Seja Bem-Vindo. Este site tem recursos de leitura de texto, basta marcar o texto e clicar no ícone do alto-falante   Click to listen highlighted text! Seja Bem-Vindo. Este site tem recursos de leitura de texto, basta marcar o texto e clicar no ícone do alto-falante

AULA 01 – SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO

CONCEITOS DE SEGURANÇA DE COMPUTADORES 

Uma definição de segurança de computadores

O Manual de Segurança de Computadores da NIST [NIST95] define o termo segurança de computadores da seguinte forma:

Segurança de computadores: a proteção oferecida para um sistema de informação automatizado a fim de alcançar os objetivos de preservar a integridade, a disponibilidade e a confidencialidade dos recursos do sistema de informação (incluindo hardware, software, firmware, informações/dados e telecomunicações).

Essa definição introduz três objetivos principais que são o coração da segurança de computadores:

  • Confidencialidade: esse termo cobre dois conceitos relacionados:
    • Confidencialidade de dados: assegura que informações privadas e confidenciais não estejam disponíveis nem sejam reveladas para indivíduos não autorizados(RFC 4949 define informação como “fatos e ideias que podem ser representadas (codificadas) em vários formatos de dados”, e dados como “informações em uma representação física específica, usualmente uma sequência de símbolos que possuem significado; sobretudo, uma representação da informação que pode ser processada ou produzida por um computador”. A literatura referente à segurança em geral não faz muita distinção entre esses dois termos).
    • Privacidade: assegura que os indivíduos controlem ou influenciem quais informações relacionadas a eles podem ser obtidas e armazenadas, da mesma forma que como, por quem e para quem essas informações são passíveis de ser reveladas.
  • Integridade: esse termo abrange dois conceitos relacionados:
    • Integridade de dados: assegura que as informações e os programas sejam modificados somente de uma maneira especificada e autorizada.
    • Integridade do sistema: assegura que um sistema execute as suas funcionalidades de forma ilesa, livre de manipulações deliberadas ou inadvertidas do sistema.
  • Disponibilidade: assegura que os sistemas operem prontamente e seus serviços não fiquem indisponíveis para usuários autorizados.

Esses três conceitos formam o que é normalmente chamado tríade CIA (do acrônimo em inglês para confidentiality, integrity and availability). Os três conceitos envolvem os objetivos fundamentais da segurança tanto para dados quanto para serviços de informação e computação. Por exemplo, os padrões FIPS 199 (padrões para categorização de segurança para as informações e sistemas de informação federais) da NIST listam a confidencialidade, integridade e disponibilidade como os três objetivos de segurança para informação e sistemas de informação. O FIPS 199 fornece uma caracterização muito útil para esses três objetivos em termos de requisitos e da definição de uma perda de segurança em cada categoria:

  • Confidencialidade: preservar restrições autorizadas sobre acesso e divulgação de informação, incluindo meios para proteger a privacidade de indivíduos e informações privadas. Uma perda de confidencialidade seria a divulgação não autorizada de informação.
  • Integridade: prevenir-se contra a modificação ou destruição imprópria de informação, incluindo a irretratabilidade e autenticidade dela. Uma perda de integridade seria a modificação ou destruição não autorizada de informação.
  • Disponibilidade: assegurar acesso e uso rápido e confiável da informação. Uma perda de disponibilidade é a perda de acesso ou de uso da informação ou sistema de informação.

Embora o emprego da tríade CIA para definir os objetivos da segurança esteja bem estabelecido, alguns no campo da segurança percebem que conceitos adicionais são necessários para apresentar um quadro completo. Seguem abaixo dois desses conceitos que são mais comumente mencionados:

  • Autenticidade: a propriedade de ser genuíno e capaz de ser verificado e confiável; confiança na validação de uma transmissão, em uma mensagem ou na origem de uma mensagem. Isso significa verificar que os usuários são quem dizem ser e, além disso, que cada entrada no sistema vem de uma fonte confiável.
  • Responsabilização: a meta de segurança que gera o requisito para que ações de uma entidade sejam atribuídas exclusivamente a ela. Isso provê irretratabilidade, dissuasão, isolamento de falhas, detecção e prevenção de intrusão, além de recuperação pós-ação e ações legais. Como sistemas totalmente seguros não são ainda uma meta alcançável, temos que ser capazes de associar uma violação de segurança a uma parte responsável. Os sistemas precisam manter registros de suas atividades a fim de permitir posterior análise forense, de modo a rastrear as violações de segurança ou auxiliar em disputas de uma transação.

Exemplos

Seguem alguns exemplos de aplicações que ilustram os requisitos que acabamos de definir (Esses exemplos foram retirados de um documento de política de segurança publicado pelo Escritório de Segurança e Privacidade de Tecnologia da Informação da Universidade de Purdue). Para esses exemplos, usamos três níveis de impacto sobre organizações ou indivíduos que podem representar uma quebra de segurança (por exemplo, a perda de confidencialidade, integridade ou disponibilidade). Esses níveis são definidos no FIPS PUB 199:

Baixo: é esperado que a perda represente um efeito adverso limitado nas operações da organização, em seus recursos ou nos indivíduos. Um efeito adverso limitado implica que, por exemplo, a perda de confidencialidade, integridade ou disponibilidade

  • (i) cause uma degradação na capacidade de cumprir sua missão em uma extensão e por um tempo nos quais a organização consiga realizar suas funções primárias, mas com a eficiência delas notadamente reduzida;
  • (ii) resulte em um dano limitado nos recursos da organização;
  • (iii) apresente uma perda financeira limitada; ou
  • (iv) origine um menor prejuízo aos indivíduos.

Moderado: é esperado que a perda represente graves efeitos adversos nas operações da organização, em seus recursos ou nos indivíduos. Um efeito adverso grave implica que, por exemplo, a perda:

  • (i) cause uma degradação significativa na capacidade de cumprir sua missão em uma extensão e por um tempo nos quais a organização consiga realizar suas funções primárias, mas com a eficiência delas reduzida de forma significativa;
  • (ii) resulte em danos expressivos nos recursos da organização;
  • (iii) mostre significativas perdas financeiras; ou
  • (iv) aponte prejuízos relevantes para indivíduos que não signifiquem perda da vida ou lesões graves, com risco de morte.

Alto: a perda esperada possui efeitos adversos muito graves ou catastróficos nas operações da organização, em seus recursos ou nos indivíduos. Um efeito adverso muito grave ou catastrófico implica que, por exemplo, a perda:

  • (i) cause uma grave degradação ou perda da capacidade de cumprir sua missão por uma extensão e um período nos quais a organização não consiga desempenhar uma ou mais de suas funções primárias;
  • (ii) resulte em grande dano aos recursos da organização;
  • (iii) origine grandes perdas financeiras; ou
  • (iv) desencadeie danos grandes ou catastróficos aos indivíduos envolvendo perda da vida ou lesões graves, com risco de morte.

CONFIDENCIALIDADE Informações referentes às notas de estudantes são um conteúdo cuja confidencialidade é considerada de altíssima importância por eles. Nos Estados Unidos, a disponibilização de tais informações é regulamentada pelo Ato sobre a Privacidade e os Direitos Educacionais da Família (Fer

pa – do acrônimo em inglês para Family Educational Rights and Privacy Act) (no Brasil temos a LEI Nº 13.709, DE 14 DE AGOSTO DE 2018). Informações relacionadas às notas devem ser somente disponibilizadas para os estudantes, seus pais e funcionários que precisem delas para realizar o seu trabalho. Dados de matrícula dos estudantes podem se amparar em uma confidencialidade moderada. Ainda que estejam cobertas pela Ferpa, uma vez que são visualizadas por mais pessoas diariamente, é menos provável que esses dados sejam alvo de ataques do que informações de notas, e isso implica em menor dano se forem revelados. Informações da diretoria, como listas de estudantes, de corpo docente ou de departamentos, podem envolver um nível de confidencialidade baixo, ou talvez nem tenham uma classificação. Essa informação normalmente fica disponível ao público e é publicada no website da escola.

INTEGRIDADE Muitos aspectos da integridade são ilustrados pelo exemplo das informações das alergias dos pacientes de um hospital armazenadas em um banco de dados. O médico precisa confiar que elas estão corretas e atualizadas. Suponha que um funcionário (uma enfermeira, por exemplo) que está autorizado a consultar e atualizar essa informação deliberadamente falsifique os dados para causar prejuízo ao hospital. Então o banco de dados precisará rapidamente ser restaurado para um ponto anterior que seja confiável, assim como ser rastreada a pessoa responsável pelo erro. As informações de alergia dos pacientes são um exemplo de conteúdo com um requisito de integridade de nível alto. Informações erradas podem gerar danos graves ou mesmo a morte, e assim expor o hospital a uma responsabilização generalizada.

Um exemplo de um conteúdo ao qual pode ser associado um requisito de integridade de nível moderado é um website que oferece um fórum para usuários registrados discutirem algum tópico específico. Tanto um usuário registrado quanto um hacker podem falsificar algumas entradas ou desfigurar a página. Se o fórum existe somente para o entretenimento dos usuários, introduz pouco ou nenhum rendimento com propaganda e não é usado para alguma coisa importante como pesquisa, então os danos que podem ocorrer não serão graves. O webmaster é que talvez tenha uma pequena perda de dados, tempo ou dinheiro.

Um exemplo de um requisito de integridade de nível baixo é uma enquete on-line anônima. Muitos websites, como por outro lado organizações de notícias, oferecem essas enquetes para seus usuários com poucos meios de segurança. Por outro lado, a imprecisão e a natureza não científica dessas enquetes é bem conhecida.

DISPONIBILIDADE Quanto mais crítico for um componente ou serviço, maior será o nível de disponibilidade requerido. Considere um sistema que oferece serviços de autenticação para sistemas, aplicações e dispositivos críticos. Uma interrupção do serviço resulta na incapacidade dos clientes de acessar os recursos computacionais e de pessoal a fim de chegar ao que necessitam para realizar tarefas críticas. A perda do serviço se traduz em grande perda financeira, de produtividade dos empregados e de potencial de clientes.

Um recurso que poderia apresentar um nível moderado de disponibilidade é um website público para uma universidade. Esse website forneceria informações para estudantes e doadores atuais e potenciais. Um website como esse não é um componente decisivo para o sistema de informação da universidade, mas sua indisponibilidade pode causar alguns percalços.

Um aplicativo de consulta on-line à lista telefônica seria classificado com um nível baixo de disponibilidade. Embora a perda temporária do aplicativo seja um incômodo, existem outros meios de acessar a informação, como uma cópia impressa ou um operador.

Os desafios da segurança de computadores

A segurança de computadores e redes é tão fascinante quanto complexa. Seguem algumas das razões para isso:

  1. Segurança não é tão simples quanto parece à primeira vista para o iniciante. Os requisitos aparentam ser claros e diretos; de fato, a maioria dos mais importantes requisitos para serviços de segurança pode ser autoexplicativa e identificada com rótulos de: confidencialidade, autenticação, irretratabilidade ou integridade. No entanto, os mecanismos usados para satisfazê-los talvez sejam bastante complexos e seu entendimento envolva razões bastante sutis.
  2. No desenvolvimento de um mecanismo ou algoritmo específico de segurança, deve-se sempre considerar potenciais ataques a essas funcionalidades. Em muitos casos, os ataques bem-sucedidos são projetados a fim de olhar para o problema de uma forma completamente diferente, portanto, explorando uma fraqueza inesperada no mecanismo.
  3. Por conta do ponto 2, os procedimentos usados para fornecer os serviços de segurança são muitas vezes nem um pouco intuitivos. Normalmente, um mecanismo de segurança é complexo, e não fica óbvio na definição de seus requisitos que essas medidas são necessárias. Só faz sentido elaborar mecanismos de segurança quando os vários aspectos de ameaças são considerados.
  4. Tendo projetado vários mecanismos de segurança, é necessário decidir onde eles devem ser usados. Essa é uma verdade tanto em termos da localização física (por exemplo, em que pontos na rede são exigidos certos mecanismos de segurança) quanto do sentido lógico (por exemplo, em que camada ou camadas de uma arquitetura como TCP/IP [Transmission Control Protocol/Internet Protocol] devem ser postos tais mecanismos).
  5. Mecanismos de segurança normalmente envolvem mais do que um algoritmo ou protocolo em particular. Eles também requerem que os participantes possuam algumas informações secretas (como chave de encriptação), o que levanta outras questões relacionadas à criação, distribuição e proteção delas. Pode haver igualmente uma dependência de protocolos de comunicação, cujo comportamento talvez complique a tarefa de desenvolver o mecanismo de segurança. Por exemplo, se o funcionamento adequado do mecanismo de segurança requer determinar limites de tempo de trânsito de uma mensagem do emitente ao destinatário, então qualquer protocolo ou rede que introduza atrasos variáveis ou imprevisíveis pode implicar na perda de sentido de utilizar esses limites de tempo.
  6. Segurança de computadores e redes é, essencialmente, uma batalha de inteligência entre um criminoso que tenta encontrar buracos e o projetista ou administrador que tenta fechá-los. A grande vantagem que o atacante possui é que ele ou ela precisa encontrar uma simples brecha, enquanto o projetista tem que encontrar e eliminar todas as possíveis brechas para garantir uma segurança perfeita.
  7. Existe uma tendência natural de uma parte dos usuários e gerentes de sistemas a perceber poucos benefícios com os investimentos em segurança, até que uma falha nela ocorra.
  8. A segurança requer um monitoramento regular, ou até mesmo constante, e isso é algo difícil com os curtos prazos e nos ambientes sobrecarregados dos dias de hoje.
  9. Segurança ainda é muito frequentemente um adendo a ser incorporado no sistema após o projeto estar completo, em vez de ser parte do processo de sua criação.
  10. Muitos usuários, e até mesmo administradores de segurança, veem uma segurança forte como um impedimento à eficiência e à operação amigável de um sistema de informação ou do uso da informação.

A ARQUITETURA DE SEGURANÇA OSI

Para avaliar efetivamente as necessidades de segurança de uma organização e escolher diversos produtos e políticas de segurança, o gerente responsável precisa de algum meio sistemático de definir os requisitos para a segurança e caracterizar as técnicas para satisfazê-los. Isso já é difícil em um ambiente de processamento de dados centralizado; com o uso de redes locais e remotas, os problemas são ainda maiores.

A recomendação X.800 da ITU-T, 3 Security Architecture for OSI, define tal técnica sistemática. A arquitetura de segurança OSI é útil para os gerentes como um meio de organizar a tarefa de fornecer segurança. Além do mais, como essa arquitetura foi desenvolvida como um padrão internacional, fornecedores de computador e de comunicação estabeleceram recursos de segurança para seus produtos e serviços, que se relacionam com essa definição estruturada de serviços e mecanismos.

Para os nossos propósitos, a arquitetura de segurança OSI oferece uma visão geral útil, abstrata, de muitos dos conceitos de que este livro trata. Ela focaliza ataques, mecanismos e serviços de segurança. Eles podem ser definidos resumidamente da seguinte forma:

  • Ataque à segurança: qualquer ação que comprometa a segurança da informação pertencida a uma organização.
  • Mecanismo de segurança: um processo (ou um dispositivo incorporando tal processo) que é projetado para detectar, impedir ou recuperar-se de um ataque à segurança.
  • Serviço de segurança: um serviço de processamento ou comunicação que aumenta a segurança dos sistemas de processamento de dados e das transferências de informação de uma organização. Os serviços servem para frustrar ataques à segurança, e utilizam um ou mais mecanismos para isso.

Na literatura, os termos ameaça e ataque normalmente são usados mais ou menos para a mesma coisa. O Quadro abaixo oferece definições retiradas da RFC 4949, Internet Security Glossary.

Ameaças e ataques (RFC 4949).

  • AMEAÇA – uma chance de violação da segurança que existe quando há uma circunstância, capacidade, ação ou evento que poderia quebrar a segurança e causar danos. ou seja, uma ameaça é um possível perigo a explorar uma vulnerabilidade.
  • ATAQUE – um ataque à segurança do sistema, derivado de uma ameaça inteligente; ou seja, um ato inteligente que é uma tentativa deliberada (especialmente no sentido de um método ou técnica) de fugir dos serviços de segurança e violar a política de segurança de um sistema.

ATAQUES À SEGURANÇA

Uma maneira útil de classificar os ataques à segurança, usada tanto na X.800 quanto na RFC 4949, é em termos de ataques passivos e ataques ativos (figura abaixo). Um ataque passivo tenta descobrir ou utilizar informações do sistema, mas não afeta os seus recursos. Um ataque ativo tenta alterar recursos do sistema ou afetar sua operação.

ataques à segurança
ataques à segurança

ATAQUES PASSIVOS

Os ataques passivos (Figura ataques à segurança a) estão na natureza de bisbilhotar ou monitorar transmissões. O objetivo do oponente é obter informações que estão sendo transmitidas. Dois tipos de ataques passivos são vazamento de conteúdo de mensagem e análise de tráfego.

O vazamento de conteúdo de mensagem é facilmente compreendido. Uma conversa telefônica, uma mensagem de correio eletrônico e um arquivo transferido podem conter informações, sensíveis ou confidenciais. Desejamos impedir que um oponente descubra o conteúdo dessas transmissões.

Um segundo tipo de ataque passivo, a análise de tráfego, é mais sutil. Suponha que tivéssemos uma maneira de disfarçar o conteúdo das mensagens ou outro tráfego de informações, de modo que os oponentes, mesmo que capturassem a mensagem, não pudessem extrair as informações dela. A técnica comum para mascarar o conteúdo é a encriptação. Se tivéssemos proteção por encriptação, um oponente ainda poderia conseguir observar o padrão dessas mensagens. Ele teria meios para determinar o local e a identidade dos interlocutores em comunicação e poderia observar a frequência e o tamanho das mensagens trocadas. Essa informação seria útil para descobrir a natureza da comunicação que estivesse ocorrendo.

Ataques passivos são muito difíceis de se detectar, pois não envolvem qualquer alteração dos dados. Em geral, o tráfego de mensagens é enviado e recebido em um padrão aparentemente normal, e nem o emissor nem o receptor estão cientes de que um terceiro leu as mensagens ou observou o padrão de tráfego. Porém, é viável impedir o sucesso desses ataques, normalmente por meio da encriptação. Assim, a ênfase em lidar com ataques passivos está na prevenção, em vez de na detecção.

ATAQUES ATIVOS

Ataques ativos (Figura ataques à segurança b) envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso, e podem ser subdivididos em quatro categorias: disfarce, repasse, modificação de mensagens e negação de serviço.

Um disfarce ocorre quando uma entidade finge ser outra diferente (o caminho 2 da Figura ataques à segurança b é ativo). Um ataque de disfarce normalmente inclui uma das outras formas de ataque ativo. Por exemplo, sequências de autenticação podem ser capturadas e reproduzidas depois que houver uma delas, válida, permitindo assim que uma entidade autorizada com poucos privilégios obtenha alguns extras, personificando uma que os tenha.

Repasse envolve a captura passiva de uma unidade de dados e sua subsequente retransmissão para produzir um efeito não autorizado (caminhos 1, 2 e 3 ativos).

Modificação de mensagens simplesmente significa que alguma parte de uma mensagem legítima é alterada, ou que as mensagens são adiadas ou reordenadas, para produzir um efeito não autorizado (caminhos 1 e 2 ativos).  Por exemplo, uma mensagem significando “Permitir que John Smith leia o arquivo confidencial contas” é modificada para “Permitir que Fred Brown leia o arquivo confidencial contas”. A negação de serviço impede ou inibe o uso ou gerenciamento normal das instalações de comunicação (caminho 3 ativo). Esse ataque pode ter um alvo específico; por exemplo, uma entidade a suprimir todas as mensagens dirigidas para determinado destino (por exemplo, o serviço de auditoria de segurança). Outra forma de negação de serviço é a perturbação de uma rede inteira, seja desativando-a ou sobrecarregando-a com mensagens, a fim de prejudicar seu desempenho.

Os ataques ativos apresentam as características opostas dos ataques passivos. Embora os ataques passivos sejam difíceis de detectar, existem medidas para impedir seu sucesso. Por outro lado, é muito difícil impedir de forma absoluta os ataques ativos, em virtude da grande variedade de potenciais vulnerabilidades físicas, de software e de rede. Em vez disso, o objetivo é detectar ataques ativos e recuperar-se de qualquer rompimento ou atrasos causados por eles. Se a detecção tiver um efeito intimidador, ela também pode contribuir para a prevenção.

SERVIÇOS DE SEGURANÇA

X.800 define um serviço de segurança como aquele fornecido por uma camada de protocolo de comunicação de sistemas abertos, que garante a segurança adequada dos sistemas ou das transferências de dados. Talvez uma definição mais clara seja encontrada na RFC 4949, que diz: um serviço de processamento ou comunicação que é fornecido por um sistema para dar um tipo específico de proteção aos recursos do sistema; os serviços de segurança implementam políticas (ou diretrizes) de segurança e são implementados por mecanismos de segurança.
X.800 divide esses serviços em cinco categorias e quatorze serviços específicos. Vamos examinar cada categoria, uma por vez.

Autenticação

O serviço de autenticação refere-se à garantia de que uma comunicação é autêntica. No caso de uma única mensagem, como uma advertência ou um sinal de alarme, a função do serviço de autenticação é garantir ao destinatário que a mensagem tem a origem de que ela afirma ter vindo. No caso de uma interação em curso, como a conexão de um terminal a um host, dois aspectos estão envolvidos. Primeiro, no momento do início da conexão, o serviço garante que as duas entidades são autênticas, ou seja, que cada uma é a entidade que ela afirma ser. Segundo o serviço precisa garantir que a conexão não sofra interferência de modo que um terceiro possa fingir ser uma das duas partes legítimas, para fins de transmissão ou recepção não autorizada.

AUTENTICAÇÃO

a certeza de que a entidade se comunicando é aquela que ela afirma ser.

Autenticação de entidade pareada

usada em associação com uma conexão lógica para fornecer confiança na identidade das entidades conectadas.

Autenticação da origem de dados

em uma transferência sem conexão, oferece certeza de que a origem dos dados recebidos é conforme alegada.

CONTROLE DE ACESSO

a prevenção de uso não autorizado de um recurso (ou seja, esse serviço controla quem pode ter acesso a um recurso, sob que condições o acesso pode ocorrer e o que é permitido àqueles que acessam o recurso).

Confidencialidade dos dados

a proteção dos dados contra divulgação não autorizada.

Confidencialidade da conexão

a proteção de todos os dados do usuário em uma conexão.

Confidencialidade sem conexão

a proteção de todos os dados do usuário em um único bloco de dados.

Confidencialidade com campo seletivo

a confidencialidade de campos selecionados dentro dos dados do usuário em uma conexão ou em um único bloco de dados.

Confidencialidade do fluxo de tráfego

a proteção das informações que poderiam ser derivadas dos fluxos de tráfego.

INTEGRIDADE DE DADOS

a certeza de que os dados recebidos são exatamente conforme enviados por uma entidade autorizada (ou seja, não contêm modificação, inserção, exclusão ou repasse).

Integridade da conexão com recuperação

providencia a integridade de todos os dados do usuário em uma conexão e detecta qualquer modificação, inserção, exclusão ou repasse de quaisquer dados dentro de uma sequência inteira, com tentativa de recuperação.

Integridade da conexão sem recuperação

Como acima, mas oferece apenas detecção sem tentativa de recuperação.

Integridade da conexão com campo seletivo

providencia a integridade de campos selecionados nos dados do usuário de um bloco de dados transferido por uma conexão e determina se os campos selecionados foram modificados, inseridos, excluídos ou repassados.

Integridade sem conexão

providencia a integridade de um único bloco de dados sem conexão e pode tomar a forma de detecção da modificação de dados. além disso, pode haver uma forma limitada de detecção de repasse.

Integridade sem conexão com campo seletivo

providencia a integridade de campos selecionados dentro de um único bloco de dados sem conexão; determina se os campos selecionados foram modificados.

IRRETRATABILIDADE

oferece proteção contra negação, por parte de uma das entidades envolvidas em uma comunicação, de ter participado de toda ou parte dela.

Irretratabilidade, origem

prova de que a mensagem foi enviada pela parte especificada.

Irretratabilidade, Destino

prova de que a mensagem foi recebida pela parte especificada.

Dois serviços de autenticação específicos são definidos na X.800:

Autenticação da entidade pareada: fornece autenticação para a identidade de uma entidade pareada em uma associação. Duas entidades são consideradas pareadas se elas implementam o mesmo protocolo em sistemas diferentes; por exemplo, dois módulos TCP em dois sistemas de comunicação. É fornecida para uso no estabelecimento de uma conexão ou, às vezes, durante a fase de transferência de dados. Tenta oferecer confiança de que uma entidade não está realizando um disfarce ou um repasse não autorizado de uma conexão anterior.

Autenticação da origem de dados: fornece autenticação para a origem de uma unidade de dados. Não oferece proteção contra a duplicação ou a modificação das unidades de dados. Esse tipo de serviço dá suporte a aplicações como correio eletrônico, nas quais não existem interações anteriores entre as entidades que se comunicam.

Controle de acesso

No contexto da segurança de redes, o controle de acesso é a capacidade de limitar e dominar o acesso aos sistemas e aplicações por meio de links de comunicação. Para conseguir isso, cada entidade que tenta obter acesso precisa primeiro ser identificada, ou autenticada, de modo que os direitos de acessos possam ser ajustados ao indivíduo.

Confidencialidade de dados

Confidencialidade é a proteção dos dados transmitidos contra ataques passivos. Com relação ao conteúdo de uma transmissão de dados, vários níveis de proteção podem ser elencados. O serviço mais amplo protege todos os dados do usuário transmitidos entre dois indivíduos por um período de tempo. Por exemplo, quando uma conexão TCP é estabelecida entre dois sistemas, essa proteção ampla impede a divulgação de quaisquer dados do usuário transmitidos pela conexão TCP. Formas mais restritas desse serviço também podem ser definidas, incluindo a proteção de uma única mensagem, ou até mesmo de campos específicos dentro de uma mensagem. Esses refinamentos são menos úteis do que a técnica ampla, e podem ainda ser mais complexos e mais dispendiosos de serem implementados. O outro aspecto da confidencialidade é a proteção do fluxo de tráfego contra análise. Isso exige que um atacante não consiga observar a origem e o destino, a frequência, o tamanho ou outras características do tráfego em uma comunicação.

Integridade de dados

Assim como a confidencialidade, a integridade pode se aplicar a um fluxo de mensagens, a uma única mensagem ou a campos selecionados dentro de uma mensagem. Novamente, a técnica mais útil e direta é a proteção total do fluxo. Um serviço de integridade orientado à conexão, que lida com um fluxo de mensagens, garante que elas sejam recebidas conforme enviadas, sem duplicação, inserção, modificação, reordenação ou repasses. A destruição dos dados também está coberta sob esse serviço. Assim, o serviço de integridade orientada à conexão relaciona-se tanto à modificação do fluxo de mensagem quanto à negação de serviço. Por outro lado, um serviço de integridade sem conexão, que lida com mensagens individuais sem considerar qualquer contexto maior, geralmente oferece proteção apenas contra modificação da mensagem. Podemos fazer uma distinção entre o serviço com e o sem recuperação. Como o serviço de integridade se relaciona com ataques ativos, tratamos da detecção em vez da prevenção. Se uma violação de integridade for detectada, então o serviço pode simplesmente informar essa violação, e alguma outra parte do software ou intervenção humana será necessária para se recuperar da violação. Como alternativa, existem mecanismos disponíveis para recuperar-se da perda de integridade de dados, conforme veremos mais adiante. A incorporação de mecanismos de recuperação automatizados, em geral, é a opção mais atraente.

Irretratabilidade

A irretratabilidade impede que o emissor ou o receptor neguem uma mensagem transmitida. Assim, quando uma mensagem é enviada, o receptor pode provar que o emissor alegado de fato a transmitiu. De modo semelhante, quando uma mensagem é recebida, o emissor pode provar que o receptor alegado de fato a obteve.

Serviço de disponibilidade

Tanto X.800 quanto RFC 4949 definem a disponibilidade como a propriedade de um sistema ou de um recurso do sistema de ser acessível e utilizável sob demanda por uma entidade autorizada, de acordo com especificações de desempenho (ou seja, um sistema está disponível se oferecer serviços de acordo com a sua arquitetura sempre que for solicitado pelos usuários). Diversos ataques podem resultar na perda ou na redução da disponibilidade. Alguns deles são favoráveis a contramedidas automatizadas, como autenticação e encriptação, enquanto outros exigem algum tipo de ação física para impedir ou recuperar-se da perda de disponibilidade dos elementos de um sistema distribuído. X.800 trata a disponibilidade como uma propriedade a ser associada a vários serviços de segurança. Porém, faz sentido convocar especificamente um serviço de disponibilidade, que é aquele que protege um sistema para garantir sua disponibilidade. Esse serviço lida com as questões de segurança levantadas pelos ataques de negação de serviço. Ele depende do gerenciamento e do controle apropriado dos recursos do sistema, e, sendo assim, depende do serviço de controle de acesso e outros serviços de segurança.

MECANISMOS DE SEGURANÇA

O Quadro Mecanismos de segurança lista os mecanismos de segurança definidos na recomendação X.800. Como podemos ver, os mecanismos são divididos entre aqueles implementados em uma camada de protocolo específica, como TCP ou protocolo da camada de aplicação, e aqueles que não são específicos a camadas de protocolo ou serviços de segurança em particular.  X.800 distingue entre mecanismos de codificação reversíveis e irreversíveis. Um mecanismo de codificação reversível é simplesmente um algoritmo de encriptação que permite que os dados sejam encriptados e, então, decriptados. Mecanismos de codificação irreversíveis incluem algoritmos de hash e códigos de autenticação de mensagem, que são usados em aplicações de assinatura digital e autenticação de mensagem.

Mecanismos de segurança

MECANISMOS DE SEGURANÇA ESPECÍFICOS

podem ser incorporados à camada de protocolo apropriada a fim de oferecer alguns dos serviços de segurança OSI.

Codificação

o uso de algoritmos matemáticos para transformar os dados para um formato que não seja prontamente inteligível. a transformação e subsequente recuperação dos dados depende de um algoritmo e zero ou mais chaves de encriptação.

Assinatura digital

dados anexados a (ou uma transformação criptográfica de) uma unidade de dados que permite que um destinatário dela prove sua origem e integridade e a proteja contra falsificação (por exemplo, pelo destinatário).

Controle de acesso

uma série de mecanismos que impõem direitos de acesso aos recursos.

Integridade de dados

uma série de mecanismos utilizados para garantir a integridade de uma unidade de dados ou fluxo de unidades de dados.

Troca de autenticação

um mecanismo intencionado a garantir a identidade de uma entidade por meio da troca de informações.

Preenchimento de tráfego

a inserção de bits nas lacunas de um fluxo de dados para frustrar as tentativas de análise de tráfego.

Controle de roteamento

permite a seleção de determinadas rotas fisicamente seguras para certos dados e mudanças de roteamento, sobretudo quando uma brecha de segurança é suspeitada.

Notarização

o uso de um terceiro confiável para garantir certas propriedades de uma troca de dados.

MECANISMOS DE SEGURANÇA DIFUSOS

Mecanismos que não são específicos a qualquer serviço de servidor OSI ou camada de protocolo específica.

Funcionalidade confiada

aquilo que é percebido como sendo correto com relação a alguns critérios (por exemplo, conforme estabelecido por uma política de segurança).

Rótulo de segurança

a marcação vinculada a um recurso (que pode ser uma unidade de dados) que nomeia ou designa os atributos de segurança desse recurso.

Detecção de evento

detecção de eventos relevantes à segurança.

Trilha de auditoria de segurança

dados coletados e potencialmente utilizados para facilitar uma auditoria de segurança, que é uma revisão e exame independentes dos registros e das atividades do sistema.

Recuperação de segurança

lida com solicitações de mecanismos, como funções de tratamento e gerenciamento de eventos, e toma medidas de recuperação.

A figura Relacionamento entre serviços e mecanismos de segurança, baseado na recomendação X.800, indica o relacionamento entre serviços e mecanismos de segurança.

Relacionamento entre serviços e mecanismos de segurança
Relacionamento entre serviços e mecanismos de segurança

UM MODELO PARA SEGURANÇA DE REDE

Um modelo para grande parte do que discutiremos é capturado, em termos muito gerais, na figura Modelo para segurança de rede. Uma mensagem deve ser transferida de uma parte para outra por meio de algum tipo de inter-rede. As duas partes, que são os principais nessa transação, precisam cooperar para que a troca ocorra. Um canal de informação lógico é estabelecido definindo-se uma rota pela inter-rede da origem ao destino, e pelo uso cooperativo de protocolos de comunicação (por exemplo, TCP/IP) pelos dois principais.

Os aspectos de segurança entram em cena quando é necessário ou desejável proteger a transmissão de informações de um oponente que pode apresentar uma ameaça à confidencialidade, autenticidade, e assim por diante. As técnicas para oferecer segurança possuem dois componentes:

  • Uma transformação relacionada à segurança sobre a informação a ser enviada. Alguns exemplos incluem a encriptação da mensagem, que a “embaralha” de modo que fique ilegível pelo oponente, e o acréscimo de um código com base no conteúdo da mensagem, que pode ser usado para verificar a identidade do emissor.
  • Alguma informação secreta compartilhada pelos dois principais e, espera-se, ser desconhecida do oponente. Um exemplo é uma chave de encriptação usada com a transformação para embaralhar a mensagem antes da transmissão e desembaralhá-la no recebimento.

Um terceiro confiável pode ser necessário para se conseguir uma transmissão segura. Por exemplo, um terceiro pode ser responsável por distribuir a informação secreta aos dois principais, enquanto a protege contra qualquer oponente. Ou, então, um terceiro talvez seja necessário para arbitrar disputas entre os dois principais com relação à autenticidade de uma transmissão de mensagem.

Esse modelo geral mostra que existem quatro tarefas básicas no projeto de um serviço de segurança em particular:

Modelo para segurança de rede
Modelo para segurança de rede
  1. Crie um algoritmo para realizar a transformação relacionada à segurança. O algoritmo deverá ser tal que um oponente não possa reverter sua finalidade.
  2. Gere a informação secreta a ser usada com o algoritmo.
  3. Desenvolva métodos para a distribuição e compartilhamento da informação secreta.
  4. Especifique um protocolo a ser usado pelos dois principais, que utilize o algoritmo de segurança e a informação secreta para estabelecer determinado serviço de segurança.

Um modelo geral dessas outras situações é ilustrado pela Figura Modelo de segurança de acesso à rede 2, que reflete uma preocupação por proteger um sistema de informação contra acesso indesejado. A maioria dos leitores está familiarizada com os problemas causados pela existência de hackers, que tentam penetrar em sistemas que são passíveis de ser acessados por uma rede. Um hacker pode ser alguém que, sem intenção maliciosa, simplesmente se satisfaz em romper e entrar em um sistema de computador. Ou, então, o intruso pode ser um funcionário aborrecido, que deseja causar danos, ou um criminoso que busca explorar recursos do computador para obter lucro financeiro (por exemplo, obter números de cartão de crédito ou realizar transferências ilegais de dinheiro).

Outro tipo de acesso indesejado é a colocação, em um sistema computadorizado, de uma lógica que explore as vulnerabilidades no sistema e que possa afetar programas de aplicação e utilitários, como editores e compiladores. Os programas podem apresentar dois tipos de ameaças:

  • De acesso à informação: interceptam ou modificam dados em favor de usuários que não deveriam ter acesso a eles.
  • De serviço: exploram falhas de serviço nos computadores, para inibir seu acesso por usuários autorizados.

Vírus e worms são dois exemplos de ataques de software, que podem ser introduzidos em um sistema por meio de um disco que contém a lógica indesejada encoberta em um software útil de outras maneiras. Eles também podem ser inseridos em um sistema por meio de uma rede; esse último mecanismo é mais preocupante em segurança de rede.

Os mecanismos de segurança necessários para se lidar com o acesso indesejado estão em duas categorias amplas (ver Figura Modelo de segurança de acesso à rede 2). A primeira categoria poderia ser chamada de função de porteiro. Ela inclui procedimentos de login baseados em senha, que são criados para negar acesso a usuários não autorizados, e lógica de filtragem, que é elaborada para detectar e rejeitar worms, vírus e outros ataques semelhantes. Quando um usuário ou software indesejado obtém acesso, a segunda linha de defesa consiste em uma série de controles internos que monitoram a atividade e analisam a informação armazenada, em uma tentativa de detectar a presença de intrusos.

Modelo de segurança de acesso à rede 2
Modelo de segurança de acesso à rede 2

Fim da aula 01

 
Click to listen highlighted text!