Faculdade de Engenharia da Computação
Faculdade de Engenharia da Computação
Disciplina:
Segurança Aplicada à Computação Segurança Aplicada à Computação
Introdução aos Sistemas de Segurançaç g ç
Site : http://www1.univap.br/~wagner/ec.html
Prof. Responsáveis
W S t C d J
Wagner Santos C. de Jesus
Conceito de Segurança da
Conceito de Segurança da
Conceito de
Informação
Informação
Dado
Dado
Informação
Informação
Dado
É um conjunto de letras, números ou dígitos que colocado isoladamente, não agrega nenhum conhecimento não contem significado claro
agrega nenhum conhecimento, não contem significado claro.
2,4,6,8,10; xyz; Maria
Dado
ado
Exemplo de dado
(Informação)Exemplo de dado
(Informação)A B C D
E F G H
Dado => Informação
Dado => Informação
/
-.-. --- -.. .. --. --- / -- --- .-. ... .
C O D I G O (espaço) M O R S E
C O D I G O (espaço) M O R S E
7Informação
Informação
O i d i f ã
O conceito de informação vem ser o dado trabalhado ou tratado agregadog g com sentido natural e lógico para quem usa a informação. Define-se como algo usa a informação. Define se como algo útil.
2,4,6,8,10 – São Múltiplos de dois. x,y,z - São coordenadas cartesianas.
M i N d
Conhecimento
Conhecimento
Q f “ ”
Quando a informação é “trabalhada” por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, geração de cenários, simulações e oportunidades, pode ser chamada de conhecimento.
Exemplo: Percepção da dificuldade;
Uso de experiências semelhantes;
Concepção de equipamentos, pessoas,
t i i ã it i i
materiais e pessoas, que são vitais para um serviço. Entendimento de contratos que podem ser negociados visando à adequação à realidade de ser negociados, visando à adequação à realidade de uma atividade.
Exemplo de Conhecimento
Problema
Desenvolver uma função
matemática para gerar apenas múltiplos p g p p de dois.
N={2,4,6,8,10...} <= Dado
Informação, todos são múltiplos de dois
dois.
Conhecimento
Conhecimento
Defini-se como conhecimento a interpretação dos dados.
Alemão - Verfahren Inglês - Processg Espanhol - acción
Francês - processus
Processo
Simbologias (SI)
Proibido Fumar Alta Tensão
Enviar dados para Deficiente Físico Enviar dados para
Impressora Radiação no local Mulher e Homem
Laser no local Proibido Estacionar
Conceito de Segurança da
Informação
Deve estar relacionado com a
ã d j d
preservação de um conjunto de informações, no sentido de preservar os valor que possuem para um individuo uma organização.
organização.
Motivação
Motivação
• Segurança não Binária.
• Não
existe
ambiente
totalmente
• Não
existe
ambiente
totalmente
seguro.
• Gerenciamento
de
Sistemas
de
Informação devem ser constantes
Preservação da Informação
Informação Patrimônio Adequadamente Adequadamente Protegida Importância Negócios 15 Negócios OrganizaçãoClassificação da Informação
Classificação da Informação
Públi I f ã d i úbli i
• Pública: Informação que pode vir a público sem maiores conseqüências danosas ao funcionamento normal da empresa;
• Interna: O acesso a esse tipo de informação deve ser evitado,p ç , embora as conseqüências do uso não autorizado não sejam por demais sérias;
• Confidencial: Informação restrita aos limites da empresa cuja
• Confidencial: Informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras;
• Secreta: Informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas.
Ciclo de Vida da Informação
Manuseio Autenticidade Informação Descarte Armazena mento Disponibilidade Retratabilidade 17 TransportePreservação de
Preservação de
• Confidencialidade;
Confidencialidade;
• Integridade;
• Integridade;
Disponibilidade
• Disponibilidade.
Segurança da Informação
Dados e Serviços Disponibilidade Serviços p 19Sistema seguro
Sistema seguro
• ConfidencialidadeConfidencialidade
A informação somente pode ser acessada por pessoas explicitamente autorizadas; é a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham informação para impedir que pessoas não autorizadas tenham acesso ao mesmo.
• Disponibilidade
A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária
no momento em que a mesma for necessária.
• Integridadeg
A informação deve ser retornada em sua forma original no momento em que foi armazenada.
Sistema seguro
Sistema seguro
- Autenticidade: Garante de que a informação vem da fonte anunciada.ç
- Retratabilidade (Não Repudio) : Garantia de que a pessoa não negue ter criado a de que a pessoa não negue ter criado a informação.
21
Gestão de Continuidade de
Negócios
Processo que identifica ameaças em potencial e os possí eis impactos às potencial e os possíveis impactos às operações de negócio caso essas ameaças se concretize, buscando desenvolver uma cultura organizacionalg capaz de responder e salvaguardar as informações e a reputação do órgão ou informações e a reputação do órgão ou entidade.
Gestão de Riscos
Gestão de Riscos
Atividades coordenadas para direcionar e controlar ma organi ação no direcionar e controlar uma organização no que se refere a riscos, incluindo, inclusive, análise e avaliação, tratamento, aceitação e comunicação dos riscos.ç
Componentes de um Sistema
de Informação (SI)
Segurança da Informação Gestão SI Segurança de rede Informação Política Segurança de Computadores e DadosComo o SI
pode ser Obtido ?
pode ser Obtido ?
Para se obter um SI
Para se obter um SI
Implementando
CONTROLES,
para garantir que os objetivos de
segurança sejam alcançados
Tópicos de Controle
p
Políticas Práticas Procedimentos Estruturas organizacionais F õ d ft /h d Funções de softwares/hardware 27Por que SI é necessária?
Por que SI é necessária?
• As informações são constantemente colocadas à prova por diversos tipos de ameaças
F d l t ô i b t d li t
• Fraudes eletrônicas, sabotagem, vandalismo, etc.
• Dependência nos sistemas de informação torna as organizações mais vulneráveis às ameaças
organizações mais vulneráveis às ameaças • Controle de acesso é cada vez mais difícil
• Sistemas de informação não foram projetados para • Sistemas de informação não foram projetados para
serem seguros
• Codificação segura (evita buffer overflow SQL Injection • Codificação segura (evita buffer overflow, SQL Injection,
Mitos de Segurança
• Segurança da informação é responsabilidade única da TI; • Os engenheiros sempre me proverá sistemas seguros;
• Os ataques a informações são sofisticados por isso são realizados apenas por hackers ;
realizados apenas por hackers.;
• Somente devemos nos preocupar com as informações salvas em meu computador ou na rede;p ;
• Estagiários e terceirizados não estão incluídos no processo de segurança da informação;
• Meu website é seguro porque utiliza SSL e Criptografia de Dados;
O Firewall nos protege de todos os ataques externo; • O Firewall nos protege de todos os ataques externo; • Falhas em aplicações internas não são tão importantes;
Segurança
Segurança
Fí i
Física
Segurança: Principais Ameaças
g
ç
p
ç
• Falhas em equipamentos SO e aplicativosFalhas em equipamentos, SO e aplicativos
• Acesso físico não autorizado (infraestrutura predial) • Perda de comunicação voz e dados
• Perda de comunicação voz e dados • Vandalismo, roubo, furto
• Fatores naturais • Fatores naturais
–Incêndio, Inundação, Furacões, Desabamentos
Explosões Raios Terremotos
–Explosões, Raios, Terremotos • Fatores humanos envolvidos
Negligência
–Negligência –Despreparo
Cofres Antigos
Cofres Antigos
Câmeras de Monitoramento
Dispositivos de Autenticação
Dispositivos de Autenticação
• Tokens : O que você tem;• Passwords: O que você sabe;
• Smart Card: O que você sabe mais o que • Smart Card: O que você sabe mais o que
você tem;
Biometria
Biometria
Biometria
• Impressão Digital; • Retina/Íris dos olhos; • Retina/Íris dos olhos; • Características faciais;
Reconhecimento de Vo • Reconhecimento de Voz;
• Geometria e veias das mãos;
P d ã d it • Padrão de escrita; • Poros da pele; A áli d DNA • Análise de DNA; • Formato da orelha; C
• Composição química do odor corporal; • Emissões Térmicas;
Engenharia
Engenharia
Social
Social
Conceito
Conceito
Engenharia social em segurança da
informação,ç , se refere a práticap de interações humanas para que pessoas revelem dados sensíveis sobre um revelem dados sensíveis sobre um sistema de computadores ou de informações
Exemplo (Golpe)
Exemplo (Golpe)
Alguém te liga, dizendo se, passar por funcionário do banco e pergunta dados funcionário do banco e pergunta dados sobre sua conta pedindo que você os confirme Mesmo que você não diga a confirme. Mesmo que você não diga a senha ele poderá ficar com informações valiosas sobre sua pessoa.
Exemplo
2 (Golpe)
Exemplo – 2 (Golpe)
Alguém te manda um boleto bancário exatamente igual a data de sua fatura da exatamente igual a data de sua fatura da (Sky, Net ou outro serviço); Quando você
f t t édit ã i á
efetua o pagamento o crédito não irá para operadora original e sim para a conta de um golpista.
Exemplo Browser (Internet)
Exemplo Browser (Internet)
Não grave sua senha em computadores de estranhos
Hacker da década de 90
P f i Preso em fevereiro de 1995 a Janeiro de 2000 25 õ 2000, 25 acusações federais; Fraude em Si t T l fô i Sistema Telefônicos, Roubo de Software (S M t l N llKevin David Mitnick
(Sun,Motorola,Novell e Nokia).
Entendendo a Engenharia
Social
• Vaidade pessoal e/ou profissional; • Autoconfiança;Autoconfiança;
• Formação profissional; • Vontade de ser útil;
• Busca por novas amizades; • Busca por novas amizades;
• Propagação de responsabilidade; • Persuasão
C
l
ã
Conclusão
Conclusão
A engenharia social não é A engenharia social não é exclusivamente utilizada em informática, a engenharia social é uma ferramenta onde engenharia social é uma ferramenta onde exploram-se falhas humanas em organizações físicas ou jurídicas onde operadores do sistema de segurança dap g ç informação possuem poder de decisão parcial ou total ao sistema de segurança parcial ou total ao sistema de segurança da informação seja ele físico ou virtual.
Tipos de Ataques
Tipos de Ataques
D S N ã d i • DoS Negação de serviço • Spamp
• Phishing spam (Captura dados pessoais)
At d f b t
• Ataques de força-bruta
• Interceptação de pacotes (Packet Sniffing)e cep ação de paco es ( ac e S g) • Varreduras
• Ataques ao TCP/IP
• MalwareMalware (Programas(Programas ExecutáveisExecutáveis ouou Scripts)
Legislação
g
ç
Artigo Primeiro
Artigo Primeiro
O acesso, o processamento e a disseminação de informações através das redesç ç de computadores devem estar a serviço do cidadão e da sociedade, respeitados os critériosp de garantia dos direitos individuais e coletivos e de privacidade e segurança de pessoas físicasp g ç p e jurídicas e da garantia de acesso às informações disseminadas pelos serviços deç p ç rede.
Artigo Segundo
Artigo Segundo
É livre a estruturação e o funcionamento das redes de funcionamento das redes de computadores e seus serviços,
l d di i õ ífi
ressalvadas disposições específicas reguladas em lei.
Artigo Terceiro
Artigo Terceiro
Para fins desta lei, entende-se por
i f õ i d l l i à
informações privadas aquelas relativas à pessoa física ou jurídica identificada ouj identificável.
Sistemas Usados para
Sistemas Usados para
diminuição dos riscos.
diminuição dos riscos.
• Educação do usuário final; • Antivírus;
• Antispyware (Eliminar ameaças por • Antispyware (Eliminar ameaças por
varredura) Exemplo Windows Defender; • Filtro Anti Spam;
• Backup dos Dados; • Backup dos Dados; • Criptografia;
• Firewall;
• Sistemas de Detecção de Intrusão; • Sistemas de Detecção de Intrusão; • Política de segurança;
Topologias de
Topologias de
Segurança
Segurança
Sistema de Segurança
(P
)
(Pequeno)
Sistema de Segurança
Sistema de Segurança (Médio)
Si t d
59
Sistema de Segurança
Sistema de Segurança (Grande)
Sistema de Segurança