Prova 1
Internet:
Preocupação e problemas com segurança
Dados circulando por vários equipamentos e redes
Falta de controle
Hackers:
Fama
Status
Curiosidade
Desafio
Crackers:
Dinheiro
Espionagem
Política
Segurança da informação:
Garantia de segurança:
* Verificar e Administrar → Auditoria → Risco → Definição de Política → Implementação → *
Representa proteção de dados e infos
Objetivo é preservar valores de empresas e pessoas
3 pilares:
Confidencialidade: Restringe o acesso à informação apenas às entidades autorizadas, impedindo a interpretação por não autorizados, mesmo que o dado seja visível.
Medida de proteção: Criptografia.
Disponibilidade: Garante que a informação esteja sempre disponível para os usuários autorizados pelo proprietário.
Medida de proteção: Backup \ Hot site.
Integridade: Garante que a informação mantenha suas características originais, controlando mudanças e preservando seu ciclo de vida (corrente, intermediária e permanente).
Medida de proteção: Uso de hash
2 pilares extras:
Autenticidade: propriedade que garante que as informações sejam provenientes de uma fonte confiável.
Medida de proteção: JWT / Certificado digital
Irretratabilidade/não repúdio: propriedade que garante tanto o emissor e destinatário não podem negar.
Medida de proteção: Certificado digital.
Falhas de segurança da informação:
Interceptação
Vazamento de informações ou roubo de senhas → cópia de arquivos ou dados
Quebra da confidencialidade → cifra de dados e mecanismos de criptografia
Interrupção
Não é possível estabelecer comunicação com destino
Quebra da disponibilidade → Hot Site ou backup do serviço
Modificação
Intercepta modifica e envia novamente → modifica valores / pagamentos
Quebra da confidencialidade e integridade → mecanismos de criptografia
Fabricação
Uma parte não autorizada envia ou insere alguma informação → gera um pagamento falso
Quebra da autenticidade → mecanismos de criptografia e certificado digital
Criptografia:
Auxiliar para garantir:
Integridade
Autenticidade
Não repúdio
Confidencialidade
Tipos:
Simétricos:
Mesma chave para abrir e fechar
Assimétricos:
1 chave pública e 1 privada
Fecha com uma (pública - livremente divulgada) e abre com a outra (privada - mantida em segredo)
Segurança criptografia:
Criptoanálise:
Arte de tentar descobrir o texto cifrado e/ou a lógica utilizada
Não significa descobrir o significado das mensagens
Foco em achar uma vulnerabilidade para explorar depois
Pontos importantes para o gerenciamento da segurança:
Vulnerabilidade
Ameaça
Risco
Exposição
Agente cria ameaça para explorar vulnerabilidade gerando risco de danificar um ativo gerando exposição
ISO série 2700:
27001:
Requisitos para a organização estruturar um sistema de gestão de segurança da informação
Deve aplicar processo de diretriz com objetivo de mitigar e gerir adequadamente o risco
No mínimo:
Critérios de aceitação
Critérios de desempenho das avaliações dos riscos
Analise critica para manter os sistemas de gestão da segurança da informação
Critérios de melhoria continua
27002:
Gestão e operação da Segurança da Informação
Referência para as empresas implantarem os sistemas de gestão
Código de prática para segurança da informação:
Compreender os requisitos de segurança da informação da organização
Implementar e operar controles para gerenciar os riscos
Monitorar e revisar o desempenho e a eficácia
Melhoria contínua baseada em medições objetivas
27005:
Diretrizes para o processo de Gestão de Riscos de Segurança da Informação
LGPD:
Lei Geral de Proteção de Dados Pessoais
Princípios:
Política de Segurança da Informação (PSI):
Estrutura básica documento PSI:
Objetivos:
Objetivo do documento
O que se quer comunicar
Escopo:
Indicação de ambientes físicos e lógicos
Tipos de usuários
Pra quem se aplica
Definições:
Siglas
Termos técnicos
Abreviaturas
Termos específicos
Regras:
Regras da organização
Responsabilidades:
Quem é responsável pelo documentos, treinamentos e ações para aplicação dos acordos
Cumprimento:
Penalidades para o não cumprimento
Gestão de risco:
Identificar perdas e impactos causados pelo comprometimento ou roubo das informações
Gestão de risco → tem como propósito identificar, analisar e atuar para a redução do risco
Risco → Probabilidade de uma ameaça explorar uma vulnerabilidade
Processo de análise de risco:
Identificar as ameaças
Estimar probabilidades
Classificar a importância das operações
Estimar custo x benefício na condução da redução do risco
Documentar resultados e plano de ação
Tentativa de acesso a um recurso sem autorização
Intrusão:
3 etapas:
Conhecer: coletar informações do alvo, endereços de e-mails, identificação de pessoas, etc
Analisar: extração de informações, como varredura e identificação de IP, serviços, sistema operacional, versões de serviços etc.
Explorar: tentativa de ganhar acesso ao alvo, como utilizar exploits, realizar ataques para quebras de senhas, engenharia social etc
Tipos de reconhecimento:
Legal: Google, Footprint, visitações, conversar com equipe, etc
Questionável: escaneamento passivo em portas, ler nomes em correspondência, ler papeis no lixo antes de descartar, etc
Ilegal: farejadores, keylogger, interceptar pacotes, etc
Ferramentas:
Análise e exploração:
nslookup
ping
dig
Port scanners: varrem o endereço alvo e identificam portas acessíveis (TCP / UDP).
Scanner de vulnerabilidade: encontrar falhas utilizando critérios para qualificar e quantificar seu impacto
Engenharia social:
Ato de fraude por parte de quem ataca
Enganar indivíduos de boa-fé
Tipicamente antiético
As vezes é usada por hackers éticos
Ataques:
Técnicas:
ARP spoofing:
Falsificar o ARP na LAN
Ligar o endereço MAC com o endereço IP de outro hospedeiro
MAC Flooding:
Comprometer a segurança da rede de switches
Quando sobrecarrega → passa a funcionar como Hub
Gera lentidão
DDoS:
Distributed Denial of Service
Sobrecarregar a vítima
Impede respostas a possíveis requisições legitimas
Defesa:
Ferramentas:
Firewall:
Hardware ou software
Controlar e restringir o trafego entre as redes as quais ele está conectado
Controle nas E/S através de filtros de pacotes
Só atua no trafego que passe por ela
Conhecer bem a rede para definir regras
Filtro de pacote:
Camada de rede e de transporte
Analisando só os cabeçalhos
Base em ACL
Tipos:
Não é proibido então pode (lista negra)
Não é permitido então proibido (lista branca)
Proxy:
Camada de rede, transporte e aplicação
Analisa cabeçalho e conteúdos
Tipos:
Stateful:
Rastreia o estado operacional e características
Web Application Firewall:
Protege a aplicação
Evita Cross-site Scripting (XSS) e SQL Injection
Sistema de detecção de invasão (IDS):
Equipamento ou aplicação
Monitora a rede procurando atividades maliciosas ou violações de policies
Age passivamente
Reporta pro ADM ou coleta por um management de eventos de segurança
Métodos:
Signature-based: busca de padrões específicos, como sequências de bytes
Anomaly-based: detectar ataques desconhecidos, com o rápido crescimento de malwares.
Network IDS (NIDS):
Variação do IDS
Sistema de Rede de Detecção de Intrusão
Analisa o fluxo de dados na rede buscando padrões suspeitos
Host IDS (HIDS):
Variação do IDS
Sistema Hospedeiro de Detecção de Intrusão
Examina ações dos hospedeiros (arquivos que são acessados, aplicativos utilizados, ou informações de logs)
Poucos falsos positivos
Sistema de prevenção de invasão (IPS):
Mesmas checagens do IDS
Age ativamente
Quando detecta, faz uma das seguintes:
Termina a sessão TCP
Bloqueia o IP
Conta quem estava acessando a aplicação
Reprograma o firewall para prevenir ataques futuros
Honeypots:
Iscas digitais para atrair ataques
Honeynets:
Redes inteiras criadas como armadilhas
Rede DMZ:
Garantia da confidencialidade:
Esteganografia:
Esconder a existência de uma mensagem dentro de outra
Técnica simples de camuflagem
Criptografia:
Oculta o significado da mensagem
Tipos:
Simétrica:
Mais rápida
Indicada para grandes volumes
Algoritmos:
DES:
Chave 56 bits
Quebrado em 1977
Obsoleto desde 2004
3DES:
DES cifrado 3 vezes
168 bits
Muito lento
AES:
Mais utilizado atualmente
Bloco fixo de 128 bits
Chave de 128, 192 ou 256 bits
Padrão do governo americano em 1997
Implementação tanto em hardware quanto em software
Assimétrica:
Algoritmo assimétrico:
Algoritmos:
Encriptação/decriptação:
O emissor encripta uma mensagem com a chave pública do destinatário
Assinatura digital:
O emissor “assina” uma mensagem com sua chave privada
Assinatura é feita por um algoritmo criptográfico (Hash) aplicado à mensagem
Troca de chave:
2 lados cooperam para trocar uma chave de sessão
Várias técnicas diferentes são possíveis, envolvendo chave privada de uma ou de ambas as partes
Difusão:
Cada dígito do texto claro afete o valor de muitos do texto cifrado
Ingrediente básico para qualquer sistema criptográfico
Impedir criptoanálise baseada em estatística
Confusão:
Relação entre estatísticas do texto cifrado e valor da chave de encriptação o mais complexo possível
Ingrediente básico para qualquer sistema criptográfico
Impedir criptoanálise baseada em estatística
Certificado digital:
Qualquer participante pode ler um certificado para determinar o nome e a chave pública do proprietário do certificado
Qualquer participante pode verificar se o certificado foi originado pela autoridade certificadora, e não é uma falsificação
Somente a autoridade certificadora pode criar e atualizar certificados
Qualquer participante pode verificar se o certificado está atualizado
X.509:
Padrão de certificado amplamente utilizado
Define o formato dos certificados de chave pública
Internet:
Preocupação e problemas com segurança
Dados circulando por vários equipamentos e redes
Falta de controle
Hackers:
Fama
Status
Curiosidade
Desafio
Crackers:
Dinheiro
Espionagem
Política
Segurança da informação:
Garantia de segurança:
* Verificar e Administrar → Auditoria → Risco → Definição de Política → Implementação → *
Representa proteção de dados e infos
Objetivo é preservar valores de empresas e pessoas
3 pilares:
Confidencialidade: Restringe o acesso à informação apenas às entidades autorizadas, impedindo a interpretação por não autorizados, mesmo que o dado seja visível.
Medida de proteção: Criptografia.
Disponibilidade: Garante que a informação esteja sempre disponível para os usuários autorizados pelo proprietário.
Medida de proteção: Backup \ Hot site.
Integridade: Garante que a informação mantenha suas características originais, controlando mudanças e preservando seu ciclo de vida (corrente, intermediária e permanente).
Medida de proteção: Uso de hash
2 pilares extras:
Autenticidade: propriedade que garante que as informações sejam provenientes de uma fonte confiável.
Medida de proteção: JWT / Certificado digital
Irretratabilidade/não repúdio: propriedade que garante tanto o emissor e destinatário não podem negar.
Medida de proteção: Certificado digital.
Falhas de segurança da informação:
Interceptação
Vazamento de informações ou roubo de senhas → cópia de arquivos ou dados
Quebra da confidencialidade → cifra de dados e mecanismos de criptografia
Interrupção
Não é possível estabelecer comunicação com destino
Quebra da disponibilidade → Hot Site ou backup do serviço
Modificação
Intercepta modifica e envia novamente → modifica valores / pagamentos
Quebra da confidencialidade e integridade → mecanismos de criptografia
Fabricação
Uma parte não autorizada envia ou insere alguma informação → gera um pagamento falso
Quebra da autenticidade → mecanismos de criptografia e certificado digital
Criptografia:
Auxiliar para garantir:
Integridade
Autenticidade
Não repúdio
Confidencialidade
Tipos:
Simétricos:
Mesma chave para abrir e fechar
Assimétricos:
1 chave pública e 1 privada
Fecha com uma (pública - livremente divulgada) e abre com a outra (privada - mantida em segredo)
Segurança criptografia:
Criptoanálise:
Arte de tentar descobrir o texto cifrado e/ou a lógica utilizada
Não significa descobrir o significado das mensagens
Foco em achar uma vulnerabilidade para explorar depois
Pontos importantes para o gerenciamento da segurança:
Vulnerabilidade
Ameaça
Risco
Exposição
Agente cria ameaça para explorar vulnerabilidade gerando risco de danificar um ativo gerando exposição
ISO série 2700:
27001:
Requisitos para a organização estruturar um sistema de gestão de segurança da informação
Deve aplicar processo de diretriz com objetivo de mitigar e gerir adequadamente o risco
No mínimo:
Critérios de aceitação
Critérios de desempenho das avaliações dos riscos
Analise critica para manter os sistemas de gestão da segurança da informação
Critérios de melhoria continua
27002:
Gestão e operação da Segurança da Informação
Referência para as empresas implantarem os sistemas de gestão
Código de prática para segurança da informação:
Compreender os requisitos de segurança da informação da organização
Implementar e operar controles para gerenciar os riscos
Monitorar e revisar o desempenho e a eficácia
Melhoria contínua baseada em medições objetivas
27005:
Diretrizes para o processo de Gestão de Riscos de Segurança da Informação
LGPD:
Lei Geral de Proteção de Dados Pessoais
Princípios:
Política de Segurança da Informação (PSI):
Estrutura básica documento PSI:
Objetivos:
Objetivo do documento
O que se quer comunicar
Escopo:
Indicação de ambientes físicos e lógicos
Tipos de usuários
Pra quem se aplica
Definições:
Siglas
Termos técnicos
Abreviaturas
Termos específicos
Regras:
Regras da organização
Responsabilidades:
Quem é responsável pelo documentos, treinamentos e ações para aplicação dos acordos
Cumprimento:
Penalidades para o não cumprimento
Gestão de risco:
Identificar perdas e impactos causados pelo comprometimento ou roubo das informações
Gestão de risco → tem como propósito identificar, analisar e atuar para a redução do risco
Risco → Probabilidade de uma ameaça explorar uma vulnerabilidade
Processo de análise de risco:
Identificar as ameaças
Estimar probabilidades
Classificar a importância das operações
Estimar custo x benefício na condução da redução do risco
Documentar resultados e plano de ação
Tentativa de acesso a um recurso sem autorização
Intrusão:
3 etapas:
Conhecer: coletar informações do alvo, endereços de e-mails, identificação de pessoas, etc
Analisar: extração de informações, como varredura e identificação de IP, serviços, sistema operacional, versões de serviços etc.
Explorar: tentativa de ganhar acesso ao alvo, como utilizar exploits, realizar ataques para quebras de senhas, engenharia social etc
Tipos de reconhecimento:
Legal: Google, Footprint, visitações, conversar com equipe, etc
Questionável: escaneamento passivo em portas, ler nomes em correspondência, ler papeis no lixo antes de descartar, etc
Ilegal: farejadores, keylogger, interceptar pacotes, etc
Ferramentas:
Análise e exploração:
nslookup
ping
dig
Port scanners: varrem o endereço alvo e identificam portas acessíveis (TCP / UDP).
Scanner de vulnerabilidade: encontrar falhas utilizando critérios para qualificar e quantificar seu impacto
Engenharia social:
Ato de fraude por parte de quem ataca
Enganar indivíduos de boa-fé
Tipicamente antiético
As vezes é usada por hackers éticos
Ataques:
Técnicas:
ARP spoofing:
Falsificar o ARP na LAN
Ligar o endereço MAC com o endereço IP de outro hospedeiro
MAC Flooding:
Comprometer a segurança da rede de switches
Quando sobrecarrega → passa a funcionar como Hub
Gera lentidão
DDoS:
Distributed Denial of Service
Sobrecarregar a vítima
Impede respostas a possíveis requisições legitimas
Defesa:
Ferramentas:
Firewall:
Hardware ou software
Controlar e restringir o trafego entre as redes as quais ele está conectado
Controle nas E/S através de filtros de pacotes
Só atua no trafego que passe por ela
Conhecer bem a rede para definir regras
Filtro de pacote:
Camada de rede e de transporte
Analisando só os cabeçalhos
Base em ACL
Tipos:
Não é proibido então pode (lista negra)
Não é permitido então proibido (lista branca)
Proxy:
Camada de rede, transporte e aplicação
Analisa cabeçalho e conteúdos
Tipos:
Stateful:
Rastreia o estado operacional e características
Web Application Firewall:
Protege a aplicação
Evita Cross-site Scripting (XSS) e SQL Injection
Sistema de detecção de invasão (IDS):
Equipamento ou aplicação
Monitora a rede procurando atividades maliciosas ou violações de policies
Age passivamente
Reporta pro ADM ou coleta por um management de eventos de segurança
Métodos:
Signature-based: busca de padrões específicos, como sequências de bytes
Anomaly-based: detectar ataques desconhecidos, com o rápido crescimento de malwares.
Network IDS (NIDS):
Variação do IDS
Sistema de Rede de Detecção de Intrusão
Analisa o fluxo de dados na rede buscando padrões suspeitos
Host IDS (HIDS):
Variação do IDS
Sistema Hospedeiro de Detecção de Intrusão
Examina ações dos hospedeiros (arquivos que são acessados, aplicativos utilizados, ou informações de logs)
Poucos falsos positivos
Sistema de prevenção de invasão (IPS):
Mesmas checagens do IDS
Age ativamente
Quando detecta, faz uma das seguintes:
Termina a sessão TCP
Bloqueia o IP
Conta quem estava acessando a aplicação
Reprograma o firewall para prevenir ataques futuros
Honeypots:
Iscas digitais para atrair ataques
Honeynets:
Redes inteiras criadas como armadilhas
Rede DMZ:
Garantia da confidencialidade:
Esteganografia:
Esconder a existência de uma mensagem dentro de outra
Técnica simples de camuflagem
Criptografia:
Oculta o significado da mensagem
Tipos:
Simétrica:
Mais rápida
Indicada para grandes volumes
Algoritmos:
DES:
Chave 56 bits
Quebrado em 1977
Obsoleto desde 2004
3DES:
DES cifrado 3 vezes
168 bits
Muito lento
AES:
Mais utilizado atualmente
Bloco fixo de 128 bits
Chave de 128, 192 ou 256 bits
Padrão do governo americano em 1997
Implementação tanto em hardware quanto em software
Assimétrica:
Algoritmo assimétrico:
Algoritmos:
Encriptação/decriptação:
O emissor encripta uma mensagem com a chave pública do destinatário
Assinatura digital:
O emissor “assina” uma mensagem com sua chave privada
Assinatura é feita por um algoritmo criptográfico (Hash) aplicado à mensagem
Troca de chave:
2 lados cooperam para trocar uma chave de sessão
Várias técnicas diferentes são possíveis, envolvendo chave privada de uma ou de ambas as partes
Difusão:
Cada dígito do texto claro afete o valor de muitos do texto cifrado
Ingrediente básico para qualquer sistema criptográfico
Impedir criptoanálise baseada em estatística
Confusão:
Relação entre estatísticas do texto cifrado e valor da chave de encriptação o mais complexo possível
Ingrediente básico para qualquer sistema criptográfico
Impedir criptoanálise baseada em estatística
Certificado digital:
Qualquer participante pode ler um certificado para determinar o nome e a chave pública do proprietário do certificado
Qualquer participante pode verificar se o certificado foi originado pela autoridade certificadora, e não é uma falsificação
Somente a autoridade certificadora pode criar e atualizar certificados
Qualquer participante pode verificar se o certificado está atualizado
X.509:
Padrão de certificado amplamente utilizado
Define o formato dos certificados de chave pública