Post on 13-Dec-2018
1
Faculdade de Engenharia da ComputaçãoFaculdade de Engenharia da ComputaçãoFaculdade de Engenharia da ComputaçãoFaculdade de Engenharia da ComputaçãoDisciplina:
Segurança Aplicada à Computação
Introdução aos Sistemas de SegurançaSite : http://www1.univap.br/~wagner/ec.html
Prof. ResponsáveisWagner Santos C. de Jesus
Conceito de Segurança da Informação
2
Conceito de Informação
3
4
Dado
Informação
Conhecimento
5
Dado
É um conjunto de letras, números ou dígitos que colocado isoladamente, nãoagrega nenhum conhecimento, não contem significado claro.
2,4,6,8,10; xyz; Maria
Dado
6
Exemplo de dado
Alfabeto Braille de seis dígitos
A B C D
E F G H
(Informação)
7
Dado => Informação
-.-. --- -.. .. --. --- / -- --- .-. ... . C O D I G O (espaço) M O R S E
8
Informação
O conceito de informação vem ser odado trabalhado ou tratado agregadocom sentido natural e lógico para quemusa a informação. Define-se como algoútil.
2,4,6,8,10 – São Múltiplos de dois.
x,y,z - São coordenadas cartesianas.
Maria - Nome de uma pessoa.
9
Conhecimento
Quando a informação é “trabalhada” por pessoase pelos recursos computacionais, possibilitandogeração de cenários, simulações e oportunidades,pode ser chamada de conhecimento.
Exemplo: Percepção da dificuldade;Uso de experiências semelhantes;Concepção de equipamentos, pessoas,
materiais e pessoas, que são vitais para um serviço.Entendimento de contratos que podem
ser negociados, visando à adequação à realidade deuma atividade.
10
Exemplo de ConhecimentoProblema
Desenvolver uma função matemática para gerar apenas múltiplos de dois.
N={2,4,6,8,10...} <= Dado
Informação, todos são múltiplos dedois.
Conhecimento : N = 2x
11
Conhecimento
Defini-se como conhecimento ainterpretação dos dados.
Alemão - VerfahrenInglês - Process
Espanhol - acciónFrancês - processus Processo
12
Proibido Fumar
Deficiente Físico
Radiação no local
Laser no local
Alta Tensão
Enviar dados para Impressora
Mulher e Homem
Proibido Estacionar
Simbologias (SI)
Mosaico (Segurança da Informação)
13http://www.secretariadegoverno.gov.br/acesso-a-informacao/perguntas/secretaria-de-controle-interno
Conceito de Segurança da Informação
Deve estar relacionado com apreservação de um conjunto deinformações, no sentido de preservar osvalores que possuem para um individuouma organização.
14
Motivação
• Segurança não Binária.• Não existe ambiente totalmente
seguro.• Gerenciamento de Sistemas de
Informação devem ser constantes.
15
Família ISO 27000
ABNT – NBR:
• 27001 – Sistema de Gestão de Segurançada informação.
• 27002 – Código de prática para Gestão daSegurança da Informação.
• 27005 – Gestão de Risco.
16
Preservação da Informação
17
Negócios Organização
Informação
Importância
PatrimônioAdequadamente
Protegida
Classificação da Informação
• Pública: Informação que pode vir a público sem maioresconseqüências danosas ao funcionamento normal da empresa;
• Interna: O acesso a esse tipo de informação deve ser evitado,embora as conseqüências do uso não autorizado não sejampor demais sérias;
• Confidencial: Informação restrita aos limites da empresa, cujadivulgação ou perda pode levar a desequilíbrio operacional , eeventualmente, perdas financeiras;
• Secreta: Informação crítica para as atividades da empresa, cujaintegridade deve ser preservada a qualquer custo e cujoacesso deve ser restrito a um número bastante reduzido depessoas.
18
Ciclo de Vida da Informação
19
Disponibilidade
Retratabilidade
Autenticidade
Informação
Manuseio
Descarte
Transporte
Armazenamento
Preservação de
• Confidencialidade;• Integridade;• Disponibilidade.
20
Segurança da Informação
21
Disponibilidade
Dados e
Serviços
Sistema seguro• Confidencialidade
A informação somente pode ser acessada por pessoasexplicitamente autorizadas; é a proteção de sistemas deinformação para impedir que pessoas não autorizadas tenhamacesso ao mesmo.
• DisponibilidadeA informação ou sistema de computador deve estar disponívelno momento em que a mesma for necessária.
• IntegridadeA informação deve ser retornada em sua forma origin al no momento em que foi armazenada.
22
Sistema seguro
- Autenticidade: Garante de que ainformação vem da fonte anunciada.
- Retratabilidade (Não Repudio) : Garantiade que a pessoa não negue ter criado ainformação.
23Segurança da Informaçãohttps://www.youtube.com/watch?v=nVmRH
tHJKfw
Gestão de Continuidade de Negócios
Processo que identifica ameaças empotencial e os possíveis impactos àsoperações de negócio caso essasameaças se concretize, buscandodesenvolver uma cultura organizacionalcapaz de responder e salvaguardar asinformações e a reputação do órgão ouentidade.
24
Gestão de Riscos
Atividades coordenadas paradirecionar e controlar uma organização noque se refere a riscos, incluindo, inclusive,análise e avaliação, tratamento, aceitaçãoe comunicação dos riscos.
25
Componentes de um Sistema de Informação (SI)
26
Gestão SI
Segurança de Computadores e Dados
Segurança de rede
Política
Segurança da Informação
Como o SI pode ser Obtido ?
27
Para se obter um SI
Implementando CONTROLES,para garantir que os objetivos desegurança sejam alcançados.
28
Tópicos de Controle
29
Políticas
Práticas
Procedimentos
Estruturas organizacionais
Funções de softwares/hardware
Por que SI é necessária?
• As informações são constantemente colocadas à provapor diversos tipos de ameaças
• Fraudes eletrônicas, sabotagem, vandalismo, etc.• Dependência nos sistemas de informação torna as
organizações mais vulneráveis às ameaças• Controle de acesso é cada vez mais difícil• Sistemas de informação não foram projetados para
serem seguros• Codificação segura (evita buffer overflow, SQL Injection,
PHP Injection, etc)
30A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.
Mitos de Segurança
• Segurança da informação é responsabilidade única da TI;• Os engenheiros sempre me proverá sistemas seguros;• Os ataques a informações são sofisticados por isso são
realizados apenas por hackers.;• Somente devemos nos preocupar com as informações salvas
em meu computador ou na rede;• Estagiários e terceirizados não estão incluídos no processo
de segurança da informação;• Meu website é seguro porque utiliza SSL e Criptografia de
Dados;• O Firewall nos protege de todos os ataques externo;• Falhas em aplicações internas não são tão importantes;
31
Fraudes de Chips
32https://www.youtube.com/watch?v=YZjG3qKYZbM
33
SegurançaFísica
34
Segurança: Principais Ameaças
• Falhas em equipamentos, SO e aplicativos• Acesso físico não autorizado (infraestrutura predial )• Perda de comunicação voz e dados• Vandalismo, roubo, furto• Fatores naturais
–Incêndio, Inundação, Furacões, Desabamentos–Explosões, Raios, Terremotos
• Fatores humanos envolvidos–Negligência–Despreparo–Desinformação
35
Cofres Antigos
36
37
Câmeras de Monitoramento
38
Dispositivos de Autenticação
• Tokens : O que você tem;• Passwords: O que você sabe;• Smart Card: O que você sabe mais o que
você tem;• Autenticação Biométrica: Você é a senha.
39
Biometria
40
Biometria• Impressão Digital;• Retina/Íris dos olhos;• Características faciais;• Reconhecimento de Voz;• Geometria e veias das mãos;• Padrão de escrita;• Poros da pele;• Análise de DNA;• Formato da orelha;• Composição química do odor corporal;• Emissões Térmicas;• Geometria dos dedos;
41
Engenharia Social
42
Conceito
Engenharia social em segurança dainformação, se refere a prática deinterações humanas para que pessoasrevelem dados sensíveis sobre umsistema de computadores ou deinformações.
43
Exemplo (Golpe)
Alguém te liga, dizendo se, passar porfuncionário do banco e pergunta dadossobre sua conta pedindo que você osconfirme. Mesmo que você não diga asenha ele poderá ficar com informaçõesvaliosas sobre sua pessoa.
44
Exemplo – 2 (Golpe)
Alguém te manda um boleto bancárioexatamente igual a data de sua fatura da(Sky, Net ou outro serviço); Quando vocêefetua o pagamento o crédito não irá paraoperadora original e sim para a conta deum golpista.
45
Exemplo Browser (Internet)
46
Não grave sua senha em computadores de estranhos
Exemplo Engenharia Social
47
https://www.youtube.com/watch?v=525r3FKAwPU
Hacker da década de 90
48
Kevin David Mitnick
Preso em fevereirode 1995 a Janeiro de2000, 25 acusaçõesfederais; Fraude emSistema Telefônicos,Roubo de Software(Sun,Motorola,Novelle Nokia).
Categorias de Hackers
49
Hacker de Chapéu Branco
Hacker de chapéu Cinza Hacker de Chapéu Preto
Aprender coisa novas,proteger a rede sobsua responsabilidadecontra invasão oudanos, trabalha comautorização dasorganizações
Fama, crédito porresolver quebra-cabeçasde rede desafiadores.Mais interessados emdanos, os hackersativistas que alteramsites e redes decorporações.
Pagamento em dinheiro, ofensas, Podem roubar segredos comerciais, número de cartões de crédito, listas de clientes, trabalham sem sanção de organizações oficiais.M
otiv
ação
e O
bjet
ivos
Perfil do Hacker
50
Novatos
• Habilidades limitadas de computação eprogramação.
• Confiam em kits de ferramentas pararealizar seus ataques.
• Podem causar muitos danos a sistemasporque geralmente não entendem comoos ataques funcionam.
• Buscam atenção na mídia.
51
Punks cibernéticos
• Capazes de escrever o próprio software.• Possuem uma compreensão dos sistemas
que estão atacando.• Muitos estão envolvidos em roubos de
números de cartões de crédito e fraudesnas telecomunicações.
• Tem tendência a se gabar de seus feitos.
52
Internos
a) Funcionários ou ex-funcionário descontentes;Podem estar envolvidos em cargos relacionados comtecnologia.São auxiliados pelos privilégios que têm ou dos quais sãoencarregados como parte de seu trabalho.Oferecem maior ameaça de segurança.
b) Ladrões menoresFuncionários terceirizados, consultores.São motivados por ganância ou necessidade de sustentarhábitos como drogas e jogo.Oportunistas; tiram vantagem da segurança interna fraca.São conhecedores de computação.
53
Velha Guarda
• Parecem não ter intenção criminosa;• Desrespeito alarmante pela propriedade
particular;• Parecem estar interessados no desafio
intelectual;
54
Codificadores
• Agem como mentores dos novatos;• Escrevem scripts e ferramentas que
outros usam;• Motivados por um senso de poder e
prestigio.• Perigosos; possuem motivações ocultas;
usam cavalos de troia.
55
Criminosos profissionais
• Especializados em espionagem corporativa.• Bandidos de aluguel• Altamente motivados, altamente treinados,
tem acesso a equipamento de ponta.
56
Guerreiros da informação/terroristas-cibernéticos
• Aumento do número em atividade desde aqueda de muitas agencias de inteligênciado bloco oriental.
• Possuem muito recursos.• Misturam retórica política com atividade
criminosa. (Ativistas políticos).
57
Ativistas
• Trabalham para erradicar ou prejudicarentidades ou causas que considerammalignas.
• Envolvidos e hack-ativismo.
58
O que deve ser assegurado
• Seguros de Saúde;• Finanças;• Prontuários médicos;• Relatórios de crédito;• Relatórios policiais;• Contas Bancárias;• Registros financeiros e transações.
59
Entendendo a Engenharia Social
• Vaidade pessoal e/ou profissional;• Autoconfiança;• Formação profissional;• Vontade de ser útil;• Busca por novas amizades;• Propagação de responsabilidade;• Persuasão
60
Engenharia Social Reversa
61
Engenharia Social Reversa
Vem a ser uma operação trapaceira na qualo criminoso finge ser autoridade investidapara resolver os problemas das pessoas.
Em geral os problemas são causados pelopróprio criminoso.
62
Engenharia social reversa1. Primeiro o hacker cria um problema, como um ataque de
navegação de serviço(DoS), paralisando a rede por um tempo.
2. Depois, se apresenta como um especialista que pode resolveresse tipo de problema. A vitima poderia ser induzida a secomunicar com hacker em busca de ajuda, o qual aproveita aoportunidade para resolver o problema.
3. Agora, acredita-se que o hacker seja um auxiliar ou especialistade confiança no ramo de segurança de redes, e assim ele recebemais acesso à rede e equipamentos críticos do sistema.
4. Finalmente, o hacker é capaz de coletar informações de usuáriose talvez instalar processos ocultos para serem executados nosistema.
63
Conclusão
64
Conclusão
A engenharia social não éexclusivamente utilizada em informática, aengenharia social é uma ferramenta ondeexploram-se falhas humanas emorganizações físicas ou jurídicas ondeoperadores do sistema de segurança dainformação possuem poder de decisãoparcial ou total ao sistema de segurançada informação seja ele físico ou virtual.
65
Importância do descarte apropriado
do lixo
66
Mergulho no lixo (Dumpster diving)
O Ato de retirar o lixo de umaorganização como Hardware, Softwares equalquer tipo de documento. Procurandovestígios como número de cartão de crédito,numeração de documentos, malas diretas eou planilhas da diretoria.
67
Prevenção contra mergulho no lixo
• Desenvolver uma política de reciclagem e gestão do lixopor escrito.
• Usar essa política para criar métodos consistentes esistemático para lidar com o lixo.
• Exija que os papeis a serem descartados sejam picados.Usando picados de cortes transversais e estreitos.
• Apague todos os dados de fitas, disquetes, pen drives ediscos rígidos em casos críticos usar métodos dedestruição de mídias.
68
Rastreio de pegadas na internet
Os criminosos adotam porque trata-se, deum método limpo, legal e seguro; Sendousando como método de vigilância pelasvias de vazamentos de informações emorganizações.
69
Métodos de rastreio de pegadas
• Redes sociais• Busca na web• Enumeração de rede• Reconhecimento baseados no Sistema de
Nome de Domínio (DNS).• Reconhecimento baseado em rede.
70
Redes Sociais
• Facebook• Twitter
71
Busca na web
• E-mail.• Mecanismos de busca.• Código-fonte em Linguagem HTML• Grupos de discussão (newsgroups).• Sites relacionados a segurança.• Boletins informativos.
72
Enumeração de rede
Vem a ser o processo de identificarnomes de domínios assim como outrosrecursos na rede-alvo. Exemplo busca porendereços IP.
73
Reconhecimento baseado no Sistema de nomes de Domínio (DNS)
Ferramentas de consulta:
• www.dnsstuff.com• www.network-tools.com• www.networksolutions.com
74
Reconhecimento baseado em rede
Vem a ser o processo de identificarcomputadores e serviços ativos em umarede-alvo.
Exemplo: pingtracertnetstat
75
Tipos de Ataques
76
• DoS Negação de serviço• Spam• Phishing spam (Captura dados pessoais)• Ataques de força-bruta• Interceptação de pacotes (Packet Sniffing)• Varreduras• Ataques ao TCP/IP• Malware (Programas Executáveis ou
Scripts)
77
Legislação
78
Artigo Primeiro
O acesso, o processamento e adisseminação de informações através das redesde computadores devem estar a serviço docidadão e da sociedade, respeitados os critériosde garantia dos direitos individuais e coletivos ede privacidade e segurança de pessoas físicase jurídicas e da garantia de acesso àsinformações disseminadas pelos serviços derede.
79
Artigo Segundo
É livre a estruturação e ofuncionamento das redes decomputadores e seus serviços,ressalvadas disposições específicasreguladas em lei.
80
Artigo Terceiro
Para fins desta lei, entende-se porinformações privadas aquelas relativas àpessoa física ou jurídica identificada ouidentificável.
81
Sistemas Usados para diminuição dos riscos.
82
• Educação do usuário final;• Antivírus;• Antispyware (Eliminar ameaças por
varredura) Exemplo Windows Defender;• Filtro Anti Spam;• Backup dos Dados;• Criptografia;• Firewall;• Sistemas de Detecção de Intrusão;• Política de segurança;• Gestão de segurança da informação. 83
Topologias de Segurança
84
85
Sistema de Segurança
Sistema de Segurança (Pequeno)
Sistema de Segurança (Médio)
86
Sistema de Segurança
87
Sistema de Segurança
Sistema de Segurança (Grande)