Post on 18-Apr-2015
Virus, ataques a computadores
Aliny PaternostroKaren FukuokaLeticia Ohara
Manuela CortezPaula Oliveira
Tecnologia de Informação e Estado – Professor: Jakow Grajew
Segurança em Sistemas de Informação
Problemas no hardware;
Problemas no software;
Desastres;
Utilização de computadores fora do ambiente de
trabalho.
Vulnerabilidade nos Sistemas
Desafios Na Segurança
Rede aberta;
IP fixo, facilitando a identificação pelos
hackers;
Anexos em e-mails;
Falta de segurança em IM.
Vulnerabilidade na Internet
Virus Worms Trojan Horses
Spyware
Key Loggers
Malware
Qualquer violação que envolva o conhecimento das
tecnologia para obtenção de informações.
Exemplos
Acessar computadores sem autorização;
Utilizar emails para ofensas ou preconceitos.
O que é um crime via computador?
Spoofin - criação de um email falso para se passar por
outra pessoa
Sniffer - roubar informações pessoais invadindo emails ou
arquivos de empresas
DDOS (Denial of Service Attacks) - enviar milhares de
emails para derrubar um sistema
Principais ações de hackers
Phising
Criação de sites falsos para obtenção de informações pessoais
Envio de emails falsos
Roubo de identidade
Evil Twins
Redes wireless que parecem seguras porém copiam seus dados.
Principais ações de hackers
Conhecimento das ferramentas Social engeneering: enganar os funcionários
para descobrir suas senhas
Ameaças internas
Vulnerabilidade
• Softwares possuem falhas: erro zero é impossível (erros ocultos)
• Erros facilitam a entrada de intrusos• Atualizações são mais rápidas que
correções• Perda da função do negócio• Credibilidade• Valor de mercado
Utilidade• Crimes de colarinho branco• Tempo, dinheiro com questões legais
Vulnerabilidade do software vs. utilidade
Controles do sistema: gerais (governo, combinação de hardware, software para ter um controle maior)
Controles aplicados: específico para cada aplicativo (input, processo e output)
Avaliação dos riscos: caso o processo não seja controlado
Quadro para segurança e controle
Política de segurança Guia outras políticas
Gestão dos sistemas de autorização Onde e quando o usuário terá acesso Acesso restrito: apenas algumas partes do sistema
Plano de recuperação de desastres e continuidade dos negócios
Restauração dos serviços interrompidos Restauração de operações de negócios após o desastre
Auditoria Análise global Simular desastres Avalia impacto financeiro
Quadro para segurança e controle
Como prevenir acesso impróprio de sistemas
por usuários não autorizados:
Autorização;
Autenticação:
Senhas;
Tokens;
Smart cards;
Autenticação biométrica.
Controle de Acesso
Firewall
O que é?
Combinação de hardware e software que previne usuários não autorizados de acessar redes privadas.
Firewall Corporativo
O firewall fica localizado entre a rede privada da empresa e a rede pública ou outra rede não confiável para proteger contra tráficos não autorizados.
Detecção de intrusos
Monitoramento de hot spots em redes corporativas para detectar possíveis intrusos;
Antivirus e antispyware software:
Checam computadores contra a presença de ameaças e vírus, podendoaté eliminá-los; Requerem atualização contínua.
Criptografia
Transformação de texto ou dados em criptogramas que não podem ser lidos por destinatários não adequados;
Dois métodos: Symmetric key encryption : remetente e
destinatário usam uma senha única e compartilhada;
Public key encryption:
Certificados Digitais
Ajudam a estabelecer a identidade de pessoas ou bens eletrônicos;
Protegem transações promovendo uma comunicação online mais segura e criptografada.
Disponibilidade de Sistemas
O processamento de transações online requer 100% de disponibilidade do sistema, sem downtime;
Sistema Fault-tolerant: Para disponibilidade contínua, serviço ininterrupto.
Ex: mercado de ações; Suprimentos excessivos: hardware, software, gerador
de energia; High – availability computing:
Ajuda a recuperar rapidamente de danos; Minimiza, mas não elimina downtime.
Qualidade de Software
Métricas de Software: avaliações objetivas do sistema em forma de medidas quantificadas;
Ex: n° de transações, tempo de resposta online, etc.
Testes antecipados e regulares;
Debugging: processo pelo qual erros são eliminados;
Walkthrough: revisão de especificações ou design feito por um grupo de pessoas qualificadas.
Exemplos Reais sobre Falhas de Segurança
Ataque de negação de serviços
Computador “mestre” comanda computadores “zumbis” para realizar uma mesma ação ao mesmo tempo
Resultado: milhares de requisições em um curto período de tempo
DDoS (Distributed Denial-of-Service attacks)
Caso Anonymous Brasil Ataque aos Bancos
Hackers brasileiros do grupo Anonymous tiraram do ar vários sites de bancos públicos e privados
Ação #OpWeeksPayments: protesto contra a corrupção e mostrar poder do grupo
Início: 30/01/2012 – maior movimentação nas contas na 1ª semana do mês
Método utilizado: DDoS
Caso Anonymous – BrasilAtaque aos bancos
Instituições atingidas: Itaú, Bradesco, Banco do Brasil, HSBC, Citibank, BMG, Panamericano, Febraban (Federação Brasileira de Bancos), Cielo, RedeCard, Banco Central.
Caso Anonymous – BrasilAtaque aos bancos
Vídeo:http://www.youtube.com/watch?v=6IiknJp7u1Q
Caso Anonymous – BrasilAtaque aos bancos
Phising: e-mails para contas cadastradas em banco de dados da Apple com o assunto: “Apple update your billing information”.
Link redireciona para um endereço que instala um malware: repasse de informações confidenciais
Ataques por e-mail: Apple
Caso “MEGAUPLOAD” e a Guerra Virtual
Ação do Governo
Americano contra a pirataria
Protestos
Guerra Virtual
•SOPA (Stop Online Piracy Act) - permitirá ao governo norte-americano bloquear o acesso dos visitantes a determinados websites que, segundo o órgão, prejudiquem a criatividade econômica ou incentivem o roubo de propriedade intelectual.
Dezembro de 2011
•Manifetação: Blecaute do Wikipédia
16 de Janeiro de
2012
•Fechamento do Megaupload - Departamento de Justiça norte-americano ordenou o bloqueio dos serviços e prendeu sete pessoas envolvidas com a empresa, entre as quais está o fundador da mesma, Kim Dotcom
19 de janeiro de
2012
Anonymous (grupo de hackers ativistas) ataca os seguintes sites: Departamento de Justiça dos EUA - justice.gov e usdoj.gov Universal Music - universalmusic.com RIAA - riaa.org MPAA - mpaa.org Orgão responsável pelos direitos autorais - copyright.com HADOPI, orgão francês responsável pelos direitos autorais - hadopi.fr Warner Music Group - wmg.com BMI - bmi.com FBI - fbi.gov
DDoS – Ataque de negação de serviços
Efeito Inesperado – Atualização do Software trazia variante de malware Zeus Cavalo de Troia - rouba dados de acesso a bancos online, webmail e até cookies (arquivos
que gravam histórico de navegação).
Revolta – Ataque dos Hackers
SOPA:
reduzem a liberdade de expressão, aumentam o risco da ciber-segurança ou enfraquecem a dinâmica e a inovação na Internet global
Industria da internet possui um peso maior que a indústria do entretenimento
Aumenta a segurança dos direitos autorais e de propriedade
Resultado: Insegurança Cibernética
Guerra Virtual
Obrigado!