• Nenhum resultado encontrado

Gestão da Segurança da Informação

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2022

Share "Gestão da Segurança da Informação"

Copied!
26
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 26 páginas )

Texto

(1)

Gestão da Segurança

da Informação

(2)

Mercado

Google perde 0.000001% de dados após raio ‘apagar’ data center

O Google emitiu uma nota após um dos seus data centers na Bélgica passar por um apagão inesperado.

De acordo com o buscador, um raio atingiu a rede elétrica do local, afetando seus sistemas de armazenamento, o que causou uma perda permanente de 0.000001%

dos arquivos armazenados.

“Embora os automáticos sistemas auxiliares tenham restaurado a energia, os sistemas de armazenamento são projetados com apoio da bateria, alguns dados recém escritos nos sistemas de armazenamento foram mais suscetíveis à falha de energia”, publicou o buscador.

O Google que promete que vai realizar melhorias em seus data centers para tornar suas máquinas menos suscetíveis a danos causados ​​por quedas de energia.

Fonte: http://googlediscovery.com/2015/08/20/google-perde-0-000001-de-dados-apos-raio-apagar-data-center/

(3)

Ataques à Segurança

Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um ataque, assim como qualquer computador com acesso à Internet pode participar de um ataque.

Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos, variando da simples diversão até a realização de ações criminosas. Alguns exemplos são:

Motivações

Fonte: http://cartilha.cert.br/ataques/

Demonstração de poder: mostrar a uma empresa que ela pode ser invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente

(4)

Ataques à Segurança

Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo

Motivações financeiras: coletar e utilizar informações confidenciais de usuários para aplicar golpes

Motivações ideológicas: tornar inacessível ou invadir sites que divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrárias a uma determinada ideologia

Motivações comerciais: tornar inacessível ou invadir sites e computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas

Fonte: http://cartilha.cert.br/ataques/

(5)

Ataques

Uma maneira do sistema ser atacado é por DoS (Denial of Service) ou negação de serviço:

Inundação na largura de banda: Envio de mais pacotes do que o enlace pode suportar.

DoS

Inundação na conexão: Estabelecimento de várias conexões TCP falsas, impedindo que verdadeiras ocorram.

(6)

Ataques

No DoS o ataque vem de uma fonte especifica, que pode ser bloqueada com facilidade, no entanto o DDoS (Distributed Denial of Service) o ataque vem de diversos locais diferentes, o que dificulta a identificação de qual pacote faz parte ou não do ataque.

DoS e DDoS

Botnet é uma rede criada por equipamentos que possuem um programa que os faz trabalhar em conjunto, no caso de um ataque DDoS os botnets são os zumbis que não sabem que estão

infectados, mas que quando necessários são acionados para fazer parte do ataque.

(7)

Mercado

Maioria dos ataques DDoS não tem motivação financeira

Cerca de dois terços dos ataques no mundo tiveram objetivos políticos, ideológicos.

O hackativismo substituiu os objetivos financeiros como principal motivador para interromper o tráfego de um site com um ataque DDoS, de acordo com um documento da Arbor Networks, companhia de segurança de redes.

Informações anteriores mostravam que os principais fatores eram financeiros, seja por razões de competição ou extorsão de terceiros.

No ambiente atual, qualquer empresa pode ser tornar alvo de um ataque, e visto a variedade de ferramentas para realizar um ataque DDoS, qualquer um pode realizar um ataque. Isso representa uma mudança de cenário em relação às ameaças e no modelo de avaliação de riscos de para os operadores de rede e consumidores finais que dependem da Internet para seus negócios.

Fonte: http://www.diegomacedo.com.br/maioria-dos-ataques-ddos-nao-tem-motivacao-financeira-afirma-relatorio/

(8)

Ataques

Ataque de vulnerabilidade (exploits): uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar em uma violação de segurança.

Existem ferramentas no mercado que fazer a varredura procurando por vulnerabilidades e também empresas que prestam este tipo de serviço.

Scanning de vulnerabilidades

Esses ferramentas possuem um banco de dados com as informações sobre vulnerabilidades conhecidas.

(9)

Ataques

Ferramentas para análise de vulnerabilidades

(10)

Mercado

Vulnerabilidade do Popcorn Time

Um dos mais populares – e controversos – serviços de streaming de filmes, o Popcorn Time pode tornar seus usuários alvos fáceis para hackers. Recentemente, o engenheiro de segurança e pesquisador Antonios Chariton (também conhecido pelo apelido DaKnOb) divulgou a descoberta de uma vulnerabilidade bastante significativa no aplicativo.

Observando as informações do serviço, o engenheiro descobriu que os desenvolvedores do Popcorn Time usaram a infraestrutura da CloudFlare para evitar serem bloqueados na Europa.

Segundo Chariton, o “pedido para o CloudFlare é iniciado por meio de uma conexão HTTP simples”, o que permitiria que um invasor simplesmente se intrometesse na comunicação para atacar o computador das vítimas. Usando esse método, o especialista conseguiu injetar códigos maliciosos por meio do próprio app, tomando assim controle do Popcorn Time e abrindo portas para dominar completamente o PC do alvo.

Fonte: http://www.tecmundo.com.br/seguranca-de-dados/84201-vulnerabilidade-popcorn-time-torna-pc-alvo-facil-hackers.htm

(11)

Ataques

A Engenharia Social é uma técnica antiga e

muito popular, que poderia ser traduzida, grosso modo, como “enganar pessoas”. A ideia é que o engenheiro social, como são conhecidos aqueles que praticam essa arte, possa manipular

pessoas para que elas revelem informações importantes ou, então, para que elas façam algo que facilite o trabalho dele.

Fonte: http://www.tecmundo.com.br/seguranca/8445-engenharia-social-o- malware-mais-antigo-do-mundo.htm acessado em 06/02/2015

Kevin Mitnick

Engenharia Social

(12)

Mercado

O caso do Pacific Bank

Em 1978 Stanley Mark Rifkin trabalhava como contratado de uma empresa prestadora de serviços na sala de transferência do Pacific Bank, onde tinha acesso aos procedimentos e rotina dos funcionários. Ele aprendeu que os funcionários do banco que estavam autorizados a pedir as transferências eletrônicas recebiam um código diário secreto a cada manhã.

Veja como ele conseguiu as 3 informações utilizadas na fraude que se segue:

1- Código Diário Secreto (4789) disponível em um lugar visível para todos da sala 2- Número do escritório (289) anotado em um post-it ao lado de um desktop

3- Número de estabelecimento entre escritórios (3316), que conseguiu em uma ligação.

Com as informações obtidas e com os procedimentos operacionais observados, Rifkin, de um telefone público, liga para a sala de transferências eletrônicas e se faz passar por Mike Hansen, membro do Departamento Internacional do banco e transfere US$ 10 milhões para uma conta na Suiça. Rifkin entrou para o Guiness Book na categoria maior fraude de computadores, apesar de ele não ter utilizado diretamente nenhum computador nesta fraude.

Fonte: https://www.trustsign.com.br/portal/blog/6-casos-reais-de-falhas-de-seguranca-em-grandes-empresas/

(13)

Ataques

É uma forma de fraude na Internet.

A fraude é definida como a realização de uma transação não autorizada, normalmente, a vítima receberá um email pedindo para verificar ou confirmar uma conta com um prestador de serviços bancários ou outro serviço.

As vezes, mensagens instantâneas são usadas ou mesmo contatos telefônico são tentados.

Phishing

(14)

Phishing

Fonte: http://www.fraudes.org/showpage3.asp?pg=15

(15)

Ataques

Consiste em verificar o lixo do algo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada no Brasil, e o mais interessante é que pode ser considerada legal visto que não existe leis a respeito dos lixos.

Por isso é interessante que informações críticas – dados da organização, senhas, etc – sejam triturados ou consumados de alguma forma.

Dumpster diving ou trashing

(16)

Mercado

O caso da Unilever e Procter&Gamble

Em 2001 a Procter&Gamble contratou uma empresa especializada em investigação para ter mais informações sobre os negócios da concorrente Unilever nos Estados Unidos, principalmente os projetos voltados para cuidados com os cabelos. A espionagem foi descoberta depois que um dos detetives contratados foi surpreendido revirando o lixo da Unilever em busca de dados secretos da empresa. Para evitar um processo na Justiça, a P&G teve que aceitar um acordo com a Unilever e pagar a ela uma indenização de 10 milhões de dólares.

Fonte: https://www.trustsign.com.br/portal/blog/6-casos-reais-de-falhas-de-seguranca-em-grandes-empresas/

(17)

Ataques

É um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.

SQL Injection

Fonte: https://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL

(18)

Ataques à Segurança

Pentest é a contração de Penetration Test e é a forma mais conhecida dos ataques que tem como objetivo identificar falhas de segurança.

O processo de Pentest envolve alguns passos:

Reconhecimento: Identificar o alvo e coletar o máximo de informações possíveis.

Avaliação do alvo: Escolher as ferramentas e os testes mais apropriados ao alvo e ao objetivo dos testes.

Exploração: Explorar as vulnerabilidades encontradas para ter certeza de que não é um falso positivo.

Escalada de Privilégio: Conseguir o máximo de acesso possível ao sistema.

Manutenção do acesso: Apagar todas as pistas da invasão e configurar o sistema para permitir acessos futuros.

O planejamento de um ataque

(19)

Teste de Intrusão ou Penetration Test

Reconhecimento

O Kali Linux fornece várias ferramentas para coletar informações, porém a Internet também oferece ferramentas e não podemos esquecer da

Engenharia Social.

archive.org mantém um histórico de sites em que você pode encontrar

informações que estavam lá e foram retiradas, como telefones, enderço de e- mails e nomes de pessoas.

Versão do primeiro site do UOL em 1996

(20)

Teste de Intrusão ou Penetration Test

Reconhecimento

Whois é uma ferramenta que mostra todos os dados do registro de um domínio.

Registro.br é onde você encontra o whois para sites nacionais.

(21)

Teste de Intrusão ou Penetration Test

Reconhecimento

Maltego é uma ferramenta Open Source que já vem com o Kali Linux que coleta dados tendo como referencia nome, email, domínio e etc.

(22)

Teste de Intrusão ou Penetration Test

Reconhecimento

Shodan é um buscado que permite encontrar dispositivos e computadores conectados à Internet.

Nesta ferramenta você pode encontrar um roteador, um servidor web especifico, uma webcam e até uma usina nuclear.

http://www.shodanhq.com faça o cadastro para ter acesso aos filtros de busca.

(23)

Teste de Intrusão ou Penetration Test

Reconhecimento

Google pode ser utilizado para encontrar informações para Engenharia Social, mas também é possível utilizá-lo para fazer o Google Hacking.

"Apache/1.3.20 server at" intitle:index.of

com esta string de busca encontramos servidores Web rodando Apache 1.3.20

http://www.exploit-db.com/google-dorks/

(24)

Teste de Intrusão ou Penetration Test

Reconhecimento

Várias são as ferramentas e possibilidades para ter acesso aos dados do alvo do Pentest:

HTTrack: Ferramenta que clona um site.

ICMP: Ping e Traceroute podem apresentar informações sobre a estrutura.

Portscan: Ferramentas com o nmap fazem uma varredura e identificam portas abertas.

DNS: Nslookup e dig são ferramentas que mostram informações dos nomes e endereços I.P. de um domínio.

Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não

conhece nem o inimigo nem a si mesmo, perderá todas as batalhas

Sun Tzu

(25)

Teste de Intrusão ou Penetration Test

Avaliação do alvo

Depois de reunir todos os dados possíveis sobre o alvo é o momento de identificar as vulnerabilidades e as ferramentas para atacar.

Neste momento você já deve ter um certo conhecimento da estrutura da rede, endereços I.P., servidores, sistemas operacionais e aplicações instaladas.

Webshag é uma ferramenta que faz varredura em um servidor Web que idêntica vulnerabilidades.

(26)

Teste de Intrusão ou Penetration Test

Avaliação do alvo

Vega é uma ferramenta que faz varredura em um servidor Web que idêntica vulnerabilidades. Ele oferece detalhes das vulnerabilidades identificadas.

Referências

Descarregar agora ( PDF - 26 páginas - 1.54 MB )

Documentos relacionados

PROGRAMA INSTITUCIONAL DE BOLSAS DE INICIAÇÃO CIENTÍFICA E TECNOLÓGICA PIBIC

A PRÓ-REITORIA DE PÓS-GRADUAÇÃO E PESQUISA (PROPEP), por intermédio do Núcleo de Pesquisa e Iniciação Científica, abre as inscrições para solicitações de

QUANDO A IMAGEM DE QUEM SOU VAI SE REVELAR? [1]: ESTRUTURA SOCIAL E INDIVIDUALIDADE NAS PRINCESAS DISNEY

É perceptível, desta forma, o constante aumento do aprofundamento dos personagens: os “príncipes” têm agora não só nome e falas, mas personalidades bem desenvolvidas,

PROCESSO SELETIVO 01/2021

IMPORTANTE: Caso o candidato à vaga não possua as vacinas de acordo com o critério acima estabelecido, contratar-se-á para a função o próximo candidato aprovado no

MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO DE JANEIRO

Os candidatos reclassificados deverão cumprir os mesmos procedimentos estabelecidos nos subitens 5.1.1, 5.1.1.1, e 5.1.2 deste Edital, no período de 15 e 16 de junho de 2021,

INCENTIVO À PRODUÇÃO E CONSUMO DE FRUTAS NO MUNICÍPIO DE CASSILÂNDIA E REGIÃO

Verificamos que a quantidade de espécies presentes no nosso município é grande mais não o necessário para uma alta produção, diante desse resultado foram

Faculdade Ibmec Processo Seletivo e EDITAL

3.1 – A Faculdade Ibmec reservará até 20% (vinte por cento) de suas vagas nos cursos de Administração, Ciências Econômicas, Ciências Contábeis e Relações Internacionais para

PLANO DE CONTINGÊNCIA Infeção por Coronavírus SARS-COV-2 (COVID-19)

- Se o estagiário, ou alguém com contacto direto, tiver sintomas sugestivos de infeção respiratória (febre, tosse, expetoração e/ou falta de ar) NÃO DEVE frequentar

25 MG / 50 MG / 100 MG

Em pacientes usando outras drogas que não induzem ou inibem significativamente a glicuronidação da lamotrigina (ver Interações medicamentosas), a dose inicial de lamotrigina e 25