KLS K L S S E G U R A N Ç A D A I N F O R M A Segurança da Ç Ã O E D informação e E R E D E S de redes Segurança da informação e de redes Emílio Tissato Nakamura © 2016 por Editora e Distribuidora Educacional S.A. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização, por escrito, da Editora e Distribuidora Educacional S.A. Presidente Rodrigo Galindo Vice-Presidente Acadêmico de Graduação Mário Ghio Júnior Conselho Acadêmico Dieter S. S. Paiva Camila Cardoso Rotella Emanuel Santana Alberto S. Santana Lidiane Cristina Vivaldini Olo Cristiane Lisandra Danna Danielly Nunes Andrade Noé Ana Lucia Jankovic Barduchi Grasiele Aparecida Lourenço Paulo Heraldo Costa do Valle Thatiane Cristina dos Santos de Carvalho Ribeiro Revisor Técnico Ruy Flávio de Oliveira Editoração Emanuel Santana Lidiane Cristina Vivaldini Olo Cristiane Lisandra Danna André Augusto de Andrade Ramos Erick Silva Griep Adilson Braga Fontes Diogo Ribeiro Garcia eGTB Editora Dados Internacionais de Catalogação na Publicação (CIP) Nakamura, Emílio Tissato N163s Segurança da informação e de redes / Emílio Tissato Nakamura. – Londrina: Editora e Distribuidora Educacional S.A., 2016. 224 p. ISBN 978-85-8482-594-3 1. Sistema de informação – Medidas de segurança. I. Título. CDD 658.472 2016 Editora e Distribuidora Educacional S.A. Avenida Paris, 675 – Parque Residencial João Piza CEP: 86041-100 — Londrina — PR e-mail: [email protected] Homepage: http://www.kroton.com.br/ Sumário Unidade 1 | Fundamentos de segurança da informação 7 Seção 1.1 - Parâmetros de informação e segurança da informação 9 Seção 1.2 - Amplitude de proteção de informação 19 Seção 1.3 - Mecanismos de defesa 31 Seção 1.4 - Mapeamento de risco 43 Unidade 2 | Segurança de redes de computadores 59 Seção 2.1 - Identificação de vulnerabilidade em redes de computadores 63 Seção 2.2 - Ameaças à rede 77 Seção 2.3 - Ferramentas de segurança I 91 Seção 2.4 - Ferramentas de segurança II 103 Unidade 3 | Criptografia 117 Seção 3.1 - Evolução em segurança da informação: criptografia 119 Seção 3.2 - Técnica de criptografia 129 Seção 3.3 - Soluções de chave pública 141 Seção 3.4 - Aplicações de criptografia 153 Unidade 4 | Processos e políticas de segurança 169 Seção 4.1 - Identificação de fatores de risco 171 Seção 4.2 - Definição de políticas de segurança da informação 183 Seção 4.3 - Normas de segurança 195 Seção 4.4 - Tendências e futuro em segurança da informação 207 Palavras do autor Olá! Seja bem-vindo ao fascinante mundo da segurança da informação e de redes! Este é um universo em constante evolução, em que qualquer nova tecnologia, novo produto ou novo serviço traz consigo as implicações de segurança, que, por sua vez, refletem diretamente nas empresas e na vida de todos. Nesta disciplina, você irá conhecer e compreender os princípios de segurança da informação e de redes de computadores que envolvem o entendimento de todas as nuances para que você possa avaliar, definir, implementar e manter a melhor proteção para o seu ambiente corporativo. O universo da segurança da informação é repleto de casos reais que muitas vezes viram notícia. São ataques cibernéticos contra empresas, governos e países, com as mais variadas motivações, que vão desde uma simples diversão até o uso de ferramentas de ataque como arma de guerra. Nos últimos tempos, há ainda a forte atuação do crime organizado, visando a lucros financeiros com a exploração de vulnerabilidades em sistemas e o uso de códigos maliciosos direcionados, aumentando assim os desafios dos profissionais de segurança da informação. No autoestudo, você irá entender diferentes casos reais, refletir sobre eles e analisá- los, fazendo ligações com os importantes conceitos básicos de segurança da informação. Esse passo é imprescindível para a sua formação. Nesta disciplina, o foco está nos fundamentos de segurança da informação, na segurança de redes de computadores, na criptografia e nos processos e na política de segurança, que formam as quatro unidades de ensino da disciplina. O início de tudo está nos fundamentos, com as discussões sobre o que você deve proteger e as principais razões para tal, que você irá conhecer na Unidade 1. A segurança de redes é preciso ser entendida, principalmente, por vivermos em um mundo totalmente conectado, e iremos discutir esse assunto na Unidade 2. Como a criptografia é um dos principais controles de segurança, há vários algoritmos para diferentes necessidades de proteção, o que será visto na Unidade 3. Para completar a disciplina, na Unidade 4, você terá uma visão sobre a parte da segurança da informação que complementa a parte técnica, que é formada por processos, normas e políticas. As tendências da área também serão discutidas, reforçando o caráter evolutivo da segurança da informação. Vamos então mergulhar juntos no oceano da segurança da informação, que possui ligação com praticamente tudo o que você faz: usando seu smartphone, acessando o Internet Banking, fazendo compras on-line ou fazendo pagamentos com seu cartão de crédito. Você, como usuário, consumidor e cidadão, deve exigir segurança de produtos e serviços. E, nesta disciplina, terá a visão do profissional das empresas que proveem a segurança de seus produtos e serviços. Bons estudos! Unidade 1 Fundamentos de segurança da informação Convite ao estudo Olá, Nós iremos, a partir de agora, entrar no fascinante mundo da segurança da informação e de redes. No mundo atual, em que tudo gira em torno da informação, entender o que está relacionado à sua segurança e aos principais métodos e tecnologias de proteção é fundamental para o sucesso de qualquer empresa, de qualquer natureza. O avanço dos ataques cibernéticos, que vitimam indivíduos, empresas e países, é motivado por uma série de fatores que tornam ainda mais desafiador o trabalho do profissional de segurança da informação. O fato de vermos muitas notícias sobre incidentes de segurança em diferentes níveis comprova que os crackers vêm obtendo sucesso nos ataques. Esses incidentes vão desde pichações em websites, até ataques direcionados contra usinas nucleares (caso do Stuxnet), passando por ataques de negação de serviço e fraudes com cartões de créditos. Cada tipo de ataque envolve uma propriedade fundamental da informação que precisamos proteger, e é por ela que começaremos os nossos estudos. O objetivo que temos para esta primeira unidade de ensino da disciplina é consolidarmos conceitos importantes para o entendimento da segurança da informação, antes de nos aventurarmos em segurança de redes de computadores, criptografia e processos e política de segurança. Esta unidade de ensino envolve quatro seções que focam em: • Propriedades de segurança da informação: o que devemos garantir é confidencialidade, integridade e disponibilidade da informação. São essas propriedades que devemos proteger. Outras noções importantes estão envolvidas com conceitos de risco – vulnerabilidade, ameaça, U1 exploit (código utilizado para explorar vulnerabilidades, como será discutido na Seção 1.1). • Elementos a serem protegidos: um incidente de segurança pode ocorrer em qualquer ponto incluído no fluxo da informação. É preciso entender esses elementos ou ativos envolvidos no fluxo da informação para que possamos aplicar as proteções em cada um deles, sejam pessoas, softwares, hardwares ou elementos físicos. • Mecanismos de defesa: podemos proteger ativos de qualquer tipo implementando os controles de segurança, que podem ser físicos, tecnológicos ou processos. • Mapeamento de riscos: um fundamento essencial da segurança da informação é o risco. É entendendo os riscos que podemos aplicar as contramedidas. Mais do que isso, é com o mapeamento de riscos que podemos justificar os investimentos em segurança da informação. A empresa em que você trabalha passa por grandes avanços após receber um aporte financeiro de investidores estrangeiros. Um novo produto está sendo desenvolvido e uma campanha completa de marketing está sendo criada, com o uso de diferentes canais de comunicação. Além disso, a estratégia de precificação do novo produto está considerando um ganho inicial substancial de fatia do mercado. Todo esse trabalho de desenvolvimento abrange equipes diferentes que utilizam sistemas tecnológicos disponibilizados pela equipe de tecnologia da informação – TI. Você faz parte dessa equipe de TI e percebe que toda a movimentação pode ser em vão se houver vazamento sobre o novo produto e sobre a estratégia de vendas. Você começa então a fundamentar seus argumentos para que a empresa tome as providências necessárias para se proteger e garantir o sucesso dessa nova fase no mercado. Qual a relação entre riscos e segurança? E qual a diferença entre uma vulnerabilidade e uma ameaça? Segurança da informação é prevenir a empresa contra ataques, é detectar um ataque em andamento ou é recuperar a empresa após um incidente de segurança? Convido todos a desvendarmos esse mundo incrível que é a segurança da informação a partir de agora. 8 Fundamentos de segurança da informação