Anteprojeto - TC-online - Feevale
Anteprojeto - TC-online - Feevale
Anteprojeto - TC-online - Feevale
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CENTRO UNIVERSITÁRIO FEEVALE<br />
INSTITUTO DE CIÊNCIAS EXATAS E TECNOLÓGICAS<br />
CURSO DE CIÊNCIA DA COMPUTAÇÃO<br />
Sugestão de política de segurança da informação para redes<br />
corporativas<br />
por<br />
CÉSAR ADRIANO BAUER<br />
cesar_bauer@brturbo.com.br<br />
Marcelo Iserhardt Ritzel<br />
ritzel@feevale.br<br />
Novo Hamburgo, março 2006
2<br />
Sumário<br />
Dados de Identificação ..........................................................................................................3<br />
Resumo .................................................................................................................................4<br />
Motivação .............................................................................................................................5<br />
Objetivos ...............................................................................................................................8<br />
Metodologia .................................................................................................................... ....9<br />
Cronograma .........................................................................................................................10<br />
Bibliografia .........................................................................................................................11
3<br />
Dados de Identificação<br />
Área de Estudo: Segurança em TI<br />
Título provisório do trabalho: Sugestão de política de segurança da informação para<br />
redes corporativas<br />
Orientador(a): Marcelo Iserhardt Ritzel<br />
Identificação do aluno:<br />
Nome: Cesar Adriano Bauer<br />
Telefones:<br />
Celular: 840-71454<br />
Residencial: 3587-3016<br />
Comercial:<br />
E-mail: cesar_bauer@brturbo.com.br
4<br />
Resumo<br />
A cada dia aumenta a quantidade de incidentes relacionados com a<br />
segurança dos sistemas de informação, o que compromete as empresas atingidas,<br />
especialmente em uma época em que a informação é o bem mais precioso. Muitos<br />
trabalhos já foram feitos no campo acadêmico e profissional para preservar o sigilo<br />
das informações, porém muito ainda ha por fazer.<br />
O trabalho esta inserido no campo da tecnologia da informação, mais<br />
especificamente em segurança e vai abordar assuntos como controle de acesso,<br />
tratamento de incidentes, procedimentos de segurança, analise de riscos, entre<br />
outros. Além dos riscos diretos às informações como vírus, trojans, backdoors,<br />
ataques de hackes e as formas de combatê-los ou minimizar a extensão de seus<br />
danos.<br />
Este trabalho tem por objetivo a criação de um conjunto de regras e<br />
procedimentos utilizando recursos de TI (Tecnologia da Informação) para segurança<br />
de redes corporativas. Estas serão baseadas em políticas sugeridas por empresas<br />
e material de segurança encontrado na Internet atendendo à normas internacionais<br />
como a ISO017799 e BS017799. Será também realizada a implantação dessas<br />
política em uma empresa para testar sua eficácia e aperfeiçoá-la.
5<br />
Motivação<br />
A segurança das empresas, principalmente com relação ao sigilo dos dados<br />
nunca foram tão ameaçados quanto nas ultimas décadas. E com a Internet reunindo<br />
cada vez maior porcentagem dos negócios das empresas e a crescente<br />
automatização dos processos produtivos através do uso de computadores, medidas<br />
para preservar esse sigilo e integridade se fazem necessárias.<br />
Segundo ALASI (2005), um estudo realizado pela Universidade do Texas,<br />
apenas 6% das empresas que sofrem um desastre informático sobrevivem.<br />
Pesquisas do Gartner Group, ainda que mais moderadas, confirmam essa tendência<br />
ao indicar que duas de cada cinco empresas que enfrentam ataques ou danos em<br />
seus sistemas deixam de existir.<br />
De forma a exemplificar, recentemente foi publicada uma notícia 1 sobre um<br />
vírus desenvolvido para lançar ataques em massa e a forma de se prevenir contra<br />
ele a fim de evitar conseqüências indesejadas. Trata-se de um vírus do tipo worm<br />
que se propaga com os nomes LoveSan, Blaster ou MSBlaster e se aproveita de<br />
uma falha na segurança do Windows® 2000 e do Windows® XP, mais<br />
especificamente no software que permite compartilhar arquivos com outras<br />
máquinas. Sua finalidade é reunir computadores para realizar um ataque hacker<br />
contra um site da Microsoft.<br />
O vírus Blaster não tem muito em comum com as pragas informáticas<br />
tradicionais: não se propaga pelos meios habituais, apenas circula pela Internet em<br />
busca de máquinas nas quais possa realizar seu ataque. Esse é um exemplo claro<br />
de como uma vulnerabilidade do Windows pode ser aproveitada por pessoas mal<br />
intencionadas. Essa vulnerabilidade, denominada RPC DCOM, consiste em um<br />
desdobramento do buffer na interface RPC e foi qualificada como "crítica" pela<br />
própria Microsoft. Ela afeta as versões NT 4.0, 2000, XP e Windows Server 2003.<br />
Em linhas gerais, trata-se de um problema de segurança que permitiria<br />
controlar todos os computadores de forma remota.<br />
Em outra situação, segundo a HISPASEC (2000), dados de mais de 5.000<br />
pacientes foram copiados dos sistemas do Washington Medical Center, o maior<br />
1 Noticia publicada em http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35
6<br />
hospital universitário de Seattle. O intruso, apelidado de "Kane", aproveitou algumas<br />
vulnerabilidades no servidor do departamento de patologia do hospital para realizar<br />
sua primeira incursão. Uma vez dentro desse servidor, instalou "sniffers" para<br />
monitorar o tráfego da rede e conseguir, assim, os nomes dos usuários e as senhas<br />
do pessoal do hospital. Graças a essas credenciais, teve acesso a milhares de<br />
fichas dos departamentos de cardiologia e reabilitação.<br />
Segundo fontes do próprio hospital, começou a haver suspeitas da invasão<br />
no verão passado, mas não se sabia ao certo o alcance real do incidente. O<br />
anúncio de "Kane" colocado em alguns fóruns de segurança, entre eles o<br />
SecurityFocus, e o envio de algumas fichas confidenciais como prova do ocorrido<br />
acabaram alertando os responsáveis pelo hospital, que denunciaram o fato ao FBI.<br />
O hospital tenta minimizar o fato, argumentando que só os dados<br />
administrativos e as pesquisas ficaram expostos, e não o histórico clínico dos<br />
pacientes. Nos fóruns de segurança, falava-se da ética hacker e que a única<br />
intenção de "Kane" era alertar sobre as vulnerabilidades descobertas e que ele não<br />
pretendia, de forma alguma, danificar o sistema ou se aproveitar da informação<br />
obtida. Por último, o FBI tenta encontrar a origem da invasão, que os primeiros<br />
indícios apontam para a Europa.<br />
Estes e outros casos similares acontecem todos os dias, não apenas contra<br />
grandes empresas, mas também usuários domésticos. A finalidade deste trabalho é<br />
minimizar os riscos de situações como essas acontecerem, identificando os riscos<br />
aos quais a empresa está exposta e fornecendo os instrumentos que ela precisa<br />
para se proteger.<br />
A idéia deste trabalho é criar um conjunto de regras e procedimentos de<br />
segurança, utilizando de proteção diferenciadas de acordo com a importância dos<br />
ativos. Esse conjunto de regras deve poder ser usado por uma grande variedade de<br />
empresas, usando recursos de hardware e software disponíveis, instrumentalizando<br />
quando necessário com antivírus, monitores de rede, firewall, etc. Preferencialmente<br />
gratuitos ou de baixo custo.
7<br />
Objetivos<br />
Este trabalho tem como objetivo o desenvolvimento de uma política de<br />
segurança para sistemas de informações, propondo uma metodologia de aplicação<br />
e testes, com atenção especial para o correio eletrônico. Além disso será realizada<br />
uma auditoria em uma empresa a partir da metodologia proposta pelo autor com<br />
vistas a avaliação de sua eficácia.<br />
Ainda terá como objetivos especificos:<br />
➔ estudar e avaliar os riscos de vírus e outros para a segurança dos<br />
servidores;<br />
➔ sugerir mudanças nos servidores para minimizar danos em caso de<br />
contágio e/ou invasão;<br />
➔ planejar a gestão de segurança dos dados nos servidores de rede;<br />
➔ planejar uma proposta de contingências, como proceder em casos de<br />
ataques de vírus ou hakers.
8<br />
Metodologia<br />
A metodologia para este trabalho será a da pesquisa teórica/prática baseada<br />
nos estudos desenvolvidos pelos principais autores relacionados ao tema de<br />
pesquisa. As seguintes tarefas serão desenvolvidas:<br />
1) Revisão teórica sobre sistemas de informação;<br />
2) Revisão teórica sobre vulnerabilidades;<br />
3) Revisão teórica sobre políticas internacionais de segurança como a<br />
ISO17799;<br />
4) Revisão teórica sobre riscos e ameaças: ataques mais comuns, vírus, etc;<br />
5) Revisão teórica sobre tecnologias de segurança de TI;<br />
6) Definição de ativos 2 ;<br />
7) Elaboração de estrutura de uma proposta preliminar de política de<br />
segurança;<br />
8) Elaboração <strong>TC</strong> 1;<br />
9) Elaboração de um conjunto de regras e procedimentos de segurança;<br />
10)Elaboração de uma metodologia para teste de segurança;<br />
11)Realização de uma auditoria com base no modelo proposto na empresa<br />
teste;<br />
12)Realização de nova auditoria após a implantação da política de segurança;<br />
13)Elaboração de um check-list de tarefas e planos de contingência;<br />
14)Elaboração <strong>TC</strong> 2.<br />
O <strong>TC</strong>1 compreenderá o estado da arte de toda a parte teórica necessária ao<br />
desenvolvimento do projeto até a definição de estrutura de uma proposta preliminar<br />
de política de segurança.<br />
O <strong>TC</strong>2 será construído a partir dos resultados obtidos do estudo de caso<br />
desenvolvido na empresa teste, auxiliando a definição de uma política de segurança<br />
e metodologia de auditoria de forma mais detalhada. Será avaliada a eficácia da<br />
nova proposta a partir de testes da sua implementação na empresa teste.<br />
2 Um ativo é todo elemento que compõe o processo da comunicação, partindo da informação, seu emissor, o<br />
meio pelo qual ela é transmitida, até chegar a seu receptor.
9<br />
Cronograma<br />
Atividade mar abr mai jun jul ago set out nov dez<br />
Revisão teórica sobre<br />
sistemas de informação<br />
Revisão teórica sobre<br />
vulnerabilidades<br />
Revisão teórica sobre riscos<br />
e ameaças: ataques mais<br />
comuns, vírus, etc<br />
Revisão teórica sobre<br />
tecnologias de segurança de<br />
TI<br />
Definição de ativos<br />
Revisão teórica sobre a<br />
políticas internacionais de<br />
segurança como ISO17799<br />
Elaboração de estrutura de<br />
uma proposta preliminar de<br />
política de segurança<br />
Elaboração <strong>TC</strong> 1<br />
Elaboração de um conjunto<br />
de regras e procedimentos<br />
de segurança<br />
Elaboração de uma<br />
metodologia para teste de<br />
segurança<br />
Realização de uma auditoria<br />
com base no modelo<br />
proposto na empresa teste<br />
Realização de nova auditoria<br />
após a implantação da<br />
política de segurança<br />
Elaboração de um check-list<br />
de tarefas e planos de<br />
contingência<br />
Elaboração <strong>TC</strong> 2
10<br />
Bibliografia<br />
HISPASEC (2000) - Invasão nos sistemas de um hospital disponível em<br />
http://www.hispasec.com/unaaldia/784 acesso em 12 de março de 2006.<br />
§<br />
ALASI(2005) - Academia latino americana de segurança da Informação, modulo<br />
1-8 disponíveis em http\\www.tecnet.com.br\academia\ acesso em 12 de março de<br />
2006.<br />
Ulbrich e Della Valle (2003) Ulbrich, Henrique Cesar e Della Valle, James.<br />
Universidade Hacker, 2º ed. São Paulo: Digerati, 2003. 348p.<br />
Aker (2006) – Aker Security Solutions – disponivel em<br />
http://www.aker.com.br/index.php acesso em 12 de março de 2006.<br />
Scua (2006) – Scua Segurança da informação – disponivel em<br />
http://www.scua.com.br/ acesso em 12 de março de 2006.<br />
Axur (2006) – Axur Information Security – disponivel em http://www.axur.com.br<br />
acesso em 12 de março de 2006.<br />
ITI (2006) - O Instituto Nacional de Tecnologia da Informação - disponivel em<br />
http://www.iti.gov.br/ acesso em 12 de março de 2006.<br />
Modulo (2006) – Modulo security – disponivel em http://www.modulo.com.br acesso<br />
em 12 de março de 2006.<br />
E-trust – E-Trust disponivel em http://www.e-trust.com.br/ acesso em 12 de março<br />
de 2006.
11<br />
PS (2006) – PS Engenharia de produção disponivel em<br />
http://www.contingencia.com.br/ acesso em 12 de março de 2006.<br />
Cert-br(2006) – CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes<br />
de Segurança no Brasil - disponivel em http://www.cert.br/ acesso em 12 de março<br />
de 2006.<br />
CAIS (2006) - Centro de Atendimento a Incidentes de Segurança – disponivel em<br />
http://www.rnp.br/cais/ acesso em 12 de março de 2006.<br />
Mcafee (2006) – Mcafee antivírus – disponivel em http://www.mcafee.com.br/<br />
acesso em 12 de março de 2006.<br />
Symantec (2006) – disponivel em http://www.symantec.com.br/ acesso em 12 de<br />
março de 2006.<br />
Abranet (2006) - Associação Brasileira dos Provedores de Acesso, Serviços e<br />
Informações da Rede Internet - disponivel em http://www.abranet.org.br/ acesso em<br />
12 de março de 2006.<br />
Ferreira (2006) - Ferreira, Fernando Nicolau Freitas; Araújo Marcio, Tadeu de.<br />
Políticas de segurança da informação Rio de Janeiro: Ciência Moderna, 2006. 178p.