1

Faculdade de Engenharia da ComputaçãoFaculdade de Engenharia da ComputaçãoFaculdade de Engenharia da ComputaçãoFaculdade de Engenharia da ComputaçãoDisciplina:

Segurança Aplicada à Computação

Introdução aos Sistemas de SegurançaSite : http://www1.univap.br/~wagner/ec.html

Prof. ResponsáveisWagner Santos C. de Jesus

Conceito de Segurança da Informação

2

Conceito de Informação

3

4

Dado

Informação

Conhecimento

5

Dado

É um conjunto de letras, números ou dígitos que colocado isoladamente, nãoagrega nenhum conhecimento, não contem significado claro.

2,4,6,8,10; xyz; Maria

Dado

6

Exemplo de dado

Alfabeto Braille de seis dígitos

A B C D

E F G H

(Informação)

7

Dado => Informação

-.-. --- -.. .. --. --- / -- --- .-. ... . C O D I G O (espaço) M O R S E

8

Informação

O conceito de informação vem ser odado trabalhado ou tratado agregadocom sentido natural e lógico para quemusa a informação. Define-se como algoútil.

2,4,6,8,10 – São Múltiplos de dois.

x,y,z - São coordenadas cartesianas.

Maria - Nome de uma pessoa.

9

Conhecimento

Quando a informação é “trabalhada” por pessoase pelos recursos computacionais, possibilitandogeração de cenários, simulações e oportunidades,pode ser chamada de conhecimento.

Exemplo: Percepção da dificuldade;Uso de experiências semelhantes;Concepção de equipamentos, pessoas,

materiais e pessoas, que são vitais para um serviço.Entendimento de contratos que podem

ser negociados, visando à adequação à realidade deuma atividade.

10

Exemplo de ConhecimentoProblema

Desenvolver uma função matemática para gerar apenas múltiplos de dois.

N={2,4,6,8,10...} <= Dado

Informação, todos são múltiplos dedois.

Conhecimento : N = 2x

11

Conhecimento

Defini-se como conhecimento ainterpretação dos dados.

Alemão - VerfahrenInglês - Process

Espanhol - acciónFrancês - processus Processo

12

Proibido Fumar

Deficiente Físico

Radiação no local

Laser no local

Alta Tensão

Enviar dados para Impressora

Mulher e Homem

Proibido Estacionar

Simbologias (SI)

Mosaico (Segurança da Informação)

13http://www.secretariadegoverno.gov.br/acesso-a-informacao/perguntas/secretaria-de-controle-interno

Conceito de Segurança da Informação

Deve estar relacionado com apreservação de um conjunto deinformações, no sentido de preservar osvalores que possuem para um individuouma organização.

14

Motivação

• Segurança não Binária.• Não existe ambiente totalmente

seguro.• Gerenciamento de Sistemas de

Informação devem ser constantes.

15

Família ISO 27000

ABNT – NBR:

• 27001 – Sistema de Gestão de Segurançada informação.

• 27002 – Código de prática para Gestão daSegurança da Informação.

• 27005 – Gestão de Risco.

16

Preservação da Informação

17

Negócios Organização

Informação

Importância

PatrimônioAdequadamente

Protegida

Classificação da Informação

• Pública: Informação que pode vir a público sem maioresconseqüências danosas ao funcionamento normal da empresa;

• Interna: O acesso a esse tipo de informação deve ser evitado,embora as conseqüências do uso não autorizado não sejampor demais sérias;

• Confidencial: Informação restrita aos limites da empresa, cujadivulgação ou perda pode levar a desequilíbrio operacional , eeventualmente, perdas financeiras;

• Secreta: Informação crítica para as atividades da empresa, cujaintegridade deve ser preservada a qualquer custo e cujoacesso deve ser restrito a um número bastante reduzido depessoas.

18

Ciclo de Vida da Informação

19

Disponibilidade

Retratabilidade

Autenticidade

Informação

Manuseio

Descarte

Transporte

Armazenamento

Preservação de

• Confidencialidade;• Integridade;• Disponibilidade.

20

Segurança da Informação

21

Disponibilidade

Dados e

Serviços

Sistema seguro• Confidencialidade

A informação somente pode ser acessada por pessoasexplicitamente autorizadas; é a proteção de sistemas deinformação para impedir que pessoas não autorizadas tenhamacesso ao mesmo.

• DisponibilidadeA informação ou sistema de computador deve estar disponívelno momento em que a mesma for necessária.

• IntegridadeA informação deve ser retornada em sua forma origin al no momento em que foi armazenada.

22

Sistema seguro

- Autenticidade: Garante de que ainformação vem da fonte anunciada.

- Retratabilidade (Não Repudio) : Garantiade que a pessoa não negue ter criado ainformação.

23Segurança da Informaçãohttps://www.youtube.com/watch?v=nVmRH

tHJKfw

Gestão de Continuidade de Negócios

Processo que identifica ameaças empotencial e os possíveis impactos àsoperações de negócio caso essasameaças se concretize, buscandodesenvolver uma cultura organizacionalcapaz de responder e salvaguardar asinformações e a reputação do órgão ouentidade.

24

Gestão de Riscos

Atividades coordenadas paradirecionar e controlar uma organização noque se refere a riscos, incluindo, inclusive,análise e avaliação, tratamento, aceitaçãoe comunicação dos riscos.

25

Componentes de um Sistema de Informação (SI)

26

Gestão SI

Segurança de Computadores e Dados

Segurança de rede

Política

Segurança da Informação

Como o SI pode ser Obtido ?

27

Para se obter um SI

Implementando CONTROLES,para garantir que os objetivos desegurança sejam alcançados.

28

Tópicos de Controle

29

Políticas

Práticas

Procedimentos

Estruturas organizacionais

Funções de softwares/hardware

Por que SI é necessária?

• As informações são constantemente colocadas à provapor diversos tipos de ameaças

• Fraudes eletrônicas, sabotagem, vandalismo, etc.• Dependência nos sistemas de informação torna as

organizações mais vulneráveis às ameaças• Controle de acesso é cada vez mais difícil• Sistemas de informação não foram projetados para

serem seguros• Codificação segura (evita buffer overflow, SQL Injection,

PHP Injection, etc)

30A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entradas de dados de uma aplicação.

Mitos de Segurança

• Segurança da informação é responsabilidade única da TI;• Os engenheiros sempre me proverá sistemas seguros;• Os ataques a informações são sofisticados por isso são

realizados apenas por hackers.;• Somente devemos nos preocupar com as informações salvas

em meu computador ou na rede;• Estagiários e terceirizados não estão incluídos no processo

de segurança da informação;• Meu website é seguro porque utiliza SSL e Criptografia de

Dados;• O Firewall nos protege de todos os ataques externo;• Falhas em aplicações internas não são tão importantes;

31

Fraudes de Chips

32https://www.youtube.com/watch?v=YZjG3qKYZbM

33

SegurançaFísica

34

Segurança: Principais Ameaças

• Falhas em equipamentos, SO e aplicativos• Acesso físico não autorizado (infraestrutura predial )• Perda de comunicação voz e dados• Vandalismo, roubo, furto• Fatores naturais

–Incêndio, Inundação, Furacões, Desabamentos–Explosões, Raios, Terremotos

• Fatores humanos envolvidos–Negligência–Despreparo–Desinformação

35

Cofres Antigos

36

37

Câmeras de Monitoramento

38

Dispositivos de Autenticação

• Tokens : O que você tem;• Passwords: O que você sabe;• Smart Card: O que você sabe mais o que

você tem;• Autenticação Biométrica: Você é a senha.

39

Biometria

40

Biometria• Impressão Digital;• Retina/Íris dos olhos;• Características faciais;• Reconhecimento de Voz;• Geometria e veias das mãos;• Padrão de escrita;• Poros da pele;• Análise de DNA;• Formato da orelha;• Composição química do odor corporal;• Emissões Térmicas;• Geometria dos dedos;

41

Engenharia Social

42

Conceito

Engenharia social em segurança dainformação, se refere a prática deinterações humanas para que pessoasrevelem dados sensíveis sobre umsistema de computadores ou deinformações.

43

Exemplo (Golpe)

Alguém te liga, dizendo se, passar porfuncionário do banco e pergunta dadossobre sua conta pedindo que você osconfirme. Mesmo que você não diga asenha ele poderá ficar com informaçõesvaliosas sobre sua pessoa.

44

Exemplo – 2 (Golpe)

Alguém te manda um boleto bancárioexatamente igual a data de sua fatura da(Sky, Net ou outro serviço); Quando vocêefetua o pagamento o crédito não irá paraoperadora original e sim para a conta deum golpista.

45

Exemplo Browser (Internet)

46

Não grave sua senha em computadores de estranhos

Exemplo Engenharia Social

47

https://www.youtube.com/watch?v=525r3FKAwPU

Hacker da década de 90

48

Kevin David Mitnick

Preso em fevereirode 1995 a Janeiro de2000, 25 acusaçõesfederais; Fraude emSistema Telefônicos,Roubo de Software(Sun,Motorola,Novelle Nokia).

Categorias de Hackers

49

Hacker de Chapéu Branco

Hacker de chapéu Cinza Hacker de Chapéu Preto

Aprender coisa novas,proteger a rede sobsua responsabilidadecontra invasão oudanos, trabalha comautorização dasorganizações

Fama, crédito porresolver quebra-cabeçasde rede desafiadores.Mais interessados emdanos, os hackersativistas que alteramsites e redes decorporações.

Pagamento em dinheiro, ofensas, Podem roubar segredos comerciais, número de cartões de crédito, listas de clientes, trabalham sem sanção de organizações oficiais.M

otiv

ação

e O

bjet

ivos

Perfil do Hacker

50

Novatos

• Habilidades limitadas de computação eprogramação.

• Confiam em kits de ferramentas pararealizar seus ataques.

• Podem causar muitos danos a sistemasporque geralmente não entendem comoos ataques funcionam.

• Buscam atenção na mídia.

51

Punks cibernéticos

• Capazes de escrever o próprio software.• Possuem uma compreensão dos sistemas

que estão atacando.• Muitos estão envolvidos em roubos de

números de cartões de crédito e fraudesnas telecomunicações.

• Tem tendência a se gabar de seus feitos.

52

Internos

a) Funcionários ou ex-funcionário descontentes;Podem estar envolvidos em cargos relacionados comtecnologia.São auxiliados pelos privilégios que têm ou dos quais sãoencarregados como parte de seu trabalho.Oferecem maior ameaça de segurança.

b) Ladrões menoresFuncionários terceirizados, consultores.São motivados por ganância ou necessidade de sustentarhábitos como drogas e jogo.Oportunistas; tiram vantagem da segurança interna fraca.São conhecedores de computação.

53

Velha Guarda

• Parecem não ter intenção criminosa;• Desrespeito alarmante pela propriedade

particular;• Parecem estar interessados no desafio

intelectual;

54

Codificadores

• Agem como mentores dos novatos;• Escrevem scripts e ferramentas que

outros usam;• Motivados por um senso de poder e

prestigio.• Perigosos; possuem motivações ocultas;

usam cavalos de troia.

55

Criminosos profissionais

• Especializados em espionagem corporativa.• Bandidos de aluguel• Altamente motivados, altamente treinados,

tem acesso a equipamento de ponta.

56

Guerreiros da informação/terroristas-cibernéticos

• Aumento do número em atividade desde aqueda de muitas agencias de inteligênciado bloco oriental.

• Possuem muito recursos.• Misturam retórica política com atividade

criminosa. (Ativistas políticos).

57

Ativistas

• Trabalham para erradicar ou prejudicarentidades ou causas que considerammalignas.

• Envolvidos e hack-ativismo.

58

O que deve ser assegurado

• Seguros de Saúde;• Finanças;• Prontuários médicos;• Relatórios de crédito;• Relatórios policiais;• Contas Bancárias;• Registros financeiros e transações.

59

Entendendo a Engenharia Social

• Vaidade pessoal e/ou profissional;• Autoconfiança;• Formação profissional;• Vontade de ser útil;• Busca por novas amizades;• Propagação de responsabilidade;• Persuasão

60

Engenharia Social Reversa

61

Engenharia Social Reversa

Vem a ser uma operação trapaceira na qualo criminoso finge ser autoridade investidapara resolver os problemas das pessoas.

Em geral os problemas são causados pelopróprio criminoso.

62

Engenharia social reversa1. Primeiro o hacker cria um problema, como um ataque de

navegação de serviço(DoS), paralisando a rede por um tempo.

2. Depois, se apresenta como um especialista que pode resolveresse tipo de problema. A vitima poderia ser induzida a secomunicar com hacker em busca de ajuda, o qual aproveita aoportunidade para resolver o problema.

3. Agora, acredita-se que o hacker seja um auxiliar ou especialistade confiança no ramo de segurança de redes, e assim ele recebemais acesso à rede e equipamentos críticos do sistema.

4. Finalmente, o hacker é capaz de coletar informações de usuáriose talvez instalar processos ocultos para serem executados nosistema.

63

Conclusão

64

Conclusão

A engenharia social não éexclusivamente utilizada em informática, aengenharia social é uma ferramenta ondeexploram-se falhas humanas emorganizações físicas ou jurídicas ondeoperadores do sistema de segurança dainformação possuem poder de decisãoparcial ou total ao sistema de segurançada informação seja ele físico ou virtual.

65

Importância do descarte apropriado

do lixo

66

Mergulho no lixo (Dumpster diving)

O Ato de retirar o lixo de umaorganização como Hardware, Softwares equalquer tipo de documento. Procurandovestígios como número de cartão de crédito,numeração de documentos, malas diretas eou planilhas da diretoria.

67

Prevenção contra mergulho no lixo

• Desenvolver uma política de reciclagem e gestão do lixopor escrito.

• Usar essa política para criar métodos consistentes esistemático para lidar com o lixo.

• Exija que os papeis a serem descartados sejam picados.Usando picados de cortes transversais e estreitos.

• Apague todos os dados de fitas, disquetes, pen drives ediscos rígidos em casos críticos usar métodos dedestruição de mídias.

68

Rastreio de pegadas na internet

Os criminosos adotam porque trata-se, deum método limpo, legal e seguro; Sendousando como método de vigilância pelasvias de vazamentos de informações emorganizações.

69

Métodos de rastreio de pegadas

• Redes sociais• Busca na web• Enumeração de rede• Reconhecimento baseados no Sistema de

Nome de Domínio (DNS).• Reconhecimento baseado em rede.

70

Redes Sociais

• Facebook• Twitter

71

Busca na web

• E-mail.• Mecanismos de busca.• Código-fonte em Linguagem HTML• Grupos de discussão (newsgroups).• Sites relacionados a segurança.• Boletins informativos.

72

Enumeração de rede

Vem a ser o processo de identificarnomes de domínios assim como outrosrecursos na rede-alvo. Exemplo busca porendereços IP.

73

Reconhecimento baseado no Sistema de nomes de Domínio (DNS)

Ferramentas de consulta:

• www.dnsstuff.com• www.network-tools.com• www.networksolutions.com

74

Reconhecimento baseado em rede

Vem a ser o processo de identificarcomputadores e serviços ativos em umarede-alvo.

Exemplo: pingtracertnetstat

75

Tipos de Ataques

76

• DoS Negação de serviço• Spam• Phishing spam (Captura dados pessoais)• Ataques de força-bruta• Interceptação de pacotes (Packet Sniffing)• Varreduras• Ataques ao TCP/IP• Malware (Programas Executáveis ou

Scripts)

77

Legislação

78

Artigo Primeiro

O acesso, o processamento e adisseminação de informações através das redesde computadores devem estar a serviço docidadão e da sociedade, respeitados os critériosde garantia dos direitos individuais e coletivos ede privacidade e segurança de pessoas físicase jurídicas e da garantia de acesso àsinformações disseminadas pelos serviços derede.

79

Artigo Segundo

É livre a estruturação e ofuncionamento das redes decomputadores e seus serviços,ressalvadas disposições específicasreguladas em lei.

80

Artigo Terceiro

Para fins desta lei, entende-se porinformações privadas aquelas relativas àpessoa física ou jurídica identificada ouidentificável.

81

Sistemas Usados para diminuição dos riscos.

82

• Educação do usuário final;• Antivírus;• Antispyware (Eliminar ameaças por

varredura) Exemplo Windows Defender;• Filtro Anti Spam;• Backup dos Dados;• Criptografia;• Firewall;• Sistemas de Detecção de Intrusão;• Política de segurança;• Gestão de segurança da informação. 83

Topologias de Segurança

84

85

Sistema de Segurança

Sistema de Segurança (Pequeno)

Sistema de Segurança (Médio)

86

Sistema de Segurança

87

Sistema de Segurança

Sistema de Segurança (Grande)