Integridade

Integridade

Integridade

Integridade vem do latim integritate, significa a qualidade de alguém ou algo a ser íntegre, de conduta reta, pessoa de honra, ética, educada, brioso, pundonoroso , cuja natureza de ação nos dá uma imagem de inocência, pureza ou castidade, o que é íntegro, é justo e perfeito, é puro de alma e de espírito.

São exemplos de integridade moral e corporal: a vida íntegra, a integridade física, dos bens sociais e individuais, integridade da honra e da fama, a integridade da intimidade pessoal, do nome, da imagem e dos sentimentos. É indiscutível a admissão da existência de determinados bens da personalidade e sua integridade, portanto, esta coaduna com o respeito, e este com a moral, e, quem tem moral, é íntegro.

Um ser humano íntegro não se vende por situações momentâneas, infringindo as normas e leis, prejudicando alguém por um motivo fútil e incoerente. A moral de uma pessoa não tem preço e é indiscutível.

Em segurança da informação integridade significa ter a disponibilidade de informações confiáveis, corretas e dispostas em formato compatível com o de utilização, ou seja, informações íntegras, integridade é um dos itens que a caracteriza, e significa que a informação não foi alterada de forma não autorizada ou indevida. Se a informação é alterada de forma errada ou mesmo falsificada ela perde sua eficácia e confiabilidade, tornando vulneráveis decisões que a partir dela são tomadas, e tirando a credibilidade do ambiente (site ou empresa) que a forneceu.

Os outros itens que completam a integridade na segurança da informação são: disponibilidade (o tempo máximo que a informação está disponível), autenticidade (quando mais próxima do texto ou situação original mais autêntica se torna a informação prestada), e confidencialidade (a garantia que somente pessoas autorizadas terão acesso a determinada informação).

Fonte:Wikipedia

Confidencialidade

Confidencialidade

Confidencialidade

Confidencialidade é a propriedade da informação pela que não estará disponível ou divulgada a indivíduos, entidades ou processos sem autorização. Em outras palavras, confidencialidade é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.

Confidencialidade foi definida pela Organização Internacional de Normalização (ISO) na norma ISO/IEC 17799 como “garantir que a informação seja acessível apenas àqueles autorizados a ter acesso” e é uma pedra angular da segurança da informação. A confidencialidade é uma das metas do projeto para muitos sistemas de criptografia, tornada possível graças à prática de técnicas de criptografia moderna.

A confidencialidade também se refere a um princípio ético associado com várias profissões (por exemplo, medicina, direito, religião psicologia, profissionais e jornalismo), neste caso, falamos de confidencialidade. Na ética, e (em alguns lugares) em Direito, em especial nos juízos e outras formas de resolução de litígios, como a mediação, alguns tipos de comunicação entre uma pessoa e um desses profissionais são “privilegiados” e não podem ser discutidos ou divulgada a terceiros. Nas jurisdições em que a lei prevê a confidencialidade, geralmente há sanções em caso de sua violação.

O sigilo das informações, imposta a uma adaptação do clássico princípio militar “know-how”, é a pedra angular da segurança da informação nas empresas de hoje. A chamada “bolha da privacidade” restringe o fluxo de informações, com positivas e negativas consequências.

Confidencialidade na Informática

A confidencialidade é compreendida no domínio da segurança informática como a proteção de dados e informações trocadas entre um emissor e um ou mais destinatários contra terceiros. Isto deve ser feito independentemente da segurança do sistema de comunicação utilizado: de fato, uma questão de grande interesse é o problema de garantir o sigilo de comunicação utilizado quando o sistema é inerentemente inseguro (como a Internet).

Em um sistema que garante a confidencialidade, caso um terceiro capture informações trocadas entre o remetente e o destinatário, não será capaz de extrair qualquer conteúdo inteligível.

Para garanti-la, utilizam-se mecanismos de criptografia e de ocultação de comunicação. Digitalmente podem manter a confidencialidade de um documento com o uso de chaves assimétricas. Os mecanismos de criptografia devem garantir a confidencialidade durante o tempo necessário para a descodificação da mensagem. Por esta razão, é necessário determinar quanto tempo a mensagem deve permanecer confidencial. Não existe nenhum mecanismo de segurança absolutamente seguro.

Fonte:Wikipedia

Política de segurança da informação

Política de Segurança da Informação

Política de segurança da informação

Uma Política de Segurança da Informação tem por objetivo possibilitar o gerenciamento da segurança em uma organização, estabelecendo regras e padrões para proteção da informação. A política possibilita manter a confidencialidade, garantir que a informação não seja alterada ou perdida e permitir que a informação esteja disponível quando for necessário.

Os controles devem ser definidos levando em conta as características de cada empresa, definindo o que é permitido e o que é proibido. A implantação, para ser bem sucedida, deve partir da diretoria da empresa para os demais funcionários (abordagem top down). A política deve ser divulgada para todos os funcionários da organização, de forma a manter a segurança das informações.

Fonte:Wikipedia

Cibersegurança

Cibersegurança

Cibersegurança

Cibersegurança é o termo que designa o conjunto de meios e tecnologias que visam proteger, de danos e intrusão ilícita, programas, computadores, redes e dados. Também conhecida como segurança do ciberespaço, a cibersegurança tem se tornado uma preocupação para muitas pessoas e nações. Os riscos a que os usuários de sistemas informatizados se submetem aumentam diariamente e políticas de segurança apropriadas são necessárias. Muitos governos estão investindo pesadamente na pesquisa e aquisição de novas tecnologias de segurança da informação em virtude do crescimento da presença de dispositivos computacionais interconectados e, por consequência, do aumento dos riscos associados a esse crescimento. Os chamados ciberataques são responsáveis por sérias consequências a empresas, pessoas e países. Existem três aspectos importantes em cibersegurança, a saber: Integridade, Confidencialidade e Disponibilidade.

Conceitos de cibersegurança

Os debates em torno da cibersegurança, assim como a conhecemos, intensificaram-se em meados dos anos 1990 nos Estados Unidos, se espalhando para outros países desenvolvidos e se manifestando em políticas de segurança em uma variedade de formas. Tais debates são produto da Revolução da informação ou Terceira Revolução Industrial, onde se observa a presença das tecnologias da informação e comunicação em larga escala, envolvidas em vários aspectos da atividade humana. A criação de incentivos para motivar todas as partes da economia da Internet a fazer investimentos apropriados em segurança requer medidas técnicas e políticas públicas cuidadosamente equilibradas para aumentar a segurança sem criar barreiras à inovação, ao crescimento econômico e ao fluxo livre de informações.

Os diversos conceitos de cibersegurança habitualmente incorporam as seguintes definições:

  • Conjunto de atividades e outras medidas, técnicas ou não-técnicas, que visam proteger computadores, redes de computadores, hardware e software relacionados.
  • O grau de proteção resultante da aplicação dessas atividades e medidas.
  • A pesquisa e análise que visam implementar essas atividades e melhorar sua qualidade.

Aspectos de cibersegurança

A cibersegurança possui três aspectos muito importantes: Confidencialidade, Integridade e Disponibilidade. Além desses, outros dois aspectos também estão sendo postos em discussão: a Legitimidade e a Autenticidade.

Confidencialidade

Significa que nenhum acesso a informação deve ser provido a sistemas ou usuários não-autorizados. Em outras palavras, apenas usuários e sistemas com os privilégios adequados (entidades legítimas) podem ter acesso a informação. A norma ISSO-17799 define confidencialidade como sendo a garantia de que a informação seja acessível apenas àqueles autorizados a ter acesso. Graças às técnicas de criptografia moderna, por exemplo, a confidencialidade já é uma realidade. Com a garantia da confidencialidade, terceiros que obtenham a informação entre um remetente e um destinatário não serão capazes de extrair conteúdo compreensível da mesma.

Integridade

Aspecto que se preocupa com a confiança que pode ser depositada em uma informação obtida. A informação não pode ser modificada por partes não-autorizadas. A integridade é quebrada quando partes não-autorizadas modificam a informação. A quebra da integridade de uma informação pode ser feita a partir da alteração do conteúdo da informação ou a partir da alteração das estruturas que fornecem suporte ao armazenamento do conteúdo. A integridade é dependente da confidencialidade, pois se alguma informação confidencial for perdida, os mecanismos de integridade podem ser desativados. A confidencialidade é dependente da integridade, pois se a integridade de um sistema for perdida, os mecanismos que controlam a confidencialidade não são mais confiáveis.

Disponibilidade

O objetivo da disponibilidade é garantir o acesso de usuários autorizados a um determinado serviço ou recurso, assim que forem requisitados.

Principais tipos de ciberataques

Os ciberataques surgiram com o objetivo de desestruturar sistemas que controlam serviços essenciais à vida de pessoas ou aos recursos de uma organização. Os serviços financeiros e administrativos estão entre os alvos mais visados por este tipo de ataque. Redes bancárias, ministérios, redes de comunicações, redes de distribuição de energia e água e redes de direção de tráfego aéreo controladas por computadores são prováveis alvos. Entre os principais tipos de ciberataques, podemos citar: ataque de negação de serviço (DoS), malwares, ataques em redes sociais, botnets e Zombies e scarewares.

Negação de Serviço (DOS)

Refere-se ao ataque que impede ou prejudica a funcionalidade de redes, sistemas ou aplicações, esgotando seus recursos. Portanto, a negação de serviço não é um ataque de invasão e sim de sobrecarga. O atacante pode também obstruir o meio de comunicação existente entre os clientes e o sistema, prejudicando a comunicação. Os alvos dos ataques de negação de serviço incluem, além dos alvos finais, máquinas que servem como agentes de ataque (Zombies).

Malwares

Spywares, vírus de computador e worms são considerados malwares. Os malwares são popularmente conhecidos por se espalhar rapidamente em e-mails e programas de mensagens instantâneas, além de infectar websites.

Ataques em Redes Sociais

As redes sociais constituem alvo frequente de ataques por comportar um grande volume de usuários e dados pessoais. O roubo de identidade é um dos objetivos desse tipo de ataque. Ataques de spam através de redes sociais cresceram bastante entre abril e junho de 2011.

Botnets e Zombies

Botnets são uma coleção de agentes de software (bots) que comprometem máquinas com o objetivo de capturar informações e enviá-las para um cliente específico. As máquinas infectadas recebem o nome de Zombies.

Scarewares

Programas que são vendidos ou divulgados como proteção para um computador, mas que na verdade são criados para infectá-lo. O software de segurança adquirido pode deixar de alertar sobre possíveis vírus na sua existência, ou fazer alertas falsos.

Breve histórico de ciberataques

Os primeiros ataques de negação de serviço surgiram em meados da década de 90. Em 1996, hackers já exploravam falhas existentes no protocolo da Internet mais utilizado, o TCP/IP, para investir em ataques. Em 2000, vários sites robustos de multinacionais como eBay, Yahoo, Amazon e CNN sofreram ataques de negação de serviço, resultando em uma perda de aproximadamente 1,7 milhões de dólares. Em 2007, uma série de ataques contra a Estônia afetou de forma grave os sites do primeiro-ministro estoniano, bancos e sites de menor tráfego. Os hackers utilizaram vários computadores como zombies e enviaram uma grande demanda de mensagens a uma taxa de envio muito alta aos sites alvo. Alguns pesquisadores acreditaram que este seria o começo de uma guerra cibernética e especularam que os russos teriam sido os autores dos ataques. Em julho de 2009, sites financeiros e de mídia foram atacados nos Estados Unidos e na Coreia do Sul. Em janeiro de 2010, a Google reportou que os ataques contra a sua estrutura corporativa (dezembro de 2009), que levou ao roubo de propriedade intelectual da empresa, originaram-se na China. Em setembro de 2010, a usina nuclear de Natanz, no Irã, foi alvo de ataques do worm Stuxnet, um dos malwares mais avançados que se tem conhecimento. Em novembro de 2010, o governo dos Estados Unidos admitiu que parte do seu tráfego na Internet foi desviado para China por um período de aproximadamente 18 minutos. Os chineses negaram a acusação. Em 2011, foi descoberta uma série contínua de ataques cibernéticos, iniciada em meados de 2006, contra governos e organizações como as Nações Unidas. Em maio de 2012, um vírus denominado Flame foi descoberto e pode ser considerado um dos mais avançados da história da computação. Em junho de 2012, pesquisadores da fabricante de antivírus Kapersky Lab confirmaram uma ligação entre o Flame e o Stuxnet. O Flame, no entanto, não tem o objetivo de destruir sistemas, mas apenas capturar dados.

O Stuxnet

Segundo uma reportagem de junho de 2012 do jornal americano The New York Times foram os Estados Unidos e Israel os responsáveis pelo Stuxnet. O ciberataque foi projetado para impedir que o Irã produza armas nucleares e para isso o ataque foi feito à usina nuclear iraniana de Natanz. Esse ataque, somado ao ataque do Flame, pode ser considerado como começo de uma possível ciberguerra, o que preocupa autoridades de todo o mundo.

Operação Aurora

A Operação Aurora foi uma série de ataques realizados em meados de 2009 que se aproveitou de uma falha de segurança do navegador Internet Explorer. Os ataques visavam o roubo de informação online e controle sem autorização de sistemas informatizados. Mais de 30 empresas americanas sofreram ataques, como a Adobe e a Google. Em janeiro de 2010, a empresa Google relatou que foi vítima dos ciberataques, originados na China. Em seu blog, a empresa ainda confirmou que várias contas de usuários do Gmail da Europa, Estados Unidos e China foram acessadas por terceiros, ressaltando que tais invasões não se aproveitaram de alguma falha de segurança da empresa, mas sim consequência de golpes de pishing e malwares.

Padrões de cibersegurança

Padrões de cibersegurança são padrões de segurança utilizados por organizações para minimizar o número de ciberataques. Os padrões ISO27002, SoGP, NERC, NIST, ISO15408, RFC2196 e ISA99 são alguns dos mais importantes padrões conhecidos.

Políticas de cibersegurança

Uma política de cibersegurança define as diretrizes referentes à segurança da informação em uma instituição ou governo. Com uma política de cibersegurança, o governo ou instituição firma um compromisso com a segurança de seus dados. Tais diretrizes devem ser registradas em forma de um documento sucinto, de fácil entendimento. Os mecanismos de segurança são responsáveis por forçar a utilização das políticas de segurança. O uso de um mecanismo de segurança só é efetivo se existir uma clara política de segurança. Usuários, equipes e gerentes devem estar atentos quanto à política de segurança adotada em sua empresa, bem com as obrigações que devem ter para seguir essa política.

Fonte:Wikipedia

Segurança da Informação

Segurança da Informação

Entrevista com Phineas Fisher

Escalada de privilégio na horizontal e na vertical

Muito se fala em escalação de privilégios, mas quando você questiona se a escalada ocorreu na horizontal ou na vertical, poucos sabem responder. O mais interessante que a definição tanto para um quanto para o outro é bem simples.
Vou exemplificar da maneira mais simples o possível.Quando você consegue acesso a uma máquina através de uma conta de um usuário qualquer e a partir dai você consegue acesso a conta de outro usuário com o mesmo nível de privilégio, isso que dizer que você realizou uma escalada de privilégio na horizontal. Agora quando você consegue acessar uma conta de um usuário com maior nível de privilégio, isso quer dizer que você realizou uma escalada de privilégio na vertical.

Segurança através da obscuridade

O que é a segurança através da obscuridade?

Na área de security engineering a segurança através de obscuridade ou segurança por obscuridade é uma dependência em relação ao sigilo do projeto ou implementação, como o principal método de proporcionar segurança para um sistema ou componente de um sistema.
Um sistema ou seu componente que depende da obscuridade para se ter uma camada de segurança pode ter vulnerabilidades teóricas ou reais, mas seus desenvolvedores ou proprietários acreditam que, se as falhas não são conhecidas, o sistema ou componente está livre de ataques.

O que a definição acima quer dizer é, que, os desenvolvedores tentam codificar suas aplicações de forma secreta com o pensamento de quem ninguém vai ser capaz de encontrar tais vulnerabilidades que venham a existir e apesar de que a segurança por obscuridade é uma grande furada, grandes corporações continuam utilizando tal técnica.

É bom lembrar que a segurança por obscuridade já vem sendo usada a muito tempo. Um exemplo foi o período da Black Chamber, que ocorreu na Europa, onde países como França e Inglaterra, enviavam mensagens para suas embaixadas utilizando códigos para que essas não pudessem ser lidas por interceptadores, uma vez que essas mensagens viajavam por meios inseguros. O problema aqui foi que em Viena na Áustria eles descobriram como decodificar tais mensagens e a partir dai ter acesso ao seu conteúdo. As cartas que continham as mensagens eram desviadas de seu destino original e iam parar em pontos secretos que eram localizados em Viena, onde eram abertas e suas mensagens decodificadas e posteriormente eram reenviadas para seu destino original. A partir daí outros países conseguiram o mesmo feito. O mais interessante aqui é, que esses países sabiam como decodificar mensagens de outros países, mas mesmo assim eles acreditavam que seu sistema de codificação era seguro.

Nunca utilize segurança por obscuridade como camada de segurança. Nunca assuma que o usuário não vai descobrir como a aplicação funciona. Nunca tente implementar segredos durante a codificação, pois mais cedo ou mais tarde o segredo será quebrado.

Bug poaching: Uma nova tática de extorsão cuja o alvo são empresas

Imagine que um ladrão entre na sua casa, mas não roube absolutamente nada, ao invés disso ele tira fotos de tudo que você tenha de valor em casa e vai embora. Alguns dias depois você recebe uma carta com todas as fotos tiradas pelo ladrão com a mensagem: “Se você quiser saber como eu entrei na sua casa, você terá de pagar um valor x.”

Na carta o ladrão não avisa se ele vai tentar invadir a sua casa novamente, ou se ele vai distribuir para outros ladrões as cópias das fotos que ele fez. Ele simplesmente diz para você pagar um valor x para que ele possa lhe dizer como ele entrou na sua casa.
Leia mais

Black box, white box ou gray box?

Quem trabalha na área de pentest sempre se depara com a pergunta: Qual tipo de pentest devo recomendar ao meu cliente? É claro que se o profissional for olhar apenas para o lado lucrativo da coisa, é óbvio que ele irá recomendar o black box. Afinal de contas esse é o tipo de teste que chega mais perto de um ataque real e por isso custa mais caro, sem falar que é o mais trabalhoso.
Mas e ai, será que a empresa realmente precisa de um black box, mesmo tendo ela condições financeiras de arcar com as despesas do teste?

A resposta é não, e vários fatores contribuem para isso.  Temos que entender que mesmo que a empresa tenha condições de arcar com as despesas, um teste black box é muito complexo e exigi muito tempo para ser realizado com eficácia. Como nenhum pentest é realizado por tempo indeterminado o teste black box pode não ser a melhor opção, mesmo sendo o tipo de teste que chega perto de um ataque real.

Leia mais