Segurança e Auditoria de Sistemas. Jéfer Benedett Dörr

Segurança e Auditoria de 

Sistemas

Segurança e Auditoria de 

Sistemas

Jéfer Benedett Dörr prof.jefer@gmail.com

●

Noticias

●

Dados pessoais

●

fraudes

●A China Netcom, um dos maiores provedores chineses, foi vítima da  perigosa vulnerabilidade no sistema de nomes e endereços da internet,  conhecido tecnicamente como DNS, de acordo com a fabricante de  segurança WebSense. ● ●As vítimas são redirecionadas para sites maliciosos ­ alguns ainda estão  ativos ­ que tentam explorar vulnerabilidade conhecidas em softwares como  os tocadores RealPlayer e Flash Player. ●Outro ataque tenta se aproveitar de um problema no controle ActiveX  ●Caso o ataque tenha sucesso, o PC baixará um cavalo­de­tróia que cancela  atualização de softwares de segurança,

Noticias

●Os scripts ‘envenenados’, inseridos no ecosistema de anúncios online,  estão armazenando as URLs nas áreas de transferência dos usuários, ● ●usuários revelam encontrar URLs estranhas em suas áreas de transferência  após visitar sites legítimos, o que o levou à conclusão de que os anúncios  estavam contaminados. ● ●uma vez que a URL maliciosa for acessada pelo browser, a pessoa é levada  ao site que está distribuindo os malwares. ● ●Os usuários podem apagar a memória da área de transferência fechando o  navegador 

Ataque inclui URLs maliciosas em área de transferência dos 

usuários

●Um homem da Flórida foi condenado a 15 meses de prisão e multado em  mais de 415 mil dólares por vender consoles que tinham ao menos 76  games piratas em sua memória, revelou o Departamento de Justiça dos  Estados Unidos na sexta­feira (18/08). ● ●Kifah Maswadi, de 24 anos, foi acusado de infração de direitos autorais  por vender os consoles portáteis Power Player com as cópias piratas dos  games ­ a maioria da Nintendo ou de empresas licenciadas. ● ●O criminoso vendeu os consoles entre 2006 e 2007, por meio de um site, e  lucrou mais de 390 mil dólares. ● ●Além da prisão e restituição à Justiça, Maswadi ficará três anos em  liberdade assistida, além de ter que cumprir 50 horas de serviços à  comunidade.

 Cuidados com seus Dados Pessoais

●não fornecer seus dados pessoais (como nome, e­mail, endereço e números  de documentos) para terceiros.  ●nunca forneça informações sensíveis (como senhas e números de cartão de  crédito), a menos que esteja sendo realizada uma transação (comercial ou  financeira) e se tenha certeza da idoneidade da instituição que mantém o  site. ●Com isso, corre­se o risco destas informações serem repassadas sem sua  autorização para outras instituições ou de um atacante comprometer este  servidor e obter acesso a todas as informações. ● Ao ter acesso a seus dados pessoais, um atacante poderia, por exemplo,  utilizar seu e­mail em alguma lista de distribuição de spams ou se fazer  passar por você na Internet (através do uso de uma de suas senhas). ●Que cuidados devo ter em sites de redes de relacionamentos, como por  exemplo o orkut? ●

    Cuidados com os Dados Armazenados em um Disco Rígido ● ●Caso você mantenha informações sensíveis ou pessoais que você não deseja  que sejam vistas por terceiros (como números de cartões de crédito, declaração  de Imposto de Renda, senhas, etc), estas devem ser armazenadas em algum  formato criptografado. ● ●Estes cuidados são extremamente importantes no caso de notebooks, pois são  mais visados e, portanto, mais suscetíveis a roubos, furtos, etc. ● ●Caso as informações não estejam criptografadas, se você necessitar levar o  computador a alguma assistência técnica, por exemplo, seus dados poderão ser  lidos ou copiados por uma pessoa não autorizada. ● ●Para criptografar estes dados, além de serem utilizados para a criptografia de  e­mails, também podem ser utilizados para criptografar arquivos. 

Um exemplo seria utilizar um programa que implemente criptografia de  chaves pública e privada4, como o GnuPG. O arquivo sensível seria  criptografado com a sua chave pública e, então, decodificado com a sua  chave privada, sempre que fosse necessário. É importante ressaltar que a segurança deste método de criptografia  depende do sigilo da chave privada. A idéia, então, é manter a chave  privada em um CD ou outra mídia (como pen drive, disco rígido removível  ou externo) e que este não acompanhe o computador, caso seja necessário  enviá­lo, por exemplo, para a assistência técnica. Também deve­se ter um cuidado especial ao trocar ou vender um  computador. Apenas apagar ou formatar um disco rígido não é suficiente  para evitar que informações antes armazenadas possam ser recuperadas.  Portanto, é importante sobrescrever todos os dados do disco rígido

Cuidados com Telefones Celulares, PDAs e Outros Aparelhos com  Bluetooth ● ●Telefones celulares deixaram de ser meramente aparelhos utilizados para  fazer ligações telefônicas  ● passaram a incorporar diversas funcionalidades, tais como: calendário,  despertador, agenda telefônica e de compromissos, câmera fotográfica,  envio e recebimento de texto e imagens, etc. ● ●A tecnologia bluetooth tem sido introduzida em diversos tipos de telefones  celulares para permitir a transmissão de dados entre eles  ● conectar um telefone a outros tipos de dispositivo (por exemplo, fones de  ouvido, sistema viva­voz de automóveis, etc).  ● ●O fato é que a inclusão da tecnologia bluetooth em aparelhos como  telefones celulares e PDAs, entre outros, trouxe alguns riscos que podem  afetar a privacidade de seus usuários. 

Que riscos estão associados ao uso de aparelhos com bluetooth?

●

Muitas vezes, um aparelho que fornece a tecnologia bluetooth vem 

configurado de fábrica, ou é posteriormente configurado, de modo 

que qualquer outro aparelho possa se conectar a ele, 

indiscriminadamente. 

● ●

O problema não reside no fato do aparelho disponibilizar a 

tecnologia, mas sim na má configuração das opções de bluetooth, que 

podem permitir que terceiros obtenham diversas informações de um 

aparelho. 

● ●

Estas informações podem incluir: agenda telefônica, agenda de 

compromissos, arquivos, imagens, entre outras.

● ●

Pode­se citar como exemplos os casos de algumas celebridades que 

tiveram todos os contatos telefônicos armazenados em seus aparelhos 

furtados e disponibilizados na Internet. 

●

Fraudes

●

atacantes tem concentrado seus esforcos na exploracao 

de fragilidades dos usuários, para realizar fraudes 

comerciais e bancárias atravás da Internet.

●

Para obter vantagens, os fraudadores têm utilizado 

amplamente e­mails com discursos que, na maioria dos 

casos, envolvem engenharia social e que tentam 

persuadir o usuário a fornecer seus dados pessoais e 

financeiros. 

●

Em muitos casos, o usuário e induzido a instalar algum 

código malicioso ou acessar uma página fraudulenta, 

para que dados pessoais  sejam roubados.

Scam

●

Scam = Golpe

●

Fraude, geralmente com finalidade de obter vantagem 

financeira.

● ●

Sites de leilão com preços muito baixos – atrativos

●

Não receber o produto

●

Ter dados pessoais roubados

●

Comparar preço médio do produto

O golpe da Nigéria (Nigerian 4­1­9 Scam)

●Você recebe um e­mail em nome de uma instituicao governamental da  Nigéria (por exemplo, o Banco Central), solicitando que você atue como  intermediário em uma transferência internacional de fundos.  ●O valor mencionado na mensagem normalmente corresponde a dezenas ou  centenas de milho es de dólares.       ẽ ● Como recompensa, você terá direito de ficar com uma porcentagem (que e  normalmente alta) do valor mencionado na mensagem.  ●Para completar a transação e solicitado que você pague antecipadante uma  quantia, para arcar com taxas de transferência de fundos, advogados... ● golpe conhecido como Advance Fee Fraud, ou “a fraude de antecipacao de  pagamentos”        ●   No nome dado a este tipo de fraude, Nigerian 4­1­9 Scam, o número  “419” refere­se a secao do código penal da Nigéria que e violada por este  golpe.  ●E´ equivalente ao artigo 171 do nosso código penal, ou seja, estelionato. ●Normalmente palavras como URGENTISSIMO, CONFIDENCIAL ●Sempre seperguntar,pq vc escolhido para receber esta quantia.

●Hoax: ●"embuste" numa tradução literal ●histórias falsas recebidas por e­mail, sites de relacionamentos e na internet  em geral, cujo conteúdo, além das conhecidas correntes, consiste em apelos  dramáticos de cunho sentimental ou religioso, supostas campanhas  filantrópicas, humanitárias ou de socorro pessoal ou, ainda, falsos virus que  ameaçam destruir, contaminar ou formatar o disco rígido do computador. ● ●Ainda assim, muitas pessoas acreditam em coisas impossíveis como  alguns hoaxes que circulam pela internet.  ●Existem hoaxes de que pessoas pobres farão uma cirurgia e que alguma  empresa irá pagar uma determinada quantia em centavos para cada e­mail  repassado.

●Em outubro de 2002, sugiram as mensagens dizendo que a música Aserehe  (ou Ragatanga), um sucesso do grupo Rouge, é um "mantra que cultua as  forças satânicas". A música é uma adaptação brasileira de Aserejé, grande  sucesso (em 2003) do grupo espanhol Las Ketchup. ● ●Outro exemplo do quanto um hoax pode ser perigoso, é de um que instruía  o internauta a apagar o arquivo Jdbgmgr.exe de computadores com o  Windows (esse boato se espalhou por e­mail e pelo Orkut). A mensagem  dizia que esse arquivo era um vírus. Na verdade, trata­se apenas de um  executável responsável por executar código em linguagem Java. Usuários  que apagaram esse arquivo poderiam ter dificuldades em acessar sites de  bancos, por exemplo, afinal é comum encontrar aplicações em Java nesses  endereços. ● ●Um outro tipo de hoax faz um abaixo assinado: conta uma mentira ­ como  "O Orkut vai ser pago" ­ e pede ao internauta para adicionar seu nome e o  número de seu documento de identificação no final de uma lista na  mensagem, pois ela será entregue à empresa responsável.

● Há os casos de piadas envolvendo um termo científico como o monóxido  de dihidrogênio, substância também conhecida como ácido hidroxílico e  que o vulgo insiste em chamar de água. Essa terrível substância, de efeitos  devastadores sobre o meio ambiente, estaria em vias de produzir uma  hecatombe mundial e extinguir a vida sobre a face da terra. ● ●Water net

Dicas: ­ Hoax quase sempre contém uma mensagem do tipo "espalhe essa mensagem para  sua lista de contatos" ou "encaminhe este e­mail para o máximo de pessoas  possível"; ­ Algumas mensagens citam nomes de empresas. Na dúvida, entre em contato com  a companhia mencionada. Se a mensagem for falsa (e geralmente é), esse tipo de  contato é bom, pois além da empresa esclarecer sua dúvida, ela poderá divulgar  uma nota em seu site alertando sobre o problema; ­ Nenhuma empresa oferece prêmios e faz divulgação por e­mail, exceto quando  você está cadastrado em um serviço de newsletter dela. Além disso, nenhuma  empresa oferece prêmios de valor extremamente alto; ­ Nenhuma empresa conta a quantidade de pessoas que recebeu um determinado e­ mail e depois faz doações correspondentes a essa quantia; ­ Vírus perigosos são noticiados por empresas de antivírus, por sites de informática  e até mesmo por sites de notícias em geral. Logo, e­mails que tratam de um vírus  poderoso sem, ao menos, este ser citado nos sites mencionados, certamente são  falsos; ­ Se a mensagem afirmar que você terá azar, ficará solteiro(a) pro resto da vida ou  que seus sonhos não se realizarão se o e­mail não for encaminhado... Bom, aí não  é preciso nem dizer: é claro que se trata de um hoax!

Dicas: ­ Hoax quase sempre contém uma mensagem do tipo "espalhe essa mensagem para  sua lista de contatos" ou "encaminhe este e­mail para o máximo de pessoas  possível"; ­ Algumas mensagens citam nomes de empresas. Na dúvida, entre em contato com  a companhia mencionada. Se a mensagem for falsa (e geralmente é), esse tipo de  contato é bom, pois além da empresa esclarecer sua dúvida, ela poderá divulgar  uma nota em seu site alertando sobre o problema; ­ Nenhuma empresa oferece prêmios e faz divulgação por e­mail, exceto quando  você está cadastrado em um serviço de newsletter dela. Além disso, nenhuma  empresa oferece prêmios de valor extremamente alto; ­ Nenhuma empresa conta a quantidade de pessoas que recebeu um determinado e­ mail e depois faz doações correspondentes a essa quantia; ­ Vírus perigosos são noticiados por empresas de antivírus, por sites de informática  e até mesmo por sites de notícias em geral. Logo, e­mails que tratam de um vírus  poderoso sem, ao menos, este ser citado nos sites mencionados, certamente são  falsos; ­ Se a mensagem afirmar que você terá azar, ficará solteiro(a) pro resto da vida ou  que seus sonhos não se realizarão se o e­mail não for encaminhado... Bom, aí não  é preciso nem dizer: é claro que se trata de um hoax!