1
Faculdade de Engenharia da Computação
Faculdade de Engenharia da Computação
Faculdade de Engenharia da Computação
Faculdade de Engenharia da Computação
Disciplina:
Segurança Aplicada à Computação
Introdução aos Sistemas de Segurança Site : http://www1.univap.br/~wagner/ec.html
Prof. Responsáveis
Conceito de Segurança da
Informação
Conceito de
Informação
Dado
Informação
5
Dado
É um conjunto de letras, números ou dígitos que colocado isoladamente, não agrega nenhum conhecimento, não contem significado claro.
2,4,6,8,10; xyz; Maria
Exemplo de dado
Alfabeto Braille de seis dígitos
A B C D
E F G H
7
Dado => Informação
-.-. --- -.. .. --. --- / -- --- .-. ... .
Informação
O conceito de informação vem ser o dado trabalhado ou tratado agregado com sentido natural e lógico para quem usa a informação. Define-se como algo útil.
2,4,6,8,10 – São Múltiplos de dois. x,y,z - São coordenadas cartesianas.
9
Conhecimento
Quando a informação é “trabalhada” por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de conhecimento.
Exemplo: Percepção da dificuldade;
Uso de experiências semelhantes;
Concepção de equipamentos, pessoas, materiais e pessoas, que são vitais para um serviço.
Entendimento de contratos que podem ser negociados, visando à adequação à realidade de uma atividade.
Exemplo de Conhecimento
Problema
Desenvolver uma função
matemática para gerar apenas múltiplos de dois.
N={2,4,6,8,10...} <= Dado
Informação, todos são múltiplos de dois.
11
Conhecimento
Defini-se como conhecimento a
interpretação dos dados.
Alemão - Verfahren Inglês - Process Espanhol - acción
Proibido Fumar
Deficiente Físico
Radiação no local
Laser no local
Alta Tensão
Enviar dados para Impressora
Mulher e Homem
Proibido Estacionar
Mosaico (Segurança da
Informação)
13
Conceito de Segurança da
Informação
Deve estar relacionado com a
preservação de um conjunto de
informações, no sentido de preservar os valores que possuem para um individuo uma organização.
Motivação
• Segurança não Binária.
• Não
existe
ambiente
totalmente
seguro.
• Gerenciamento
de
Sistemas
de
Informação devem ser constantes.
Família ISO 27000
ABNT – NBR:
• 27001 – Sistema de Gestão de Segurança da informação.
• 27002 – Código de prática para Gestão da Segurança da Informação.
Preservação da Informação
17 Negócios Organização Informação Importância Patrimônio Adequadamente ProtegidaClassificação da Informação
• Pública: Informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da empresa;
• Interna: O acesso a esse tipo de informação deve ser evitado, embora as conseqüências do uso não autorizado não sejam por demais sérias;
• Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras;
• Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas.
Ciclo de Vida da Informação
19 Disponibilidade Retratabilidade Autenticidade Informação Manuseio Descarte Transporte Armazena mentoPreservação de
• Confidencialidade;
• Integridade;
Segurança da Informação
21 Disponibilidade Dados e ServiçosSistema seguro
• Confidencialidade
A informação somente pode ser acessada por pessoas explicitamente autorizadas; é a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso ao mesmo.
• Disponibilidade
A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária.
• Integridade
A informação deve ser retornada em sua forma original no momento em que foi armazenada.
Sistema seguro
- Autenticidade: Garante de que a
informação vem da fonte anunciada.
- Retratabilidade (Não Repudio) : Garantia de que a pessoa não negue ter criado a informação.
23
Segurança da Informação
https://www.youtube.com/watch?v=nVmRH tHJKfw
Gestão de Continuidade de
Negócios
Processo que identifica ameaças em potencial e os possíveis impactos às
operações de negócio caso essas
ameaças se concretize, buscando
desenvolver uma cultura organizacional capaz de responder e salvaguardar as informações e a reputação do órgão ou entidade.
Gestão de Riscos
Atividades coordenadas para
direcionar e controlar uma organização no que se refere a riscos, incluindo, inclusive, análise e avaliação, tratamento, aceitação e comunicação dos riscos.
Componentes de um Sistema
de Informação (SI)
Gestão SI Segurança de Computadores e Dados Segurança de rede Política Segurança da InformaçãoComo o SI
pode ser Obtido ?
Para se obter um SI
Implementando
CONTROLES,
para garantir que os objetivos de
segurança sejam alcançados.
Tópicos de Controle
29 Políticas Práticas Procedimentos Estruturas organizacionais Funções de softwares/hardwarePor que SI é necessária?
• As informações são constantemente colocadas à prova por diversos tipos de ameaças
• Fraudes eletrônicas, sabotagem, vandalismo, etc.
• Dependência nos sistemas de informação torna as organizações mais vulneráveis às ameaças
• Controle de acesso é cada vez mais difícil
• Sistemas de informação não foram projetados para serem seguros
• Codificação segura (evita buffer overflow, SQL Injection, PHP Injection, etc)
Mitos de Segurança
• Segurança da informação é responsabilidade única da TI; • Os engenheiros sempre me proverá sistemas seguros;
• Os ataques a informações são sofisticados por isso são realizados apenas por hackers.;
• Somente devemos nos preocupar com as informações salvas em meu computador ou na rede;
• Estagiários e terceirizados não estão incluídos no processo de segurança da informação;
• Meu website é seguro porque utiliza SSL e Criptografia de Dados;
• O Firewall nos protege de todos os ataques externo; • Falhas em aplicações internas não são tão importantes;
Segurança
Física
Segurança: Principais Ameaças
• Falhas em equipamentos, SO e aplicativos
• Acesso físico não autorizado (infraestrutura predial) • Perda de comunicação voz e dados
• Vandalismo, roubo, furto • Fatores naturais
–Incêndio, Inundação, Furacões, Desabamentos –Explosões, Raios, Terremotos
• Fatores humanos envolvidos –Negligência
–Despreparo
–Desinformação
Dispositivos de Autenticação
• Tokens : O que você tem;
• Passwords: O que você sabe;
• Smart Card: O que você sabe mais o que você tem;
• Autenticação Biométrica: Você é a senha.
Biometria
• Impressão Digital; • Retina/Íris dos olhos; • Características faciais; • Reconhecimento de Voz;
• Geometria e veias das mãos; • Padrão de escrita;
• Poros da pele; • Análise de DNA; • Formato da orelha;
• Composição química do odor corporal; • Emissões Térmicas;
• Geometria dos dedos;
Engenharia
Social
Conceito
Engenharia social em segurança da
informação, se refere a prática de
interações humanas para que pessoas
revelem dados sensíveis sobre um
sistema de computadores ou de
informações.
Exemplo (Golpe)
Alguém te liga, dizendo se, passar por funcionário do banco e pergunta dados sobre sua conta pedindo que você os confirme. Mesmo que você não diga a senha ele poderá ficar com informações valiosas sobre sua pessoa.
Exemplo – 2 (Golpe)
Alguém te manda um boleto bancário exatamente igual a data de sua fatura da (Sky, Net ou outro serviço); Quando você efetua o pagamento o crédito não irá para operadora original e sim para a conta de um golpista.
Exemplo Browser (Internet)
Não grave sua senha em computadores de estranhos
Exemplo Engenharia Social
47
Hacker da década de 90
Kevin David Mitnick
Preso em fevereiro de 1995 a Janeiro de 2000, 25 acusações federais; Fraude em Sistema Telefônicos, Roubo de Software (Sun,Motorola,Novell e Nokia).
Categorias de Hackers
49
Hacker de Chapéu Branco
Hacker de chapéu Cinza Hacker de Chapéu Preto
Aprender coisa novas, proteger a rede sob sua responsabilidade contra invasão ou danos, trabalha com autorização das organizações
Fama, crédito por resolver quebra-cabeças de rede desafiadores. Mais interessados em danos, os hackers ativistas que alteram sites e redes de corporações.
Pagamento em dinheiro, ofensas, Podem roubar segredos comerciais, número de cartões de crédito, listas de
clientes, trabalham sem sanção de organizações oficiais. M o ti v a ç ã o e O b je ti v o s
Perfil do
Hacker
Novatos
• Habilidades limitadas de computação e programação.
• Confiam em kits de ferramentas para realizar seus ataques.
• Podem causar muitos danos a sistemas porque geralmente não entendem como os ataques funcionam.
• Buscam atenção na mídia.
Punks cibernéticos
• Capazes de escrever o próprio software. • Possuem uma compreensão dos sistemas
que estão atacando.
• Muitos estão envolvidos em roubos de números de cartões de crédito e fraudes nas telecomunicações.
Internos
a) Funcionários ou ex-funcionário descontentes;
Podem estar envolvidos em cargos relacionados com tecnologia.
São auxiliados pelos privilégios que têm ou dos quais são encarregados como parte de seu trabalho.
Oferecem maior ameaça de segurança. b) Ladrões menores
Funcionários terceirizados, consultores.
São motivados por ganância ou necessidade de sustentar hábitos como drogas e jogo.
Oportunistas; tiram vantagem da segurança interna fraca. São conhecedores de computação.
Velha Guarda
• Parecem não ter intenção criminosa;
• Desrespeito alarmante pela propriedade particular;
• Parecem estar interessados no desafio intelectual;
Codificadores
• Agem como mentores dos novatos;
• Escrevem scripts e ferramentas que
outros usam;
• Motivados por um senso de poder e prestigio.
• Perigosos; possuem motivações ocultas; usam cavalos de troia.
Criminosos profissionais
• Especializados em espionagem corporativa. • Bandidos de aluguel
• Altamente motivados, altamente treinados, tem acesso a equipamento de ponta.
Guerreiros da informação/terroristas-cibernéticos
• Aumento do número em atividade desde a queda de muitas agencias de inteligência do bloco oriental.
• Possuem muito recursos.
• Misturam retórica política com atividade criminosa. (Ativistas políticos).
Ativistas
• Trabalham para erradicar ou prejudicar entidades ou causas que consideram malignas.
O que deve ser assegurado
• Seguros de Saúde; • Finanças; • Prontuários médicos; • Relatórios de crédito; • Relatórios policiais; • Contas Bancárias;• Registros financeiros e transações.
Entendendo a Engenharia
Social
• Vaidade pessoal e/ou profissional; • Autoconfiança;
• Formação profissional; • Vontade de ser útil;
• Busca por novas amizades;
• Propagação de responsabilidade; • Persuasão
Engenharia Social
Reversa
Engenharia Social Reversa
Vem a ser uma operação trapaceira na qual o criminoso finge ser autoridade investida para resolver os problemas das pessoas.
Em geral os problemas são causados pelo próprio criminoso.
Engenharia social reversa
1. Primeiro o hacker cria um problema, como um ataque de navegação de serviço(DoS), paralisando a rede por um tempo.
2. Depois, se apresenta como um especialista que pode resolver esse tipo de problema. A vitima poderia ser induzida a se comunicar com hacker em busca de ajuda, o qual aproveita a oportunidade para resolver o problema.
3. Agora, acredita-se que o hacker seja um auxiliar ou especialista de confiança no ramo de segurança de redes, e assim ele recebe mais acesso à rede e equipamentos críticos do sistema.
4. Finalmente, o hacker é capaz de coletar informações de usuários e talvez instalar processos ocultos para serem executados no sistema.
Conclusão
A engenharia social não é
exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde
exploram-se falhas humanas em
organizações físicas ou jurídicas onde operadores do sistema de segurança da informação possuem poder de decisão parcial ou total ao sistema de segurança da informação seja ele físico ou virtual.
Importância do
descarte apropriado
do lixo
Mergulho no lixo
(Dumpster diving)
O Ato de retirar o lixo de uma organização como Hardware, Softwares e qualquer tipo de documento. Procurando vestígios como número de cartão de crédito, numeração de documentos, malas diretas e ou planilhas da diretoria.
Prevenção contra mergulho no lixo
• Desenvolver uma política de reciclagem e gestão do lixo por escrito.
• Usar essa política para criar métodos consistentes e sistemático para lidar com o lixo.
• Exija que os papeis a serem descartados sejam picados. Usando picados de cortes transversais e estreitos.
• Apague todos os dados de fitas, disquetes, pen drives e discos rígidos em casos críticos usar métodos de destruição de mídias.
Rastreio de pegadas na internet
Os criminosos adotam porque trata-se, de um método limpo, legal e seguro; Sendo usando como método de vigilância pelas vias de vazamentos de informações em organizações.
Métodos de rastreio de pegadas
• Redes sociais • Busca na web
• Enumeração de rede
• Reconhecimento baseados no Sistema de Nome de Domínio (DNS).
Redes Sociais
• Facebook • Twitter
Busca na web
• E-mail.
• Mecanismos de busca.
• Código-fonte em Linguagem HTML • Grupos de discussão (newsgroups). • Sites relacionados a segurança.
Enumeração de rede
Vem a ser o processo de identificar nomes de domínios assim como outros recursos na rede-alvo. Exemplo busca por endereços IP.
Reconhecimento baseado no Sistema de nomes de Domínio (DNS) Ferramentas de consulta: • www.dnsstuff.com • www.network-tools.com • www.networksolutions.com
Reconhecimento baseado em
rede
Vem a ser o processo de identificar
computadores e serviços ativos em uma rede-alvo.
Exemplo: ping tracert
netstat
• DoS Negação de serviço • Spam
• Phishing spam (Captura dados pessoais) • Ataques de força-bruta
• Interceptação de pacotes (Packet Sniffing) • Varreduras
• Ataques ao TCP/IP
• Malware (Programas Executáveis ou
Scripts)
Artigo Primeiro
O acesso, o processamento e a disseminação de informações através das redes de computadores devem estar a serviço do cidadão e da sociedade, respeitados os critérios de garantia dos direitos individuais e coletivos e de privacidade e segurança de pessoas físicas e jurídicas e da garantia de acesso às informações disseminadas pelos serviços de rede.
Artigo Segundo
É livre a estruturação e o
funcionamento das redes de
computadores e seus serviços,
ressalvadas disposições específicas
Artigo Terceiro
Para fins desta lei, entende-se por informações privadas aquelas relativas à pessoa física ou jurídica identificada ou identificável.
Sistemas Usados para
diminuição dos riscos.
• Educação do usuário final; • Antivírus;
• Antispyware (Eliminar ameaças por
varredura) Exemplo Windows Defender; • Filtro Anti Spam;
• Backup dos Dados; • Criptografia;
• Firewall;
• Sistemas de Detecção de Intrusão; • Política de segurança;
Topologias de
Segurança
85
Sistema de Segurança
Sistema de Segurança
(Pequeno)
87
Sistema de Segurança