Faculdade de Engenharia da Computação

(1)

1

Faculdade de Engenharia da Computação

Disciplina:

Segurança Aplicada à Computação

Introdução aos Sistemas de Segurança Site : http://www1.univap.br/~wagner/ec.html

Prof. Responsáveis

(2)

Conceito de Segurança da

Informação

(3)

Conceito de

Informação

(4)

Dado

Informação

(5)

5

Dado

É um conjunto de letras, números ou dígitos que colocado isoladamente, não agrega nenhum conhecimento, não contem significado claro.

2,4,6,8,10; xyz; Maria

(6)

Exemplo de dado

Alfabeto Braille de seis dígitos

A B C D

E F G H

(7)

7

Dado => Informação

-.-. --- -.. .. --. --- / -- --- .-. ... .

(8)

Informação

O conceito de informação vem ser o dado trabalhado ou tratado agregado com sentido natural e lógico para quem usa a informação. Define-se como algo útil.

2,4,6,8,10 – São Múltiplos de dois. x,y,z - São coordenadas cartesianas.

(9)

9

Conhecimento

Quando a informação é “trabalhada” por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de conhecimento.

Exemplo: Percepção da dificuldade;

Uso de experiências semelhantes;

Concepção de equipamentos, pessoas, materiais e pessoas, que são vitais para um serviço.

Entendimento de contratos que podem ser negociados, visando à adequação à realidade de uma atividade.

(10)

Exemplo de Conhecimento

Problema

Desenvolver uma função

matemática para gerar apenas múltiplos de dois.

N={2,4,6,8,10...} <= Dado

Informação, todos são múltiplos de dois.

(11)

11

Conhecimento

Defini-se como conhecimento a

interpretação dos dados.

Alemão - Verfahren Inglês - Process Espanhol - acción

(12)

Proibido Fumar

Deficiente Físico

Radiação no local

Laser no local

Alta Tensão

Enviar dados para Impressora

Mulher e Homem

Proibido Estacionar

(13)

Mosaico (Segurança da

Informação)

13

(14)

Conceito de Segurança da

Informação

Deve estar relacionado com a

preservação de um conjunto de

informações, no sentido de preservar os valores que possuem para um individuo uma organização.

(15)

Motivação

• Segurança não Binária.

• Não

existe

ambiente

totalmente

seguro.

• Gerenciamento

de

Sistemas

de

Informação devem ser constantes.

(16)

Família ISO 27000

ABNT – NBR:

• 27001 – Sistema de Gestão de Segurança da informação.

• 27002 – Código de prática para Gestão da Segurança da Informação.

(17)

Preservação da Informação

17 Negócios Organização Informação Importância Patrimônio Adequadamente Protegida

(18)

Classificação da Informação

• Pública: Informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da empresa;

• Interna: O acesso a esse tipo de informação deve ser evitado, embora as conseqüências do uso não autorizado não sejam por demais sérias;

• Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras;

• Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas.

(19)

Ciclo de Vida da Informação

19 Disponibilidade Retratabilidade Autenticidade Informação Manuseio Descarte Transporte Armazena mento

(20)

Preservação de

• Confidencialidade;

• Integridade;

(21)

Segurança da Informação

21 Disponibilidade Dados e Serviços

(22)

Sistema seguro

• Confidencialidade

A informação somente pode ser acessada por pessoas explicitamente autorizadas; é a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo.

• Disponibilidade

A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária.

• Integridade

A informação deve ser retornada em sua forma original no momento em que foi armazenada.

(23)

Sistema seguro

- Autenticidade: Garante de que a

informação vem da fonte anunciada.

- Retratabilidade (Não Repudio) : Garantia de que a pessoa não negue ter criado a informação.

23

Segurança da Informação

https://www.youtube.com/watch?v=nVmRH tHJKfw

(24)

Gestão de Continuidade de

Negócios

Processo que identifica ameaças em potencial e os possíveis impactos às

operações de negócio caso essas

ameaças se concretize, buscando

desenvolver uma cultura organizacional capaz de responder e salvaguardar as informações e a reputação do órgão ou entidade.

(25)

Gestão de Riscos

Atividades coordenadas para

direcionar e controlar uma organização no que se refere a riscos, incluindo, inclusive, análise e avaliação, tratamento, aceitação e comunicação dos riscos.

(26)

Componentes de um Sistema

de Informação (SI)

Gestão SI Segurança de Computadores e Dados Segurança de rede Política Segurança da Informação

(27)

Como o SI

pode ser Obtido ?

(28)

Para se obter um SI

Implementando

CONTROLES,

para garantir que os objetivos de

segurança sejam alcançados.

(29)

Tópicos de Controle

29 Políticas Práticas Procedimentos Estruturas organizacionais Funções de softwares/hardware

(30)

Por que SI é necessária?

• As informações são constantemente colocadas à prova por diversos tipos de ameaças

• Fraudes eletrônicas, sabotagem, vandalismo, etc.

• Dependência nos sistemas de informação torna as organizações mais vulneráveis às ameaças

• Controle de acesso é cada vez mais difícil

• Sistemas de informação não foram projetados para serem seguros

• Codificação segura (evita buffer overflow, SQL Injection, PHP Injection, etc)

(31)

Mitos de Segurança

• Segurança da informação é responsabilidade única da TI; • Os engenheiros sempre me proverá sistemas seguros;

• Os ataques a informações são sofisticados por isso são realizados apenas por hackers.;

• Somente devemos nos preocupar com as informações salvas em meu computador ou na rede;

• Estagiários e terceirizados não estão incluídos no processo de segurança da informação;

• Meu website é seguro porque utiliza SSL e Criptografia de Dados;

• O Firewall nos protege de todos os ataques externo; • Falhas em aplicações internas não são tão importantes;

(32)

(33)

(34)

Segurança

Física

(35)

Segurança: Principais Ameaças

• Falhas em equipamentos, SO e aplicativos

• Acesso físico não autorizado (infraestrutura predial) • Perda de comunicação voz e dados

• Vandalismo, roubo, furto • Fatores naturais

–Incêndio, Inundação, Furacões, Desabamentos –Explosões, Raios, Terremotos

• Fatores humanos envolvidos –Negligência

–Despreparo

–Desinformação

(36)

(37)

(38)

(39)

Dispositivos de Autenticação

• Tokens : O que você tem;

• Passwords: O que você sabe;

• Smart Card: O que você sabe mais o que você tem;

• Autenticação Biométrica: Você é a senha.

(40)

(41)

Biometria

• Impressão Digital; • Retina/Íris dos olhos; • Características faciais; • Reconhecimento de Voz;

• Geometria e veias das mãos; • Padrão de escrita;

• Poros da pele; • Análise de DNA; • Formato da orelha;

• Composição química do odor corporal; • Emissões Térmicas;

• Geometria dos dedos;

(42)

Engenharia

Social

(43)

Conceito

Engenharia social em segurança da

informação, se refere a prática de

interações humanas para que pessoas

revelem dados sensíveis sobre um

sistema de computadores ou de

informações.

(44)

Exemplo (Golpe)

Alguém te liga, dizendo se, passar por funcionário do banco e pergunta dados sobre sua conta pedindo que você os confirme. Mesmo que você não diga a senha ele poderá ficar com informações valiosas sobre sua pessoa.

(45)

Exemplo – 2 (Golpe)

Alguém te manda um boleto bancário exatamente igual a data de sua fatura da (Sky, Net ou outro serviço); Quando você efetua o pagamento o crédito não irá para operadora original e sim para a conta de um golpista.

(46)

Exemplo Browser (Internet)

Não grave sua senha em computadores de estranhos

(47)

Exemplo Engenharia Social

47

(48)

Hacker da década de 90

Kevin David Mitnick

Preso em fevereiro de 1995 a Janeiro de 2000, 25 acusações federais; Fraude em Sistema Telefônicos, Roubo de Software (Sun,Motorola,Novell e Nokia).

(49)

Categorias de Hackers

49

Hacker de Chapéu Branco

Hacker de chapéu Cinza Hacker de Chapéu Preto

Aprender coisa novas, proteger a rede sob sua responsabilidade contra invasão ou danos, trabalha com autorização das organizações

Fama, crédito por resolver quebra-cabeças de rede desafiadores. Mais interessados em danos, os hackers ativistas que alteram sites e redes de corporações.

Pagamento em dinheiro, ofensas, Podem roubar segredos comerciais, número de cartões de crédito, listas de

clientes, trabalham sem sanção de organizações oficiais. M o ti v a ç ã o e O b je ti v o s

(50)

Perfil do

Hacker

(51)

Novatos

• Habilidades limitadas de computação e programação.

• Confiam em kits de ferramentas para realizar seus ataques.

• Podem causar muitos danos a sistemas porque geralmente não entendem como os ataques funcionam.

• Buscam atenção na mídia.

(52)

Punks cibernéticos

• Capazes de escrever o próprio software. • Possuem uma compreensão dos sistemas

que estão atacando.

• Muitos estão envolvidos em roubos de números de cartões de crédito e fraudes nas telecomunicações.

(53)

Internos

a) Funcionários ou ex-funcionário descontentes;

Podem estar envolvidos em cargos relacionados com tecnologia.

São auxiliados pelos privilégios que têm ou dos quais são encarregados como parte de seu trabalho.

Oferecem maior ameaça de segurança. b) Ladrões menores

Funcionários terceirizados, consultores.

São motivados por ganância ou necessidade de sustentar hábitos como drogas e jogo.

Oportunistas; tiram vantagem da segurança interna fraca. São conhecedores de computação.

(54)

Velha Guarda

• Parecem não ter intenção criminosa;

• Desrespeito alarmante pela propriedade particular;

• Parecem estar interessados no desafio intelectual;

(55)

Codificadores

• Agem como mentores dos novatos;

• Escrevem scripts e ferramentas que

outros usam;

• Motivados por um senso de poder e prestigio.

• Perigosos; possuem motivações ocultas; usam cavalos de troia.

(56)

Criminosos profissionais

• Especializados em espionagem corporativa. • Bandidos de aluguel

• Altamente motivados, altamente treinados, tem acesso a equipamento de ponta.

(57)

Guerreiros da informação/terroristas-cibernéticos

• Aumento do número em atividade desde a queda de muitas agencias de inteligência do bloco oriental.

• Possuem muito recursos.

• Misturam retórica política com atividade criminosa. (Ativistas políticos).

(58)

Ativistas

• Trabalham para erradicar ou prejudicar entidades ou causas que consideram malignas.

(59)

O que deve ser assegurado

• Seguros de Saúde; • Finanças; • Prontuários médicos; • Relatórios de crédito; • Relatórios policiais; • Contas Bancárias;

• Registros financeiros e transações.

(60)

Entendendo a Engenharia

Social

• Vaidade pessoal e/ou profissional; • Autoconfiança;

• Formação profissional; • Vontade de ser útil;

• Busca por novas amizades;

• Propagação de responsabilidade; • Persuasão

(61)

Engenharia Social

Reversa

(62)

Engenharia Social Reversa

Vem a ser uma operação trapaceira na qual o criminoso finge ser autoridade investida para resolver os problemas das pessoas.

Em geral os problemas são causados pelo próprio criminoso.

(63)

Engenharia social reversa

1. Primeiro o hacker cria um problema, como um ataque de navegação de serviço(DoS), paralisando a rede por um tempo.

2. Depois, se apresenta como um especialista que pode resolver esse tipo de problema. A vitima poderia ser induzida a se comunicar com hacker em busca de ajuda, o qual aproveita a oportunidade para resolver o problema.

3. Agora, acredita-se que o hacker seja um auxiliar ou especialista de confiança no ramo de segurança de redes, e assim ele recebe mais acesso à rede e equipamentos críticos do sistema.

4. Finalmente, o hacker é capaz de coletar informações de usuários e talvez instalar processos ocultos para serem executados no sistema.

(64)

(65)

Conclusão

A engenharia social não é

exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde

exploram-se falhas humanas em

organizações físicas ou jurídicas onde operadores do sistema de segurança da informação possuem poder de decisão parcial ou total ao sistema de segurança da informação seja ele físico ou virtual.

(66)

Importância do

descarte apropriado

do lixo

(67)

Mergulho no lixo

(Dumpster diving)

O Ato de retirar o lixo de uma organização como Hardware, Softwares e qualquer tipo de documento. Procurando vestígios como número de cartão de crédito, numeração de documentos, malas diretas e ou planilhas da diretoria.

(68)

Prevenção contra mergulho no lixo

• Desenvolver uma política de reciclagem e gestão do lixo por escrito.

• Usar essa política para criar métodos consistentes e sistemático para lidar com o lixo.

• Exija que os papeis a serem descartados sejam picados. Usando picados de cortes transversais e estreitos.

• Apague todos os dados de fitas, disquetes, pen drives e discos rígidos em casos críticos usar métodos de destruição de mídias.

(69)

Rastreio de pegadas na internet

Os criminosos adotam porque trata-se, de um método limpo, legal e seguro; Sendo usando como método de vigilância pelas vias de vazamentos de informações em organizações.

(70)

Métodos de rastreio de pegadas

• Redes sociais • Busca na web

• Enumeração de rede

• Reconhecimento baseados no Sistema de Nome de Domínio (DNS).

(71)

Redes Sociais

• Facebook • Twitter

(72)

Busca na web

• E-mail.

• Mecanismos de busca.

• Código-fonte em Linguagem HTML • Grupos de discussão (newsgroups). • Sites relacionados a segurança.

(73)

Enumeração de rede

Vem a ser o processo de identificar nomes de domínios assim como outros recursos na rede-alvo. Exemplo busca por endereços IP.

(74)

Reconhecimento baseado no Sistema de nomes de Domínio (DNS) Ferramentas de consulta: • www.dnsstuff.com • www.network-tools.com • www.networksolutions.com

(75)

Reconhecimento baseado em

rede

Vem a ser o processo de identificar

computadores e serviços ativos em uma rede-alvo.

Exemplo: ping tracert

netstat

(76)

(77)

• DoS Negação de serviço • Spam

• Phishing spam (Captura dados pessoais) • Ataques de força-bruta

• Interceptação de pacotes (Packet Sniffing) • Varreduras

• Ataques ao TCP/IP

• Malware (Programas Executáveis ou

Scripts)

(78)

(79)

Artigo Primeiro

O acesso, o processamento e a disseminação de informações através das redes de computadores devem estar a serviço do cidadão e da sociedade, respeitados os critérios de garantia dos direitos individuais e coletivos e de privacidade e segurança de pessoas físicas e jurídicas e da garantia de acesso às informações disseminadas pelos serviços de rede.

(80)

Artigo Segundo

É livre a estruturação e o

funcionamento das redes de

computadores e seus serviços,

ressalvadas disposições específicas

(81)

Artigo Terceiro

Para fins desta lei, entende-se por informações privadas aquelas relativas à pessoa física ou jurídica identificada ou identificável.

(82)

Sistemas Usados para

diminuição dos riscos.

(83)

• Educação do usuário final; • Antivírus;

• Antispyware (Eliminar ameaças por

varredura) Exemplo Windows Defender; • Filtro Anti Spam;

• Backup dos Dados; • Criptografia;

• Firewall;

• Sistemas de Detecção de Intrusão; • Política de segurança;

(84)

Topologias de

Segurança

(85)

85

Sistema de Segurança

Sistema de Segurança

(Pequeno)

(86)

(87)

87

Sistema de Segurança