Upload
pedro-siena-neto
View
2.629
Download
4
Embed Size (px)
DESCRIPTION
Prevenção de Crimes Digitais: Conceitos & Aplicações
Citation preview
Tecnologia para Prevenção de Crimes Digitais
2010 | 11 Pedro Siena Neto
Agenda
Aula 1 | Segurança da Informação Aula 2 | Técnicas de Prevenção Aula 3 | Tecnologias | Auditoria
Tecnologia para Prevenção de Crimes Digitais
2010 | 11 Pedro Siena Neto
Aula 01Segurança da Informação
Conceitos | Crime
Crime Acepções
■ substantivo masculino 1 Rubrica: termo jurídico. transgressão imputável da lei penal por dolo ou culpa, ação ou omissão; delito 2 Rubrica: termo jurídico. conforme o conceito analítico, ação típica e antijurídica, culpável e punível 3 Rubrica: termo jurídico. conforme o conceito material, ato que viola ou ofende um bem juridicamente tutelado 4 Derivação: por extensão de sentido. ação condenável, temida por suas conseqüências sociais desastrosas ou desagradáveis Ex.: desmatar é sempre um c. 5 Derivação: por extensão de sentido. qualquer ação, individual ou coletiva, ética e socialmente condenável Ex.: jogar comida fora é um verdadeiro c. 6 Derivação: por extensão de sentido. qualquer transgressão moral ou ética, socialmente rejeitada, cometida por uma ou mais pessoas
Conceitos | Dado | Informação DADO: fatos em forma primária
Ex: nome, saldo bancário, ...
INFORMAÇÃO: estruturas significantes com a intenção de gerar conhecimento no indivíduo e seu espaço Ex: João tem R$ 10 de saldo em sua conta;
portanto pode sacar este dinheiro.
Conceitos | Segurança de Dados
The CIA Triad
Conceitos | Segurança de Dados
Confidencialidade Acesso somente por pessoas autorizadas
Integridade Manter características do manipulador
Disponibilidade Sempre disponível para o uso legítimo
Autenticidade Garante que os dados não são falsos
O Início (1 | 3)
Os computadores atuais nasceram durante a Segunda Guerra Mundial. A partir de uma parceria entre a Marinha Americana e a Universidade de Harvard, foi criado o Harvard Mark 1.
Em 1984, foi lançado o Macintosh que foi o primeiro produto de sucesso a usar uma interface gráfica.
Foi na década de 80 que ocorreu a transição da citada ARPANET para o que atualmente se denomina Internet.
Em 1969, foi criada, nos Estados Unidos, a ARPANET que tinha como objetivo conectar as bases militares e os departamentos de pesquisa do governo americano.
O Início 2 | 3
A Internet que conhecemos hoje surgiu em 1990 na Organização Européia para Investigação Nuclear (CERN). Numa primeira fase, permitia apenas aos cientistas trocar dados.
E finalmente, em 1991, a Web foi disponibilizada mundialmente.
A Internet é uma rede de redes em escala mundial de milhões de computadores que permite o acesso a informações e todo tipo de transferência de dados.
O Início (3 | 3)
Atualmente estamos na quinta geração de computadores que tem como principal novidade a disseminação da Internet.
Atualmente é possível acessar a Internet por microcomputadores (incluindo notebooks, netbooks, tablets e smartphones), celulares, vídeo games e até geladeiras.
A conexão com a internet pode ser feita por linhas telefônicas fixas e móveis, por cabo, por satélite, por rádio e infra-vermelho.
Introdução (1 | 2)
Os computadores tornaram-se indispensáveis e hoje são utilizados nos mais diferentes lugares para desenvolver inúmeras atividades.
As novas tecnologias da informação, especialmente a Internet, impulsionaram e continuam impulsionando o processo de globalização econômica e cultural.
A internet faz parte da vida do homem moderno, atualmente é impossível ter um computador sem conectá-lo a grande rede mundial.
Introdução (2 | 2)
A internet tornou-se um dos maiores meios de divulgação e fonte de pesquisas, saciando a necessidade do homem pela busca de informações.
Através da internet trocamos, transmitimos, recebemos e adquirimos informações e dados o tempo todo.
Neste mundo contemporâneo, globalizado, interligado, pós-moderno e informatizado, surgiu uma nova forma de criminalidade, que convencionamos chamar de virtual, por se desenvolver no ambiente virtual da Internet, o ciberespaço.
Classificação dos Crimes Digitais
CRIMES DE INFORMÁTICA PRÓPRIOS: são crimes que só podem ser praticados através dos meios informáticos, não tendo outros meios possíveis.
CRIMES DE INFORMÁTICA IMPRÓPRIOS: são crimes que podem ser praticados de qualquer forma, os computadores são apenas mais um meio para a execução destes crimes.
Classificação dos CriminososSUJEITO ATIVO
Qualquer pessoa nos dias de hoje pode ser um sujeito ativo dos crimes praticados através da internet.
A constatação da identidade não é feita visualmente. Quando se está conectado á internet são necessários apenas alguns elementos identificadores como: endereço da máquina que envia as informações, endereço da máquina que recebe as informações, login e senha.
Dessa forma, o sujeito ativo do crime consegue camuflar seus dados reais e utilizar dados inverídicos.
Classificação dos Criminosos Dessa forma, o sujeito ativo do crime consegue
camuflar seus dados reais e utilizar dados inverídicos.
Geralmente, o agente envia um spam contendo um programa espião e a vítima ao recebê-lo executa-o, instalando o mesmo em seu computador. A partir desse momento, o criminoso tem acesso a dados sigilosos que permitirão a prática de vários delitos utilizando a identidade de sujeito passivo.
Perfil do Criminoso (1 | 4)
Segundo Luis Eduardo Nogueira Guimarães: “O perfil do criminoso, baseado em pesquisa empírica, indica jovens, inteligentes, educados, com idade entre 16 e 32 anos, do sexo masculino, magros, caucasianos, audaciosos e aventureiros, com inteligência bem acima da média e movidos pelo desafio de superação do conhecimento, além do sentimento de anonimato, que bloqueia seus parâmetros de entendimento para avaliar sua conduta como ilegal, sempre alegando ignorância do crime e, simplesmente, ‘uma brincadeira’. E mais, preferem ficção cientifica, música, xadrez, jogos de guerra e não gostam de esportes sendo que suas condutas geralmente passam por três estágios: o desafio, o dinheiro extra, e, por fim, os altos gastos e comercio ilegal.”
Perfil do Criminoso (2 | 4) Antigamente a maioria dos crimes era
praticada por profissionais da área de informática, principalmente programadores, vendo que na década de 70, o uso do computador era mais restrito e seu manuseio exigia um maior nível de conhecimento em informática.
Já na década atual, o perfil do sujeito ativo está mais variado, pois hoje o acesso ao computador é mais fácil do que três décadas atrás.
Perfil do Criminoso (3 | 4) Os criminosos eletrônicos são classificados e doutrinados
de acordo com o tipo de comportamento adotado e de acordo com o tipo de ações praticadas contra os sistemas de informação. Dessa forma, a classificação mais comum os divide em hackers e crackers.
HACKERS: são, em geral, invasores de sistemas, que atuam por espírito de competição, desafiando seus próprios conhecimentos técnicos e segurança de sistemas informatizados de grandes companhias e organizações governamentais.
CRACKERS: são aqueles que rompem a segurança de um sistema em busca de informações confidenciais com o objetivo de causar dano ou obter vantagens pessoais.
Perfil do Criminoso (4 | 4) Os verdadeiros criminosos são os crackers,
também conhecidos como “hackers do mal”, pois invadem sistemas, roubam arquivos, destroem discos rígidos, espalham vírus, fazem espionagem industrial de lavagem de dinheiro sujo internacional, etc.
Há ainda os “ciberpunks”, que desenvolvem vírus de computador perigosos com a finalidade de sabotar redes de computadores e em alguns casos propiciar a chamada DoS – Denial of Service, com a queda de sistemas de grandes provedores, impossibilitando o acesso de usuários ou causando prejuízos econômicos.
Identidades
Real• é• difícil de mudar• tempo linear• leis consolidadas• intuitiva• todos tem• vínculos persistentes• forte compromisso• autoral• única
Virtual• pode ser• fácil de mudar• tempo não linear• leis não consolidadas• não intuitiva• nem todos tem• vínculos voláteis• fraco compromisso• anônima• pode ser várias
Tipos de Crime (1 | 3)
CRIMES CONTRA A HONRA: São os crimes de calúnia, difamação e injúria. Os criminosos são incentivados pelo anonimato e os crimes podem ocorrer em chats, blogs, pelo envio de spams, através de publicações em homepages, dentre outros meios de postagem eletrônica. Estes crimes devem contar com a agravante, pela facilidade de divulgação proporcionada pela Internet.
CRIMES CONTRA A LIBERDADE INDIVIDUAL: São os crimes de ameaça, inviolabilidade de correspondência, divulgação de segredos, divulgação de segredos contidos ou não em sistemas de informação ou bancos de dados da Administração Pública.
Tipos de Crime (2 | 3)
CRIMES CONTRA O PATRIMÔNIO: Compreende os crimes de furto, extorsão, dano e estelionato.
CRIMES CONTRA OS COSTUMES: São os crimes de favorecimento à prostituição, de escrito ou objeto obsceno e a pedofilia. É muito comum encontrar páginas (sites) de pornografia e de prostituição, aliás, é muito difícil fazer uma pesquisa em um site de busca, sobre qualquer tema, em que não apareça pelo menos um resultado indicando um link sobre pornografia.
Tipos de Crime (3 | 3)
Além dos crimes citados, também podem ocorrer na Internet crimes de lavagem de dinheiro e invasões de privacidade, pixações em sites oficiais do governo, vandalismo, sabotagem, crimes contra a paz pública, a pirataria em geral, espionagem, lesões a direitos humanos (terrorismo, crimes de ódio, racismo, etc), destruição de informações, jogos ilegais, falsificação do selo ou sinal público, falsidade ideológica, modificação ou alteração não autorizada de sistema de informação, violação de sigilo funcional, fraude em concorrência pública, dentre inúmeros outros.
Problemas de Segurança
D
Fluxo Normal
F
Problemas de Segurança
D
I
Interceptação
Sigilo
Minha comunicação é confidencial?
F
Problemas de Segurança
Modificação
Integridade
Minha comunicação foi alterada?
F D
M
Problemas de Segurança
D F
Mascaramento
Autenticação
Com quem eu estou tratando?
M
Problemas de Segurança
D F
Alegações
Não-repúdio
Quem enviou? Quem recebeu? Quando isto ocorreu?
?
Não Enviei
!
Não Recebi!
Problemas de Segurança
D F
Ataque
Disponibilidade
Poderei me comunicar sempre que precisar?
A
Ameaças Digitais
Automação dos ataques Grandes quantidades de dados podem ser
rapidamente coletados, usados e abusados
Ação à distância Dificulta a investigação, perseguição e punição O atacante não precisa estar próximo da sua presa
Propagação da técnica Somente o primeiro atacante precisa ser habilidoso Os criminosos não precisam de habilidade para
terem sucesso
Tecnologia para Prevenção de Crimes Digitais
2010 | 11 Pedro Siena Neto
Aula 2 Técnicas de Prevenção
Modelo de Segurança
Segurança de um modelo distribuído Processos Canais de comunicação Objetos
Protegendo os objetos Perfis de acesso: quem está habilitado
para executar operações em um objeto Principal: a autoridade que tem algum tipo
de acesso ao objeto
Modelo de Segurança
Cliente Servidorsolicitação
resultado
Objeto
Perfis de
Acesso
Principal (usuário)
Principal (sevidor)
Rede
Ameaças 1
Ameaças aos principais Servidores: solicitar com uma identidade
falsa Clientes: receber resultado falso
Ameaças aos canais de comunicação Copiar, alterar ou injetar mensagens Salvar e retransmitir mensagens
Ameaças 2
Denial of Service (Negação de Serviço) Solicitação excessiva e sem propósito aos
serviços de rede resultando numa sobrecarga dos recursos físicos (banda de rede, capacidade de processamento do servidor, …)
Código acoplado Programa acoplado malicioso (cavalo de
tróia)
Técnicas de Defesa
Criptografia e Segredo Compartilhado Identificar um ao outro pelo segredo
compartilhado apenas pelas próprias partes
Criptografia é a base
Autenticação Provar a identidade fornecida pelos
solicitantes
Criptologia
"Cripto" vem do grego kryptós e significa oculto, envolto, escondido. Também do grego, graphos significa escrever, logos significa estudo, ciência e analysis significa decomposição. Daí, CRIPTOLOGIA é o estudo da escrita cifrada e se ocupa com a CRIPTOGRAFIA, a escrita secreta, e a CRIPTOANÁLISE, a quebra do segredo.
Esteganografia
Esteganografia vem do grego "escrita escondida“ e é o estudo das técnicas de ocultação de mensagens dentro de outras. Diferente da Criptografia, que a altera de forma a tornar seu significado original ininteligível. Enquanto a esteganografia oculta a existência da mensagem, a criptografia oculta o significado da mensagem. Muitas vezes, as duas são utilizadas em conjunto.
Técnicas de Segurança
Criptologia
Criptografia
Chave Simétr
ica
Chave Assimétrica(Públi
ca)
Criptoanalise
Objetivos
Confidencialidade: só o destinatário autorizado será capaz de extrair o conteúdo da mensagem da sua forma cifrada.
Integridade: o destinatário deve ser capaz de determinar se a mensagem foi alterada durante a transmissão.
Autenticação do remetente: o destinatário deve ser capaz de identificar o remetente e verificar que foi mesmo este quem enviou a mensagem.
Não-repúdio do emissor: não deverá ser possível ao emissor negar a autoria da mensagem enviada.
Algumas considerações
Nem todos os sistemas ou algoritmos criptográficos são utilizados para atingir todos os objetivos listados.
Existem algoritmos específicos para cada função.
Mesmo em sistemas criptográficos bem concebidos, bem implementados e usados adequadamente, alguns dos objetivos acima não são práticos (ou mesmo desejáveis) em algumas circunstâncias.
Criptografia
Clássica
Moderna
Quântica
Criptografia Clássica
± 1900 aC A história acontece numa vila egípcia perto do rio Nilo chamada Menet Khufu. No túmulo de Khnumhotep II, homem de grande importância, alguns hieróglifos foram substituídos por outros ...
± 1500 a.C.A criptografia da Mesopotâmia ultrapassou a egípcia, chegando a um nível mais avançado. O primeiro registro do uso da criptografia nesta região está numa fórmula para fazer esmaltes para cerâmica.
Criptografia Clássica
± 1500 aC Nesta época, mercadores assírios usavam "intaglios", que são peças planas de pedra com inscrições de símbolos que os identificavam.
Esta também foi a época em que culturas como a do Egito, China, Índia e da Mesopotâmia desenvolveram a esteganografia.
Esteganografia (Exemplos) Tatuagens com mensagens na cabeça de
escravos. Infelizmente era preciso esperar o cabelo crescer para esconder a mensagem. A decifração era feita no barbeiro...
Marcas na parte interna de caixas de madeira usadas para transportar cera. As marcas eram escondidas com cera nova. Para decifrar, bastava derreter a cera.
Mensagens colocadas dentro do estômago de animais... e também de humanos.
Criptografia Clássica
600 a 500 a.C. Escribas hebreus, escrevendo o Livro de Jeremias, usaram a cifra de substituição simples pelo alfabeto reverso conhecida como ATBASH. As cifras mais conhecidas da época são o ATBASH, o ALBAM e o ATBAH, as chamadas cifras hebraicas.
Criptografia Clássica
600 a 500 a.C. O scytalae espartano ou bastão de Licurgo era um bastão de madeira ao redor do qual se enrolava firmemente uma tira de couro ou pergaminho, longa e estreita. Escrevia-se a mensagem no sentido do comprimento do bastão e, depois, desenrolava-se a tira com as letras embaralhadas.
Criptografia Clássica
século 400 a.C. Textos gregos antigos, de Enéas, o Tático, descrevem vários métodos de ocultar mensagens. Este cientista militar e criptógrafo inventou um telégrafo hidro-ótico, um sistema de comunicação à distância.
± 300 a.C.Artha-sastra, um livro atribuído a Kautilya, foi escrito na Índia. Cita diversas cifras criptográficas e recomenda uma variedade de métodos de criptoanálise para obter relatórios de espionagem.
Criptografia Clássica
± 300 a.C.Euclides de Alexandria, matemático grego que viveu aproximadamente de 330 a.C. a 270 a.C., compilou e sistematizou o que havia na época sobre geometria e teoria dos números.
Erastótenes de Cirene, filósofo e geômetra grego, viveu de 276 a.C. a 194 a.C. Conhecido como criador de um método para identificar números primos, chamado de crivo de Erastótenes.
Criptografia Clássica
± 200 a.C. Políbio, um historiador grego nascido em Megalópolis e que viveu de 204 a.C. a 122 a.C., escreveu vários livros sobre o Império Romano. Descreveu também uma cifra de substituição que converte os caracteres da mensagem clara em cifras que, apesar de não ser da sua autoria, ficou conhecida como Código de Políbio.
Criptografia Clássica
± 130 a.C. Em Uruk, na região do atual Iraque, era comum os escribas transformarem seus nomes em números dentro do emblema que identificava seus trabalhos. A prática, provavelmente, era apenas para divertir os leitores e não estava relacionada à segurança.
Criptografia Clássica
50 a.C. O imperador romano Júlio César usou uma cifra de substituição para aumentar a segurança de mensagens governamentais. César alterou as letras desviando-as em três posições - A se tornava D, B se tornava E, etc. Às vezes, César reforçava sua cifragem substituindo letras latinas por letras gregas. O Código de César é o único da Antiguidade que continua sendo usado até hoje. Atualmente denomina-se qualquer cifra baseada na substituição cíclica do alfabeto de Código de César.
Criptografia Clássica
79 d.C. A fórmula Sator ou quadrado latino é encontrado em escavações feitas em Pompéia, inscrito numa coluna. Ocorre também num amuleto de bronze, originário da Ásia Menor, datado do século V. As palavras rotas arepo tenet opera sator parecem ter o efeito mágico de nunca desaparecem... persistem até hoje como um enigma de transposição.
Criptografia Clássica
A criptografia clássica, ou pré-computacional, era formada por um conjunto de métodos de substituição e transposição de caracteres de uma mensagem que pudessem ser executados manualmente (ou até mesmo mentalmente) pelo emissor e pelo destinatário da mensagem.
.
Criptografia Moderna
Enigma é o nome por que é conhecida uma máquina eletro-mecânica de criptografia com rotores, utilizada tanto para a criptografar como para a descriptografar mensagens secretas, usada em várias formas na Europa a partir dos anos 1920. A sua fama vem de ter sido adaptada pela maior parte das forças militares alemãs a partir de cerca de 1930. O código foi, no entanto, decifrado, e a informação contida nas mensagens que ele não protegeu é geralmente tida como responsável pelo fim da Segunda Guerra Mundial pelo menos um ano antes do que seria de prever.
Criptografia Moderna
A era da criptografia moderna começa realmente com Claude Shannon, possivelmente o pai da criptografia matemática. Em 1949 ele publicou um artigo Communication Theory of Secrecy Systems com Warren Weaver. Este artigo, junto com outros de seus trabalhos que criaram a área de Teoria da Informação estabeleceu uma base teórica sólida para a criptografia e para a criptoanálise. Depois disso, quase todo o trabalho realizado em criptografia se tornou secreto, realizado em organizações governamentais especializadas (como o NSA nos Estados Unidos). Apenas em meados de 1970 as coisas começaram a mudar.
Criptografia Moderna
A era da criptografia moderna começa realmente com Claude Shannon, possivelmente o pai da criptografia matemática. Em 1949 ele publicou um artigo Communication Theory of Secrecy Systems com Warren Weaver. Este artigo, junto com outros de seus trabalhos que criaram a área de Teoria da Informação estabeleceu uma base teórica sólida para a criptografia e para a criptoanálise. Depois disso, quase todo o trabalho realizado em criptografia se tornou secreto, realizado em organizações governamentais especializadas (como o NSA nos Estados Unidos). Apenas em meados de 1970 as coisas começaram a mudar.
Criptografia Moderna
Em 1976 aconteceram dois grandes marcos da criptografia para o público. O primeiro foi a publicação, pelo governo americano, do DES (Data Encryption Standard), um algoritmo aberto de criptografia simétrica, selecionado pela NIST em um concurso onde foi escolhido uma variante do algoritmo Lucifer, proposto pela IBM. O DES foi o primeiro algoritmo de criptografia disponibilizado abertamente ao mercado.
Criptografia Simétrica
Os algoritmos de chave-simétrica (também chamados de Sistemas de Chaves Simétricas, criptografia de chave única, ou criptografia de chave secreta) são uma classe de algoritmos para a criptografia, que usam chaves criptográficas relacionadas para a decifragem e a cifragem. A chave de criptografia é relacionada insignificativamente à chave de decifração, que pode ser idêntica ou ter uma simples transformação entre as duas chaves. As chaves, na prática, representam um segredo, compartilhado entre duas ou mais partes, que podem ser usadas para manter um canal confidencial de informação. Usa-se uma única chave, compartilhada por ambos os interlocutores, na premissa de que esta é conhecida apenas por eles.
Criptografia Simétrica
Cifragem DecifragemTexto
Aberto
ChaveK
Texto Aberto
P P
Canal seguro
K
TextoCifrado
c
Ana Bob
Uso de uma única chave:CifragemDecifragem
Algoritmos rápidosChaves Curtas
Algoritmos:DES, AES, RC4, IDEA, etc.
Criptografia Assimétrica
A criptografia de chave pública ou criptografia assimétrica é um método de criptografia que utiliza um par de chaves: uma chave pública e uma chave privada. A chave pública é distribuída livremente para todos os correspondentes via e-mail ou outras formas, enquanto a chave privada deve ser conhecida apenas pelo seu dono.
Num algoritmo de criptografia assimétrica, uma mensagem cifrada (encriptada é um termo incorreto) com a chave pública pode somente ser decifrada pela sua chave privada correspondente.
Criptografia Assimétrica
Os algoritmos de chave pública podem ser utilizados para autenticidade e confidencialidade. Para confidencialidade, a chave pública é usada para cifrar mensagens, com isso apenas o dono da chave privada pode decifrá-la. Para autenticidade, a chave privada é usada para cifrar mensagens, com isso garante-se que apenas o dono da chave privada poderia ter cifrado a mensagem que foi decifrada com a 'chave pública'.
Assimétrica | Confidencialidade
Cifragem DecifragemTexto
Aberto
Par deChaves
Texto Aberto
P P
KRB
TextoCifrado
c
Chave Pública de Bob
KUB Chave Privada de Bob
Ana Bob
Sigilo através de criptografia por
chaves públicasUso de duas chaves distintas:
Uma para cifragemOutra para decifragem
Algoritmos: RSA, El Gamal
Algoritmos lentosChaves longas
Assimétrica | Autenticidade
Cifragem DecifragemTexto
Aberto
Par deChaves
Texto Aberto
P P
KUA
TextoCifrado
c
Chave Privada de Ana
KRA Chave Pública de Ana
Ana Bob
Assinatura digital através de criptografia por chaves
públicas
•Algoritmos: RSA, DSS
Assimétrica | Ambos
Cifragem DecifragemTexto
Aberto
Par deChaves
Texto Aberto
PP
KUA
TextoCifrado
C1
Chave Privada de Ana
KRA
Chave Pública de Ana
Ana Bob
Sigilo e Assinatura Digital através de criptografia por chaves
públicas
Cifragem
C1
Decifragem
C2
Par deChaves
Chave Pública de Bob
KUBKRB
Chave Privada de Bob
C2
ICP
ICP é o acrônimo de Infraestrutura de Chaves Públicas. Uma Infraestrutura de Chaves Públicas é um órgão ou iniciativa pública ou privada que tem como objetivo manter uma estrutura de emissão de chaves públicas, baseando-se no princípio da terceira parte confiável, oferecendo uma mediação de credibilidade e confiança em transações entre partes que utilizam certificados digitais. A principal função do ICP é definir um conjunto de técnicas, práticas e procedimentos a serem adotados pelas entidades a fim de estabelecer um sistema de certificação digital baseado em chave pública.
ICP
A infra-estrutura de chaves públicas do Brasil, definida pela Medida Provisória Nº 2.200-2, de 24 de Agosto de 2001, é denominada Infra-Estrutura de Chaves Públicas Brasileira, ou ICP-Brasil.
Assinatura Digital
Em criptografia, a assinatura digital é um método de autenticação de informação digital tipicamente tratada como análoga à assinatura física em papel. Embora existam analogias, existem diferenças importantes. O termo assinatura eletrônica, por vezes confundido, tem um significado diferente: refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica.
Assinatura Digital
A utilização da assinatura digital providencia a prova inegável de que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades:
autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo emissor;
integridade - qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento;
não repúdio ou irretratabilidade - o emissor não pode negar a autenticidade da mensagem.Essas características fazem a assinatura digital ser fundamentalmente diferente da assinatura manuscrita.
Assinatura Digital
Certificado Digital
Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado.
Certificado Digital
Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa sua conta corrente pela internet, certificados digitais são usados para garantir ao cliente que ele está realizando operações financeiras com o seu banco. Se o usuário clicar no ícone correspondente no navegador de internet, poderá obter mais detalhes do certificado. Se algum problema ocorrer com o certificado - prazo de validade vencido, por exemplo, o navegador alertará o usuário.É importante frisar que a transmissão de certificados digitais deve ser feita através de conexões seguras, como as que usam o protocolo Secure Socket Layer (SSL), que é próprio para o envio de informações criptografadas.
Criptografia | Certificado Digital
Hierarquias
Para que possa ser aceito e utilizado por pessoas, empresas e governos, os certificados digitais precisam ser emitidos por entidades apropriadas. Sendo assim, o primeiro passo é procurar uma Autoridade Certificadora (AC) ou uma Autoridade de Registro (AR) para obter um certificado digital.
Hierarquias
Uma AC tem a função de associar uma identidade a uma chave e "inserir" esses dados em um certificado digital. Para tanto, o solicitante deve fornecer documentos que comprovem sua identificação. Já uma AR tem uma função intermediária, ela pode solicitar certificados digitais a uma AC, mas não pode emitir esse documento diretamente.
Hierarquias
É conveniente que cada nação conte com uma Infra-estrutura de Chaves Públicas (ICP) ou, em inglês, Public Key Infrastructure (PKI), isto é, um conjunto de políticas, técnicas e procedimentos para que a certificação digital tenha amparo legal e forneça benefícios reais à sua população. O Brasil conta com a ICP-Brasil para essa finalidade.
Hierarquias
A ICP-Brasil trabalha com uma hierarquia onde a AC-Raiz, isto é, a instituição que gera as chaves das ACs e que regulamenta as atividades de cada uma, é o Instituto Nacional de Tecnologia da Informação (ITI).
Tipos de Certificados
A ICP-Brasil oferece duas categorias de certificados digitais: A e S, sendo que cada uma se divide em quatro tipos: A1, A2, A3 e A4; S1, S2, S3 e S4.
A categoria A é direcionada para fins de identificação e autenticação, enquanto que o tipo S é direcionado a atividades sigilosas.
Tipos de Certificados
A1 e S1: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em dispositivo de armazenamento (como um HD); validade máxima de um ano;
A2 e S2: geração das chaves é feita por software; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente (com chip) ou token (dispositivo semelhante a um pendrive); validade máxima de dois anos;
Tipos de Certificados
A3 e S3: geração das chaves é feita por hardware; chaves de tamanho mínimo de 1024 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos;
A4 e S4: geração das chaves é feita por hardware; chaves de tamanho mínimo de 2048 bits; armazenamento em cartão inteligente ou token; validade máxima de três anos.
Os certificados A1 e A3 são os mais utilizados, sendo que o primeiro é geralmente armazenado no computador do solicitante, enquanto que o segundo é guardado em cartões inteligentes (smartcards) ou tokens protegidos por senha.
Tipos de Certificados
e-CPF e e-CNPJ
Falar de certificação digital no Brasil frequentemente remete a duas importantes iniciativas: o e-CPF e o e-CNPJ. O primeiro é, essencialmente, um certificado digital direcionado a pessoas físicas, sendo uma espécie de extensão do CPF (Cadastro de Pessoa Física), enquanto que o segundo é um certificado digital que se destina a empresas ou entidades, de igual forma, sendo um tipo de extensão do CNPJ (Cadastro Nacional da Pessoa Jurídica).
SSL / TLS
A utilização do Certificado Digital para servidor web em conjunto com a tecnologia SSL (Secure Socket Layer), também conhecida como TLS (Transport Layer Security), possibilita criptografar e proteger as informações transmitidas pela Internet, garantindo uma conexão segura entre o navegador do usuário e o servidor web.
IPSec
Utiliza criptografia simétrica
Fornece sigilo e integridade dos dados
Modo transporte é mais eficiente
Modo túnel produz uma Rede Virtual Privada (VPN)
Criptografia Quântica
O desenvolvimento da técnica reunindo o conceito de criptografia e a teoria quântica é mais antigo do que se imagina, sendo anterior à descoberta da criptografia de Chave Pública. Stephen Wiesner escreveu um artigo por volta de 1970 com o título: "Conjugate Coding" que permaneceu sem ser publicado até o ano de 1983. Em seu artigo, Wiesner explicava como a teoria quântica poderia ser usada para unir duas mensagens em uma única transmissão quântica na qual o receptor poderia decodificar cada uma das mensagens porém nunca as duas simultaneamente devido à impossibilidade de violar uma lei da natureza (o Princípio de Incerteza de Heisenberg).
Criptografia Quântica
Utilizando-se fótons, a Criptografia Quântica permite que duas pessoas escolham uma chave secreta que não pode ser quebrada por qualquer algoritmo, em virtude de não ser gerada matematicamente, mesmo se utilizando um canal público e inseguro. É interessante notar a mudança que se processará nos métodos criptográficos que, atualmente, estão amparados na Matemática mas, com a introdução desse conceito de mensagens criptografadas por chaves quânticas passam a ter na Física sua referência.
Tecnologia para Prevenção de Crimes Digitais
2010 | 11 Pedro Siena Neto
Aula 3Tecnologias | Auditoria
Segurança de Dados | Natureza
Física
Lógica
Segurança Física | Problemas Catástrofes (incêndio, enchentes, etc)
Roubos de equipamentos
Falta de energia
Redundância (pane de equipamentos, quebra de fibra ótica, etc)
Acesso indevido
Segurança Física | Soluções
Controle de acesso
Temperatura e clima
Energia
Detecção e combate a catástrofes
Monitoramento
Segurança Física | Datacenter
Segurança Lógica | Problemas
Ataques (hackers, crackers, etc)
Códigos maliciosos
Captura e/ou quebra de senhas
Perda ou corrupção dos dados
Segurança Lógica | Soluções Políticas de segurança e privacidade
Firewall
IPS (sistemas de prevenção de intrusos)
IDS (sistemas de detecção de intrusos)
Criptografia
Certificação
Assinatura digital
Segurança Lógica | Soluções Backup
Alta disponibilidade
Redundância
Antivírus
Antispam
Segurança em redes sem fio
Filtro de conteúdo
Segurança Lógica | Firewall Controle de MAC Address
Acesso autenticado
VPN
Regras de acesso
# regra
origem destino protocolo porta de origem
porta de destino
ação
#1 qualquer interno TCP qualquer 23 bloqueia
#2 IP x.x.x.x
interno TCP qualquer 23 permite
#3 Interna qualquer TCP qualquer 21 Permite
#4 qualquer interna TCP qualquer 21 bloqueia
Segurança Lógica | Wireless WEP
autenticação fraca senhas estáticas pouco escalável
WPA Encriptação forte (PSK/TKIP) Autenticação forte (EAP-FAST, EAP-FAST,
PEAP) WPA2
Encriptação mais forte (AES de até 256bits)
Segurança Lógica | HA
Espelhamento de disco RAID
Cluster de alta disponibilidade
Segurança Lógica | Backup
Freqüência Ex: Diário, Semanal, Mensal, Anual
Retenção Ex: 7 dias, 4 semanas, 12 meses, 10
anos
Segurança Lógica | Backup
CD/DVD 2 a 5 anos
Fita Magnética 5 anos
Microfilmagem 10 anos
SSD (Pen-drive) 0,1 a 1 milhão de
ciclos Ou até receber
uma voltagem errada
Disco rígido 5 a 10 anos
Segurança Integrada
Cartão de proximidade
Token
Chaves físicas
Atitudes de Segurança
Reativa Resposta a incidentes Investigação Aplicação de sanções
Pró-ativa Planejamento Normalização Infraestrutura segura Educação, treinamento Auditoria
Evitando roubo de identidade
De acordo com as estatísticas do relatório de 01/2006 do Federal Trade Commission, as organizações receberam mais de 685,000 reclamações de fraude de consumidores no último ano, sendo que 37% representam casos de roubo de identidade.
Estima-se que o número verdadeiro de casos seja muito maior; fightidentitytheft.com estima que 10 milhões de americanos já foram vitimados, a um custo total de 50 bilhões de dolares.
Evitando roubo de identidade Compre apenas em “sites” seguros
Some people think buying things online puts them at inordinate risk of identity theft—yet those same people think nothing of allowing a waiter or retail store clerk to whisk their credit card away to some back office where they could easily record the numbers and information or even make a "white card" copy of its magnetic strip. The key to safe online financial transactions is to shop only at reputable Web sites and to be sure transactions are secured
with SSL encryption (which you can recognize by the little "locked" icon at the bottom of most Web browsers).
One caveat, though: You want to deal with sites that use encryption so someone can’t steal your payment information as it passes across the Internet—but scam sites can encrypt their transactions too. So we’re back to the basic: Buying from Amazon.com or the Microsoft Web site is safer than ordering from Joe’s Homepage (unless you know who Joe is and that he can be trusted).
Evitando roubo de identidade Proteja sua informação pessoal
Online or off, it’s not just your credit card numbers that you need to guard diligently. In some cases, just a name is enough for an ID thief to gather much more information about you. If you have a name that’s common, like John Smith, it won’t be so easy, but if your name is unusual, so that you’re the only one with that name in your particular city or region, an ID thief may be able to find out your address, phone number, and date of birth through an online “people search” service, such as
Zabasearch. Then with that information, if you own your home and live in a county that puts its property records on the Web, the thief can go to that site and find out how much your home is worth, getting a good idea of whether you’re a good target. Some tax districts even include a photo of your home, which may show your car sitting in the driveway with license plate number displayed. Be aware of your online presence and opt out of as many directories and databases as possible.
Evitando roubo de identidade Proteja PINs e senhas
Make sure you have strong passwords for your online banking services, electronic bill-paying, and other financial accounts. Don’t use easily discovered passwords such as your mother’s maiden name, your social security number, or
your birth date. A good password is long (at least eight characters; 14 is better) and complex, containing a mixture of upper- and lowercase alphabetic characters, numeric digits, and symbols and not containing any words found in the dictionary. PINs are often limited to four numeric digits. If you have a choice in creating the PIN, make sure the numbers are random and not easy to guess (for example, don’t use your street number or the last four digits of your SSN).
It goes without saying that you shouldn’t write down your passwords
and PINs, and you should never share them with anyone else. If it’s absolutely necessary to do so (for example, in an emergency situation where you need a friend to withdraw money from an ATM with your card), change the password or PIN immediately afterward.
Evitando roubo de identidade Proteja dados sensíveis no seu computador
If you have any personal or financial information stored on your computer, use Windows EFS or a third-party encryption program to protect it. Update your virus software regularly and use a firewall to prevent intrusions. Keep your operating system and applications updated, especially with critical security patches. Use an anti-spyware program. Don’t use file-sharing programs or visit Web sites that are more likely to contain dangerous code, such as hacker sites, porn sites or warez (pirated software) sites. Don’t open attachments from people you don’t trust and don’t click on links in strangers’ e-mail messages.
Don’t put sensitive information on laptops, handheld computers, or other portable devices unless absolutely necessary. If you need to access such data while on the go, store it on a flash drive or memory card and carry the storage device separately from the computer. Don’t set your computer up to log automatically, especially portable computers.
If you sell or give away an old computer, first use an overwriting program to get rid of the information on the drive (just deleting or even formatting is not enough), or even better, remove and destroy the hard disk and let the new owner install another one.
Evitando roubo de identidade Use uma identidade alternativa para surfar na Web
Many savvy Internet users have learned that it’s smart to have multiple e-mail addresses and to use an alternate (for example, an account with a Web mail service such as Hotmail, Yahoo, or Gmail) when you need to enter information to access a site. If you’re just casually surfing and not conducting business, there’s no reason to give any site your real e-mail address or even your real name, address, and other personal information.
Some sites require you to register (at no charge) to access or post to the site. And some of these sites sell the lists of registered users for marketing purposes. An identity thief can easily pose as an advertiser and buy the same list. Having several alternate identities can help you track down what sites are selling your info. For example, Jeff might use the name Jeff Johns when he registers on a site called John’s Fishing Gear, and the name Jeff Booker when he registers on a site called the Big Book Place, and use e-mail addresses associated with those names ([email protected] and [email protected], for example). Now when he starts getting tons of spam addressed to his jbooker account, he knows the Big Book Place is the one who sold his info.
Evitando roubo de identidade Aprenda a reconhecer “phishing scams”
Phishing e-mails are a particularly insidious form of spam. It’s annoying enough to have your mailbox fill up with junk mail from legitimate companies, but phishers aren’t really selling anything; they’re just “phishing” for your credit or debit card information or bank account numbers, or other personal information they can use.
Examples of phishing messages include those purporting to be from your bank or credit card company or a legitimate site with which you do business, such as eBay, notifying you that you must click a link to update your account information. Many even claim they’re asking you to do this to prevent your account from being closed or used fraudulently.
Phishing messages can often be detected by the fact that links go to a different URL from the one that appears in the message. For example, if you hover over “www.ebay.com” in the message, you might see that the hyperlink actually takes you to www.scammersite.com/ebay. A good rule of thumb is to never respond to any e-mail message asking you to return personal information. Instead, call or write directly to the company that the message purports to be from.
Evitando roubo de identidade Use dinheiro
There are lots of ways to pay for your purchases these days, but some are safer than others. When it comes to protecting your identity, good old-fashioned cash is still king. Unfortunately, there’s no way yet to insert a twenty dollar bill into a slot in your computer to make a purchase.
Often, you have the choice to pay for online purchases by credit card, debit card, electronic check, or direct bank account withdrawal. All of these require you to submit precious information that an ID thief would love to get hold of. None of these types of information is more or less likely to be stolen, but there are a couple of advantages to paying by credit card. First, many sites require that when you pay by credit card, you enter the security code (the three-digit number on the back of your card). This adds a layer of protection, since a fraudster who obtained your credit card number from a receipt or other source would not know this number.
More important, if you do become a victim of credit card fraud, the law limits your liability to $50. You don't have this protection with debit cards—they work like paying cash, in that once the money’s gone, it’s gone.
Checks also contain a huge amount of information for scammers: your name, address, and phone number, and many people have their driver’s license number printed on the check. And of course your bank account number, the bank’s routing numbers, etc., are also printed on the check. A clever scammer can create new checks on your account and forge your signature or use direct withdrawal to take money from your account.
Evitando roubo de identidade Saia de listas de marketing
Keeping “preapproved” credit offers out of the hands of identity thieves by using safe mail management practices is good; stopping them from being sent to you altogether is even better. (After all, even if you use a PO box or locked mailbox, it’s possible for a dishonest postal employee to intercept them.) You can contact the three major credit reporting bureaus (Experian, Equifax, and Tran ) individually to have your name removed from their marketing lists. Or call 888-5OPTOUT (888-567-8688). This won’t stop all the offers, but it will reduce the number.
Evitando roubo de identidade Verifique seu extrato de cartão de crédito
Identity theft can go undetected for a long time. Someone’s out there, using your name and social security number to open credit accounts or apply for loans, but because he or she is diverting correspondence to a different address, you may not know until the collection agencies start hunting you down. By that time, thousands of dollars of charges may have accumulated. One way to keep an eye on what’s going on with your account is to check your credit report regularly.
New federal laws require that the credit bureaus provide you with one free credit report each year. You can space them out, getting one from Experian in the spring, one from Trans Union in the summer, and one from Equifax in the fall, for example, to better monitor your credit activity without paying extra. Look for inquiries or new accounts you didn’t authorize. The sooner you find out you’re an ID theft victim, the easier it will be to repair the damage. You can also order free reports through www.annualcreditreport.com.
Evitando roubo de identidade Reporte tentativas de roubo de identidade
If you’re a victim of identity theft, report it to your local police department. You may need a copy of the police report to submit to creditors as proof that you were a crime victim. Contact the fraud departments of the three credit bureaus and put a fraud alert on your account; this will require creditors to contact you before opening a new account in your name or making changes to your existing accounts (such as sending your bank statements to a new address). Close the accounts that have been compromised.
File a complaint with the Federal Trade Commission (FTC) to go into their database, which is used by law enforcement agencies in investigating ID theft. You can file this report online.
Protegendo seus dados
Faça back up freqüentemente Use segurança a nível de arquivo Proteja documentos com senhas Use criptografia de disco Faça uso da infraestrutura de chave
públicas Esconda dados com esteganografia Proteja dados em trânsito com IPSec Torne seguro as transações “wireless” Use gerenciamento de perfis para manter o
controle
Auditoria | Propósito
Propósito
An IT audit is different from a financial statement audit. While a financial audit's purpose is to evaluate whether an organization is adhering to standard accounting practices, the purposes of an IT audit are to evaluate the system's internal control design and effectiveness. This includes but is not limited to efficiency and security protocols, development processes, and IT governance or oversight. The goal is to evaluate the organization's ability to protect its information assets and properly dispense information to authorized parties. The IT audit's agenda may be summarized by the following questions: Will the organization's computer systems be available for the business at all
times when required? (Availability) Will the information in the systems be disclosed only to authorized users?
(Confidentiality) Will the information provided by the system always be accurate, reliable, and
timely? (Integrity) The IT audit focuses on determining risks that are relevant to information
assets, and in assessing controls in order to reduce or mitigate these risks. By implementing controls, the effect of risks can be minimized, but it cannot completely eliminate all risks.
Tecnologia para Prevenção de Crimes Digitais
2010 | 11 Pedro Siena Neto
Aula 3Tecnologias | Auditoria
Auditoria | O que faz?
?
Avalia programas, projetos, e/ou sistemas, através dos entregáveis publicados e acordados na corporação , e a adoção destes na operação.
Auditoria x Consultoria
AuditoriaSe limita a encontrar os “gaps” entre o definido e acordado na corporação contra a “praxis” da operação
ConsultoriaPropõe melhorias, soluções, mudanças para eliminar estes “gaps”
Auditoria
Auditoria precisa ser independente
Auditoria | Processo
Processo de Auditoria em Tecnologia da Informação
Planejamento
Estudo e definicão de controles
Teste e avaliação de controles
Reportologia
Acompanhamento
Auditoria | Foco
Negócio
Pessoas
Processos
Tecnologia | Sistemas
Departamento
“Compliances”
Negócio | Objetivo
Perpetuação do Negócio
Perda de receita
Descontrole de custos
Comprometimento da Imagem
Negócio | Roteiro
Entendimento
Missão
Visão
Valores
MVV publicado x MVV práxis
Negócio | Roteiro
Análise do Ambiente Externo
Segmento de Atuação
Agressividade
Barreiras de Entrada
Serviços x Produtos
Negócio | Roteiro
Análise do Ambiente Interno
Clima Corporativo Competitividade
Colaboração
Rotatividade
Negócio | Roteiro
Parâmetros Estratégicos
Tendências de Mercado SWOT
Análise de Portfolio (BCG)
Análise do Caos
Negócio | Roteiro
Tendências de Mercado
Tendência Força MomentoBusiness Intelligence +++++ < 12 meses
BPM | SOA ++ 1 a 2 anos
Cloud Computing +++ 2 anos
Virtualization ++++ …
Cloud Security ++ …
Corporate Social Networks +++ …
Green IT ++ …
Mobile Payment + …
Negócio | Roteiro
SWOT
Cada Oportunidade com cada Ponto Forte: buscando Alavancas Estratégicas que uma
vez aproveitadas poderão conferir a
empresa uma vantagem competitiva.
Cada Oportunidade com cada Ponto Fraco: buscando
identificar restrições a serem atacadas para o
aproveitamento de oportunidades.
Cada Ameaça com cada Ponto Forte:
verificando vulnerabilidades que diminuirão o potencial de uma força interna e propondo de ações que
enfrentem a ameaça em questão.
Cada Ameaça com cada Ponto Fraco:
identificando focos de problemas que precisam ser
enfrentados através de ações defensivas ou
fortalecedorJr.
Problem Vulnerability LeverRestriction
Strengths Weaknesses
OpportunitiesThreats
Negócio | Roteiro
Análise de Portfolio
Negócio | Roteiro
Análise do Caos
Negócio | Roteiro
Ações Estratégicas
Carteira de Projetos
Orçamento (CAPEX | OPEX)
Negócio | Roteiro
Identificação das Vantagens Competitivas
na Corporação
nos Produtos/Serviços
nos Processos
nas Pessoas
Negócio | Roteiro
na Corporação
Valores
Cultura
Ambiente
Forma de Reconhecimento
Negócio | Roteiro
nos Produtos/Serviços
Receitas | Fórmulas
Metodologias
Formação de Preços
Carteira de Clientes
Negócio | Roteiro
nos Processos
Marketing | Vendas
Seleção e Retenção de Profissionais
Procurement (Compras / Produção)
Aquisição de Empresas
Negócio | Roteiro
nas Pessoas
Conhecimento não estruturado (“feeling”)
Relacionamentos (“networking”)
Conhecimento Empírico (“know how”)
Negócio | Roteiro
Detalhamento das Vantagens Competitivas
(Questões do Jornalista) Quem? O quê? Quando? Onde? Por quê? Como?
Negócio | Resultados
Relatório Final
“As is” O que deve ser protegidoO que não deve ser protegido
“Issues”Por quê deve ser protegidoQuando deve ser protegido
“To be”Onde deve ser protegidoComo deve ser protegidoQuem deve ter acesso
Negócio | Resultados
Próximos Passos
Revisão/Implementação de Rotinas
Revisão/Implementação de Políticas
Carteira de Projetos
Priorização e Execução dos Projetos
Pessoas | Objetivo
Preservar ambiente de confiança
Nível do profissional
Não continuidade do profissional
Concentração de conhecimento
Avaliação da idoneidade
Pessoas | Roteiro
Entendimento
Organograma Formal
Organograma de Influência
Posicionamento do Profissional (em ambos)
Descrição de Trabalho (“Job Description”)
Carreira (Histórico & Projeção)
Avaliações Formais
Pessoas | Roteiro
Entrevistas
Subordinados
Pares
Superiores
Recursos Humanos
Pessoas | Roteiro
Acesso à Tecnologia da Informação
Sistemas Corporativos Pastas de Arquivos
Correio Eletrônico
Vídeo & Voz
Pessoas | Roteiro
Avaliação
Perfil de Acesso Histórico de Movimentações
Presença em Redes Sociais, Blog, Twitter,
Monitoração de Estação em Tempo Real
Pessoas | Resultados
Relatório Final
“As is” O que é acessadoO que não é acessado
“Issues”Por quê deve ou não ser acessadoQuando deve ser acessadoO que é acessado e não deveria ser
“To be”Onde deve ser acessadoComo deve ser acessado
Pessoas | Resultados
Relatório Final
Aderência do profissionalaos valores da empresaàs políticas da empresa
Exposição ao risco ao negócio em função
de desconhecimentode treinamento/capacitaçãoda ausência de ferramentasda ausência de políticas
Processos | Objetivo
Avaliar risco de exposição a vazamentos
Importância do processo
Risco do processo ser copiado por outros
Proteção dos entregáveis do processo
Dependência de profissionais específicos
Processos | Roteiro
Entendimento
Fluxo de trabalho do processo
Entregáveis durante a execução do processo
Armazenamento dos entregáveis
Perfis de acesso dos profissionais envolvidos
Responsabilidade dos profissionais envolvidos
Processos | Roteiro
Entendimento
Sistemas envolvidos no processo
Registro de informações fora dos sistemas
Razão do não-registro de informações
Exposição dos sistemas a outros
Disseminação da política de uso de sistemas
Processos | Resultados
Relatório Final
“As is” Mapeamento do Processo
“Issues”ConfidencialidadeIntegridadeDisponibilidade
“To be”Correções no processoConstrução de indicadores
Tecnologia | Objetivo
Avaliar sobre os critérios de
Confidencialidade
Disponibilidade
Integridade
Tecnologia | Roteiro
Entendimento
Arquitetura de hardware
Arquitetura de software
Tecnologia | Roteiro
Tecnologia | Roteiro
Tecnologia | Roteiro
Software
Tecnologia | Conceito
Fontes
Geram informação
Pessoas
Máquinas
Tecnologia | Conceito
Clientes
Consomem informação
Pessoas
Máquinas
Tecnologia | Conceito
Repositórios
Armazenam informações
Estruturados
Não Estruturados
Tecnologia | Conceito
Canais
Transmitem informações
Com fios (cabos)
Sem fios (wifi, 3G, …)
Transacional
Batch
Tecnologia | Conceito
Formato da Informação
Digital
Analógico
Tecnologia | Conceito
Tipo de Arquivos
Texto
Voz
Vídeo
…
Tecnologia | Conceito
Tipos de Publicações
Árvore de diretórios
Portal
Site
Blog
Rede Social
Tecnologia | End to End
Repositório
Fonte
Consumid
orCanal Canal
Criação Transferência Armazenamento
Transferência Recebimento
Tecnologia | End to End
PortalFont
e
Consumid
orCanal Canal
Criação Publicação Armazenamento
Transferência Acesso
Tecnologia | Resultados
Relatório Final
“As is” Mapeamento do Canal (end-to-end)
“Issues”ConfidencialidadeIntegridadeDisponibilidade
“To be”MelhoriasAvaliação de Alternativas
Tecnologia | Resultados
Auditoria | Profissionais
Certificações Certified Information System Auditor (CISA) Certified Internal Auditor (CIA) Certification and Accreditation Professional (CAP) Certified Computer Professional (CCP) Certified Information Systems Security Profession
al (CISSP)
Certified Information Security Manager (CISM) Certified Public Accountant (CPA) Chartered Accountant (CA) Chartered Certified Accountant (CCA) GIAC Certified System & Network Auditor (GSNA)[7]
Referências Bibliográficas Casey, Eoghan.Digital Evidence and Computer Crime,
Second Edition [Hardcover] Schneier, Bruce. Segurança .com. Campus. 2001 Stallings, William. Cryptography and Network Security:
Principles and Practice. 2a ed. Prentice Hall, 1999. Tanenbaum, Andrew S. Redes De Computadores. 4a ed.
Campus. 2003 Nakamura, Emílio Tissato e Geus, Paulo Lício de.
Segurança de redes em ambientes cooperativos. São Paulo: Berkeley Brasil, 2002.
RicardoTheil. Segurança e Rastreabilidade das Informações. CINTEC Informática 2003. Joinville.SC
www.inf.ufsc.br/~custodio www.vision.ime.usp.br/~mehran http://www.marcomendes.hpg.com.br/
Auditoria |
Information security audit An information security audit is an audit on the level of
information security in an organization. Within the broad scope of auditing information security there are multiple type of audits, multiple objectives for different audits, etc. Most commonly the controls being audited can be categorized to technical, physical and administrative. Auditing information security covers topics from auditing the physical security of data centers to the auditing logical security of databases and highlights key components to look for and different methods for auditing these areas.
When centered on the IT aspects of information security, it can be seen as a part of an information technology audit. It is often then referred to as an information technology security audit or a computer security audit. However, information security encompasses much more than IT.
Auditoria |
Contents 1 The audit process
1.1 Audit planning & preparation 1.2 Establishing audit objectives 1.3 Performing the review 1.4 Issuing the review report
2 The audited systems 2.1 Network vulnerabilities 2.2 Controls 2.3 Encryption and IT audit 2.4 Logical security audit 2.5 Specific tools used in network security
3 Auditing application security 3.1 Application security 3.2 Segregation of duties 3.3 Summary
4 See also 5 References and further reading
Auditoria |
[edit] The audit process [edit] Audit planning & preparation The auditor should be adequately educated about the company and
its critical business activities before conducting a data center review. The objective of the data center is to align data center activities with the goals of the business while maintaining the security and integrity of critical information and processes. To adequately determine if whether or not the client’s goal is being achieved, the auditor should perform the following before conducting the review:
Meet with IT management to determine possible areas of concern Review the current IT organization chart Review job descriptions of data center employees Research all operating systems, software applications and data center
equipment operating within the data center Review the company’s IT policies and procedures Evaluate the company’s IT budget and systems planning
documentation Review the data center’s disaster recovery plan
Auditoria |
[edit] Establishing audit objectives The next step in conducting a review of a corporate data center takes place
when the auditor outlines the data center audit objectives. Auditors consider multiple factors that relate to data center procedures and activities that potentially identify audit risks in the operating environment and assess the controls in place that mitigate those risks. After thorough testing and analysis, the auditor is able to adequately determine if the data center maintains proper controls and is operating efficiently and effectively.
Following is a list of objectives the auditor should review: Personnel procedures and responsibilities including systems and cross-
functional training Change management processes are in place and followed by IT and
management personnel Appropriate back up procedures are in place to minimize downtime and
prevent loss of important data The data center has adequate physical security controls to prevent
unauthorized access to the data center Adequate environmental controls are in place to ensure equipment is
protected from fire and flooding
Auditoria |
[edit] Performing the review The next step is collecting evidence to satisfy data center audit objectives. This involves traveling to the
data center location and observing processes and procedures performed within the data center. The following review procedures should be conducted to satisfy the pre-determined audit objectives:
Data center personnel – All data center personnel should be authorized to access the data center (key cards, login ID’s, secure passwords, etc.). Data center employees are adequately educated about data center equipment and properly perform their jobs. Vendor service personnel are supervised when doing work on data center equipment. The auditor should observe and interview data center employees to satisfy their objectives.
Equipment – The auditor should verify that all data center equipment is working properly and effectively. Equipment utilization reports, equipment inspection for damage and functionality, system downtime records and equipment performance measurements all help the auditor determine the state of data center equipment. Additionally, the auditor should interview employees to determine if preventative maintenance policies are in place and performed.
Policies and Procedures – All data center policies and procedures should be documented and located at the data center. Important documented procedures include: data center personnel job responsibilities, back up policies, security policies, employee termination policies, system operating procedures and an overview of operating systems.
Physical security / environmental controls – The auditor should assess the security of the client’s data center. Physical security includes bodyguards, locked cages, man traps, single entrances, bolted down equipment, and computer monitoring systems. Additionally, environmental controls should be in place to ensure the security of data center equipment. These include: Air conditioning units, raised floors, humidifiers and uninterruptible power supply.
Backup procedures – The auditor should verify that the client has backup procedures in place in the case of system failure. Clients may maintain a backup data center at a separate location that allows them to instantaneously continue operations in the instance of system failure.
Auditoria |
[edit] Issuing the review report The data center review report should
summarize the auditor’s findings and be similar in format to a standard review report. The review report should be dated as of the completion of the auditor's inquiry and procedures. It should state what the review entailed and explain that a review provides only "limited assurance" to third parties.
Auditoria |
[edit] The audited systems [edit] Network vulnerabilities Main article: Computer security audit Interception: Data that is being transmitted over the
network is vulnerable to being intercepted by an unintended third party who could put the data to harmful use.
Availability: Networks have become wide-spanning, crossing hundreds or thousands of miles which many rely on to access company information, and lost connectivity could cause business interruption.
Access/entry point: Networks are vulnerable to unwanted access. A weak point in the network can make that information available to intruders. It can also provide an entry point for viruses and Trojan horses.
Auditoria |
[edit] Controls Interception controls: Interception can be partially deterred by physical access controls at
data centers and offices, including where communication links terminate and where the network wiring and distributions are located. Encryption also helps to secure wireless networks.
Availability controls: The best control for this is to have excellent network architecture and monitoring. The network should have redundant paths between every resource and an access point and automatic routing to switch the traffic to the available path without loss of data or time.
Access/entry point controls: Most network controls are put at the point where the network connects with external network. These controls limit the traffic that pass through the network. These can include firewalls, intrusion detection systems, and antivirus software.
The auditor should ask certain questions to better understand the network and its vulnerabilities. The auditor should first assess what the extent of the network is and how it is structured. A network diagram can assist the auditor in this process. The next question an auditor should ask is what critical information this network must protect. Things such as enterprise systems, mail servers, web servers, and host applications accessed by customers are typically areas of focus. It is also important to know who has access and to what parts. Do customers and vendors have access to systems on the network? Can employees access information from home? Lastly the auditor should assess how the network is connected to external networks and how it is protected. Most networks are at least connected to the internet, which could be a point of vulnerability. These are critical questions in protecting networks.
Auditoria |
[edit] Encryption and IT audit In assessing the need for a client to implement encryption policies for their organization, the
Auditor should conduct an analysis of the client’s risk and data value. Companies with multiple external users, e-commerce applications, and sensitive customer/employee information should maintain rigid encryption policies aimed at encrypting the correct data at the appropriate stage in the data collection process.
Auditors should continually evaluate their client’s encryption policies and procedures. Companies that are heavily reliant on e-commerce systems and wireless networks are extremely vulnerable to the theft and loss of critical information in transmission. Policies and procedures should be documented and carried out to ensure that all transmitted data is protected. Companies can base their policies on the Control Objectives for Information and related Technology (COBIT) guidelines established by the IT Governance Institute (ITGI) and Information Systems Audit and Control Association (ISACA). The IT auditor should be adequately informed about COBIT guidelines.
The auditor should verify that management has controls in place over the data encryption management process. Access to keys should require dual control, keys should be composed of two separate components and should be maintained on a computer that is not accessible to programmers or outside users. Furthermore, management should attest that encryption policies ensure data protection at the desired level and verify that the cost of encrypting the data does not exceed the value of the information itself. All data that is required to be maintained for an extensive amount of time should be encrypted and transported to a remote location. Procedures should be in place to guarantee that all encrypted sensitive information arrives at its location and is stored properly. Finally the auditor should attain verification from management that the encryption system is strong, not attackable and compliant with all local and international laws and regulations.
Auditoria |
[edit] Logical security audit The first step in an audit of any system is to seek to understand its components and its
structure. When auditing logical security the auditor should investigate what security controls are in place, and how they work. In particular, the following areas are key points in auditing logical security:
Passwords: Every company should have written policies regarding passwords, and employee’s use of them. Passwords should not be shared and employees should have mandatory scheduled changes. Employees should have user rights that are in line with their job functions. They should also be aware of proper log on/ log off procedures. Also helpful are security tokens, small devices that authorized users of computer programs or networks carry to assist in identity confirmation. They can also store cryptographic keys and biometric data. The most popular type of security token (RSA’s SecurID) displays a number which changes every minute. Users are authenticated by entering a personal identification number and the number on the token.
Termination Procedures: Proper termination procedures so that old employees can no longer access the network. This can be done by changing passwords and codes. Also, all id cards and badges that are in circulation should be documented and accounted for.
Special User Accounts: Special User Accounts and other privileged accounts should be monitored and have proper controls in place.
Remote Access: Remote access is often a point where intruders can enter a system. The logical security tools used for remote access should be very strict. Remote access should be logged.
Auditoria |
[edit] Specific tools used in network security Network security is achieved by various tools including firewalls and proxy servers, encryption, logical security and access controls
, anti-virus software, and auditing systems such as log management. Firewalls are a very basic part of network security. They are often placed between the private local network and the internet.
Firewalls provide a flow through for traffic in which it can be authenticated, monitored, logged, and reported. Some different types of firewalls include: network layer firewalls, screened subnet firewalls, packet filter firewalls, dynamic packet filtering firewalls, hybrid firewalls, transparent firewalls, and application-level firewalls.
The process of encryption involves converting plain text into a series of unreadable characters known as the ciphertext. If the encrypted text is stolen or attained while in transit, the content is unreadable to the viewer. This guarantees secure transmission and is extremely useful to companies sending/receiving critical information. Once encrypted information arrives at its intended recipient, the decryption process is deployed to restore the ciphertext back to plaintext.
Proxy servers hide the true address of the client workstation and can also act as a firewall. Proxy server firewalls have special software to enforce authentication. Proxy server firewalls act as a middle man for user requests.
Antivirus software programs such as McAfee and Symantec software locate and dispose of malicious content. These virus protection programs run live updates to ensure they have the latest information about known computer viruses.
Logical security includes software safeguards for an organization’s systems, including user ID and password access, authentication, access rights and authority levels. These measures are to ensure that only authorized users are able to perform actions or access information in a network or a workstation.
Auditing systems, track and record what happens over an organization’s network. Log Management solutions are often used to centrally collect audit trails from heterogeneous systems for analysis and forensics. Log management is excellent for tracking and identifying unauthorized users that might be trying to access the network, and what authorized users have been accessing in the network and changes to user authorities. Software that record and index user activities within window sessions such as ObserveIT provide comprehensive audit trail of user activities when connected remotely through terminal services, Citrix and other remote access software.[1]
According to a 2006 survey of 3243 Nmap users by Insecure.Org,[2] Nessus, Wireshark, and Snort were some top-rated network security tools. According to the same survey, the BackTrack Live CD is the top rated information security auditing and penetration testing distribution. Nessus is a remote security scanner that performs over 1200 security checks for Linux, BSD, and Solaris. Wireshark analyzes network protocol for Unix and Windows, and Snort is an intrusion detection system that also supports Microsoft Windows. Nessus, Wireshark, and Snort are free. Some other popular products for network security include OmniGuard, Guardian, and LANGuard. Omniguard is a firewall, as is Guardian which also provides virus protection. LANGuard provides network auditing, intrusion detection, and network management. For log management, solutions from vendors such as SenSage and others are the choice for government agencies and highly regulated industries.
Auditoria |
[edit] Auditing application security [edit] Application security Application Security centers around three main functions: Programming Processing Access When it comes to programming it is important to ensure proper physical and password protection exists around
servers and mainframes for the development and update of key systems. Having physical access security at your data center or office such as electronic badges and badge readers, security guards, choke points, and security cameras is vitally important to ensuring the security of your applications and data. Then you need to have security around changes to the system. Those usually have to do with proper security access to make the changes and having proper authorization procedures in place for pulling through programming changes from development through test and finally into production.
With processing it is important that procedures and monitoring of a few different aspects such as the input of falsified or erroneous data, incomplete processing, duplicate transactions and untimely processing are in place. Making sure that input is randomly reviewed or that all processing has proper approval is a way to ensure this. It is important to be able to identify incomplete processing and ensure that proper procedures are in place for either completing it, or deleting it from the system if it was in error. There should also be procedures to identify and correct duplicate entries. Finally when it comes to processing that is not being done on a timely basis you should back-track the associated data to see where the delay is coming from and identify whether or not this delay creates any control concerns.
Finally, access, it is important to realize that maintaining network security against unauthorized access is one of the major focuses for companies as threats can come from a few sources. First you have internal unauthorized access. It is very important to have system access passwords that must be changed regularly and that there is a way to track access and changes so you are able to identify who made what changes. All activity should be logged. The second arena to be concerned with is remote access, people accessing your system from the outside through the internet. Setting up firewalls and password protection to on-line data changes are key to protecting against unauthorized remote access. One way to identify weaknesses in access controls is to bring in a hacker to try and crack your system by either gaining entry to the building and using an internal terminal or hacking in from the outside through remote access.
Auditoria |
[edit] Segregation of duties When you have a function that deals with money either incoming or outgoing it is very important to
make sure that duties are segregated to minimize and hopefully prevent fraud. One of the key ways to ensure proper segregation of duties (SoD) from a systems perspective is to review individuals’ access authorizations. Certain systems such as SAP claim to come with the capability to perform SoD tests, but the functionality provided is elementary, requiring very time consuming queries to be built and is limited to the transaction level only with little or no use of the object or field values assigned to the user through the transaction, which often produces misleading results. For complex systems such as SAP, it is often preferred to use tools developed specifically to assess and analyze SoD conflicts and other types of system activity. For other systems or for multiple system formats you should monitor which users may have super user access to the system giving them unlimited access to all aspects of the system. Also, developing a matrix for all functions highlighting the points where proper segregation of duties has been breached will help identify potential material weaknesses by cross checking each employee’s available accesses. This is as important if not more so in the development function as it is in production. Ensuring that people who develop the programs are not the ones who are authorized to pull it into production is key to preventing unauthorized programs into the production environment where they can be used to perpetrate fraud.
[edit] Summary By and large the two concepts of application security and segregation of duties are both in many
ways connected and they both have the same goal, to protect the integrity of the companies’ data and to prevent fraud. For application security it has to do with preventing unauthorized access to hardware and software through having proper security measures both physical and electronic in place. With segregation of duties it is primarily a physical review of individuals’ access to the systems and processing and ensuring that there are no overlaps that could lead to fraud.
Auditoria |
[edit] Summary By and large the two concepts of application
security and segregation of duties are both in many ways connected and they both have the same goal, to protect the integrity of the companies’ data and to prevent fraud. For application security it has to do with preventing unauthorized access to hardware and software through having proper security measures both physical and electronic in place. With segregation of duties it is primarily a physical review of individuals’ access to the systems and processing and ensuring that there are no overlaps that could lead to fraud.
Auditoria | Tipos (1 | 3)
Tipos de Auditorias
Various authorities have created differing taxonomies to distinguish the various types of IT audits. Goodman & Lawless state that there are three specific systematic approaches to carry out an IT audit [1]:
Technological innovation process audit. This audit constructs a risk profile for existing and new projects. The audit will assess the length and depth of the company's experience in its chosen technologies, as well as its presence in relevant markets, the organization of each project, and the structure of the portion of the industry that deals with this project or product, organization and industry structure.
Innovative comparison audit. This audit is an analysis of the innovative abilities of the company being audited, in comparison to its competitors. This requires examination of company's research and development facilities, as well as its track record in actually producing new products.
Technological position audit: This audit reviews the technologies that the business currently has and that it needs to add. Technologies are characterized as being either "base", "key", "pacing", or "emerging".
Auditoria | Tipos (2 | 3)
Tipos de Auditoria
Systems and Applications: An audit to verify that systems and applications are appropriate, are efficient, and are adequately controlled to ensure valid, reliable, timely, and secure input, processing, and output at all levels of a system's activity.
Information Processing Facilities: An audit to verify that the processing facility is controlled to ensure timely, accurate, and efficient processing of applications under normal and potentially disruptive conditions.
Systems Development: An audit to verify that the systems under development meet the objectives of the organization, and to ensure that the systems are developed in accordance with generally accepted standards for systems development.
Management of IT and Enterprise Architecture: An audit to verify that IT management has developed an organizational structure and procedures to ensure a controlled and efficient environment for information processing.
Client/Server, Telecommunications, Intranets, and Extranets: An audit to verify that controls are in place on the client (computer receiving services), server, and on the network connecting the clients and servers.
Auditoria | Tipos (3 | 3)
Tipos de Auditoria
And some lump all IT audits as being one of only two type: "general control review" audits or "application control review" audits.
A number of IT Audit professionals from the Information Assurance realm consider there to be three fundamental types of controls regardless of the type of audit to be performed, especially in the IT realm. Many frameworks and standards try to break controls into different disciplines or arenas, terming them “Security Controls“, ”Access Controls“, “IA Controls” in an effort to define the types of controls involved. At a more fundamental level, these controls can be shown to consist of three types of fundamental controls: Protective/Preventative Controls, Detective Controls and Reactive/Corrective Controls.
Auditoria | Controles
Protective/Preventative Controls Protective or Preventative controls serve to
proactively define and possibly enforce acceptable behaviors. As an example, a set of common accounting rules are defined and must be followed by any publicly traded company. Each quarter any particular company must publicly state iProtective or Preventative controls.
Auditoria | Controles
Detective Controls Detective controls are often thought of as “Audit Controls”
though we do not need to restrict them. Any control that performs a monitoring activity can likely be defined as a Detective Control. Continuing the example of accounting rules, it is possible that mistakes, either intentional or unintentional, can be made. Therefore, an additional Protective control is that these companies must have their financial results audited by an independent Certified Public Accountant. The role of this accountant is to act as an auditor. In fact, any auditor acts as a Detective control! If the organization in question has not properly followed the rules, a diligent auditor should be able to detect the deficiency which indicates that some control somewhere has failed.
Auditoria | Controles
Reactive/Corrective Controls Reactive or corrective controls typically work in
response to a detective control, responding in such a way as to alert or otherwise correct an unacceptable condition. Using the example of account rules, either the internal Audit Committee or the SEC itself, based on the report generated by the external auditor, will take some corrective action. In this way they are acting as a Corrective or Reactive control.
Auditoria | Controles
Needless to say, the same can be said of any set of cooperating controls in an Information Technology or Information Assurance framework. In fact, what experience has shown is that when organizations suffer some loss, compromise or other security breach, the most common problem is that they are missing a control. Which control? That can’t be answered in a general way, but we can say that generally they are lacking either a Preventative, Detective or Reactive control.
Auditoria | Segurança
Security Auditing information security is a vital part of any IT
audit and is often understood to be the primary purpose of an IT Audit. The broad scope of auditing information security includes such topics as data centers (the physical security of data centers and the logical security of databases, servers and network infrastructure components)[2], networks and application security. Like most technical realms, these topics are always evolving; IT auditors must constantly continue to expand their knowledge and understanding of the systems and environment& pursuit in system company.
Auditoria | Segurança
Security A number of training and certification
organizations have evolved. Currently, the major certifying bodies in the field are the Institute of Internal Auditors (IIA)[3], the SANS Institute (specifically, the audit specific branch of SANS and GIAC)[4] and ISACA[5]. While CPAs and other traditional auditors can be engaged for IT Audits, organizations are well advised to require that individuals with some type of IT specific audit certification are employed when validating the controls surrounding IT systems.
Auditoria | História e LeisHistory of IT Auditing
The concept of IT auditing was formed in the mid-1960s. Since that time, IT auditing has gone through numerous changes, largely due to advances in technology and the incorporation of technology into business.
Law regarding IT auditing Several information technology audit related laws and regulations
have been introduced in the United States since 1977. These include the Gramm-Leach-Bliley Act, the Sarbanes-Oxley Act, the Health Insurance Portability and Accountability Act , Part 11, the London Stock Exchange Combined Code, King II, and the Foreign Corrupt Practices Act .
In the European Union, Directive 95/46/EC on the protection of personal data exists primarily to ensure the protection of the privacy of individuals in regards to digital information.
Auditoria | Profissionais
Qualifications As the field is relatively young, not all jurisdictions have fixed standards for
evaluating the qualifications of IT audit personnel. Since auditors will be responsible for evaluating the controls affecting the recording and safekeeping of assets, it is recommended that IT personnel have detailed knowledge regarding information systems with a general understanding of accounting principles.
In the United States, usually it is considered desirable that IT audit personnel have received or qualify to receive the Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), GIAC Certified System and Network Auditor (GSNA), Certified Information Systems Security Professional (CISSP), Certified Public Accountant (CPA), Diploma in Information System Audit (DISA from the Institute of Chartered Accountants of India (ICAI-India)(ICAI)) and Certification and Accreditation Professional (CAP) credentials. The CISM and CAP credentials are the two newest security auditing credentials, offered by the ISACA and ISC2, respectively. Strictly speaking, only the CISA or GSNA title would sufficiently demonstrate competences regarding both information technology and audit aspects with the CISA being more audit focused and the GSNA being more information technology focused.[6]
Auditoria | Futuro
Emerging Issues Technology changes rapidly and so do the
issues that IT auditors face. Some emerging issues include biometric retinal scans, changes in physical security, and transmitting data from cell phones.
There are also new audits being imposed by various standard boards which are required to be performed, depending upon your organization, which will affect IT and ensure that IT departments are performing certain functions and controls appropriately to be considered compliant. An example of such an audit is the newly minted SSAE 16.