendo vontade, não se permitiriam.
Cultura, educação e índole determinarão o lado que estes indivíduos estarão.
11
O Homem possibilita a Invasão Curiosidade
Ambição Financeira Ingenuidade
Confiança na humanidade Ser prestativo
Desejo de ajudar Falta de informação
Carência Afetiva
12
Auto-confiança excessivaVai dar, não vou ter problemas...
Busca de prazer instantâneoFast-food, lava-rápido, fumar...
Preservação da ImagemFazer backup perde tempo, um capacete me deixa feio...
Comportamento do Ser Humano
13
Mudança Cultural“Segurança de Informação
é um processo e não um produto”(Bruce Schneier, criptólogo e especialista em segurança)
A conscientização da segurança de informação deve estar contida na cultura
do ser homem moderno.
Conhecer ao máximo o Sistema Operacional para se proteger por exemplo, de extensões perigosas.
14
Hackers e Crackers
Hacker. Termo inicialmente utilizado para designar pessoa altamente habilidosa em criar e modificar software e hardware básicos de computador;
Passou a ser utilizado genericamente pela mídia como sinônimo de pirata digital, invasor ou vândalo;
Atualmente, um Hacker criminoso é denotado como Cracker.
Script kiddies. Geralmente são jovens inexperientes que utilizam programas prontos disponíveis na Internet para invadir os sistemas.
15
Engenharia Social Kevin Mitnick
Mitnick (1963, americano) é considerado por muitos o Hacker mais famoso do mundo.
Ficou preso de 1995 a
2000 e hoje é consultor
de Segurança da
Informação.
16
Sistemas Seguros
Programadores bons desenvolvem sistemas ruins (inseguros)! Por que?
• Livros de programação não abordam programação segura;
• Professores de programação também não;
• Mentalidade: Programar é resolver problema.
17
Banco de Dados Seguros``Testes podem apenas mostrar a
presença de erros e não a sua ausência'‘.(Dijkstra, cientista da computação holandês, 1930-2002)
Dificuldades
• Trabalho não valorizado pelo cliente;
• Trabalho não valorizado pelo profissional;
• Não é objetivo final;
• Cultura da velocidade;• Ambientes de desenvolvimento e SGBD.
18
Política de Segurança
• Conjunto de normas e diretrizes destinadas para proteção dos bens da organização.
• Objetivo: Definir a forma da utilização dos seus recursos através de procedimentos para prevenir incidentes de segurança.
• Importância: A informação é um recurso valioso, sendo tático, estratégico ou operacional. Política de segurança visa proteger a informação.
19
Segurança Física: Mobile Recovery Center
20
Tipos de Ataques à Comunicação
21
Criptografia``A habilidade humana não pode inventar código que a
habilidade humana não possa decifrar.'‘ (Allan Poe, escritor norte-americano, 1809-1849)
(do grego:(do grego: kryptóskryptós, escondido e , escondido e grápheingráphein, escrever), escrever)
Estudo das técnicas (usualmente matemáticas) pelas quais uma informação pode ser
transformada da sua forma legível para outra ilegível, o que a torna não eficiente de ser lida
por alguém não autorizado.
22
John Markoff, colunista de tecnologia do NY Times, 2006, em comemoração dos 30 anos da
chave pública, disse que com a possível exceção de armas nucleares, não conseguia pensar em nenhuma tecnologia que tenha tido um impacto
político e econômico mais profundo sobre o mundo do que a criptografia.
Até 1993, a criptografia era considerada, pelas leis americanas, uma perigosa arma de guerra.
Impacto da Criptografia Computacional
23
Criptografia Simétrica
Cifração DecifraçãoTextolegível
ChaveK
Texto legível
P P
Canal seguro
K
Textocifrado
c
Alice Bob
Mesma chave no ciframento Mesma chave no ciframento
e no deciframento!e no deciframento!
São rápidos!São rápidos!
24
Criptografia Visual (VCK)
25
Duas Chaves: Duas Chaves:
Pública e Privada.Pública e Privada.
São Complexos!São Complexos!
Cifração DecifraçãoTextolegível
Par de chaves
Criptoanalista
Textolegível
CP P
Emissor A Receptor B
KR bKU b
KRa
^
P̂
Criptografia Assimétrica
26
Assegura a um documento por um prazo de validade:
integridade;não repúdio;
autenticidade de dados e autenticidade de origem.
Pode acrescentar confidencialidade.
Assinatura Digital
27
Função de Hash Comprime mensagem inicial.
Do hash não se calcula a mensagem inicial (funcao unidirecional);
Função de Hash Criptográfica Duas mensagens iniciais não criam o mesmo
hash (resistente a colisão). Do hash nunca se descobre a mensagem
inicial (resistente a pre-imagem).
Hash CriptográficaResumo da mensagem
28
“Utilizar o PGP é exercer o direito constitucional do sigilo na comunicação e da privacidade”.
Apagando permanentemente Arquivos: PGP Wipe
Cada gravação de bits “0” do PGP é chamada de passo e o número recomendado depende do nível de segurança necessário: 03 passos - uso pessoal; 10 passos - uso comercial; 18 passos - uso militar; 26 passos - máxima segurança.
Existe criptografia de fácil acesso e baixo custo?
29
Esteganografia
Métodos para ocultar a existência Métodos para ocultar a existência
de uma mensagem dentro de outra de uma mensagem dentro de outra
(ou um arquivo dentro de outro arquivo). (ou um arquivo dentro de outro arquivo).
30
Consegue achar
10 faces
nesta árvore?
31
EsteganografiaExemploExemplo
32
33
Biometria
• Impressão digital;Impressão digital;
• Retina;Retina;
• Íris;Íris;
• Geometria das mãos;Geometria das mãos;
• Face;Face;
• Voz;Voz;
• Assinatura.Assinatura.
34
Autenticaçao por Credenciaiscombinação mínima de dois métodos
O que se possui: cartão inteligente ou similar
O que se conhece: senha
O que se é: biometria
Onde se está: controle física de localização
35
Pendrive com leitor biométrico desacoplável. O leitor biométrico é pago uma única vez.
Biometria e criptografia
Pendrive comleitor biométrico embutido,
ativado ao conectar o dispositivo na entrada USB 2.0.
36
RFID
37
Detecção de IntrusãoMonitoração de estações com o intuito de
descobrir ações de intrusos.
Um Sistema de Detecção de Intrusão (IDS)
tenta detectar ataques ou usos impróprios e alertar (mantém log).
Análogo ao sistema de detecção de ladrões,
utilizado em casas para prevenir incidentes.
38
Forense Computacional
Supri necessidades jurídicas
de evidências eletrônicas.
Ciência que estuda aquisição, preservação, recuperação e análise de
dados em formato eletrônico, armazenados em algum tipo de mídia
computacional.
39
Anti...
Antivírus - Detecta e destrói automaticamente os vírus do seu computador e protege suas informações
pessoais contra as ameaças da internet.
Anti-spyware - Spywares são programas espiões que coletam informações sobre uma pessoa ou
empresa, normalmente sem seu conhecimento. Com um ANTI-SPYWARE, seu computador fica ainda
mais protegido contra estas ameaças.
40
Marca D’água
41
Marca D’água
42
Marca D’água
43
Marca D’água
44
Foto adicionada em um
perfil no Orkut(dez/2007).
O crime pode renderpena de seis meses a três anos de detenção.
Imagem na
Internet
Diego, 20 anos, tirou foto na qual aparece em pé no teto da viatura
45
Pena aplicada:
Foto adicionada no mesmo
perfil no Orkut após algum tempo.
Imagem na
Internet
46
Perguntas?