Seg Aula 01 Handout
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Seg Aula 01 Handout as PDF for free.
More details
- Words: 1,456
- Pages: 7
Roteiro TOCI-08: Seguranc¸a de Redes Prof. Rafael Obelheiro [email protected]
˜ da disciplina I. Apresentac¸ao ˜ a` seguranc¸a II. Uma breve introduc¸ao
˜ a SEG Aula 1: Introduc¸ao
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
1 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
2 / 27
˜ Apresentac¸ao
Rafael Obelheiro ˜ Formac¸ao
Parte I
I I
˜ da Disciplina Apresentac¸ao
I
ˆ ´ Experiencia na area I I I I
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
˜ FURG (RS), 1999 Engenheiro de computac¸ao, ´ Mestre em Eng. Eletrica, UFSC, 2001 ´ Doutor em Eng. Eletrica, UFSC, 2006
SOP
3 / 27
Administrador de redes e sistemas UNIX desde 1994 Analista de seguranc¸a no NBSO (atual CERT.br), 2002 Mestrado e doutorado em seguranc¸a de sistemas distribu´ıdos ˜ no comiteˆ de programa de eventos academicos ˆ Participac¸ao (SBSeg) e profissionais (GTS)
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
4 / 27
Objetivo geral
Objetivos espec´ıficos
Compreender os principais conceitos e princ´ıpios envolvidos na seguranc¸a de sistemas computacionais interligados em rede ˜ duradouros Conceitos sao
Ao final da disciplina, o aluno devera´ ter adquirido conhecimento sobre Conceitos de seguranc¸a computacional
A tecnologia muda constantemente, mas sem alterar os princ´ıpios ´ A teoria sustenta a pratica
Seguranc¸a de sistemas ´ Mecanismos criptograficos
´ ˜ da teoria A pratica mostra a aplicac¸ao
Seguranc¸a de redes
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
5 / 27
´ Conteudo programatico ´
I I I I I
I
I I I
6 / 27
Gollmann, Computer Security, 2nd Ed. Wiley, 2006. Cheswick, Bellovin e Rubin, Firewalls e Seguranc¸a na Internet, 2a ed. Bookman, 2005.
˜ autenticac¸ao pol´ıticas de seguranc¸a controle de acesso ´ principais mecanismos criptograficos malware ˜ segura programac¸ao
Complementar: Bishop, Computer Security: Art and Science. Addison-Wesley, 2002. Northcutt e Novak, Network Intrusion Detection: An Analyst’s Handbook, 2nd Ed. New Riders, 2000.
˜ em uma rede coleta de informac¸oes firewalls e VPNs ˜ e tratamento de intrusoes ˜ detecc¸ao ˜ de rede (web, email) seguranc¸a de aplicac¸oes seguranc¸a de redes sem fio
Stallings, Criptografia e Seguranc¸a de Redes, 4a ed. Prentice Hall, 2007. outros livros e artigos
? c 2008 Rafael Obelheiro (DCC/UDESC)
SOP
Principal:
Seguranc¸a de redes I
˜ a SEG Aula 1: Introduc¸ao
Bibliografia
˜ a` seguranc¸a Introduc¸ao Seguranc¸a de sistemas I
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
7 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
8 / 27
˜ Avaliac¸ao
˜ adicionais Informac¸oes
´ Pagina da disciplina
ˆ provas Tres I I I
I
P1: 3 de setembro (30% da nota final) P2: 17 de outubro (35% da nota final) P3: 19 de novembro (35% da nota final)
I
Atendimento ˆ Frequ¨ encia
Exerc´ıcios
˜ a SEG Aula 1: Introduc¸ao
SOP
http://joinville.udesc.br/mailman/listinfo/seg-bcc-l
Notas de aula
Trabalhos podem substituir parte das notas parciais (a decidir)
c 2008 Rafael Obelheiro (DCC/UDESC)
http://www2.joinville.udesc.br/~dcc2rro/
˜ Lista de discussao
9 / 27
Algumas dicas
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
10 / 27
SOP
12 / 27
Explicitando as premissas
˜ tome notas, pergunte, Durante as aulas: preste atenc¸ao, participe, permanec¸a na sala. . . I
e´ um uso mais eficiente do seu tempo
Evite perder aulas I
caso perca, informe-se sobre o que foi visto em aula
˜ deixe as duvidas Nao se acumularem ´ ˆ Acompanhe a bibliografia de referencia e os exerc´ıcios I
permite identificar eventuais dificuldades a tempo
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
11 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
´ Questionario preliminar 1. Nome 2. Email ´ ˜ (emprego, estagio, ´ 3. Voceˆ atua na area de computac¸ao IC, . . . )? Se ´ ˜ sim, especifique a area de atuac¸ao 4. Voceˆ ja´ cursou REC?
Parte II ˜ a` Seguranc¸a Uma Breve Introduc¸ao
5. Qual a sua expectativa para esta disciplina? 6. Atribua notas de 1 (menor) a 6 (maior) para seu conhecimento dos seguintes assuntos: a) UNIX/Linux b) redes TCP/IP c) seguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
13 / 27
Por que a seguranc¸a e´ importante
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
14 / 27
SOP
17 / 27
Incidentes de seguranc¸a no Brasil
˜ dependem da Cada vez mais as pessoas e as organizac¸oes ˜ e dos sistemas que a processam informac¸ao Atributos relevantes I
confidencialidade
I
integridade
I
disponibilidade
seguranc¸a
Nem sempre se consegue garanti-los
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
16 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
Quem e´ o inimigo?
Incidentes de seguranc¸a nos EUA
´ A Internet eliminou as fronteiras geograficas Dados do CERT.br sobre a origem dos ataques (2006) 25.00%
24.61%
22.50%
21.18%
20.00%
Ataques (%)
17.50% 15.00% 12.50% 10.00%
9.45%
7.50%
6.13%
5.00%
5.51%
4.70%
2.50%
2.69%
2.55%
2.10%
2.05%
TW
FR
DE
AR
0.00% US
BR
CN
ES
RU
KR
Origem c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
18 / 27
ˆ Consequ¨ encias da inseguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
19 / 27
Um exemplo ˜ de credito ´ Dados de cartoes encontrados em redes IRC americanas
Perda de dados ˜ sigilosas Roubo de informac¸oes Indisponibilidade de servic¸os Comprometimento da imagem publica ´ ´ Fraudes bancarias e financeiras Roubo de identidade ˜ Extorsao Envolvimento em atividades indevidas ou ilegais → spam, ´ ataques a outras maquinas, pirataria, pornografia Tudo isso representa preju´ızo moral ou financeiro Fonte: Franklin et al., “An Inquiry into the Nature and Causes of the Wealth of Internet Miscreants” (ACM CCS’2007) c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
20 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
21 / 27
´ Princ´ıpios basicos
Fatores humanos (1/2) ˜ a` conveniencia ˆ A seguranc¸a muitas vezes se contrapoe I
Exemplo: diversidade de senhas que precisam ser memorizadas F F
˜ forte quanto o seu elo mais Acima de tudo, a seguranc¸a e´ tao fraco ˆ tipos principais de fatores Podemos considerar tres I I I
F I
˜ “Soluc¸oes” F F
Humanos ˆ Economicos ´ Tecnologicos
˜ Internet, letras Banco: cartao, Internet: provedor, email, cadastro em sites ˜ ... Outras: celular (chip), alarme da casa, vale refeic¸ao,
F F F
Senhas em branco ´ ´ Senhas obvias ou faceis Senhas repetidas Post-Its ˆ Arquivo senhas.txt (de preferencia no desktop)
Seguranc¸a e´ dif´ıcil de usar, ou trabalhosa I I I I
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
23 / 27
Quem ja´ fez seu backup hoje? ´ Descuido com dispositivos ou m´ıdias portateis ˜ conhecem os riscos. . . Se as pessoas nao ´ os profissionais da area ´ Afeta tambem
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
24 / 27
ˆ Fatores economicos
Fatores humanos (2/2) ˜ dos atacantes Motivac¸oes I I I
˜ Diversao Desafio Fama
˜ dispostos a pagar por seguranc¸a Poucos estao I
´ disso, muitas vezes o atacante tem tempo de sobra. . . Alem Assimetria de recompensas I I
I
I
Para o atacante, um acerto pode recompensar 99 erros Para o defensor, um erro pode anular 99 acertos
Mais recentemente, os incidentes de seguranc¸a passaram a ser vinculados a atividades criminosas → hacking for profit I I I
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
Software seguro custa mais e leva mais tempo para ser lanc¸ado ˆ ˜ tem ˆ incentivos para Em consequ¨ encia, os fornecedores nao aumentar a seguranc¸a de seus produtos ´ Os usuarios finais acabam incorrendo nos custos
SOP
25 / 27
˜ de credito ´ Roubo de cartoes ´ Fraudes bancarias ´ Redes de maquinas comprometidas (bots) que podem ser usadas ˜ (DDoS) ou alugadas para envio de spam ou para extorsao lanc¸amento de ataques
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
26 / 27
´ Fatores tecnologicos
´ ˆ fatores principais: Do ponto de vista tecnologico, existem tres ˜ sao ˜ inicialmente projetados considerando a Sistemas que nao seguranc¸a I I
A seguranc¸a so´ e´ incorporada mais tarde ´ Isso muitas vezes deixa vulnerabilidades estruturais irremediaveis
´ Dificuldade de construir sistemas inviolaveis I
O paradigma do servidor superseguro
˜ de seguranc¸a Dificuldade de usar corretamente as soluc¸oes existentes I
Gerenciamento da seguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
27 / 27
˜ da disciplina I. Apresentac¸ao ˜ a` seguranc¸a II. Uma breve introduc¸ao
˜ a SEG Aula 1: Introduc¸ao
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
1 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
2 / 27
˜ Apresentac¸ao
Rafael Obelheiro ˜ Formac¸ao
Parte I
I I
˜ da Disciplina Apresentac¸ao
I
ˆ ´ Experiencia na area I I I I
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
˜ FURG (RS), 1999 Engenheiro de computac¸ao, ´ Mestre em Eng. Eletrica, UFSC, 2001 ´ Doutor em Eng. Eletrica, UFSC, 2006
SOP
3 / 27
Administrador de redes e sistemas UNIX desde 1994 Analista de seguranc¸a no NBSO (atual CERT.br), 2002 Mestrado e doutorado em seguranc¸a de sistemas distribu´ıdos ˜ no comiteˆ de programa de eventos academicos ˆ Participac¸ao (SBSeg) e profissionais (GTS)
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
4 / 27
Objetivo geral
Objetivos espec´ıficos
Compreender os principais conceitos e princ´ıpios envolvidos na seguranc¸a de sistemas computacionais interligados em rede ˜ duradouros Conceitos sao
Ao final da disciplina, o aluno devera´ ter adquirido conhecimento sobre Conceitos de seguranc¸a computacional
A tecnologia muda constantemente, mas sem alterar os princ´ıpios ´ A teoria sustenta a pratica
Seguranc¸a de sistemas ´ Mecanismos criptograficos
´ ˜ da teoria A pratica mostra a aplicac¸ao
Seguranc¸a de redes
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
5 / 27
´ Conteudo programatico ´
I I I I I
I
I I I
6 / 27
Gollmann, Computer Security, 2nd Ed. Wiley, 2006. Cheswick, Bellovin e Rubin, Firewalls e Seguranc¸a na Internet, 2a ed. Bookman, 2005.
˜ autenticac¸ao pol´ıticas de seguranc¸a controle de acesso ´ principais mecanismos criptograficos malware ˜ segura programac¸ao
Complementar: Bishop, Computer Security: Art and Science. Addison-Wesley, 2002. Northcutt e Novak, Network Intrusion Detection: An Analyst’s Handbook, 2nd Ed. New Riders, 2000.
˜ em uma rede coleta de informac¸oes firewalls e VPNs ˜ e tratamento de intrusoes ˜ detecc¸ao ˜ de rede (web, email) seguranc¸a de aplicac¸oes seguranc¸a de redes sem fio
Stallings, Criptografia e Seguranc¸a de Redes, 4a ed. Prentice Hall, 2007. outros livros e artigos
? c 2008 Rafael Obelheiro (DCC/UDESC)
SOP
Principal:
Seguranc¸a de redes I
˜ a SEG Aula 1: Introduc¸ao
Bibliografia
˜ a` seguranc¸a Introduc¸ao Seguranc¸a de sistemas I
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
7 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
8 / 27
˜ Avaliac¸ao
˜ adicionais Informac¸oes
´ Pagina da disciplina
ˆ provas Tres I I I
I
P1: 3 de setembro (30% da nota final) P2: 17 de outubro (35% da nota final) P3: 19 de novembro (35% da nota final)
I
Atendimento ˆ Frequ¨ encia
Exerc´ıcios
˜ a SEG Aula 1: Introduc¸ao
SOP
http://joinville.udesc.br/mailman/listinfo/seg-bcc-l
Notas de aula
Trabalhos podem substituir parte das notas parciais (a decidir)
c 2008 Rafael Obelheiro (DCC/UDESC)
http://www2.joinville.udesc.br/~dcc2rro/
˜ Lista de discussao
9 / 27
Algumas dicas
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
10 / 27
SOP
12 / 27
Explicitando as premissas
˜ tome notas, pergunte, Durante as aulas: preste atenc¸ao, participe, permanec¸a na sala. . . I
e´ um uso mais eficiente do seu tempo
Evite perder aulas I
caso perca, informe-se sobre o que foi visto em aula
˜ deixe as duvidas Nao se acumularem ´ ˆ Acompanhe a bibliografia de referencia e os exerc´ıcios I
permite identificar eventuais dificuldades a tempo
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
11 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
´ Questionario preliminar 1. Nome 2. Email ´ ˜ (emprego, estagio, ´ 3. Voceˆ atua na area de computac¸ao IC, . . . )? Se ´ ˜ sim, especifique a area de atuac¸ao 4. Voceˆ ja´ cursou REC?
Parte II ˜ a` Seguranc¸a Uma Breve Introduc¸ao
5. Qual a sua expectativa para esta disciplina? 6. Atribua notas de 1 (menor) a 6 (maior) para seu conhecimento dos seguintes assuntos: a) UNIX/Linux b) redes TCP/IP c) seguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
13 / 27
Por que a seguranc¸a e´ importante
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
14 / 27
SOP
17 / 27
Incidentes de seguranc¸a no Brasil
˜ dependem da Cada vez mais as pessoas e as organizac¸oes ˜ e dos sistemas que a processam informac¸ao Atributos relevantes I
confidencialidade
I
integridade
I
disponibilidade
seguranc¸a
Nem sempre se consegue garanti-los
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
16 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
Quem e´ o inimigo?
Incidentes de seguranc¸a nos EUA
´ A Internet eliminou as fronteiras geograficas Dados do CERT.br sobre a origem dos ataques (2006) 25.00%
24.61%
22.50%
21.18%
20.00%
Ataques (%)
17.50% 15.00% 12.50% 10.00%
9.45%
7.50%
6.13%
5.00%
5.51%
4.70%
2.50%
2.69%
2.55%
2.10%
2.05%
TW
FR
DE
AR
0.00% US
BR
CN
ES
RU
KR
Origem c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
18 / 27
ˆ Consequ¨ encias da inseguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
19 / 27
Um exemplo ˜ de credito ´ Dados de cartoes encontrados em redes IRC americanas
Perda de dados ˜ sigilosas Roubo de informac¸oes Indisponibilidade de servic¸os Comprometimento da imagem publica ´ ´ Fraudes bancarias e financeiras Roubo de identidade ˜ Extorsao Envolvimento em atividades indevidas ou ilegais → spam, ´ ataques a outras maquinas, pirataria, pornografia Tudo isso representa preju´ızo moral ou financeiro Fonte: Franklin et al., “An Inquiry into the Nature and Causes of the Wealth of Internet Miscreants” (ACM CCS’2007) c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
20 / 27
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
21 / 27
´ Princ´ıpios basicos
Fatores humanos (1/2) ˜ a` conveniencia ˆ A seguranc¸a muitas vezes se contrapoe I
Exemplo: diversidade de senhas que precisam ser memorizadas F F
˜ forte quanto o seu elo mais Acima de tudo, a seguranc¸a e´ tao fraco ˆ tipos principais de fatores Podemos considerar tres I I I
F I
˜ “Soluc¸oes” F F
Humanos ˆ Economicos ´ Tecnologicos
˜ Internet, letras Banco: cartao, Internet: provedor, email, cadastro em sites ˜ ... Outras: celular (chip), alarme da casa, vale refeic¸ao,
F F F
Senhas em branco ´ ´ Senhas obvias ou faceis Senhas repetidas Post-Its ˆ Arquivo senhas.txt (de preferencia no desktop)
Seguranc¸a e´ dif´ıcil de usar, ou trabalhosa I I I I
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
23 / 27
Quem ja´ fez seu backup hoje? ´ Descuido com dispositivos ou m´ıdias portateis ˜ conhecem os riscos. . . Se as pessoas nao ´ os profissionais da area ´ Afeta tambem
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
24 / 27
ˆ Fatores economicos
Fatores humanos (2/2) ˜ dos atacantes Motivac¸oes I I I
˜ Diversao Desafio Fama
˜ dispostos a pagar por seguranc¸a Poucos estao I
´ disso, muitas vezes o atacante tem tempo de sobra. . . Alem Assimetria de recompensas I I
I
I
Para o atacante, um acerto pode recompensar 99 erros Para o defensor, um erro pode anular 99 acertos
Mais recentemente, os incidentes de seguranc¸a passaram a ser vinculados a atividades criminosas → hacking for profit I I I
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
Software seguro custa mais e leva mais tempo para ser lanc¸ado ˆ ˜ tem ˆ incentivos para Em consequ¨ encia, os fornecedores nao aumentar a seguranc¸a de seus produtos ´ Os usuarios finais acabam incorrendo nos custos
SOP
25 / 27
˜ de credito ´ Roubo de cartoes ´ Fraudes bancarias ´ Redes de maquinas comprometidas (bots) que podem ser usadas ˜ (DDoS) ou alugadas para envio de spam ou para extorsao lanc¸amento de ataques
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
26 / 27
´ Fatores tecnologicos
´ ˆ fatores principais: Do ponto de vista tecnologico, existem tres ˜ sao ˜ inicialmente projetados considerando a Sistemas que nao seguranc¸a I I
A seguranc¸a so´ e´ incorporada mais tarde ´ Isso muitas vezes deixa vulnerabilidades estruturais irremediaveis
´ Dificuldade de construir sistemas inviolaveis I
O paradigma do servidor superseguro
˜ de seguranc¸a Dificuldade de usar corretamente as soluc¸oes existentes I
Gerenciamento da seguranc¸a
c 2008 Rafael Obelheiro (DCC/UDESC)
˜ a SEG Aula 1: Introduc¸ao
SOP
27 / 27
Related Documents
Seg Aula 01 Handout
November 2019 11
Seg Aula 07 Handout
November 2019 18
Seg Aula 08 Handout
November 2019 19
Seg Aula 03 Handout
November 2019 11
Seg Aula 04 Handout
November 2019 11