As informações abaixo foram extraídas do site:
http://www.gospellife.com.br/CRIPTOGRAFIA.htm
CRIPTOGRAFIA
Criptografia (Do Grego kryptós, "escondido", e gráphein, "escrita") é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da chave secreta), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade.
Nos dias atuais, onde grande parte dos dados é digital, sendo representados por bits, o processo de criptografia é basicamente feito por algoritmos que fazem o embaralhamento dos bits desses dados a partir de uma determinada chave ou par de chaves, dependendo do sistema criptográfico escolhido.
De fato, o estudo da criptografia cobre bem mais do que apenas cifragem e decifragem. É um ramo especializado da teoria da informação com muitas contribuições de outros campos da matemática e do conhecimento, incluindo autores como Maquiavel, Sun Tzu e Karl von Clausewitz. A criptografia moderna é basicamente formada pelo estudo dos algoritmos criptográficos que podem ser implementados em computadores.
O estudo das formas de esconder o significado de uma mensagem usando técnicas de cifragem tem sido acompanhado pelo estudo das formas de conseguir ler a mensagem quando não se é o destinatário; este campo de estudo é hamado criptoanálise.
Criptologia é o campo que engloba a Criptografia e a Criptoanálise.
As pessoas envolvidas neste trabalho, e na criptografia em geral, são chamados criptógrafos, criptólogos ou criptoanalistas, dependendo de suas funções específicas.
Termos relacionados à criptografia são Esteganografia, Código, Criptoanálise e Criptologia.
A Esteganografia é o estudo das técnicas de ocultação de mensagens dentro de outras, diferentemente da Criptografia, que a altera de forma a tornar seu significado original ininteligível. Esteganografia não é considerada parte da Criptologia, apesar de muitas vezes ser estudada em contextos semelhantes e pelos mesmos pesquisadores.
Uma informação não-cifrada que é enviada de uma pessoa (ou organização) para outra é chamada de "texto claro" (plaintext). Cifragem é o processo de conversão de um texto claro para um código cifrado e decifragem é o processo contrário, de recuperar o texto original a partir de um texto cifrado.
Diffie e Hellman revolucionaram os sistemas de criptografia existentes até 1976, a partir do desenvolvimento de um sistema de criptografia de chave pública que foi aperfeiçoado por pesquisadores do MIT e deu origem ao algoritmo RSA.
///////////////////////////////////////////////////
As informações abaixo foram extraídas do site:
http://www.gospellife.com.br/SEG_INF.htm
SEGURANÇA DA INFORMAÇÃO - CONCEITOS BÁSICOS
OBJETIVO
Apresentar aspectos gerais da segurança e legislação da informação.
TÓPICOS
– Segurança
– Informação
– Normas
– Legislação
RESUMO
O mundo da informação é muito eficiente e complexo.
Apesar da eficiência e complexidade o sistema é bastante inseguro.
A preocupação com segurança da informação é primordial. Requer de todos os envolvidos no sistema conhecimentos mínimos e conceitos básicos de segurança da informação.
Existe hoje modelos referenciais gerais básicos para instruir e precaver o ambiente tecnológico. Os órgãos e instituições públicas criam normas especifícas com a finalidade de padronizar o sistema de informação em geral.
Posteriormente e/ou paralelamente a esta fase de normatização, surgiu a elaboração e aplicação de modelos legislativos especifícos aos sistemas de informação, levando em conta conceitos e modelos da segurança da informação.
Histórico e Normas
Desde os primórdios da civilização há uma preocupação com as informações e com os conhecimentos inerentes.
Esta preocupação pode ser observada no processo de escrita de alguns povos. Na antiga civilização egípcia somente as castas "superiores" tinham acesso aos manuscritos da época, e menos pessoas ainda ao processo de escrita dos mesmos.
Assim a escrita, por meio de hierogrifos do Egito antigo, representa uma das várias formas utilizadas pelos antigos de protegerem e, ao mesmo tempo, perpetuarem o seu conhecimento.
Contudo, somente na sociedade moderna, com o advento do surgimento dos primeiros computadores, houve uma maior atenção para a questão da segurança das informações.
De início, esta preocupação era ainda muito rudimentar, porém com o passar do tempo este processo mudou.
A questão da segurança no âmbito dos computadores ganhou força com o surgimento das máquinas de tempo compartilhado (time-sharing), as quais permitiam que mais de uma pessoa, ou usuário, fizesse uso do computador ao mesmo tempo.
O time-sharing permitiu que vários usuários pudessem acessar as mesmas informações, contudo este acesso não gerenciado poderia gerar efeitos indesejáveis. Logo, nasce a necessidade da implementação de ferramentas que minimizem problemas de compartilhamento de recursos e informações de forma insegura.
Em outubro de 1967, nasceu nos Estados Unidos o primeiro esforço para solucionar tal situação. Isto se deu com a criação de uma "força tarefa", que resultou em um documento entitulado "Security Control for Computer System: Report of Defense Science Boad Task Force on computer Security".
Representou o início do processo oficial de criação de um conjunto de regras para segurança de computadores, que mais tarde chegaria ao seu cume com a publicação da uma norma internacional de segurança da informação no ano de 2000.
Porém, este esforço não se deu somente por parte do Departamento de Defesa dos Estados Unidos (United States Department of Defese – DoD), tendo o apoio da Agência Central de Inteligência (Central Inteligency Agency) que iniciou o desenvolvimento do primeiro Sistema Operacional que implementasse as políticas de segurança do DoD, que foi o ADEPT-50.
Em outubro de 1972, J. P. Anderson escreve um relatório técnico denominado: "Computer Security Technologs Planning Study", no qual ele descreve de modo geral os problemas envolvidos no processo de se fornecer os mecanismos necessários para salvaguardar a segurança de computadores.
Este documento, combinado com os materiais produzidos por D.E. Bell e por L. J. La Padula, e denominados "Secure Computer Systems: Mathematical Fundations", "Mathemathical Model" e "Refinament of Mathematical Model", deram origem ao que ficou conhecido como "Doctrine", esta por sua vez seria a base de vários trabalhos posteriores na área de segurança.
Paralelamente o Coronel Roger R. Schell, da Força Aérea americana, que na época trabalhava na Divisão de Sistemas Eletrônicos - EDS (Eletronic System Division - Air Force Systems Command) iniciou o desenvolvimento de várias técnicas e experimentações que levariam ao surgimento do que ficou conhecido como "Security Kernels", que nada mais é do que os componentes principais para o desenvolvimento de um Sistema Operacional "Seguro".
Em 1977, o Departamento de Defesa dos Estados Unidos formulou um plano sistemático para tratar do Problema Clássico de Segurança, o qual daria origem ao "DoD Computer Security Initiative", que, por sua vez, desenvolveria a um "centro" para avaliar o quão seguro eram as soluções disponibilizadas.
A construção do "Centro" gerou a necessidade da criação de um conjunto de regras a serem utilizadas no processo de avaliação. Este conjunto de regras ficaria conhecido informalmente como "The Orange Book", e o Coronel Roger Shell foi o primeiro diretor deste centro.
O processo de escrita do "Orange Book", conhecido oficialmente como "Trusted Computer Evaluation Criteria - DoD 5200.28-STD", teve o seu início ainda no ano de 1978. No mesmo ano, a publicação da primeira versão "Draft", ou rascunho, deste manual, entretanto somente no dia 26 de dezembro de 1985 foi publicada a versão final e atual deste documento.
Graças às operações e ao processo de criação do Centro de Avaliação e do "Orange Book" foi possível a produção de uma larga quantidade de documento técnicos, que representaram o primeiro passo na formação de uma norma coesa e completa sobre a segurança de computadores. A série de documentos originados pelo esforço conjunto dos membros do centro é reconhecida pelo nome de "The Rainbow Serie", cujos documentos continuam sendo atualizados largamente, tais documentos são distribuídos gratuitamente pela internet.
Mesmo que o "Orange Book" seja considerado, atualmente, um documento ultrapassado, podemos considerá-lo como o marco inicial de um processo mundial e contínuo de busca de um conjunto de medidas que permitam a um ambiente computacional ser qualificado como seguro.
Com a classificação realizada pelo "Centro" ficou mais fácil comparar as soluções fornecidas pela indústria, pelo mercado e pelo meio acadêmico de uma forma geral.
Outro fator a ser lembrado é que o "Orange Book", dentro de sua formalidade, permite, de uma maneira simples e coesa, especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de segurança pré-estipulados, permitindo assim que este também seja utilizado como fonte de referência para o desenvolvimento de novas aplicações e para o processo de atualização ou refinamento de aplicações já existentes e em uso.
A existência de uma norma permite o usuário tomar conhecimento do quão protegidas e seguras estarão as suas informações, possibilitando ao mesmo uma ferramenta que irá auxiliar a escolha de uma solução. Do ponto de vista dos profissionais técnicos, eles passarão a possuir uma ferramenta comum de trabalho, evitando assim que cada equipe tenha para si um padrão desconexo das demais equipes, dificultando aos clientes a melhor escolha.
O "The Orange Book" representou o marco "zero", do qual nasceram vários padrões de segurança, cada qual com a sua filosofia e métodos próprios, contudo visando uma padronização mundial.
Houve um esforço para a construção de uma nova norma, mais atual e que não se detivesse somente na questão da segurança de computadores, mas sim na segurança de toda e qualquer forma de informação. Este esforço foi liderado pela "International Organization for Standardization (ISO).
No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799".
Características Pontuais
Dentro da área de segurança da informação lidamos com um conteúdo altamente técnico e conceitual, havendo assim a necessidade do conhecimento de diversas áreas e assuntos para uma compreensão e sucesso profissional aceitável.
Abaixo cita-se pontualmente e concisamente boa parte desse conteúdo, tendo os termos agrupados conforme a correlação dos assuntos, e não em ordem alfabética:
– Ativo:Qualquer coisa que manipule direta ou indiretamente uma informação.
– Vulnerabilidade: Ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.
– Ameaça: Algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade.
– Risco: É medido pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.
Existem algumas maneiras de se classificar o grau de risco no mercado de segurança, mas de uma forma simples, poderíamos tratar como alto, médio e baixo risco.
– Confidencialidade: Não significa informação isolada ou inacessível a todos, mas sim a informação que deve ser acessada a quem lhe é de direito.
– Integridade: Diferente do que pode parecer, o conceito de integridade está ligado ao estado da informação no momento de sua geração e resgate. Ela estará íntegra se em tempo de resgate, estiver fiel ao estado original. A Integridade não se prende ao conteúdo, que pode estar errado, mas a variações e alterações entre o processo de geração e resgate.
– Disponibilidade: Este conceito tem despertado maior interesse depois que os negócios passaram a depender mais da informação para serem geridos. Afinal, de nada adiantará uma completa infra-estrutura tecnológica, com recursos que garantam a integridade e confidencialidade das informações, se quando por preciso acessá-la, a mesma não estiver disponível.
– Autenticidade: Defini-se pela veracidade do emissor e receptor de informações trocadas. Existem algumas tecnologias que permitem identificar os emissores e receptores de forma confiável, mesmo num lugar tão inócuo como o mundo virtual.
– Legalidade: Trata-se do embasamento legal as operações que se utilizam das tecnologias de informática e telecomunicação.
– C.I.D.A.L.: conceito base de segurança da informação, o qual congrega os cinco itens anteriormente citados: confidencialidade, integridade, disponibilidade, autenticidade e legalidade.
– PCN (Plano de Continuidade de Negócios): Uma série de documentos que são elaborados com o propósito de se definir que ações serão tomadas em situações de crise e de emergência. Devem abordar desde a administração de crise, contingência operacional e recuperação à situação normal de funcionamento da empresa dentro do contexto do negócio do qual ela faz parte.
Legislação
A legislação competente à segurança da informação desenvolveu-se tendo como base os textos modelos e padrões normatizadores. Adotou-se as referências de normas já instituidas por Orgãos Oficiais, as quais criam o ambiente pertinente a aplicação da legislação, desta maneira há a possibilidade de adequação mais afinada dos modelos juridicos à realidade do campo virtual.
A Internet trouxe uma novo pensamento, um novo comportamento no cenário mundial. É o que segundo alguns juristas denominam de sociedade da informação, na qual existe reflexão da necessidade da existência de um marco jurídico que permita a livre circulação de bens e serviços, além de garantir a liberdade dos cidadãos.
Na União Européia (UE) várias batalhas estão sendo travadas para se atingir um denominador comum nas políticas de novas tecnologias de informação, a qual só pode ser assegurada por leis que permitam a regulamentação de cada país, a regulamentação entre empresas privadas e públicas e inclusive a regulamentação entre as pessoas físicas. Como a título de exemplo o Conselho da Europa apresentou a última versão de um documento sobre crimes virtuais, trata-se de um inventário com sansões penais e um dispositivo inspirado na legislação francesa.
Existe uma diretiva européia sobre o comércio eletrônico, a qual reconhece a assinatura digital, além da proteção de dados pessoais, está ganhando dimensão internacional num esforço para proteger o indivíduo.
Foi criada uma certificação digital comprovando que o usuário estava realmente praticando determinado ato com sua própria identidade. Trata-se de uma verificação feita em um banco de dados especifíco, com a aplicação da Public Key Infrastructure (PKI). Teve início em 1997 com conferências e iniciativas no comércio eletrônico através da Organization for Economic Co-operation and Development (OECD – Organização para Cooperação e Desenvolvimento Econômico e da General Usage for International Digitally Ensured Commerce (GUIDEC).
A utilização da chave pública obedece aos seguintes padrões internacionais: ISO 9796, ANSI X9.31, ITU-T x509, PACS, SWIFT.
Países que ainda estão criando as normatizações e legislações tendem a exigir tipos específicos de tecnologias para seguirem padrões já existente, desta maneira alcançam uma homogeneidade e compatibilidade com os demais países. Tomando-se tais atititudes, cria-se um ambiente propicio a eliminação de obstáculos para que os certificados sejam reconhecidos em outras nações e as negociações possam ter realmente amparo judicial legal perante o comércio internacional.
De forma geral o mundo está consciente da real importância da elaboração de legislações específicas a tais ambientes e encontram-se tramites de projetos em diversos países, havendo de tal forma uma perspectiva altamente positiva para que num futuro breve tenhamos um sistema legislador especifico e eficiente.
CONCLUSÃO
O tema segurança da informação mostra-se atualmente altamente abrangente, congregando diversas áreas da informática. Alia gestão e planejamento da informação, além de dispositivos sociais e tecnológicos, chegando inclusive ao âmbito da legislação.
Desta forma mostra-se extremamente complexo em um simples artigo conseguir abranger tudo, sendo assim, mostramos alguns tópicos e incitamos o leitor a buscar maiores informações para saciar sua sede de conhecimento neste assunto tão intrigante e interessante como a Segurança da Informação.
///////////////////////////////////////////////////////////////
As informações a seguir foram extraídas do site:
http://galileu.interfocus.com.br/interfocus-2/seguranca.htm
Segurança das Informações em Redes
Introdução
Os processos de transformação de arquiteturas proprietárias em tecnologias abertas tornaram o acesso às informações mais fáceis e mais rápidas, de tal forma que a possibilidade de conhecimento destas informações, por parte do cidadão, em geral, deu um caráter mais democrático e aparentemente permitiria o controle social através desta perspectiva. Apenas um detalhe vem colocar em xeque esta perspectiva. Simultaneamente ao fato da facilidade e rapidez de acesso à informação terem aumentado, proporcionou um aumento exponencial da falta de segurança sobre a informação. Tecnicamente toda uma rede de computadores funciona como elos de uma corrente e a fragilidade da mesma se dá pela possível fragilidade de um único elo mais desprotegido. São necessários diversos procedimentos adicionais que tem como função diminuir as possibilidades de vulnerabilidade que atinjam a integridade e confiabilidade destas informações.
Com a apresentação deste trabalho mostraremos a importância da implantação de políticas para segurança com a grande opção de ferramentas que possam auxiliar na implementação das mesmas. Descreveremos aspectos favoráveis e desfavoráveis que condicionam as redes de computadores no enfoque segurança da informação e ferramentas mais adequadas para as diversas condições de vulnerabilidade.
Informações Seguras
A conexão dos computadores em redes criou inúmeras portas de acesso aos sistemas computacionais, que desta forma ficou fácil encontrar um acesso que esteja desprotegido. Quanto mais se aumenta a complexidade das redes, quanto mais recursos são disponibilizados aos usuários, quanto mais informação é requerida por este usuário, mais difícil se torna garantir a segurança dos sistemas de informação. Este problema é agravado cada vez mais pela pouca relevância dada ao assunto em relação a avassaladora necessidade de novidades despejada nos usuários individuais que transportam as condições de insegurança vividas na computação pessoal para a computação corporativa, quando na realidade o caminho inverso é que deveria ser percorrido, com os usuários de computação doméstica levando consigo todos os procedimentos de segurança adotados nas corporações.
Como as organizações, sejam elas públicas ou privadas, perceberam que se tornaram vulneráveis, tem-se procurado, em alguns casos, recuperar o tempo perdido implementando metodologias e ferramentas de segurança, sendo que o grande dilema desta questão é a criação de um ambiente controlado e confiável, mas que não tire do usuário a agilidade proporcionada pela micro informática nos últimos anos.
A tendência de “esquecimento” dos procedimentos de segurança, até que ocorra algum problema grave, é muito comum nos ambientes denominados “cliente-servidor”. Para tanto se deve adotar políticas de segurança que determinem quais itens devem merecer atenção e com quais custos, sendo que de qualquer maneira vale a premissa: “Um ambiente totalmente seguro depende da aplicação de recursos ilimitados”.
Um diagnóstico simples para o problema pode ser feito observando as ocorrências de vírus. Se os computadores e as redes da organização sofrem de infecções virais, com certeza as informações presentes nesta rede, sejam públicas ou confidenciais estão sujeitas e vulneráveis a vazamentos, alterações indevidas e perdas. Da mesma forma a não existência de vírus garante que estas mesmas informações estão bem protegidas e invulneráveis.
Em geral, sistemas inseguros existem por três motivos: por desconhecimento (na maioria das vezes extremamente conveniente), por negligência ou por uma decisão dos níveis estratégicos das organizações em não adotar a segurança. É preciso conhecer os riscos, saber quais as conseqüências da falta de segurança, identificar os pontos vulneráveis e determinar uma solução adequada para a organização. O primeiro passo para isso é avaliar o valor do bem e/ou recurso a ser protegido e sua importância para a organização, o que ajuda a definir quanto vale a pena gastar com proteção. A análise do problema deve abordar três aspectos fundamentais: confidencialidade, integridade e disponibilidade, sendo que ninguém melhor que o proprietário da informação para determinar esta relevância.
Os conceitos de confidencialidade, integridade e disponibilidade dizem respeito, respectivamente, a quanto da informação deve ser limitada ou restringida, a correção e certeza que a informação é realmente a verdadeira e à possibilidade de utilização da informação no tempo e local requerido pelos usuários.
Alguns conceitos básicos devem ser internalizados para o desenvolvimento de todo um projeto. Um exemplo que ilustra a importância desta conceituação é relatado a seguir: Um advogado de uma grande organização afirma que: “Minha informação não precisa de segurança, pois ela é pública”. A área responsável pela segurança das informações tem o seguinte argumento: “É pública, mas não pode ser alterada indevidamente”. Este diálogo faz com que o usuário perceba que a confidencialidade é apenas um dos aspectos da proteção de dados. Com uma visão mais ampla do problema, usuários que imaginam não ter responsabilidades no quesito segurança das informações passam a ter uma consciência diferente em relação ao tema.
Um projeto de segurança sempre depende das características de cada organização, como seu ramo de negócios, o grau de importância das informações, o grau de dependência da empresa em relação aos seus computadores, dentre outras. As ações práticas podem ir desde a instalação de um sistema simples que solicita senha para utilizar o microcomputador até o uso de equipamentos onde apenas algumas aplicações são executadas e todas as operações são monitoradas.
Os Aspectos Técnicos
Genericamente a segurança da informação deve ter como objetivo proteger as informações, viabilizar as aplicações, principalmente do ponto de vista estratégico, evitando que os níveis estratégicos das organizações deixem de utilizar a informática com o argumento da fragilidade da mesma dando confiança aos usuários.
Do ponto de vista do usuário ele passa pelas fases de rejeição, adesão involuntária, comportamento e multiplicação. Deve ter como enfoque de trabalho a responsabilidade com a informação, o comprometimento da informação com a atividade-fim da organização, a mudança do relacionamento da visão pessoal da informática em relação à visão profissional e o equilíbrio do problema técnico em relação ao comportamental.
As propriedades da segurança são: Caráter estratégico das informações, dependência da informação para o negócio, recursos de informações distribuídos, fragilidade dos ambientes, robustez das aplicações, integração entre ambientes heterogêneos, troca de correspondências eletrônicas e troca de documentos eletrônicos.
Do outro lado da rede temos as defesas e ameaças que exercem influência sobre estes recursos anteriormente citados. Como defesas a estes recursos temos: Política de segurança, controles de acesso, backup, cultura de segurança, legislação, ferramentas, segurança física, normas e padrões, planos de contingência, assinaturas eletrônicas, criptografia, administração de segurança e auditorias. Como ameaças temos da mesma forma: Vírus, erros, fraudes, acidentes, superpoderes, pirataria, vazamento de informações, roubo de senhas, sabotagem, roubo de informações e invasões. Se colocarmos numa balança imaginária de um lado as ameaças e de outro as defesas, poderemos determinar em linhas gerais qual o grau de risco apresentado por determinada organização no quesito segurança das informações.
Política de Segurança
Precedendo a implantação de qualquer ferramenta deve-se cuidar da Política de Segurança em Redes que contenha as seguintes abordagens: Propósito da Política, Conteúdo da Política e Implementação da Política.
Propósito da Política
· Deve apoiar sempre os objetivos da organização e nunca se apoiar em ferramentas e plataformas;
· Deve descrever o programa geral de segurança da rede;
· Deve demonstrar os resultados de sua determinação de risco, com as ameaças que está combatendo e as proteções propostas;
· Deve definir responsabilidades para implementação e manutenção de cada proteção;
· Deve definir normas e padrões comportamentais para usuários, para que o documento seja utilizado como prova se ocorrer alguma violação.
Conteúdo da Política
· Deve relacionar os recursos que se quer proteger e que software são permitidos em quais locais;
· Deve relatar o que acontece quando programas e dados não homologados são detectados no ambiente operacional;
· Deve relacionar quem desenvolveu as orientações, quem aprovou-as, quem detém privilégios e determina autorizações e quem é afetado pelas orientações;
· Deve descrever procedimentos para fornecimento e revogação de privilégios, informação de violação de segurança;
· Deve determinar gerência específica e responsabilidades dos envolvidos no controle e manuseio do ambiente operacional;
· Deve trazer explicações da importância da adoção dos procedimentos de segurança justificando-os junto aos usuários para que o entendimento dos mesmos leve ao comprometimento com todas as ações de segurança.
Implementação da Política
Nenhuma política deve ser implementada até que os usuários sejam treinados nas habilidades necessárias para seguí-la. As boas políticas de segurança dependem do conhecimento e cooperação dos usuários. Isto é particularmente relevante para segurança contra vírus e políticas sobre gerencia de senhas. Segurança requer mais que conhecimento. Todos usuários devem saber como agir quando se virem diante de uma violação ou possível violação. Todos usuários devem saber quem chamar se tiverem perguntas ou suspeitas, e devem saber o que fazer e o que não fazer, para minimizar riscos de segurança. Estes usuários devem ser incentivados a sentir que as medidas de segurança são criadas para seu próprio benefício.
Premissas Básicas
Os padrões de segurança devem ser fornecidos e verificados para uma rede de computadores genérica e em nenhuma hipótese para uma rede de determinado fabricante ou fornecedor. Quando se utiliza o termo servidor, deve-se lembrar de associar todos equipamentos e funções vinculadas ao equipamento principal, e é muito importante ressaltar que este servidor não deve ser utilizado como estação de trabalho. Este servidor deve assumir o controle e a segurança dos recursos de informação de uma rede evitando-se a dispersão do controle da segurança.
A segurança do servidor reflete o julgamento e as prioridades do administrador da rede local e a segurança de um conjunto de servidores espelha a segurança da rede de uma organização. O administrador de rede ou de segurança é o responsável principal pela segurança da rede local não se admitindo transferência desta responsabilidade. As decisões e alternativas tomadas pelo administrador da rede devem ser objeto de auditoria que julguem as alternativas adotadas.
Política Geral de Segurança
É interessante apresentarmos itens de uma política geral para redes locais que determinam o início de parâmetros necessários à criação de um ambiente com certa segurança e confiabilidade.
1. Não deve haver administração remota do servidor, que não seja do console e todas as funções do servidor não podem ser executadas remotamente;
2. Todas as operações do administrador devem ser executadas a partir da console principal;
3. Os programas de usuário devem ser executados somente das estações de trabalho;
4. Nenhum servidor ou qualquer recurso do servidor deve ser acessado através de boot por disco flexível;
5. Não deve existir comunicação direta ponto-a-ponto. Toda comunicação deste tipo deve ser feita através de um servidor;
6. Não devem existir múltiplas identificações/senhas de entrada no sistema, devendo haver indicação quando o mesmo usuário tentar utilizar sua identificação simultaneamente;
7. Todos os recursos de monitores de tráfego, roteadores e hubs devem ser autorizados, identificados e supervisionados;
8. Deve existir um planejamento formal, completo e testado de recuperação de desastres, de qualquer recurso, para todas as redes locais;
9. Informações classificadas como sensíveis ou relevantes não devem ser transmitidas através de qualquer tipo de formato texto.
As Ferramentas
Ao apresentarmos as questões de Política de Segurança entendemos ser essencial que esta preceda qualquer posicionamento sobre ferramentas utilizadas para auxílio nos procedimentos de implementação da segurança. Do ponto de vista do hardware, podemos admitir que “O único sistema totalmente seguro é aquele que não possui nenhuma forma de acesso externo, está trancado em uma sala totalmente lacrada da qual uma única pessoa possui a chave. E esta pessoa morreu ano passado”. Ou seja, não existe sistema seguro sob todos aspectos e nenhuma ferramenta que garanta esta segurança. Portanto a implementação de segurança tem que ser feita por um conjunto de hardware e software, na maioria dos casos presentes no próprio sistema operacional e máquinas servidoras. Os programas devem possuir funções de identificação de usuários, controle de acessos e operações, além de permitir auditoria do sistema e dos procedimentos. Para mensurar o nível de segurança dos softwares, o padrão internacionalmente aceito é o estabelecido pelo National Computer Security Center (NCSC) no seu livro padrão conhecido como “orange book” onde são estabelecidas classificações referentes aos mecanismos de segurança lógica necessários aos programas. O “orange book” contém especificações de quatro grupos gerais divididos em subníveis.
Na divisão D, encontram-se os programas com recursos mínimos, recomendados para funções menos críticas. A divisão C se refere aos programas que fazem o controle de acesso discricionário, ou seja, somente as pessoas autorizadas pelo administrador do ambiente operacional podem entrar no sistema. No nível C1, os softwares controlam o acesso por meio de senhas. No C2, já é possível restringir o acesso a dados e operações de cada usuário. No C3, há instrumentos de auditoria, que indicam quem fez, o que fez e quem autorizou. Neste nível é obrigatório que, quando um arquivo for excluído, por exemplo, o sistema destrua o dado, limpando o arquivo em disco e memória, impedindo assim a recuperação indevida da informação. Na maioria dos casos as organizações se dão por satisfeitas com níveis C1 e C2 o que mostra - se insuficiente na qualificação de programas adquiridos de fornecedores diversos. A divisão B se refere ao controle de acesso mandatário, em que só o administrador, e não o usuário responsável pela informação, determina quem pode ter acesso a quê. No nível B1, o controle de acesso é obrigatório e há a rotulação dos objetos e dos dispositivos para exportação de dados. O B2 exige maior uso dos rótulos e uma separação mais clara entre as funções operacionais e de administração. O B3 assegura ainda a recuperação de dados, caso haja queda acidental ou recarga do sistema operacional. Uma ferramenta ou software para obter o certificado de nível A, só admite quando comprova-se que o mesmo é invulnerável aos ataques através de algoritmos matemáticos que atuam na lógica do sistema. É um grau de segurança extremamente formal e complexo que não é obtido por aplicações e sistemas de utilização comercial.
Conclusão
Os recursos e investimentos em segurança estão, obviamente, relacionados à importância da informação e ao risco que a mesma está exposta. O processo é semelhante ao da própria defesa do patrimônio físico, com o agravante que a recuperação da informação pode ser muito mais onerosa do que do equipamento físico e que na maioria dos casos sua mensuração é extremamente difícil.
No caso de rede de computadores a vulnerabilidade fica aumentada devido a fragilidade apresentada por cada um dos nossos “elos da corrente” ou nós da rede. As informações estratégicas podem estar em qualquer lugar a todo instante.
Em função destes relatos podemos assumir que mais importante que escolhermos produtos e ferramentas que prometem níveis de segurança “X” ou “Y” é termos políticas aplicáveis a todos ambientes operacionais multiplataformas e que estes mesmos ambientes nos permitam ter programas segmentados que auxiliem na aplicação e fácil operacionalização destas políticas.
////////////////////////////////////////////////////////////////////
As informações a seguir foram extraídas do site:
http://www.shoptime.com.pt/portal/104/index.php?option=com_content&task=view&id=15&Itemid=26
Conceitos Básicos sobre Segurança Informática
À medida que os sistemas de informação assumem um papel de maior relevância nas empresas, torna-se pertinente falar de segurança! Níveis de segurançaSegurança é um conceito associado à certeza, ausência de risco ou contingência. Convém deixar claro que não sendo possível uma certeza absoluta , o elemento de risco está sempre presente, independente das medidas que se tomem, pelo que devemos de falar antes sobre níveis de segurança. A segurança absoluta não é possível, pode-se sim falar de um conjunto de técnicas com o fim de obter altos níveis de segurança nos sistemas informáticos. Além do mais a segurança informática precisa de organização, pelo que diremos que, Sistema de Segurança = Tecnologia + PlaneamentoO Importante é proteger a informaçãoSe bem é certo que todos os componentes de um sistema informático estão expostos a um ataque (hardware, software e dados) são os dados e a informação os sujeitos principais de protecção e das técnicas de segurança. A segurança informática dedica-se principalmente a proteger a confidencialidade, a integridade e disponibilidade da informação. ConfidencialidadeConceito de que a informação só pode ser conhecida por indivíduos autorizados. Existem uma infinidade de possíveis ataques contra a privacidade, especialmente na comunicação de dados. A comunicação através de um meio apresenta múltiplas oportunidades para ser interceptada e copiada: as linhas capturadas, a intercepção ou recepção electromagnética não autorizada, ou a simples intrusão directa nos equipamentos onde a informação está fisicamente armazenada.IntegridadeA integridade refere-se à segurança de que a informação não foi alterada, apagada, reordenada, copiada, etc... tanto no processo de transmissão ou no próprio equipamento de origem. É um risco comum que o atacante ao não poder decifrar um pacote de informação e, sabendo que é importante, simplesmente o intercepte e o apague ou o altere.DisponibilidadeA disponibilidade da informação refere-se à segurança em afirmar que esta informação possa ser recuperada no momento em que se necessite, isto é, evitar a sua perda ou bloqueio, seja por um ataque mal intencionado, operação acidental, ou situações fortuitas de força maior. Outros problemas comunsOutros problemas importantes de segurança, são a autenticação, ou seja a prevenção de falsificações, garantir que quem assina um documento é quem diz ser; o não repúdio, isto é, que alguém negue haver enviado uma determinada informação (que efetivamente enviou), e os controles de acesso, isto é quem tem autorização e quem não tem para aceder a uma parte da informação.Finalmente tem-se o problema de verificação da propriedade de informação. Uma vez que seja detectada uma fraude, determinar a precedência da informação.Danos não intencionadosNem todos os riscos que ameaçam a informação são riscos de origem maliciosa. Por isso, as medidas de segurança não devem limitar-se à mera protecção contra ataques e intrusões de terceiros, pois dentro da mesma organização, e por parte de indivíduos de confiança, existem riscos contra a disponibilidade da informação, seja por negligência, descuido, ignorância ou qualquer outro tipo de improvidência, a informação pode ser alterada, substituída o permanentemente apagada. Além do mais estão sempre presentes os riscos de perda ou alteração por um vírus ou situações fortuitas de força maior, tais como incêndios, inundações ou catástrofes de origem natural.VírusFinalmente temos as ameaças dos vírus, e programas que nos invadem o sistema e que podem dar o controle de um determinado computador ao invasor, conhecidos como cavalos de tróia, em analogia à lenda grega.Estes mecanismos conhecidos para a propagação de vírus são geralmente arquivos executáveis (com extensão .exe, .com ou baths files). Os cavalos de tróia ou trojans propagam-se através de arquivos executáveis. As formas de um vírus se instalar num sistema são, genericamente, as seguintes: 1. Executando um programa infectado, seja diretamente desde um suporte amovível, como disquete ou CD, ou através da Internet, fazendo um download ou ainda recebendo o arquivo por correio electrónico (email); 2. Abrindo arquivos de documentos contendo macros ou scripts que são interpretados pelo sistema e gerando os códigos pretendidos pelo invasor, ou agente mal intencionado. As precauções elementares para a entrada de vírus nos computadores são: 1. Não utilizar programas gravados em disquetes ou CDs (particularmente jogos ou utilidades) de procedência desconhecida; 2. Não fazer downloads de sites pouco confiáveis da Internet; 3. Não abrir anexos de correio eletrônico cujo o conteúdo ou remetente se desconheçam ou não sejam de confiança. Diferença entre vírus e trojansExiste uma grande variedade de vírus (vários milhares), cujos efeitos vão desde os simplesmente aborrecidos que atrasam os sistemas, ou se apresentam como brincadeiras, até aos que destroem informação específica ou mesmo toda esta do disco rígido. Uma característica dos vírus é que uma vez instalados num sistema tardam algum tempo sem provocar nenhum efeito, indo proliferando a infecção a todos os demais programas que se executem. Depois deste período o vírus atua sobre o sistema...Os trojans são programas que permitem a estranhos, através de uma rede, seja uma rede local ou a Internet, tomar posse da informação do sistema invadido, podendo ter acesso a palavras passe, documentos, contactos... e sobre este assunto muito mais haveria a dizer!Os mais conhecidos dão pelo nome de Netbus, Back Oriffice, SubSeven...Com respeito aos seus diferentes efeitos, vírus e trojans, partilham características comuns na sua forma de operar e de se propagar, mas cabe salientar que, actualmente qualquer sistema de antivírus, devidamente atualizado, detecta indistintamente vírus ou trojans.Métodos de proteção contra intrusões remotasNo seu aspecto mais básico, a proteção contra cavalos de tróia, baseia-se no uso de antivírus que têm a capacidade de detectar e eliminar os trojans mais conhecidos.No entanto existe a possibilidade de ataques mais sofisticados, pelo que se aconselha o uso de software, ou hardware conhecido por firewalls, ou detectores de intrusões que monitorizam as tentativas de entrada nos sistemas sem a devida autorização.A detecção de intrusos é bastante cara e constitui só parte de um sistema completo de segurança, que pode complementar-se com sistemas de autenticação por software ou hardware.Técnicas de cópias de segurança e sistemas redundantesOs sistemas de backup, e os sistemas redundantes, são o conjunto de técnicas e equipamentos que contribuem para a proteção de dados contra a perda por eliminações, acidentais, ou desastres fortuitos. Ambos os sistemas são complementares no que diz respeito à segurança que oferecem, já que tanto que as cópias de segurança como a redundância, por si sós, não cobrem toda a necessidade.Redundância: os sistemas RAIDUm RAID é um conjunto de unidades de disco que aparecem logicamente como de um só disco se tratasse. Deste modo os dados são em simultâneo gravados em 2 ou mais unidades. Esta técnica, pode inclusive incrementar o rendimento e proporciona uma redundância que protege contra a falha de um dos discos da formação. Existem vários níveis de RAID, a partir do nível 0, em que os dados se dispersam em diversas unidades mas não há redundância (melhoria do rendimento mas segurança nula). O nível 1, ou mirroring (espelho), no qual os dados se escrevem em duplicado em distintas unidades, não contribuindo para o aumento do rendimento, mas sim da segurança, sendo sem dúvida um dos mais utilizados. Os demais níveis RAID são uma combinação dos conceitos anteriores e procuram aumentar a segurança e o rendimento simultaneamente.Existem sistemas operativos que oferecem administração RAID integrada por software, como por exemplo o Windows NT, que oferece os níveis 0, 1, e 5. Como é obvio, neste caso, se se implementa o nível 1, onde tudo o que se escreve numa unidade é duplicado automaticamente, a duplicação deve ser num disco físico diferente!Tolerância a falhasA tolerância a falhas é a capacidade de um sistema responder com sucesso a um problema inesperado; uma falha no fornecimento de energia eléctrica, ou uma falha de hardware, de forma a que não se percam quaisquer dados. É muito importante referir que a redundância não protege contra apagamentos acidentais, operações negligentes, etc... já que qualquer operação (mesmo as erradas) são automaticamente duplicadas em todas as unidades. Assim, a redundância, juntamente com sistemas de alimentação ineterrupta (UPS) proporcionam segurança somente em caso de cortes de energia ou falhas de hardware.O BackupConsiste em realizar cópias de segurança da informação. Estas cópias podem realizar-se de forma manual ou periódica e automatizada. Mas qual é o objectivo de fazer cópias de segurança se temos um sistema redundante?A vantagem dos backups, é, que, ao efetuar-se segundo certos períodos, a informação salvaguardada não é exactamente igual à atual. Isto permite uma certa proteção contra erros humanos, apagamentos acidentais ou uso negligente, já que se nos damos conta a tempo, isto é, antes de que se faça um backup do erro, poderemos recuperar os dados com um certo defasamento no tempo, e só será necessário atualizar-se esse período de informação.Existe uma quantidade enorme de software de cópias de segurança. As mais recomendadas são as que permitem implementar diversos períodos de tempo, já que proporcionam uma melhor segurança, imagine-se uma cópia diária e outra semanal ? o erro poderá ter sido copiado para a cópia diária, por não havermos detectado ele a tempo, mas o arquivo semanal permanece intacto, e possível de recuperar...A segurança é um problema integralOs problemas de segurança informática não podem ser tratados separadamente, já que, a segurança de todo um sistema é igual à do seu ponto mais débil. Ao assegurar a nossa casa, não ganhamos nada em colocar uma porta blindada com uma sofisticada fechadura se deixarmos as janelas sem proteção. De modo similar o uso de sofisticados algoritmos e métodos criptográficos são inúteis se não garantirmos a confidencialidade das restantes máquinas numa rede.Por outro lado, existe algo que os hackers chamam de Engenharia Social, que consiste simplesmente em conseguir, mediante persuasão, que os utilizadores autorizados revelem os seus acessos. Por tanto, a educação dos utilizadores é fundamental para que a tecnologia de segurança possa funcionar. É evidente que por muita tecnologia de segurança que se implemente numa organização, se não existe uma clara disposição por parte da direção da empresa e uma sensibilidade por parte de todos os utilizadores, não se conseguirão os objetivos pretendidos com a implementação de um sistema de segurança.
Nenhum comentário:
Postar um comentário