iscad ti 2010_2011_1 - segurança na web
TRANSCRIPT
Requisitos de Segurança
• Integridade –Complecta e não alterada
• Confidencialidade –Acesso condicionado
• Autenticidade – Identidade da pessoa
• Não repúdio –Transacção garantida
Spam
• É uma mensagem electrónica não solicitada
enviada em massa.
• Consiste numa mensagem de correio
electrónico com fins publicitários
• O termo spam pode ser aplicado a
mensagens enviadas por outros meios e
noutras situações até modestas. Geralmente
os spams têm carácter apelativo e na grande
maioria das vezes são incómodos e
inconvenientes.
INTERNET - Da Informação à Transacção Electrónica / Luís Vidigal
Spam
• Boatos
• Correntes de mail (chain letters)
• Propagandas
• Golpes / Oportunidades de “negócio” (scam)
• Estelionato (phishing)
• Programas maliciosos
• Vírus
• Cavalos de Tróia
• Ofensivos
Worm
• É um programa auto-replicante, semelhante a um
vírus.
Enquanto um vírus infecta um programa e necessita
deste programa hospedeiro para se propagar, já o
Worm é um programa completo e não precisa de
outro programa para se propagar • HISTÓRIA: O primeiro worm que atraiu grande atenção foi o Morris worm, escrito
por Robert T. Morris Jr no Laboratório de Inteligência artificial do MIT. Ele foi
iniciado em 2/11/1988, e rapidamente infectou um grande número de
computadores pela Internet. Morris foi condenado a prestar 3.000 anos de
serviços à comunidade e a pagar uma multa de
US$100.000.000.000.000.000.000.000,00
O Mydoom, por exemplo, causou uma lentidão generalizada na Internet no pico
de seu ataque
Trojan Horse ou Cavalo de Tróia
• É um programa que age como a lenda do cavalo de Tróia, entrando no computador e liberando uma porta para um possível invasor.
• O conceito nasceu de simples programas que se faziam passar por esquemas de autenticação, em que o utilizador era obrigado a inserir as senhas, pensando que estas operações eram legítimas.
• Entretanto, o conceito evoluiu para programas mais completos. Os trojans actuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms, não criem réplicas de si. São instalados directamente no computador. De fato, alguns trojan são programados para se auto-destruir com um comando do cliente ou depois de um determinado tempo.
Exemplo de “Phishing”
Segurança
Exemplo de Phishing Caros assinantes, Esta mensagem é do seu webmail centro de mensagens a todos os proprietários e-mail. Estamos atualizando nossa base de dados e e-mail center. Nós estamos apagando todas as contas de webmail utilizadas para criar mais espaço para novos. Para evitar que sua conta do fechamento, você terá de atualizá-lo abaixo para que possamos saber a sua conta existente. CONFIRMAR SEU E-MAIL ABAIXO: Nome :................. Nome :..... E-mail E-mail Senha: ................. País ou território: ........... Atenção! E-mail do proprietário que deixar de atualizar seu e-mail no prazo de sete dias depois de receber este aviso correrá o risco de perder a sua conta de correio electrónico de forma permanente. Obrigado, WEBMAIL Team Support Upgrade BETA WEBMAIL. -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est limpio. For all your IT requirements visit: http://www.cavnet.net.ec
Spyware
• Consiste num programa automático de
computador, que recolhe informações sobre o
utilizador, sobre os seus costumes na Internet
e transmite essa informação a uma entidade
externa na Internet, sem o seu conhecimento
nem o seu consentimento.
• Diferem dos cavalos de Tróia por não terem
como objectivo que o sistema do utilizador
seja dominado, seja manipulado, por uma
entidade externa, por um hacker.
AGP - Tecnologias da Informação 2010 - 2011 - Luís Vidigal
Segurança na Web 2.0
AGP - Tecnologias da Informação 2010 - 2011 - Luís Vidigal
Segurança e Confiança na Web 2.0
• Mudanças constantes e mecanismos de controle de vulnerabilidade na autenticação.
• Cuidados no ambiente: o que é público, por que tornar público, qual as garantias da segurança individual dos dados, desinformação?
• Invasão de ambientes: phishing saber diferenciar o que é real ou falso, codificação maliciosa.
• Troca da informação
• Acessos e senhas
• Qualidade da informação: integridade, legitimidade, rigor.
Quais são os riscos de Segurança?
• Distribuição de Malware
• Cyber-bullying (“trolling” - abuso emocional)
• “Vida-na-prateleira” da informação (para sempre no cyberspace)
• Preocupações com a Privacidade – Informações sobre si que você coloca
– Informações sobre si que outros colocam
– Informações sobre si que os sites de redes sociais recolhem e partilham com outros
Quais são os Riscos de Segurança?
• Pode resultar em engenharia social, roubo de identidade, fraude financeira, computadores infectados, extorsão, abuso de crianças, predadores sexuais, pedofilia, difamação, processos legais, ruína de casamentos/noivados/namoros, ofertas indesejáveis, vergonha, …
Roube-me, por favor!
Distribuição de Malware
Similar a outros perigos que podem levar a carregar e instalar malware
• Propagandas maliciosa
• Clickjacking (“likejacking”)
• Wall posts, inbox ou menssagens de chats com links maliciosos de “Amigos” (contas de utilizadores hackeadas)
• “Roubaram-me a carteira. Por favor me mande-me dinheiro agora.”
• E-mails de spam fazendo-se passar por administrador do Facebook
Malware Distribution
Distribuição de Malware
• Koobface é o avô dos malware atacando o Facebook; continua a evoluir e a infectar ainda hoje
• Amigos (os siga-me) suspeitos, ou links
• Grupos / Páginas para o atrair
• Aplicações suspeitas / maliciosas mashable.com/2010/05/29/facebook-hilarious-video/
Segurança na Web 2.0
AGP - Tecnologias da Informação 2010 - 2011 - Luís Vidigal
http://defensio.com/
Privacidade
Privacidade é a habilidade de uma pessoa
para controlar a exposição disponibilidade de
informações e acerca de si. Relaciona-se com
a capacidade de existir na sociedade de
forma anónima (inclusive pelo disfarce de
um pseudônimo ou por um identidade falsa).
Quem está a espiar?
• Amigos\família
• Amigos de amigos\família
• Pais
• Empregados e companheiros de trabalho
– Um estudo de Dezembro de 2009 contratado pela Microsoft
disse que 79% dos recrutamentos de novos empregados
foram efectuados através de pesquisas online
– Estudo do CareerBuilder.com – 45% de empregadores
usam redes sociais para filtrar candidatos a emprego
• Clientes
• Universidades
• Empresas de Marketing \vendedores
• Criminosos, hackers
• Agências Governamentais (IRS, SRS!)
• O MUNDO INTEIRO
Política de Proteção a Privacidade?
Linked In
Additionally, you grant LinkedIn a nonexclusive, irrevocable, worldwide,
perpetual, unlimited, assignable, sublicenseable, fully paid up and royalty-free
right to us to copy, prepare derivative works of, improve, distribute, publish,
remove, retain, add, process, analyze, use and commercialize, in any way now
known or in the future discovered, any information you provide, directly or
indirectly to LinkedIn, including but not limited to any user generated content,
ideas, concepts, techniques or data to the services, you submit to LinkedIn,
without any further consent, notice and/or compensation to you or to any third
parties. Any information you submit to us is at your own risk of loss.
“You hereby grant Facebook an irrevocable, perpetual, non-exclusive,
transferable, fully paid, worldwide license (with the right to sublicense) to (a) use,
copy, publish, stream, store, retain, publicly perform or display, transmit, scan,
reformat, modify, edit, frame, translate, excerpt, adapt, create derivative works
and distribute (through multiple tiers), any User Content you (i) Post on or in
connection with the Facebook Service or the promotion thereof subject only to
your privacy settings or (ii) enable a user to Post, including by
offering a Share Link on your website and (b) to use your
name, likeness and image for any purpose, including commercial or advertising,
each of (a) and (b) on or in connection with the Facebook Service or the
promotion thereof. You may remove your User Content from the Site at any time.
If you choose to remove your User Content, the license granted above will
automatically expire, however you acknowledge that the Company may retain
archived copies of your User Content.”
Um amigo meu é amigo teu
Privacidade no Facebook
AGP - Tecnologias da Informação 2010 - 2011 - Luís Vidigal
1
2
3
De onde vêm o crimeware e o phishing?
AGP - Tecnologias da Informação 2010 - 2011 - Luís Vidigal
http://www.antiphishing.org
Outubro 2010
Abreviaturas de URL
• bit.ly, TinyUrl, ReadThisURL, NotLong
• Esconde a URL de destino verdadeira – sem saber aonde está te levando até você clicar!
http://www.hacker.com/badsite?%20infect-your-pc.html is now
http://bit.ly/aaI9KV
Aplicações de Terceiros
• Jogos, testes, coisas agradáveis • Sem ser testado pelo site • Sem Termos e Condições • A instalação dá a quem desenvolveu o
direito de consultar o seu perfil e mudar a sua preferência de privacidade!
Questões Éticas
Recomendações para Tornar as
Redes Sociais (mais) Seguras 1. Use uma senha forte, distinta (não use a mesma
senha em vários sites)
2. Coloque o mínimo possível de informações pessoais – (aniversários, endereço, etc.)
3. Personalize o seu perfil de privacidade em todas as suas contas de redes sociais
4. Não permita que aplicações de terceiros acedam à sua informação (se possível)
5. Cuidado com o que você coloca a. Fotos suas e de outros
b. Opiniões em tópicos controversos
c. Não diga mal de chefes, companheiros de trabalho, empregados, etc. – Isso volta-se contra sí
6. Não coloque nada relacionado com o seu local de trabalho (a não ser que seja autorizado)
7. Supervisione o uso que os seus filhos fazem de redes sociais.
Recomendações para Tornar as
Redes Sociais (mais) Seguras
8. Suspeite de pedidos de amigos / siga-me, anúncios, aplicações de terceiros, menssagens de chat, etc.
9. Minimize a exploração – não click aleatoriamente em vários anúncios, vídeos, jogos, etc.
10. Use built-in e add-on de navegadores que avisam sobre sites maliciosos
a. Filtros anti-phishing em IE e Firefox
b. Web of Trust
c. NoScript
d. Adblock Plus
e. Preview de bit.ly, TinyURL
11. Pesquise no Google o seu nome e confira os resultados
12. Pense antes de clicar!!
Será que tenho de ser a ovelha negra?
AGP - Tecnologias da Informação 2010 - 2011 - Luís Vidigal