Segurança da Informação

Invasão é a entrada em um site, servidor, computador ou serviço por alguém não autorizado. Mas antes da invasão propriamente dita, o invasor poderá fazer um teste de invasão, que é uma tentativa de invasão em partes, onde o objetivo é avaliar a segurança de uma rede e identificar seus pontos vulneráveis.

Mas não existe invasão sem um invasor, que pode ser conhecido, na maioria das vezes, como Hacker ou Cracker. Ambos usam seus conhecimentos para se dedicarem a testar os limites de um sistema, ou para estudo e busca de conhecimento ou por curiosidade, ou para encontrar formas de quebrar sua segurança ou ainda, por simples prazer.

Mas também pode ser por mérito, para promoção pessoal, pois suas descobertas e ataques são divulgados na mídia e eles se tornam conhecidos no seu universo, a diferença é que o Cracker utiliza as suas descobertas para prejudicar financeiramente alguém, em benefício próprio, ou seja, são os que utilizam seus conhecimentos para o mau.

Existem muitas ferramentas para facilitar uma invasão e a cada dia aparecem novidades a respeito. Abaixo serão descritas algumas das mais conhecidas.

Spoofing

Nesta técnica, o invasor convence alguém de que ele é algo ou alguém que não é, sem ter permissão para isso, conseguindo autenticação para acessar o que não deveria ter acesso, falsificando seu endereço de origem. É uma técnica de ataque contra a autenticidade, onde um usuário externo se faz passar por um usuário ou computador interno.

Sniffers

Sniffer é um programa de computador que monitora passivamente o tráfego de rede, ele pode ser utilizado legitimamente, pelo administrador do sistema para verificar problemas de rede ou pode ser usado ilegitimamente por um intruso, para roubar nomes
de usuários e senhas. Este tipo de programa explora o fato dos pacotes das aplicações TCP/IP não serem criptografados.

Entretanto, para utilizar o sniffer, é necessário que ele esteja instalado em um ponto da rede, onde passe tráfego de pacotes de interesse para o invasor ou administrador.

Ataque do tipo DoS - Denial of Service

É um ataque de recusa de serviço, estes ataques são capazes de tirar um site do ar, indisponibilizando seus serviços. É baseado na sobrecarga da capacidade ou em uma falha não prevista.

Um dos motivos para existirem esse tipo de falha nos sistemas é um erro básico de programadores, na hora de testar um sistema, muitas vezes, eles não testam o que acontece se um sistema for forçado a dar erro, se receber muitos pacotes em pouco tempo ou se receber pacotes com erro, normalmente é testado o que o sistema deveria fazer e alguns erros básicos. O invasor parte deste princípio e fica fazendo diversos tipos de testes de falhas, até acontecer um erro e o sistema parar.

Este tipo de ataque não causa perda ou roubo de informações, mas é um ataque preocupante, pois os serviços do sistema atacado ficarão indisponíveis por um tempo indeterminado, dependendo da equipe existente na empresa para disponibilizá-lo novamente e dependendo do negócio da empresa, este tempo de indisponibilidade pode trazer muitos prejuízos.

De acordo com um estudo da Universidade da Califórnia, Crackers tentam realizar em torno de 15 mil ataques do tipo DoS por semana. Os alvos mais comuns são grandes empresas.

Ataque do tipo DDoS – Distributed Denial of Service

São ataques semelhantes ao DoS, tendo como origem diversos e até milhares de pontos disparando ataques DoS para um ou mais sites determinados. Para isto, o invasor coloca agentes para dispararem o ataque em uma ou mais vítimas. As vítimas são
máquinas escolhidas pelo invasor por possuírem alguma vulnerabilidade. Estes agentes, ao serem executados, se transformam em um ataque DoS de grande escala. Uma ferramenta chamada DDoS Attack, desenvolvida pelo programador brasileiro que se intitula OceanSurfer, é capaz de causar negação de serviços em computadores na Internet através de uma inundação de conexões em determinada porta.

Quebra de Senhas

Para acessar algo é necessário uma senha de acesso, muitos invasores tentam quebrar estas senhas através de técnicas de quebras de senhas, como tentar as senhas padrões de sistemas ou as senhas simples como nomes pessoais, nome da empresa, datas, entre outros. Mas para facilitar a descoberta da senha, existem diversos programas, como dicionários de senhas e programas que tentam todas as combinações possíveis de caracteres para descobrir a senha.

Vírus

O vírus de computador é outro exemplo de programa de computador, utilizado maliciosamente ou não, que se reproduz embutindo-se em outros programas. Quando estes programas são executados, o vírus é ativado e pode se espalhar ainda mais, geralmente danificando sistemas e arquivos do computador onde ele se encontra. Um exemplo deste tipo de programa é o Worm, criado por Robert Morris.

Os vírus não surgem do nada, ou seja, seu computador não tem a capacidade de criar um vírus, quem cria os vírus são programadores de computador mal intencionados.

Para que o vírus faça alguma coisa, não basta você tê-lo em seu computador. Para que ele seja ativado, passando a infectar o micro, é preciso executar o programa que o contém. E isto você só faz se quiser, mesmo que não seja de propósito. Ou seja, o vírus só é ativado se você der a ordem para que o programa seja aberto, por ignorar o que ele traz de mal pra você. Se eles não forem “abertos”, “executados”, o vírus simplesmente fica alojado inativo, aguardando ser executado para infectar o computador.

Após infectar o computador, eles passam a atacar outros arquivos. Se um destes arquivos infectados for transferido para outro computador, este também vai passar a ter um vírus alojado, esperando o momento para infectá-lo, ou seja, quando for também executado. Daí o nome de vírus, devido à sua capacidade de auto-replicação, parecida com a de um ser vivo.

Por que os vírus são escritos ? Esta pergunta foi feita na convenção de Hackers e fabricantes de vírus na Argentina. As respostas seguem abaixo:
· Porque é divertido;
· Para estudar as possibilidades relativas ao estudo de vida artificial (de acordo com a frase de Stephen Hawkind: “Os vírus de computador são as primeiras formas de vida feitas pelo homem” ). Esta proposta é seguida por vários cientistas.
· Para descobrir se são capazes de fazer isso, tentando seus conhecimentos de computação, ou para mostrarem aos colegas que são capazes de fazer;
· Para conseguir fama;
· Fins militares. Falou-se sobre isso na primeira Guerra do Golfo, em 1991, e os vírus para uso militar são uma possibilidade.

Trojans

A denominação “ Cavalo de Tróia” (Trojan Horse) foi atribuída aos programas que permitem a invasão de um computador alheio com espantosa facilidade. Nesse caso, o termo é análogo ao famoso artefato militar fabricado pelos gregos espartanos. Um
“amigo” virtual presenteia o outro com um “ presente de grego” , que seria um aplicativo qualquer. Quando o leigo o executa, o programa atua de forma diferente do que era esperado.

Ao contrário do que é erroneamente informado na mídia, que classifica o Cavalo de Tróia como um vírus, ele não se reproduz e não tem nenhuma comparação com vírus de computador, sendo que seu objetivo é totalmente diverso. Deve-se levar em consideração, também, que a maioria dos antivírus fazem a sua detecção e os classificam como tal. A expressão “ Trojan” deve ser usada, exclusivamente, como definição para programas que capturam dados sem o conhecimento do usuário.

O Cavalo de Tróia é um programa que se aloca como um arquivo no computador da vítima. Ele tem o intuito de roubar informações como passwords, logins e quaisquer dados, sigilosos ou não, mantidos no micro da vítima. Quando a máquina contaminada por um Trojan conectar-se à Internet, poderá ter todas as informações contidas no HD visualizadas e capturadas por um intruso qualquer. Estas visitas são feitas imperceptivelmente. Só quem já esteve dentro de um computador alheio sabe as possibilidades oferecidas.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Introdução

A certificação digital é uma das formas (sim, existem outras e muito eficazes em certas situações) de ser resolver um problema muito antigo conhecido como gerenciamento de chaves.
Mas para entender esta solução particular precisamos primeiramente equacionar o problema. O que será feito a seguir sem muitos detalhes.

De aproximadamente 4000 AC até o final dos anos 70 existia apenas uma forma de criptografia conhecida atualmente como criptografia simétrica. Em geral o funcionamento dela é, descrito com ajuda de dois personagens: Alice e Bob, da seguinte forma:

• Alice quer enviar uma mensagem confidencial, m, para Bob, por um canal de comunicação inseguro de forma que apenas Bob possa compreender seu conteúdo.
• Para tal, Alice encripta a mensagem m usando um algoritmo E com uma chave e. O resultado desta operação é um criptograma c que é então enviado para Bob.
• Este por sua vez executa um processo inverso. Ele aplica o algoritmo D com a chave d no criptograma c e obtém a mensagem m.

O processo funciona perfeitamente nas seguintes condições:
• 1ª. A chave e é igual a d.
• 2ª. O algoritmo E é o inverso do D.
• 3ª. O espião tem acesso ao canal e conseqüentemente ao criptograma, mas não às chaves.

O fato desta forma de criptografia ser chamada de simétrica está relacionado com a 1ª condição.

É sempre necessário satisfazer o sistema de equações abaixo.
(1) Ee(m) = c
(2) Dd(c) = m

Isso faz com que os algoritmos E e D sejam inversos, pois as chaves são iguais!

Os algoritmos hoje existentes, como o DES e o AES especializam esta estrutura visando em geral maior velocidade e segurança.

O problema principal deste sistema é fazer com que a mesma chave esteja com Alice e Bob sem estar com o Espião. O canal usado para enviar o criptograma não pode ser usado para enviar a chave, por razões óbvias. É necessário um segundo canal.

Em 1976 Diffie e Hellman propuseram uma nova forma de criptografia, conhecida pelo nome de Assimétrica.

A idéia é perder a dependência do emprego da mesma chave nos lados do processo.

Somente em 1978 a primeira versão desta proposta foi realizada por Rivest, Shamir e Adleman, gerando o mais conhecido de todos os algoritmos desta classe, o RSA.

Esta pequena, mas fundamental mudança levou a criação de novos algoritmos que agora operam em par com suas chaves, ou seja, como a chave e é diferente da d para o sistema de equações (1) e (2) continuar valendo o conjunto E+e precisa ser o inverso do D+d.

Note que agora não existe mais a dependência de um segundo canal e deste ser seguro. Isto se deve ao emprego de duas chaves.

A chave e é conhecida como chave pública, pois ela é usada para colocar a mensagem em uma forma que apenas quem possua a chave d, chamada privada possa recuperar e isso é desejável e não compromete em nada a segurança.

Mas o problema não termina aqui, no mesmo ano, uma aluna do prof. Adleman chamada Loren Konfelder, defendeu sua dissertação de mestrado atacando um dos problemas decorrentes deste novo sistema, a propriedade da chave e.

Este problema também existe no caso simétrico, e é ainda pior, pois dada uma chave não se pode saber qual dos dois lados da comunicação a usou.

O que mudou foi a forma de tratar a comunicação. Enquanto com a criptografia simétrica havia a necessidade do canal seguro, e geralmente caro e justificável, para transportar a chave, com a assimétrica um canal muito barato, a própria Internet, poderia ser usado só que agora se tornou necessário gerenciar não mais um punhado de chaves simétricas, mas milhares de assimétricas.

Com isso, o controle ficou tão complexo ao ponto que qualquer um pode gerar um par de chaves e se fazer passar por um usuário numa comunicação.

É aqui que entra a questão da certificação digital, mencionada pela primeira vez no texto da Loren.

A idéia é ter um terceiro participante no qual os dois outros confiem e a tarefa deste é divulgar um documento atestando que uma dada chave pública pertence a uma certa pessoa. Este documento chama-se certificado digital e esta terceira entidade a Autoridade Certificadora (AC).

O certificado digital evoluiu bastante durante este tempo. Hoje, suas funções e aplicações vão muito além das levantadas pela Loren e com ele toda uma estrutura, ou melhor, infra-estrutura tornou-se necessária para sua operação, conhecida como Infra-estrutura de Chaves Públicas ou ICP, que é a responsável por toda a gerência dos certificados.

Com essa garantia de que uma dada chave pública pertence a uma certa pessoa (ou equipamento) muitas aplicações antigas ganharam novo fôlego e algumas novas estão surgindo.

Como exemplo de uma velha conhecida que ganhou novo impulso podemos citar o email. Com essa infra-estrutura é possível ter a certeza de quem enviou uma mensagem e de que ela não foi lida por mais ninguém durante o seu percurso.

Isso é possível graças à assinatura digital feita com a chave privada, par da pública que é livremente conhecida.).

O diagrama apresenta dois novos componentes: a função de hash e o hash value. Para não alongar a explicação e fugir do objetivo que é certificação digital, basta pensar nessa função como um compactador de mensagens cuja saída, o hash value, tem sempre um tamanho fixo e único para cada entrada.

Não seria nenhuma novidade ver empresas vendendo soluções de ICP para dar suporte a certificados digitais e estes serem usados em novas aplicações na Internet se não fosse a participação de Governos Nacionais, como o brasileiro, atuando nesta função. As razões para isso são muitas, vistas a seguir.

A Infra-estrutura de Chaves Públicas Brasileira (ICP-Brasil) foi instituída pela Medida Provisória 2200 de julho de 2001. No mesmo mês foi criado o Comitê Gestor da ICP-Brasil, através do decreto número 3.872.

O comitê tem por função adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil, além de estabelecer a política, os critérios e as normas para licenciamento de Autoridades Certificadoras e demais prestadores de serviços de suporte em todos os níveis da cadeia de certificação.

A ICP-Brasil é composta por um conjunto de entidades governamentais e da iniciativa privada que serão responsáveis por assegurar que aquele par de chaves, a privada e a pública, pertence a quem de direito.

As utilidades para esta ferramenta são praticamente infindáveis. Que ver outro exemplo? A maioria de nós entrega declaração de Imposto de Renda pela internet, não é? Você já pensou que nada pode garantir que uma outra pessoa, mal intencionada, faça novamente a sua declaração, alterando violentamente os valores com o intuito de te prejudicar, e envie à Secretaria da Receita Federal dizendo ser uma declaração sua retificadora? De uma hora para outra, você que espera ter uma restituição depois de alguns meses, na verdade estará com uma dívida na SRF, a qual você nem foi notificado.

Os bancos e as administradoras de cartão de crédito então interessantíssimas nisso. Hoje, se você faz uma compra via internet, e depois alega que não comprou, a Administradora se vê obrigada a ficar com o prejuízo sem reclamar.

A novidade é que isso (a certificação digital) já é realidade há alguns meses, e você não terá como fugir desse avanço. Assim como registrar uma firma num cartório de notas, o registro de suas chaves a unidade certificadora também será um serviço pago. Os preços hoje estão por volta dos R$ 90,00 anuais, ainda caros para o uso popular, mas a concorrência fará esse preço cair para perto de R$ 30,00. Também temos que ter em mente que nem todos precisaremos ter um certificado digital, assim como nem todos temos registro no cartório de notas.

A estrutura da ICP-Brasil possui uma, e só uma, Autoridade Certificadora Raiz (AC-Raiz), que é representada pelo Instituto Nacional de Tecnologia da Informação (ITI). As demais Autoridades Certificadoras possuem os seus certificados garantidos pela AC-Raiz, que é, por lei, impedida de vender certificados para pessoas e instituições. Os seus certificados são apenas para Autoridades Certificadoras intermediárias. Faz parte das atribuições do comitê gestor certificar que a Entidade que deseja ser intermediária é preparada para tal, e por auditar o processo.

Se você é empresário e já está pensando em dar uma alavancada nos seus negócios sendo uma AC intermediária, é bom saber que isso não é fácil nem barato.

Para se ter uma idéia, o custo para se candidatar a um credenciamento é de R$ 500 mil, e os requisitos técnicos são semelhantes a um filme de ficção científica: salas cofre à prova de intrusos, choque, fogo e desastres, onde ficam os servidores, links de redes com bandas astronômicas, funcionários extremamente especializados e que permitam que suas vidas pessoais sejam investigadas, e por aí vai.

Mas vale também dizer, para concluir, que dependendo da necessidade do empreendimento, pode-se ter uma ICP própria desvinculada da ICP-Brasil, a um custo muito menor.

A diferença maior desta opção é a perda da validade legal dos certificados. Isto pode não ser crítico em muitos negócios e em muitos outros ambientes nem mesmo é desejável ter.

Saiba mais………….

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Diagnóstico
O processo de “Diagnóstico” consiste em analisar a probabilidade de ameaças explorarem vulnerabilidades, considerando-se os mecanismos de segurança implementados.

Tem como objetivo minimizar o risco, evitar perda de confidencialidade, integridade e disponibilidade, causando, possivelmente, impactos nos negócios.

Qual é a situação atual?

Atualmente as empresas têm reconhecido que a Segurança das Informações desempenha um papel importante para que objetivos sejam atendidos e novos negócios sejam viabilizados. Contudo, as complexas topologias de rede atuais, onde às conexões estão ultrapassando fronteiras, estão cada vez mais em um ambiente hostil: atacantes estão colocando a prova a segurança das informações com uma freqüência cada vez maior e exigindo uma resposta aos incidentes ou ataques de forma cada vez mais rápida. Podemos perceber que no cenário atual, as empresas não são capazes de reagir aos ataques ao seu ambiente computacional a tempo de impedir prejuízos financeiros diretos e indiretos aos negócios. Sendo assim, o maior desafio das empresas atualmente é conseguir gerenciar a Segurança das Informações no seu ambiente tão complexo.

Qual é a situação “ideal”?
As empresas devem gerenciar a Segurança das Informações desenvolvendo estratégias pró-ativas e re-ativas, analisando todos os riscos para o processo de negócio. A elaboração de um trabalho voltado para o “Diagnóstico” da segurança, permite que as empresas analisem com eficiência o estado atual do ambiente, determinando o grau de proteção dos ativos em informações contra possíveis ameaças. Sendo assim, os esforços e orçamentos serão direcionados para atividades mais prioritárias para o processo de negócios.

a) Análise de Risco
b) Análise de Vulnerabilidades
c) Análise de Segurança na Aplicação
d) Teste de Invasão

Análise de Risco
A análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto das ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida.

A identificação dos riscos e seu correto entendimento irá direcionar os investimentos de forma consciente obtendo melhores resultados.

Saiba mais…

A análise de riscos é usada para verificar possíveis ataques, ferramentas, métodos e técnicas que podem ser usados para explorar uma vulnerabilidade. A análise de riscos da informação é um método de identificação de riscos e avaliação dos possíveis danos que podem ser causados, a fim de justificar os controles de segurança.

A análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto de possíveis ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida.

Um dos desafios da área de Segurança da Informação, ou até mesmo do departamento de Tecnologia da Informação, é integrar os objetivos do programa de segurança aos objetivos e requisitos de negócios. Para que todos os requisitos de negócios sejam atendidos, a empresa deve alinhar os objetivos de segurança com os objetivos de negócios. Apenas dessa forma o programa de segurança será bem sucedido.
A análise de risco ajuda a empresa a delinear um orçamento adequado para um programa de segurança e os componentes de segurança que formam esse programa. Quando a empresa souber o valor dos ativos e entender as possíveis ameaças a que eles estão expostos, a alta direção poderá tomar decisões inteligentes sobre o quanto investir na proteção desses ativos.

A análise de risco tem como objetivos:
• Identificar ameaças em potencial à segurança de TI (Tecnologia da Informação) e sua probabilidade aproximada.
• Identificar o valor dos ativos, inclusive seu valor indireto, caso sejam danificados ou violados.
• Usar esses valores quantificados para identificar as atividades mais adequadas e econômicas para proteger o ambiente.
• Definir e gerenciar uma diretiva formal de gerenciamento de riscos de segurança.
• Integrar o gerenciamento de riscos de segurança ao ciclo de vida da infra-estrutura de TI.
• Definir processos para aprimorar a especialização em gerenciamento de riscos na empresa por meio de iterações do ciclo do gerenciamento de riscos.

Análise de Vulnerabilidades
A confiabilidade, integridade e disponibilidade da informação são fundamentais para o bom andamento dos negócios.

Realizar inspeções de segurança para analisar a chance de perda para um ativo específico, possibilita uma estatística das vulnerabilidades existentes e os impactos resultantes. É uma etapa fundamental para definição correta das medidas de proteção e das necessidades de acerto no ambiente computacional.

O resultado final é uma análise do ambiente existente, comparando a situação atual com o ambiente desejado. São fornecidas recomendações técnicas e administrativas para minimizar os ricos e proteger os negócios.

Um fato muito comum que podemos encontrar em diversas empresas, é o profissional de TI acumular diversas tarefas e quase sempre sendo pressionado a realizar suas tarefas da maneira mais rápida possível e sem causar inconveniências aos usuários. Quando um incidente de segurança acontece, muitos profissionais de TI percebem que a única coisa que têm tempo de fazer é conter a situação, descobrir as causas e reparar os sistemas afetados no menor tempo possível.

A análise de vulnerabilidades identifica a raiz do problema e quais recursos são necessários para resolver o problema e minimizar o risco. A empresa começa a desenvolver uma estratégia reativa de segurança, minimizando o risco do ambiente computacional ser explorado por um atacante ou uma ameaça qualquer, a aproveitando melhor seus recursos computacionais.

Análise de Segurança na Aplicação
As aplicações (softwares e sistemas de computador) são desenvolvidas para automatizar e viabilizar os processos e negócios da empresa. Certificar que essas aplicações operem com a segurança necessária é fundamental para a viabilidade do próprio negócio.

A análise de segurança na aplicação consiste em analisar o contexto tecnológico e não tecnológico relacionado na aplicação e identificar quais os requisitos de segurança que existem ou que deveriam existir na aplicação. Avaliar o nível de garantia de segurança desses requisitos implementados na aplicação.
Todo o processo de avaliação é realizado em conformidade com a norma ISO/IEC 15408 Common Criteria.

O resultado final é a documentação da aplicação, o relatório final da avaliação e em caso de resultado positivo é emitido um Certificado de Segurança para a aplicação.

Quando uma empresa disponibiliza uma aplicação WEB na Internet, Intranet ou Extranet, a imagem da empresa e o seu sistema estão expostos a diversas ameaças. Para minimizar perdas financeiras, a única solução é identificar as ameaças e gerenciar os riscos associados. O desenvolvimento desta atividade permite realizar uma análise e concentrar os recursos nas questões relevantes, maximizando o retorno do investimento e garantindo a continuidade dos negócios.

O desenvolvimento desta atividade, em parceria com nossos clientes, é muito mais econômica e eficiente do que a implementação casual de sistemas de segurança sem o conhecimento preciso das ameaças que cada recurso de segurança deve solucionar.

Esta fase da metodologia BSM tem como objetivo identificar e classificar ameaças existentes na aplicação dos nossos clientes, com base em um conhecimento de vulnerabilidades das aplicações. O resultado das informações obtidas nesta fase possibilita tratar as ameaças existentes com as contramedidas apropriadas definindo prioridades, ou seja, começando pelas ameaças que apresentam maior risco para a organização.

Teste de Invasão
O teste de invasão tem como objetivo analisar os ambientes e seus sistemas de segurança pela ótica do invasor, sendo considerada uma técnica essencial para o bom andamento dos negócios. O objetivo não é causar danos, mas sim testar a eficácia dos mecanismos de segurança existentes.

a) Situação atual
b) Teste de Invasão
c) Macro etapas para o Teste de Invasão
d) Programa de Teste de Invasão

Situação atual
Atualmente, as organizações estão priorizando o aumento da segurança do seu ambiente computacional. Alguns fatores que contribuem com a estruturação da área de segurança dentro das organizações são:

a) Os negócios de qualquer organização são desenvolvidos através de uma rede computadores conectados à Internet.

b) Alguns regulamentos obrigam as organizações a manter as informações seguras, tais como:
1) Sarbanes-Oxley
2) California Senate Bill 1386 (SB 1386)
3) HIPAA (Health Insurance Portability and Accountability Act)
4) Resolução 3.380 do Banco Central do Brasil

c) Aumento da proliferação vírus de computador e ataques ao ambiente computacional.

Teste de Invasão
O teste de invasão é um conjunto de técnicas e metodologias para testar a conformidade com as regulamentações (nacionais e internacionais), normas internas e diretivas de segurança da informação.

É extremamente recomendado para:
a) Detectar vulnerabilidades desconhecidas.
b) Restringir a capacidade de hackers acessarem as informações da organização.
c) Evitar multas por não estar em conformidade com regulamentos (nacionais ou internacionais).
d) Limitar os pontos de exposição das informações da organização.
e) Avaliar a eficiência das medidas de segurança implementadas.
f) Evitar roubo de propriedade intelectual.
g) Evitar indisponibilidade dos negócios da organização.

Macro etapas para o Teste de Invasão

1. Coleta de informações, para levantar todo e qualquer tipo de informação disponível sobre a organização, em especial dados sobre endereços de máquina e redes, nomes de usuários, sistemas utilizados, serviços prestados, estrutura organizacional, etc.
2. Mapeamento do ambiente, após obtidas as informações iniciais, o especialista através de técnicas mais agressivas, procura mapear ainda mais a rede da organização. Enquanto na fase de coleta há pouca atividade diretamente realizada contra a rede avaliada, nessa etapa as máquinas passam a receber tráfego especificamente voltado para o levantamento da rede, como por exemplo port scanning, tcp/ip, fingerprinting, consultas sobre versões de aplicativos, etc.
3. Mapeamento de vulnerabilidades, é uma das partes mais importantes do teste de invasão. De posse do mapeamento do ambiente, o especialista é capaz de mapear vulnerabilidades de um sistema, através de banco de vulnerabilidades ou baseado em sua experiência. Essas vulnerabilidades podem ser tanto operacionais, como usuários com senha trivial, ou vulnerabilidades de software como uma versão insegura do Sistema Operacional ou seus aplicativos.
4. Exploração/Invasão, é a etapa do teste onde o especialista faz uso de ferramentas e técnicas para explorar as falhas observadas.
O teste de invasão envolve o uso de técnicas e ferramentas semelhantes a que os hackers usam para tentar invadir os destinos de negócios confidenciais.

Programa para o Teste de Invasão
O teste de invasão deve ser um processo contínuo:
1. Novas vulnerabilidades são descobertas quase diariamente.
2. Regulamentos e normas internacionais (ISO 27001 e ISO 17799) sugerem que seja realizado o teste de invasão para verificar se os requisitos estão implementados na organização.
3. Novos softwares e sistemas são implementados nas organizações.
4. Somente um programa contínuo de teste de invasão pode detectar os riscos e identificar como reduzi-los.

O programa de teste de invasão pode ajudar sua organização a:
1. Conhecer as necessidades de segurança e implementar medidas de proteção no ambiente de rede.
2. Ter controle total do ambiente de segurança, protegendo dispositivos técnicos e informações estratégicas para os negócios.
3. Reforçar, através da excelência técnica, a área de Tecnologia da Informação como a parceira fundamental no desenvolvimento dos negócios que sustentam a missão da organização.
4. Dotar o ambiente de Tecnologia da Informação com nível de segurança que possa viabilizar novos negócios.
5. Montar uma arquitetura de segurança que especifique as necessidades de segurança do ambiente informatizado.

Diretrizes
As “Diretrizes” consistem em proteger e preservar a empresa, suas informações e seus negócios. Também objetiva a ampliação da conscientização sobre segurança da informação e privacidade.

1. Documentar a visão estratégica da segurança;
2. Buscar a conformidade com a NBR ISO / IEC 17799;
3. Estruturar security officer e áreas de apoio;
4. Assegurar o manuseio, armazenamento, transporte e descarte adequado das informações;
5. Assegurar a continuidade dos negócios;
6. Assegurar conformidade com a legislação;
7. Definir normas e procedimentos de segurança para orientar a conduta adequada na classificação, controle e proteção das informações, com o intuito de minimizar os riscos e diminuir o grau de exposição da empresa sem comprometer o bom funcionamento dos negócios;
8. Ampliar a conscientização sobre segurança e privacidade da informação;
9. Definir responsabilidades.

Determinação de Controles de Segurança

Planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.

Quando a empresa conhece as situações de risco e as vulnerabilidades existentes no seu ambiente computacional, o gestor consegue tomar decisões para a implementação de medidas de proteção. Todo o trabalho deve ser direcionado levando em conta os aspectos estratégicos, financeiros e técnicos existentes para a empresa. As informações coletadas durante as fases de análise de risco e vulnerabilidades devem permitir a criação de um quadro que facilite à justificativa de investimentos, a alocação de verbas e a priorização das metas necessárias.

Com a determinação do controle de segurança, o gestor pode elaborar o planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem, definindo quais metas devem ser trabalhadas, com que prioridade e com qual investimento.

Determinação de Controles de Segurança
Planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem.

Quando a empresa conhece as situações de risco e as vulnerabilidades existentes no seu ambiente computacional, o gestor consegue tomar decisões para a implementação de medidas de proteção. Todo o trabalho deve ser direcionado levando em conta os aspectos estratégicos, financeiros e técnicos existentes para a empresa. As informações coletadas durante as fases de análise de risco e vulnerabilidades devem permitir a criação de um quadro que facilite à justificativa de investimentos, a alocação de verbas e a priorização das metas necessárias.

Com a determinação do controle de segurança, o gestor pode elaborar o planejamento geral da segurança baseado nos custos de implementação em relação aos riscos que serão reduzidos e as perdas potenciais se as falhas na segurança ocorrerem, definindo quais metas devem ser trabalhadas, com que prioridade e com qual investimento.

Plano de Continuidade de Negócios
A Continuidade de Negócios é um conceito de importância cada vez maior, na medida em que antigas fórmulas não garantem o que efetivamente é necessário: a segurança da continuidade diante de eventos adversos.

Não podemos mais falar de forma isolada em Redundância, Backup Site, Recuperação de Erros… Nossa realidade atual é a de Análise de Risco e Análise de Impacto. E o que pode nos dar segurança é a existência de um Plano de Recuperação de Desastres, de um Plano de Contingência Operacional e de um Plano de Continuidade de Negócios que se complementem de forma harmoniosa, eficiente e eficaz.

O PCN (Plano de Continuidade de Negócios) realístico é de vital importância para que os nossos clientes possam cumprir os compromissos assumidos junto aos seus clientes, independentemente de interrupções maiores no uso de softwares, hardware, infra-estrutura, etc.

Implementação

Definição, organização e preparação da estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação dentro da empresa.

Implementação de Controles de Segurança

Após analisar a probabilidade de ameaças explorarem vulnerabilidades e definir as normas de segurança para orientar a conduta adequada na classificação, transporte, manuseio, controle e proteção das informações, com o intuito de minimizar os riscos, o próximo passo é a implementação de um projeto de segurança e treinar toda a equipe envolvida com a segurança da informação.

Os sistemas operacionais contam com diversos recursos para aplicar medidas de proteção aos ativos da empresa em conformidade com as regras estabelecidas na política de segurança. Sendo assim, a implementação de um projeto de segurança nem sempre representa investimentos diretos em hardware e software.

A configuração dos sistemas operacionais, seguindo as regras estabelecidas na política de segurança, aumenta o nível de disponibilidade, auditoria, contingência, etc. Uma gestão eficiente de segurança da informação deve aproveitar essas características para assegurar a proteção e o bom funcionamento do ambiente computacional.

Porém, dependendo das necessidades de segurança, as configurações do sistema operacional não são suficientes para assegurar o nível de proteção exigido para os negócios. Dessa forma, será necessário complementar com mecanismos adicionais de segurança. As soluções devem ser integradas, baseadas nas necessidades dos negócios, em conformidade com a política de segurança e de acordo com as melhores opções existentes no mercado.
Campanha de Divulgação

É importante que a empresa disponha de uma política de segurança atualizada e alinhada às necessidades do negócio, porém, é fundamental que a política de segurança seja reconhecida pelos usuários como o manual de segurança da empresa.

A campanha de divulgação assegura que os usuários estejam cientes das ameaças e das preocupações de segurança da informação e estarão aptos a apoiar a política de segurança da organização durante a execução normal do seu trabalho.

E a política, como vai?
Um outro aspecto importante que deve ser levado em consideração quando da elaboração de uma Política de Segurança é a classificação das informações. É preciso que elas sejam claramente classificadas para que seja possível controlar o acesso aos dados, evitando, dessa forma, que pessoas não autorizadas tenham acesso às informações.

Para tanto, é preciso classificar todas as informações segundo grau de importância e teor crítico:
a) Informações Confidenciais: são aquelas que devem ser disseminadas somente para empregados previamente definidos;
b) Informações Corporativas: devem ser disseminadas somente dentro da empresa;
c) Informações Públicas: podem ser divulgadas dentro e fora da empresa.

É importante também que o responsável pela Política de Segurança execute ações para manter o controle de eventos logados nos sistemas corporativos. São elas:
a) Trilhas de auditoria;
b) Definição de políticas de backup, de uso de software, de acesso físico às instalações da empresa e de acesso lógico;
c) Controle anti-pirataria;
d) Definição da linha mestra do software utilizado no ambiente computacional da empresa;
e) Controle de acesso físico e lógico (dia e hora do acesso, endereço eletrônico do usuário, ações executadas, log de acessos);
f) Definição de ambientes físicos de alto grau crítico;
g) Monitoramento de ambientes;
h) Definição de perfis de acesso aos ambientes e aplicativos, definição e controle de senhas e user identification;
i) Criptografia e certificação digital;
j) Configuração de firewall

Normas de acesso externo
Outra questão relevante para a estruturação de uma Política de Segurança é a definição de normas de acessos externos à empresa. Não basta instituir uma série de regras a serem cumpridas internamente. Para garantir a segurança de uma empresa é necessário estabelecer procedimentos para o acesso de parceiros externos à corporação. Confira alguns deles:

a) Definição de convênios para acesso às bases corporativas e da política de uso da intranet e Internet;
b) Definição de modelo de identificação de pirataria; de gerenciamento de rede; de distribuição de versões de software e de padrões de home page;
c) Detecção de inatividade de modems ligados à rede;
d) Definição do padrão de atualização de anti-vírus e do acesso de empregados ao provedor corporativo;
e) Padronização da home page institucional e da home page comercial;
f) Implantação, roteamento, criptografia e certificação digital
g) Configuração de firewall

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Como escolher uma tecnologia? Esta é uma questão importante e em muitos casos escolhemos as ferramentas de tecnologia de modo incorreto, muitas são adotadas sem critérios bem estabelecidos. Nossa sugestão nesta etapa é adotar um método bem conhecido chamado benchmarking. O método consiste em estabelecer critérios para avaliar as opções existentes de acordo com as necessidades de cada empresa.

Como critérios para adoção de softwares de segurança da informação, adotamos os parâmetros relacionados na lista a seguir:

Antivírus
- Preço
- Atualizações
- Ameaças Detectadas
- Sistemas Operacionais Suportados
- Uso Corporativo
- Proteção de E-mail
- Proteção de mensagens instantâneas
- Agendamento de verificação

Backup
- Preço
- Sistemas Operacionais Suportados
- Compactação de Arquivos
- Uso Corporativo
- Agendamento de Backup
- Envio Informações E-mail
- Backup Password Protection
- Verificação de Backup

IDS
- Preço
- Número de Equipamentos
- Sistemas Operacionais Suportados
- Uso Corporativo
- Portas Detectadas
- Envio Informações E-mail

Algumas considerações sobre as listas com critérios:
Parâmetros como: i) Preço, ii) Uso Corporativo; iii) Sistemas Operacionais Suportados são básicos devido a todos os softwares, para tanto cabe justificar cada um dos critérios.

Preço: Este parâmetro é importante em qualquer compra, pois corresponde ao valor financeiro dispensado para compra.

Uso Corporativo: devido à quantidade de equipamentos existentes na empresa, softwares de uso corporativo também possuem a característica de serem aplicações que executam nos servidores de rede, instalando-se nas estações apenas as aplicações clientes.

Sistemas Operacionais Suportados: este parâmetro é importante para todos os softwares à serem implantados devido a diversificação possível em uma rede, onde é possível utilizar diferentes arquiteturas formando uma rede heterogêna.

Dos critérios específicos apresentamos a seguir uma lista com as justificativas:

Antivírus
- Atualizações: quanto mais rápido o conhecimento de novas ameaças e a disponibilização de novas atualizações, mais confiável é o software;
- Ameaças Detectadas: a quantidade de ameaças identificadas também permite avaliar a eficiência do software;
- Proteção de E-mail: proteção do e-mail se faz necessário ante a quantidade de emails recebidos e que transportam arquivos muitas vezes com conteúdo danoso;
- Proteção para mensagens instantâneas: necessário assim com a proteção para e-mails devido à possibilidade de envio de mensagens com conteúdo danoso;
- Agendamento de verificação: item que possibilita verificação de ameaças sem interferência do usuário;

Backup
- Compactação de Arquivos: item necessário para racionalizar o tamanho dos arquivos de backups que podem ocupar tamanho excessivo;
- Agendamento de Backup: possibilitar melhor controle dos horários de backup e minimizando o trabalho manul;
- Envio Informações E-mail: para que o administrador responsável pelo backup tenha possibilidade de receber informes das operações em a necessidade de interagir com o software;
- Verificação de Backup: após realizar o backup é importante verificar se o(s) arquivo(s) gerado(s) estão consistentes.

IDS
- Portas Detectadas: deve dar suporte a todos os protocolos utilizados em uma rede IP;
- Envio Informações E-mail: para que o administrador responsável pelo backup tenha possibilidade de receber informes dos logs gerados pelo IDS.

Na lista de softwares apresentados pode-se incluir novos parâmetros, no entanto depende dos critérios que cada empresa adota ou quais funções são implementadas ao software.

Depois de realizar a implantação no ambiente de testes com o entendimento do funcionamento das tecnologias em questão, estamos prontos utilizá-las com mais segurança no ambiente de produção.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Introdução
A maioria das aplicações de alguma maneira está ligada à Internet. A Internet pode ser considerado um marco importante que reavalia a maneira de utilizarmos o computador.

Porém, se por um lado a Internet é uma ferramenta mais indispensável a cada dia, e existe um número crescente de pessoas conectadas, isto leva inevitavelmente, a existir pessoas que vão se aproveitar da situação para ter benefício próprio de forma ilegal.

Com aumento dos números de aplicações e complexidade das redes, as pessoas e sistemas estão mais e mais susceptíveis a ataques.

O que é segurança?
Muito comum empresas que acreditam estar seguras, já foram atacadas e não possuem tecnologia para detectar se já foram comprometidas

Análise de LOG, IDS, PenTest, Fingerprinting do Filesystem e Auditoria forense são técnicas para verificar se sua rede continua segura.

Um dos termos que se tornam mais obsoletos hoje em dia é a chamada “segurança de rede”. Este vem sendo rapidamente substituído pela “segurança da informação”.

Uma informação é algo valioso. Podemos refletir sobre o assunto valor de uma informação, pensando rapidamente em alguns exemplos. Pode ser uma tarefa árdua quantificar o valor de uma informação ou uma falha de segurança.

Quanto custa a informação de como é produzido seu produto? Quais os diferenciais competitivos da sua empresa? Se essa informação cair em mãos erradas, o possível prejuízo pode ser catastrófico. Isso pode ser mensurado em reais ou dólares.

Talvez um pouco mais difícil seja saber quanto vale a informação, por exemplo, do saldo bancário de correntistas de um banco ou o salário do diretor da empresa! Se esta informação cair em mãos erradas, descobrir o nome e dados de um correntista ou diretor, isto pode causar um sério risco a segurança pessoal e familiar, pois estariam sujeitas a um assalto ou seqüestro.

Tão ruim quanto isso, é um ambiente onde se fosse noticiado para seus clientes sobre o ataque feito na sua empresa? Talvez a credibilidade dela fosse altamente afetada, pois os clientes tendem a perder a confiança em locais que já foram atacados. Por isso mesmo, muitas vezes estes ataques nunca serão conhecidos pelo público. Portanto, um ataque custa dinheiro. Informação custa dinheiro.

A única saída é proteger-se com várias técnicas de segurança da informação.

Segurança da informação mais aplicadamente à nosso assunto, vem da idéia de que informações ou conhecimentos estejam seguros e protegidos contra pessoas que não precisam (ou não devem) ter acesso àquela informação. Podemos também pensar que segurança da informação é um conjunto de medidas que constitui basicamente de controles e de políticas de seguranças, tendo como objetivo a proteção das informações, controlando o risco de revelação ou alteração por pessoas não autorizadas.

Porque acontecem ataques?
De alguma maneira, ataques acontecem porque existe:

a. Uma motivação de um hacker (que aqui chamaremos de atacante);
b. Uma falha na estrutura de segurança do alvo atacado;
c. Um desconhecimento do valor da informação.

Podemos então imaginar isto como uma balança: Quanto mais vulnerável o sistema de segurança de uma empresa, menos motivação precisa o hacker, pois é mais fácil efetuar o ataque. Se o sistema for muito bem protegido, entende-se que o hacker precisará de mais conhecimento, maior motivação e mais tempo para atacar.

Administradores de redes cada vez mais despreparados para suportar essa crescente onda de ataques e acúmulos de funções, dedicando cada vez menos tempo para se preocupar com a segurança, adicionado à idéia de que a pessoa nunca será alvo de um ataque é mais um fator a ser levada em consideração.

Entretanto, com o aumento exponencial de ataques e vulnerabilidades dos sistemas, muitas vezes causados pelo esquema de rede excessivamente complexo, os profissionais de informática costumam saber que segurança é algo importante, porém os proprietários de empresas muitas vezes não acreditam que podem ser atacados. “Porque atacarão à mim se existem tantos alvos maiores por aí?”. Tenho certeza que você já ouviu falar em pequenas empresas ou pessoas que tenham sido atacadas recentemente.

Mitos em segurança
Podemos agora ver alguns mitos da segurança e já podemos entender o porquê estes são mitos:

• Isto nunca acontecerá conosco;
• Nunca fomos atacados, não precisamos de mais segurança;
• Já estamos seguros com um firewall;
• Utilizamos os melhores (mais caros) sistemas de segurança, então eles devem ser seguros;
• Não podemos gastar com segurança agora, deixa assim mesmo;
• Ninguém vai descobrir essa “falhinha” de segurança;
• Tomamos todas as atitudes e precauções. Testes não são necessários;
• Nosso parceiro é confiável, pode liberar acesso para ele.

Esses mitos são rapidamente derrubados e percebe-se a necessidade imediata de ações para proteção da sua empresa.

Tipos de Ataques
Aqui estão alguns tipos de ataques:

• Conhecimento da rede
• Network e Port Scanning
• Firewalking
• Obtenção de informação por DNS Querying, WINS, Reverse, WHOIS, Finger, Google, Dumpster Diving, Version Determination, Scanning de vulnerabilidade, Pentest e OS Version Determination
• Falta ou má Politica de Segurança
• Senhas fáceis
• Senhas públicas
• Vazamento de Informações
• Ataques de Redes
• Sniffing ou Eavesdropping, 802.1q e Trunking, IP Spoofing, Source Routing, Envenenamento de Roteamento Dinâmico
• Negação de Serviço
• Bug em Servidores, Serviços, Sistemas Operacionais e aplicativos
• SYN, ICMP Flooding
• Smurf/Flanggle
• Fragmentação IP
• Man-in-the-middle, DNS Tampering, ARP Tampering, Sequestro de Conexão e Predição de número de seqüência
• Acesso
• Redes sem fio (Criptografia fraca, falta de autenticação mutua, AP Rogue, etc)
• Falta de autenticação em switches
• Controle de Acesso físico
• Ataques a Aplicações
• Buffer Overflow
• SQL Injection
• Poison Null, Upload Bombing, Hyperlink Spoofing, Exploits
• Virus, cavalos de troia
• Engenharia Social

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/