primeiros passos ...
- segurança constitui um dos maiores interesses do homem durante a sua
história
- no campo computacional não é diferente: desde o surgimento do primeiro
computador eletrônico existiu a preocupação com segurança
- segurança implica em custos
- custos são indesejados :(
- paradoxo da segurança: busca-se algo que não é desejado (principal
razão para o descaso e despreparo em relação à segurança)
- regra geral da segurança: relação custo&benefício
alguns questionamentos ...
Por que a preocupação com segurança? Ameaças
- as ameaças podem causar problemas de segurança
- as ameaças são reais!!!
- exemplos de ameaças:
- destruição/roubo/deturpação/modificação de informações
- interrupção de serviços
- vírus
- divulgação de senhas
- acessos indevidos
- falhas na segurança física
- hackers
- maior causa: evolução das redes de computadores.
De que maneira a segurança é ameaçada? Ataques
- os ataques têm se tornado mais sofisticados e perigosos
- os sistemas são invadidos porque possuem vulnerabilidades (fraquezas)
- origem das vulnerabilidades:
- deficiências de projeto
- deficiências de implementação
- deficiências de gerenciamento
- exemplos de vulnerabilidades:
- instalação física: má proteção de equipamentos e mídia
- hardware e software: bugs no projeto do software
- mídia: desgaste de discos e fitas
- rede: acesso remoto, compartilhamento, canal de comunicação
- humana: desleixo, preguiça, pouca formação
- os ataques consistem em técnicas específicas usadas para explorar uma
vulnerabilidade do sistema
- exemplos de ataques:
- vírus
- vermes (worms)
- engenharia social
- quebra de senhas
- interrupção de serviço (DoS - Denial of Service)
- SPAM - junk mail
- mais exemplos...
Quem ameaça a segurança (bandidos)? Atacantes
- existem várias categorias de atacantes, desde os amadores até os
profissionais
- os atacantes (invasores) exploram as vulnerabilidades de um sistema
através de um ataque específico
- tipos de atacantes:
- hacker/cracker
- espião
- terrorista
- script kid, one click hacker
- atacante corporativo
- vândalo
- o conhecimento necessário para invadir os sistemas é cada vez menor haja
vista as facilidades existentes (ferramentas hackers)
Quem combate os ataques garantindo a segurança
(mocinhos/xerifes)? usuários, administradores, polícia
- segurança é compromisso dos usuários do sistema, mas, principalmente do
administrador
- as questões legais em torno de segurança ainda são obscuras na maioria
dos países, mas, já há casos de prisões por crimes computacionais
Qual o objetivo da segurança? requisitos de segurança
- um sistema seguro deve atender a determinados requisitos...
- requisitos de segurança:
- confiabilidade - proteção contra acessos não autorizados (privacidade)
- disponibilidade - garantias quanto ao acesso por parte de usuários
autorizados
- não repúdio - capacidade de impedir que seja negada a autoria ou
ocorrência de um envio ou recepção de informação
- autenticidade - capacidade de distinguir, determinar e validar a
identidade de usuários/entidades
- integridade - proteção contra alterações não
autorizadas/imprevistas/acidentais
O que queremos proteger? informação, hardware,
software, comunicação
| sistema computacional: hardware + software +
informação |
| sistema computacional em rede: sistema computacional
+ comunicação |
- informação
- hardware
- software
- comunicação
Como prover segurança nos sistemas computacionais?
mecanismos e serviços
- os serviços de segurança constituem contra-medidas para proteger o
sistema de ataques ou para fechar/compensar vulnerabilidades.
- os serviços implementam mecanismos específicos
- exemplos de mecanismos:
- fatores que influenciam no sucesso dos mecanismos de segurança:
- consciência sobre o problema de segurança no sistema.
- escolha dos mecanismos adequados
- uso efetivo dos mecanismos adotados
- sobreposição de mecanismos
- revisões periódicas
Existe uma solução de segurança padrão? não,
relação custo&benefício
- o nível de segurança a ser implementado num sistema deve ser compatível
com o valor da informação agregada a este sistema, valor de patrimônio...
- deve sempre prevalecer a relação custo&benefício
- de preferência, queremos soluções com custo zero (pelo menos,
financeiros :) )
Como escolher a melhor solução de segurança?
planejamento de segurança
- implementar segurança num sistema requer planejamento
- um planejamento de segurança envolve três etapas:
- análise de riscos: identificar e atribuir valores aos bens, identificar
vulnerabilidades, identificar ameaças e suas probabilidades, definir
políticas/procedimentos de segurança (considerar relação
custo&benefício na escolha dos mecanismos de segurança)
- política de segurança: conjunto de regras e posturas que norteiam a
implementação de segurança (o quê? por quê?)
- procedimentos de segurança: conjunto de ações que concretizam a
política de segurança estabelecida (quem? quando? como?)
©2002 - Lívia Maria R. Sampaio - livia@dsc.ufpb.br
