seguranca de sistema
DESCRIPTION
Seguranca de sistemaTRANSCRIPT
![Page 1: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/1.jpg)
1
SEGURANÇA DE INFORMAÇÃO
Eudes Danilo Mendonça [email protected] http://www.4shared.com/file/39802306/e79291cf/Segurana_de_sistema.html
18/01/2011
![Page 2: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/2.jpg)
2
Indice 1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 3: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/3.jpg)
3
1. Introdução
![Page 4: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/4.jpg)
4
O sistema informático mais seguro
não é utilizável
O sistema informático mais utilizável
é inseguro
Só existe um computador 100%
seguro, o desligado.
![Page 5: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/5.jpg)
5
Introdução
A Segurança da Informação pode ser definida como a proteção de dados contra a revelação acidental ou intencional a pessoas não autorizadas, e contra alterações não permitidas.
A segurança no universo computacional divide-se em: – Segurança Física
– Segurança Lógica
![Page 6: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/6.jpg)
6
Introdução (cont.)
Objetivo da Segurança Informática
– Seja qual for a dimensão de um sistema
informático, deve procurar-se atingir, na
sua exploração, os seguintes objetivos:
• Integridade do equipamento
• Confidencialidade e a qualidade da
informação
• Prontidão do sistema (eficiência x eficácia)
![Page 7: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/7.jpg)
O que você está tentando
proteger?
Seus dados
Integridade
Privacidade
Disponibilidade
Seus recursos
Sua reputação
7
![Page 8: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/8.jpg)
Contra o que você está tentando
se proteger?
Roubo de senhas
Engenharia Social
BUG & Backdoors
Falha de autenticação
Falha de protocolo
Obtendo Informações
Negando serviços (DoS)
8
![Page 9: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/9.jpg)
Criptografia
Crachá
Senha
Assinatura Digital
Log Acesso
Certidão de Nascimento
Carteira de Identidade
Carteira Profissional
Título de Eleitor
CPF
Certificado de Reservista
Carta de Motorista
Passaporte
Cartão de Crédito
45c
Identificação
Virtual
Identificação
no Mundo
Real
Devemos cuidar de nossa identidade digital!
![Page 10: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/10.jpg)
Não é preciso contato Com as vitimas
É Facil de aprender a fazer e adquirir ferramentas Um pequeno
investimento causa um grande
prejuizo
Muitas redes podem Ser comprometidas
E muitos paises envolvidos
Deixa pouco ou nenhum rastro
É facil se esconder
Não existe legislação adequada em todos os lugares
![Page 11: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/11.jpg)
Principios da Segurança da Informação 100% de segurança é um valor que não
pode ser atingido
Riscos devem ser calculados e
balanceados
Segurança tem quer ser calculada em
relação a disponibilidade
![Page 12: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/12.jpg)
“Não publico serviços...”
![Page 13: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/13.jpg)
“Não publico serviços...”
![Page 14: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/14.jpg)
“As vulnerabilidades das redes representam as vulnerabilidades dos negócios...”
![Page 15: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/15.jpg)
“As vulnerabilidades das redes representam as vulnerabilidades dos negócios...”
![Page 16: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/16.jpg)
“O importante apenas ter um firewall e um antivírus sempre atualizado...”
![Page 17: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/17.jpg)
“O importante é ter um firewall e um antivírus sempre atualizado...”
![Page 18: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/18.jpg)
“Segurança não tem retorno do investimento...”
![Page 19: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/19.jpg)
“Segurança não tem retorno do investimento...”
![Page 20: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/20.jpg)
“Quanto mais restrito mais seguro“
![Page 21: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/21.jpg)
“Quanto mais restrito mais seguro“
![Page 22: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/22.jpg)
Em que abordagem você confia ?
Segurança como uma opção
Segurança como um aditivo
Integração extremamente complicada
Não é economicamente viável
Não pode focar na principal prioridade
Segurança como parte do sistema
Segurança Embutida na Rede
Colaboração inteligente entre os
elementos
Visão de sistemas
Foco direto na principal prioridade
![Page 23: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/23.jpg)
Normativos de Segurança
ABNT NBR ISO/IEC 17799: 2005 –
Tecnologia da informação – Técnicas de
segurança – Código de práticas para gestão
da segurança da informação.
ABNT NBR ISO/IEC 27001: 2006 –
Tecnologia da informação – Técnicas de
segurança – Sistemas de gestão de
segurança da informação – Requisitos.
ABNT NBR 11515 – Guia de práticas
para segurança física relativas ao
armazenamento de dados.
![Page 24: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/24.jpg)
24
Indice
1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 25: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/25.jpg)
25
2. Histórico
![Page 26: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/26.jpg)
26
Breve História da Segurança
Em 1845, um ano depois da invenção do telégrafo, foi desenvolvido um código de encriptação para manter secretas as mensagens transmitidas.
Durante os anos 70, equipas formadas por elementos do governo e da indústria – crackers – tentavam ultrapassar as defesas de sistemas de computadores num esforço de descobrir e corrigir as falhas de segurança.
O nascimento do “Orange Book”.
![Page 27: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/27.jpg)
27
Breve História da Segurança
O “Orange Book” passou a ser a bíblia do desenvolvimento de sistemas seguros. Descrevia os critérios de avaliação utilizados para determinar o nível de confiança que poderíamos depositar num determinado sistema. Tornava a segurança numa medida cômoda para que um cliente pudesse identificar o nível de segurança exigido por um determinado sistema.
Criou as categorias D, C, B, e A, sendo D o menos seguro e A o mais seguro.
![Page 28: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/28.jpg)
28
Indice
1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 29: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/29.jpg)
29
3. Tipos de Segurança
![Page 30: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/30.jpg)
30
3.1 - Segurança Física
Deve-se ter em atenção que as ameaças estão sempre presentes, mas nem sempre lembradas, como por exemplo: – Incêndios
– Desabamentos
– Alagamentos
– Relâmpagos
– Problemas na rede elétrica,
– Acesso indevido de pessoas ao Centro de Informática
– Formação inadequado de funcionários
– etc.
![Page 31: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/31.jpg)
31
3.1 - Segurança Física (cont)
O ponto-chave é que as técnicas de
proteção de dados por mais sofisticadas
que sejam, não servem se a segurança
física não for garantida.
Consiste então no desenvolvimento de
medidas de segurança dos equipamentos,
visando garantir a integridade física e a
prontidão dos mesmos.
![Page 32: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/32.jpg)
32
Medidas de Proteção Física
serviços de guarda, alarmes,
fechaduras, circuito interno de televisão
e sistemas de escuta são realmente
uma parte da segurança de dados.
•Salas-cofre
•No-breaks
•Reservas (“Backups”)
•CPD/Data center reserva
•Cópias em fita, etc
•Sistemas redundantes
![Page 33: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/33.jpg)
Identificação dos riscos
Perímetro de segurança Inadequados:
![Page 34: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/34.jpg)
Identificação dos riscos
Presença de materiais de alto poder de combustão:
![Page 35: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/35.jpg)
Identificação dos riscos
Infra-Estrutura Elétrica:
![Page 36: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/36.jpg)
Identificação dos riscos
Combate a incêndio e outros sinistros:
![Page 37: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/37.jpg)
Equipamento para falta de energia elétrica:
![Page 38: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/38.jpg)
Alimentação dentro das salas
Poeiras e Fumo:
![Page 39: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/39.jpg)
Backup´s:
![Page 40: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/40.jpg)
Cofre Digital Detector de Presença
Investimento Médio: R$ 799,90.
Quantidade: 1
Investimento Médio: R$ 36,50.
Quantidade: 5
![Page 41: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/41.jpg)
Controle de Acesso
com Leitor Biométrico
Detector de Fumaça
com Alarme
Investimento Médio: R$ 695,00.
Quantidade: 5
Investimento Médio: R$ 141,99.
Quantidade: 6
![Page 42: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/42.jpg)
Controle de Acesso com Leitor
Biométrico CFTV
Investimento Médio: R$ 695,00.
Quantidade: 2
Investimento Médio: R$ 141,99.
Quantidade: 2
![Page 43: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/43.jpg)
43
3.2 - Segurança Lógica
Esta requer um estudo maior, pois envolve
investimento em softwares de segurança
ou elaboração dos mesmos.
Deve-se estar atento aos problemas
causados por vírus, acesso de
bisbilhoteiros (invasores de rede),
programas de backup desatualizados ou
feito de maneira inadequada, distribuição
de senhas de acesso, etc..
![Page 44: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/44.jpg)
44
Objetivos da Segurança
O objetivo da segurança da informação
abrange desde uma fechadura na porta da
sala de computadores até o uso de
técnicas criptográficas sofisticadas e
códigos de autorização.
O estudo não abrange somente o crime
computacional (hackers), envolve
qualquer tipo de violação da segurança,
como erros em processamento ou
códigos de programação.
![Page 45: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/45.jpg)
45
Segurança Lógica
Um recurso muito utilizado para se proteger
dos bisbilhoteiros da Internet, é a utilização
de um programa de criptografia que
embaralha o conteúdo da mensagem, de
modo que ela se torna incompreensível para
aqueles que não sejam nem o receptor ou
dono da mesma.
Então esta consiste no desenvolvimento de
medidas de segurança que permitam garantir
a confidencialidade e a integridade da
informação (dados).
![Page 46: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/46.jpg)
46
Resumo da Origem dos Riscos
Pessoas
- Displicência/negligência na execução de atividades;
- Desconhecimento/falta de treinamento para a execução de atividades;
- Manipulação para cometer fraudes;
Processos
- Processo mal definido;
- Falta de controles;
- Falta de segregação de funções;
Infra-Estrutura
- Falha em sistema (hardware ou software);
- Falha na infra-estrutura de serviços básicos (telecomunicações, energia, água, gás, etc.);
![Page 47: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/47.jpg)
47
Árvore de ameaças: => Desastres ou perigos:
de causa natural
- provocados por água
- cheias
- inundações
- …
provocados por fogo
- incêndios florestais
- ...
provocados por fenômenos sísmicos
provocados por vento
provocados por agentes biológicos ou virais
- epidemias
provocados por eletricidades
- tempestades
- relâmpagos
- descargas de energia
desabamentos
![Page 48: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/48.jpg)
48
Árvore de ameaças (cont): com origem humana
- acidental
fogo
inundações
derrames de substâncias químicas ou biológicas
explosões
queda/despiste de veículos (carros, comboios, aviões, barcos, etc.)
introdução incorrecta de dados nos sistemas
configuração incorrecta dos sistemas
- intencional
quebras contratuais
terrorismo
tumultos
greves
furto
fraude
sabotagem
desabamentos
![Page 49: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/49.jpg)
49
Indice
1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 50: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/50.jpg)
50
4 - Objetivos da Segurança
“Segurança não é uma tecnologia”
![Page 51: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/51.jpg)
Quem?
O que?
Quando?
Como?
Onde?
Porque?
Objetivos da Segurança
![Page 52: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/52.jpg)
52
Objetivos da Segurança
A segurança de dados tem por objetivo
restringir o uso de informações
(softwares e dados armazenados) no
computador e dispositivos de
armazenamento associados a
indivíduos selecionados.
![Page 53: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/53.jpg)
53
Os objetivos da Segurança da
Informação são: Preservação do patrimônio da empresa
(os dados e as informações fazem
parte do patrimônio).
– Deve-se preservá-lo protegendo-o contra
revelações acidentais, erros operacionais
e contra as infiltrações que podem ser de
dois tipos:
• Ataques passivos (interceptação)
• Ataques ativos (interrupção, modificação e
Fabricação)
![Page 54: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/54.jpg)
Ataques Passivos
Intercepção
Análise do
conteúdo das
mensagens
Análise do tráfego
Ataques passivos
O objetivo é obter informação que está a ser transmitida.
Este tipo de ataques é muito difícil de detectar. O esforço de
protecção deve ser no sentido da prevenção.
![Page 55: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/55.jpg)
Ataques Passivos
Análise do conteúdo das mensagens – Escutar e
entender as informações.
Análise do tráfego – O oponente pode determinar a origem e identidade das comunicações e pode observar a frequência e comprimento das mesmas. Esta informação pode ser útil para determinar a natureza da comunicação. Os ataques passivos são muito difíceis de detectar porque não envolvem nenhuma alteração de dados. A ênfase ou o esforço deve desenvolvido no sentido da prevenção e não da detecção.
![Page 56: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/56.jpg)
Emissor Receptor
Intercepção
Intercepção
Intercepção – Quando utilizadores não autorizados conseguem
aceder a recursos para os quais não estavam autorizados. É
um ataque à confidencialidade. A parte não autorizada pode ser
uma pessoa, um programa ou um computador. Exemplos:
violação de cabos de comunicação, para capturar dados da
rede, cópia ilícita de pastas e programas, etc.
![Page 57: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/57.jpg)
Ataques Activos
Interrupção
(Disponibilidade)
Modificação
(Integridade)
Fabricação
(Autenticidade)
Ataques Ativos
Envolvem alguma modificação de dados.
Este tipo de ataques é muito difícil de prever, já que, para isso,
seria necessário uma proteção completa de todos os tipos de
comunicações e de canais. Por esta razão, o esforço de
protecção deve ser no sentido de os detectar e recuperar dos
atrasos ou estragos entretanto causados.
![Page 58: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/58.jpg)
Ataques Ativos
Personificação – quando uma entidade simula ser
outra. Normalmente inclui outras formas de ataque
ativo. Por exemplo, as sequências de autenticação
podem ser capturadas e reenviadas depois de uma
autenticação legítima ter acontecido, permitindo que
uma entidade com poucos ou nenhuns privilégios
passe a ter privilégios acrescidos.
Reprodução – envolve a captura de mensagens e a
sua subsequente retransmissão, para produzir
efeitos não autorizados.
![Page 59: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/59.jpg)
Ataques Ativos
Modificação – Significa que uma parte da mensagem
foi alterada, retida ou reordenada, de forma a produzir um efeito não autorizado.
Paragem do serviço – impede a utilização normal de determinado sistema, inibindo partes do seu funcionamento (Apagando determinadas pastas, relativos a um determinado assunto ou função) ou bloqueando completamente todo o sistema. Pode incluir o bloqueamento de uma rede ou a sua sobrecarga com mensagens que degradam a sua performance.
![Page 60: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/60.jpg)
Emissor Receptor
Interrupção
Interrupção
Interrupção – A informação de um sistema torna-se indisponível ou é destruída. É um ataque à disponibilidade.
Exemplos: Destruição de peças de Hardware, o corte de linhas de comunicação, a inoperância do sistema de ficheiros, etc.
![Page 61: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/61.jpg)
Emissor Receptor
Modificação
Modificação
Modificação – uma parte não autorizada, não só acede à informação, mas também a modifica. É um ataque de integridade. Exemplos: alteração de valores num ficheiro de dados; alteração de um programa para que ele funcione de maneira diferente ou modificação do conteúdo de mensagens transmitidas pela rede.
![Page 62: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/62.jpg)
Emissor Receptor
Fabricação
Fabricação
Fabricação – uma parte não autorizada insere dados falsos no sistema. É um ataque à autenticidade. Exemplos: inserção de mensagens simuladas na rede ou a adição de registos a um ficheiro.
![Page 63: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/63.jpg)
63
Indice
1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 64: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/64.jpg)
64
5 – Introdução a Ataque
![Page 65: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/65.jpg)
65
O que é ataque?
Ataque é toda ação realizada com
intuito ou não de causar danos.
![Page 66: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/66.jpg)
Os velhos e os novos meios de cometer crimes!
PRECISAMOS COMBATER A
FALTA DE ATENÇÃO E
NEGLIGÊNCIA DO USUARIO!
![Page 67: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/67.jpg)
Vulnerabilidades
Todo computador é vulnerável a ataques. (Possui informação)
• Tipos de Vulnerabilidades – Vulnerabilidades Físicas (Meio, Construção)
– Vulnerabilidades Naturais (Desastres Naturais)
– Vulnerabilidades de Hardware e Software(Falhas)
– Vulnerabilidades de Media (Roubos de Media)
– Vulnerabilidades de Comunicação (Hacker)
– Vulnerabilidades de Humanos (Usuários)
– Vulnerabilidades sobre Exploit (Brechas, Copias)
![Page 68: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/68.jpg)
Uma ameaça é uma potencial violação de segurança
As ações que podem acarretar a violação são
denominadas de ataques
Aqueles que executam tais ações são denominados de
atacantes
Os serviços de suporte a mecanismos para
confidencialidade, integridade e disponibilidade visam
conter as ameaças à segurança de um sistema
68
Ameaças
![Page 69: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/69.jpg)
O que é uma ameaça ?
Uma ameaça é algum fato que pode
ocorrer e acarretar algum perigo a
um bem.
Tal fato, se ocorrer, será causador de
perda.
É a tentativa de um ataque.
![Page 70: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/70.jpg)
Quer dizer que os “hackers” não
deixam pegadas”?
Como você vai saber que seus dados foram corrompidos?
![Page 71: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/71.jpg)
Um ataque típico
71
![Page 72: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/72.jpg)
Etapas de um Ataque
1. Footprinting (reconhecimento)
2. Scanning (varredura)
3. Enumeration (enumeração)
4. Ganhando acesso (invasão)
5. Escalada de privilégios
6. Acesso à informação
7. Ocultação de rastros
8. Instalação de Back doors (portas de
entrada)
9. Denial of Service (negação de serviço)
![Page 73: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/73.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 74: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/74.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 75: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/75.jpg)
1. Footprinting (reconhecimento)
Informações básicas podem indicar a postura e a política de segurança da empresa
Coleta de informações essenciais para o ataque – Nomes de máquinas, nomes de login, faixas de IP,
nomes de domínios, protocolos, sistemas de detecção de intrusão
São usadas ferramentas comuns da rede
Engenharia Social – Qual o e-mail de fulano?
– Aqui é Cicrano. Poderia mudar minha senha?
– Qual o número IP do servidor SSH? e o DNS?
![Page 76: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/76.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 77: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/77.jpg)
2. Scanning (varredura ou mapeamento) De posse das informações coletadas,
determinar – Quais sistemas estão ativos e alcançáveis – Portas de entrada ativas em cada sistema
Ferramentas – Nmap, system banners, informações via SNMP
Descoberta da Topologia – Automated discovery tools: cheops, ntop, … – Comandos usuais: ping, traceroute, nslookup
Detecção de Sistema Operacional – Técnicas de fingerprint (nmap)
Busca de senhas contidas em pacotes (sniffing) – Muitas das ferramentas são as mesmas
usadas para gerenciamento e administração da rede
![Page 78: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/78.jpg)
Mapeamento de rede
Tela do Cheops (http://cheops-ng.sourceforge.net)
![Page 79: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/79.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 80: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/80.jpg)
3. Enumeration (enumeração)
Coleta de dados intrusiva – Consultas diretas ao sistema – Está conectado ao sistema e pode ser notado
Identificação de logins válidos Banners identificam versões de HTTP, FTP
servers Identificação de recursos da rede
– Compartilhamentos (windows) - Comandos net view, nbstat
– Exported filesystems (unix) - Comando showmount
Identificação de Vulnerabilidades comuns – Nessus, SAINT, SATAN, SARA, TARA, ...
Identificação de permissões
![Page 81: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/81.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 82: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/82.jpg)
4. Ganhando acesso (invasão) Informações coletadas norteiam a estratégia de
ataque
Invasores tem uma “base” de vulnerabilidades – Bugs de cada SO, kernel, serviço, aplicativo – por
versão
– Tentam encontrar sistemas com falhas conhecidas
Busca privilégio de usuário comum (pelo menos)
Técnicas – Password sniffing, password crackers, password
guessing
– Session hijacking (sequestro de sessão)
– Ferramentas para bugs conhecidos (buffer overflow)
Hackers constróem suas próprias ferramentas
![Page 83: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/83.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 84: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/84.jpg)
5. Escalada de privilégios Uma vez com acesso comum, busca
acesso completo ao sistema (administrator, root)
Ferramentas específicas para bugs conhecidos
– "Exploits"
Técnicas
– Password sniffing, password crackers, password guessing
– Session hijacking (sequestro de sessão)
– Replay attacks
– Buffer overflow
– Trojans
![Page 85: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/85.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 86: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/86.jpg)
6. Acesso a informação
Alguns conceitos relacionados à “informação”
– Confidencialidade – trata do acesso autorizado
– Integridade – trata da alteração autorizada
– Autenticidade – trata da garantia da autoria da informação
– Disponibilidade – disponível quando desejada, sem demora excessiva (com autorização)
– Auditoria – trata do registro do acesso
Invasor pode atuar contra todos os conceitos acima, de acordo com seus interesses
![Page 87: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/87.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 88: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/88.jpg)
7. Ocultação de rastros
Invasor usa tenta evitar detecção da presença
Usa ferramentas do sistema para desabilitar auditoria
Toma cuidados para não deixar “buracos” nos logs – excessivo tempo de inatividade vai denuciar
um ataque
Existem ferramentas para remoção seletiva do Event Log
Esconde arquivos “plantados” (back doors)
![Page 89: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/89.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 90: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/90.jpg)
8. Instalação de Back doors
Objetivo é a manutenção do acesso – Rootkits – ferramentas ativas, mas escondidas – Trojan horses – programas falsificados – Back doors – acesso/controle remoto sem
autenticação
Trojans podem mandar informação para invasor – Captura teclado – Manda um e-mail com a senha
Rootkits se confundem com o sistema – Comandos modificados para não revelar o invasor
Back doors – Sistemas cliente/servidor – Cliente na máquina invasora controlando Servidor na
máquina remota – Não aparecem na "Task List" do Windows NT/2k
![Page 91: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/91.jpg)
Anatomia de um ataque
Reconhecimento Varredura
Enumeração
Invasão Escalando
privilégios
Acesso à
informação
Ocultação
de rastros
Negação de
Serviços
Instalação de
back doors
![Page 92: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/92.jpg)
9. Denial of Service (negação de serviço)
Ataques com objetivo de bloquear serviços, através de: – Consumo de banda de rede
– Esgotamento de recursos
– Exploração de falhas de programação (ex: ping da morte)
– Sabotagem de Roteamento
– Sabotagem no DNS
DDoS Distributed Denial of Service – Ataques coordenados de múltiplas fontes
![Page 93: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/93.jpg)
93
Taxonomia de ataques a redes e computadores
Atacantes
Hackers
Espiões
Terroristas
Agressores internos
Criminosos Profissionais
Vândalos
Meios
Comandos de usuários
Programas ou scripts
Agentes autônomos
Toolkits
Ferramentas distribuídas
Grampo de Dados
Acesso
Vulnerabilidade
implementação
Acesso não autorizado
Processos (arquivos ou dados
em trânsito) Vulnerabilidade
projeto
Vulnerabilidade
configuração
Uso não autorizado
Resultados
Corrupção da informação
Revelação da informação
Roubo de serviço
Recusa de serviço
Objetivos
Desafio, status
Ganho político
Ganho financeiro
Causar perdas
Serviços de segurança
Definição de segurança computacional
![Page 94: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/94.jpg)
O que um hacker ataca ?
Aplicações
Banco de dados
Sistemas operacional
Serviços de rede
![Page 95: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/95.jpg)
95
![Page 96: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/96.jpg)
96
![Page 97: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/97.jpg)
97
Motivação para o Ataque
• Por quê existem as invasões aos sistemas?
– Orgulho
– Exibicionismo/fama
– Busca de novos desafios
– Curiosidade
– Protesto
– Roubo de informações
– Dinheiro
– Uso de recursos adicionais
– Vantagem competitiva
– Vingança
![Page 98: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/98.jpg)
98
Exemplo: Oliberal 10/02/08
![Page 99: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/99.jpg)
99
Fonte de Problemas ou Ataques
Estudante – Alterar ou enviar e-mail em nome de outros
Hacker - Examinar a segurança do Sistema; Roubar informação
Empresário - Descobrir o plano de marketing estratégico do competidor
Ex-empregado - Vingar-se por ter sido despedido
Contador - Desviar dinheiro de uma empresa
Corretor - Negar uma solicitação feita a um cliente por e-mail
Terrorista - Roubar segredos de guerra
Outros
![Page 100: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/100.jpg)
Principais Ameaças
9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security
![Page 101: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/101.jpg)
Principais Obstáculos
9ª edição da Pesquisa Nacional de Segurança da Informação da Módulo Security
![Page 102: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/102.jpg)
Caso Real
Atualmente 85% das quebras de
segurança corporativas são geradas
internamente.
![Page 103: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/103.jpg)
Perfil do Fraudador*:
• 68% estão na Média e Alta Gerências
• 80% tem curso superior completo
• Predominantemente do Sexo Masculino
• Idade média entre 31 e 40 anos *Pesquisa sobre crimes econômicos - PWC 05
Caso Real
![Page 104: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/104.jpg)
104
Tipos de ataques conhecidos
• Negação de serviços
– Syn Flood – inundar a fila de SYN para negar novas conexões
– Buffer overflow – colocar mais informações do que cabe no buffer
– Distributed DoS (DDoS) – ataque em massa de negação de serviços
– Ping of Death – envio de pacote com mais de 65507 bytes
– Smurf – envio de pacote ICMP em broadcast a partir de uma máquina, sendo inundada com as respostas recebidas
– CGI exploit
– Land, syn flooding, ...
• Simulação
– IP Spoofing – uso do IP de uma máquina para acessar outra
– DNS Spoofing – assumir o DNS de outro sistema
• Investigação
– Port scanning – varredura de portas para tentar se conectar e invadir
• Spam
– Acesso a um grande número de pessoas, via email, com link para sites clonados que pedem informações pessoais
![Page 105: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/105.jpg)
105
Tipos de ataques conhecidos
• Escutas
– Packet Sniffing – escuta e inspeciona cada pacote da rede
– IP/Session Hijacking – interceptação da seção pelo invasor
• Senha
– Uso de dicionário de senhas
– Força bruta – tentativa e erro
• Outros ataques
– Alteração de site (web defacement)
– Engenharia social
– Ataque físico às instalações da empresa
– Uso de cavalos de tróia e códigos maliciosos
– Trashing – revirar lixo em busca de informações
– War dialing – liga para vários números de telefone para identificar os que tem modem instalado
![Page 106: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/106.jpg)
•Penetração de sistemas
•Falsificação de endereço (spoffing)
•Ataque dissimulado
•Penetração do controle de segurança do
sistema
•Escoamento
•Comprometimento de recursos
• Uso malicioso
Tipos de ataques (cont)
01:35
LogicbombsTrapdoors
Trojanhorses WormsViruses Bacteria
Maliciousprograms
Needs hostprogram Independent
![Page 107: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/107.jpg)
•Muitos meios e ferramentas
•Diminuirmos a vulnerabilidades.
•Firewalls (fornecem limites fisicos)
Ferramentas de IDS
DMZ
Como Evitar
![Page 108: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/108.jpg)
•Conjuntos, de medidas que envolvem aspectos
de negócios, humanos, tecnológicos,
processuais e jurídicos.
• Políticas de segurança de usuários.
• Separação entre rede publica e privada.
• Sistemas de detecção de intrusão.
• Implementação de Criptografia.
• Autenticação.
Como Evitar (cont)
![Page 109: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/109.jpg)
•Controles de acesso
•Conhecer seus possíveis inimigos
•Política de senhas
•Política de acesso remoto
•Política de segurança (em ambientes cooperativos)
•Treinamento
•Conscientização
•Sistema de Detecção de intrusão IDS
Como Evitar (cont)
![Page 110: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/110.jpg)
110
Como prevenir e evitar Ameaças Internas?
Restringir ao máximo o acesso dos usuários às informações vitais da organização;
Restringir o acesso físico às áreas críticas;
Definir e divulgar normas e políticas de acesso físico e lógico;
Implementar soluções de criptografia para informações críticas;
Implementar soluções de auditoria para informações críticas;
Controlar o acesso de prestadores de serviços as áreas críticas e as informações.
![Page 111: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/111.jpg)
111
Dicas simples de proteção aos
usuários:
• Nunca dê sua senha ou informações pessoais a estranhos na Internet
• Nunca clique em links desconhecidos
• Nunca dê download e execute arquivos desconhecidos
• Fique alerta sobre qualquer empresa que não divulgar seu nome, endereço web ou número telefônico de forma clara
Port 80
App.exe
![Page 112: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/112.jpg)
Ex: Email para roubo de informações
112
![Page 113: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/113.jpg)
Ex: Email para roubo de informações
113
![Page 114: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/114.jpg)
Ex: Email para roubo de informações
114
![Page 115: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/115.jpg)
Ex: Email para roubo de informações
115
![Page 116: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/116.jpg)
Ex: Email para roubo de informações
116
![Page 117: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/117.jpg)
Ex: Email para roubo de informações
117
![Page 118: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/118.jpg)
Ex: Email para roubo de informações
118
![Page 119: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/119.jpg)
Ex2: Clonagem de cartão de banco
119
Bocal preparado
![Page 120: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/120.jpg)
Ex2: Clonagem de cartão de banco
120
Imperceptível para o cliente
![Page 121: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/121.jpg)
Ex2: Clonagem de cartão de banco
Micro câmera disfarçada de porta panfleto
![Page 122: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/122.jpg)
Ex2: Clonagem de cartão de banco
122
Visão completa da tela e teclas digitadas
![Page 123: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/123.jpg)
Ex2: Clonagem de cartão de banco
123
Visão completa da tela e teclas digitadas
![Page 124: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/124.jpg)
Ex2: Clonagem de cartão de banco
124
Micro câmera Bateria Antena transmissora
![Page 125: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/125.jpg)
Ex3: Email de promoção (roubo
informação)
125
![Page 126: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/126.jpg)
Ex3: Email de promoção (roubo
informação)
126
![Page 127: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/127.jpg)
Ex4: Antivirus Gratis
127
![Page 128: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/128.jpg)
Ex5: Engenharia Social
Ao atender um telefonema, o interlocutor se
identifica como vice-diretor da empresa. Você
já o viu pelos corredores, mas nunca falou
com ele por telefone. Ele informa que se
encontra na filial da empresa, em reunião, e
está com problemas para acessar o sistema.
Assim sendo, solicita a senha para que
possa ter acesso. Informa, ainda, que está
acompanhado de 10 pessoas que possuem
outros compromissos e que não podem
esperar por muito tempo.
128
![Page 129: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/129.jpg)
Ex6: Email Receita Federal
129
![Page 130: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/130.jpg)
Cópia de identidade visual de órgãos
públicos
Pedido de
download de
arquivos /
erros de
português
![Page 131: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/131.jpg)
Cópia de identidade visual de
entidades populares
História
estranha e
mal contada
Necessidade
urgente de
download
![Page 132: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/132.jpg)
Serviço inexistente
Pedido de download de arquivos
Ameaças
![Page 133: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/133.jpg)
Uso de marca popular Distrbuição
muito vantajosa
de prêmios
Pedido de
download de
arquivo
![Page 134: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/134.jpg)
Uso de marca popular
Erro de português
Dívida inexistente
Falta de menção a endereço
por extenso
![Page 135: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/135.jpg)
Erro de português
![Page 136: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/136.jpg)
Falha no site do Bradesco permitiu ataque
XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-
inst-xss/)
136
Criminosos brasileiros conseguiram descobrir um problema em uma página
do Bradesco que permitia que a mesma fosse “alterada” por meio de links,
possibilitando o uso do domínio do banco para todo tipo de atividade
maliciosa.
Para tal, crackers enviaram e-mail em massa contendo um link que
explorava uma falha de XSS (Cross Site Scripting) existente em uma
página localizada em institucional.bradesco.com.br. Se clicado, o link
enviava informações à página que causavam um comportamento
indesejável, fazendo com que argumentos da query string — como é
chamada a parte do link depois do ponto de interrogação (”asp?…”) —
fossem inseridas como código, permitindo o ataque.
Dias antes da publicação desta matéria, a Linha Defensiva notificou o
Bradesco. O banco removeu a página vulnerável dentro de
aproximadamente 48 horas, inutilizando o ataque.
A mensagem contendo o link que explorava a brecha solicitava o
recadastramento das “chaves de segurança” usadas nas transações através
da Internet, convidando o usuário a fazê-lo por meio do link.
![Page 137: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/137.jpg)
Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-inst-xss/)
Como é demonstrado na imagem, a maioria dos navegadores e os programas de e-mails
não exibem o endereço completo de uma URL, se esta for muito extensa, não permitindo
que a existência do golpe seja percebida.
Embora o e-mail tenha usado uma técnica refinada que facilmente poderia enganar até
mesmo usuários com certa experiência, devido ao link camuflado, erros de ortografia
característicos de golpes e fraudes se faziam presentes. Aparentemente, o sistema de e-
mail em massa usado pelos criminosos não era compatível com caracteres especiais,
como acentos.
137
![Page 138: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/138.jpg)
Falha no site do Bradesco permitiu ataque
XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-
inst-xss/)
138
XSS
Cross Site Scripting, ou XSS, é um tipo de vulnerabilidade onde determinada página de internet não filtra
suficientemente as informações enviadas pelo navegador web, sendo possível fazê-la exibir conteúdos de
outros sites, ou conteúdos especificados no próprio link ou outra informação.
Um exemplo clássico é a página de busca. Em geral, páginas de buscas exibem na tela a informação que
está sendo procurada (por exemplo, “Você está procurando por: [termo de pesquisa]“). Se a exibição desta
informação não for filtrada corretamente, a informação, em vez de exibida, será interpretada como código
HTML pelo navegador, possibilitando o ataque.
Fóruns, livros de visitas e blogs (este último, devido à função de comentários) podem ser vítimas do XSS
permanente, onde um post malicioso, por exemplo, fica permanentemente no ar e afetará qualquer usuário
que o ver. Este é o ataque de XSS persistente, ou tipo 2.
O Bradesco foi alvo do XSS impermanente ou não-persistente, também chamado de XSS tipo 1.
O objetivo de ataques XSS é geralmente roubar informações importantes da vítima, tais como os cookies
de autenticação. Porém, XSS também pode ser usado para alterar os sites e usar da confiança depositada
pelo internauta na página para persuadi-lo a enviar informações sigilosas, ou para rodar código malicioso
nos PCs de visitantes.
A Linha Defensiva já noticiou a respeito de brechas semelhantes no YouTube e no Orkut.
Para se prevenir de ataques XSS impermanentes, recomenda-se que links recebidos em mensagens de e-
mail e similares não sejam clicados, a não ser quando estava-se esperando absolutamente o e-mail em
questão (como, por exemplo, depois de registrar-se em um site para validar sua conta). Sempre que
possível, deve-se digitar o endereço do site na barra de endereços do navegador e procurar manualmente o
que foi indicado no e-mail.
Brechas de XSS tipo 2 são difíceis de serem evitadas pelo usuário, sendo a responsabilidade do site nesses
casos ainda maior, embora, em última instância, a responsabilidade sempre seja do site.
![Page 139: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/139.jpg)
Falha no site do Bradesco permitiu ataque XSS (http://linhadefensiva.uol.com.br/2008/07/bradesco-pesquisa-inst-xss/)
Ao acessar o link, o internauta era direcionado para uma página do Bradesco
(Index_Pesquisa.asp) que, vulnerável a XSS, carregava outra página, hospedada em um
domínio brasileiro (cujo nome não foi divulgado por se tratar de um domínio legítimo
comprometido).
Em ataques XSS, páginas legítimas são usadas de forma maliciosa e um código (no caso
acima, um FRAMESET1) é inserido na página legítima. O conteúdo da página será,
portanto, diferente do esperado.
139
![Page 140: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/140.jpg)
Novos ataques
140
![Page 141: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/141.jpg)
Lista de Hackers fornecida: Amores On-line - cartão virtual - Equipe Carteiro Romântico - Uma pessoa que
lhe admira enviou um cartão
As fotos que eu tinha prometido. Álbum pessoal de fotos
AVG Antivírus - Detectamos que seu E.Mail está enviando mensagens contaminadas com o vírus w32. bugbear
Aviso - você está sendo traído - veja as fotos
Aviso - você está sendo traído - veja as imagens do motel
Banco do Brasil informa - Sua chave e senha de acesso foram bloqueados - Contrato Pendente - Clique para fazer atualização
Big Brother Brasil - ao vivo - quer ver tudo ao vivo e ainda concorrer a promoções exclusivas? Clique na fechadura
Câmara dos Dirigentes Lojistas - SPC - Serviço de Proteção ao Crédito - Notificação - Pendências Financeiras - Baixar o arquivo de relatório de pendências.
carnaval 2005 - veja o que rolou nos bastidores do carnaval de São Paulo
Cartão Terra - eu te amo - webcard enviado através do site Cartões Terra
Cartão UOL - I love you - você recebeu um cartão musical - Para visualizar e ouvir escolha uma das imagens
Cartões BOL - Você recebeu um cartão BOL
Cartõesnico.com - Seu amor criou um cartão para você
Checkline - Consultas de crédito on-line - Consultas no Serasa/SPC
Claro Idéias - Grande chance de ganhar meio milhão de reais em ouro e 18 carros
Colaneri e Campos Ltda - Ao Gerente de Vendas - orçamento de material e equipamentos em urgência
![Page 142: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/142.jpg)
Lista de Hackers fornecida: Correio Virtual - hi5 - Seu Amor te enviou este cartão
CPF cancelado ou pendente de regularização - verifique; seu CPF está cancelado
Declaração de Imposto de Renda de 2005/06 - Ministério da Fazenda - CPF Cancelado ou Pendente de Regularização
Ebay - your account could be suspended - Billing Department
Embratel - Comunicado de Cobrança - Aviso de Bloqueio
Embratel - Notificação Confidencial - Fatura de serviços prestados Clique para detalhamento da fatura
Emotion Cards - UOL - Parabéns você recebeu um Presente Virtual
Febraban - Guia de Segurança - Febrasoft Security
Finasa - Nossa Caixa - Fraudes Bancárias - Febraban
Fininvest - débito em atraso - pendências financeiras em seu CPF/CNPJ
Ganhe uma viagem a Paris - Guia Paris Lumiére
Gmail - Gmail Amigo Oculto - Baixar Formulário - E-mail de 1 Giga
Humortadela - Piada animada sempre amigos
Humortadela - você é 10 - acesse o link e sacaneie
Humortadela - você recebeu uma piada animada - Ver Piada Animada
Ibest - acesso grátis e fácil - discador ibest - 0800 conexão sem pulso telefônico. Grátis - Download
Larissa 22 aninhos - www. mclass. com. br - clique aqui e veja o vídeo
Leiam esta informação IMPORTANTe
Martins Com Ltda - Setor de Compras - Orçamento
Mercado Livre - Aviso - Saldo devedor em aberto na sua conta - e pagamento não for quitado acionaremos departamento jurídico
![Page 143: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/143.jpg)
Lista de Hackers fornecida: Olá, há quanto tempo! Eu me mudei para os Estados Unidos, e perdemos
contato...
Olha o que a Globo preparou para você neste ano de 2005 - Big Brother Brasil 5 - Baixe o vídeo
Overture - Promoção para novos assinantes - Tem cliente procurando, tem você oferecendo, vamos juntar os dois. Seja encontrado por quem quer comprar
Paparazzo - globo. com - se você gostou de uma espiada no vídeo
Parperfeito - Você foi adicionado aos prediletos - Associado do Par Perfeito
Passe Livre de 7 dias no Globo Media Center
Promoção Fotolog.net e UBBI - sorteio de 10 Gold Cam por dia - Crie seu fotolog e concorra
Radio Terra - dedique uma música
Receita Federal - CPF cancelado ou pendente de regularização
Saudades de você - Sou alguém que te conheceu há muito tempo, e tive que fazer uma viagem - Espero que goste das fotos
SERASA - pendências referentes a seu nome - Extrato de débito
SERASA - Regularize seu CPF ou CNPJ - clique para extrato de débitos
Sexy Clube - Thaty Rio - Direto do Big Brother - Veja as fotos em primeira mão
Sou um amigo seu - você está sendo traído - veja as fotos
Symantec - Faça sua atualização do Norton 2005 aqui - Gratuita - Licença para 1 ano grátis
Terra Cartões - O meu melhor presente é você
Tim pós pago - pendências no SPC - Sistema de Proteção aoCrédito - Serial do Celular
![Page 144: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/144.jpg)
Lista de Hackers fornecida: Microsoft - Ferramenta de remoção de softwares Mal-Intencionados do
Microsoft Windows - Windows XP fica a cara de quem recebe um cartão Voxcards
Microsoft Software - Este conteúdo foi testado e é fornecido a você pela Microsoft Corporation - Veja as novidades
Music Cards - Confirmação
Necktsun Comércio Ltda - Palmas - Departamento de Vendas - Orçamento
Netcard Cartões Virtuais - Emoções de verdade
Norton Antivírus - Alerta de Segurança - download do antídoto para o Ms. Bruner
Notificação Confidencial - Pendências Financeiras em seu CPF
O carteiro - você recebeu um cartão de quem te admira
O carteiro. com - tenho uma novidade para você - veja o cartão que preparei
Voxcards - cartão voxcards - para quem você vai mandar um cartão hoje?
Voxcards - mensageiro - você está recebendo um cartão virtual voxcards - Precisa instalar o plugin - clique para instalar
Webcard Terra - Feliz Dia das Mães - Existe um presente especial esperando por você no site de cartões do terra.
Week - Complimentary Subscription Confirmation - Free - Please Apply online - PC Week
www. symantec. com - A solução Antivírus mais confiável do mundo
www.microsoft. com - Proteja seu computador com antivírus
![Page 145: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/145.jpg)
Lista de Hackers fornecida: UOL - Promoção Cultural - Cara cadê meu carro
UOL Cartões - Estou com saudades - clique para visualizar
UOL Cartões - Seu amor lhe enviou um cartão - clique para baixar
UOL Cartões - Você recebeu um lindo cartão virtual
Veja as fotos proibidas das musas do bbb5
Viagens contaminadas com o w32. bugbear
Virtual Cards - Um grande abraço da equipe virtual cards - ler cartão
VIVO - Torpedos Web Gratuito - Torpedo Fácil Vivo
Yahoo Cartões - Você é tudo para mim - clique na imagem
Yahoo Cartões - Você é tudo para mim - enviado por quem te admira
Outra dica importante: nunca abra E-Mails de remetentes desconhecidos!
Sempre desconfie de E-Mails que solicitam 'clique aqui' ou ' acesse o link (tal)' ou ' veja minha foto' ou ' te encontrei , lembra-se de mim? ' ou ' ligue-me para sairmos' , etc...
E, finalmente, para ter certeza que é de um golpe que você está sendo vítima, passe o mouse - sem clicar - pela palavra do direcionamento : você vai ver, na barra inferior - à esquerda da tela -, que se trata de um arquivo com a terminação 'exe' ou 'scr' ou outra. Arquivo este(s) que vai (vão) espionar seu computador, roubando seus dados, senhas, etc.
![Page 146: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/146.jpg)
Lista de Sites suspeitos
No Brasil, o crime compensa: a pena para estelionatário varia apenas
de 1 a 5 anos e não precisa devolver o dinheiro aos lesados. Além
disso, o infrator pode ter prisão domiciliar. Parabéns, juristas
brasileiros. Obrigado pela impunidade no país.
Aqui vai uma relação das lojas que encontrei na Internet relacionadas
a golpes. Seus preços são altamente competitivos e exigem deposito
antecipado e pedem de 15 a 20 dias para entregar a mercadoria. Este
é o tempo suficiente para aplicar o golpe e lesar milhares de pessoas.
A maior quadrilha age em Araçatuba, SP, e a polícia não investiga
esses crimes. Acabaram de sumir com o site
www.eletrosampa.com.br, http://www.eletrosampa.com.br/, após haver
lesado milhares. Digite o nome eletrosampa no google e veja você
mesmo. Aí vai a lista de lojas de quadrilhas (sem o www inicial, para
evitar conexões acidentais).
146
![Page 147: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/147.jpg)
Lista de Sites suspeitos 01- ascomputadores.com.br
02- atamicro.com. br
03- atashop.com.br
04- atualmicro.com.br
05- audy.com.br
06- belashop.com.br
07- birishop.com. br
08- bondcompras.com.br
09- buskofertas.com.br
10- claudilivros.com.br
11- clicmicros.com.br
12- compuserveinfo.com.br
13- computecnet.com
14- computronics.com.br
15- cristalshop.com.br
16- cyberfast.com. br
17- ddshop.com.br
18- devairgames.com.br
19- digitalpcs.com.br
20- ecportal.com.br
21- eletromicro.com.br
22- eletrototal.com.br
23- euronote.com.br
24- fiveshop.com.br
25- futuracomputadores.com.br
26- galeriashop.com.br
27- insidecomputers.com.br
28- kaled.com.br
29- kapella.com.br
30- katoecia.com
31- lehugo.com.br
32- litetelecom.com.br
33- matrixshop.com.br
34- maxisound.com.br
35- microata.com.br
36- microfest.com.br
37- multishopcompras.com.br
38- navegantes.com.br
39- netmicros.com.br
40- netstart.com.br
41- nikishop.com.br
42- notestar.com.br
43- o ferta10.com.br
44- pcihouse.com.br
45- pcishop.com.br
46- pcvitrine.com.br
47- perfumesreal.com.br
48- portalmicro.com.br
49- ravelnet.com.br
50- rgsuprimentos.com.br
51- saturtec.com.br
52- shopamerica.com.br
53- shopsummer.com.br
54- viaclic.com.br
55- digitalplay.com.br
56 - Mercado Livre/Pago - vendedor Sebastião
Guilherme 147
![Page 148: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/148.jpg)
Lista de Sites suspeitos
148
Quem for um pouco mais atento, verificará facilmente algumas coincidências 'incríveis' que
acontecem com todos esses sites. Aliás, depois de ler esse texto, acho que eles vão mudar a
forma como fazem os sites. Observem que todas lojas têm uma seção chamada 'confirmação
de pagamento'. Vejam como as seções dessas lojas são incrivelmente iguais (apenas lojas da
lista de Araçatuba e Birigui):
Acredito que todas lojas da quadrilha citadas na lista possuem o mesmo formulário. Verifiquem
a ordem dos campos para preenchimento do comprovante de pagamento, sempre igual:
1- Nome
2- E-mail
3- Número do pedido
4- Data do pagamento
5- Forma de pagamento utilizada
6- Deixe alguma observação sobre o pagamento
7- Valor Depositado / pago
8- Selecione: Integral / Referente ao frete
Cada loja virtual tem seu padrão para fazer esses formulários, é impossível serem todas iguais
como essas são. Isso é mais um indício de que TODAS essas lojas devem ser da mesma
quadrilha. Não se deixem iludir pela argumentação convincente desses representantes da
Cyberfast. Ele está apenas querendo fazer com que nós sejamos iludidos e idiotamente
enganados. Eles colocam um mediador no fórum (com certeza um deles) e assim convencem
os consumidores. Outra coisa: Pesquisas realizadas recentemente demonstram que o Brasil é
um dos países que mais recebem ataques de hackers, com o intuito de fraudar usuários da
internet, principalmente aqueles que acessam com freqüência sites de bancos.
![Page 149: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/149.jpg)
Lista de Sites suspeitos
149
3 dicas abaixo para verificar a autenticidade do site (talvez você possa
acrescentar uma outra dica...):
1 - Minimize a página: se o teclado virtual for minimizado também, está
correto, no entanto, se ele permanecer na tela sem minimizar, é pirata!
Não tecle nada.
2 - Sempre que entrar no site do banco, digite sua senha ERRADA na
primeira vez . Se aparecer uma mensagem de erro significa que site é
realmente do banco, porque o sistema tem como checar a senha
digitada. Mas se digitar a senha errada e não acusar erro é mau sinal.
Sites piratas não tem como conferir a informação, o objetivo é apenas
capturar a senha.
3 - Sempre que entrar no site do banco, verifique se no rodapé da página
aparece o ícone de um cadeado. Clique 2 vezes sobre esse ícone e uma
pequena janela com informações sobre a autenticidade do site deve
aparecer. Em alguns sites piratas o cadeado pode até aparecer, mas
será apenas uma imagem e ao clicar 2 vezes sobre ele, nada irá
contecer.
Os 3 pequenos procedimentos acima são simples, mas garantirão que
você jamais seja vítima de fraude virtual.
![Page 150: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/150.jpg)
Symantec: relatório mapeia mercado negro de dados Um estudo conduzido pela Symantec mapeou o mercado negro de dados. O
relatório traz o preço das informações negociadas por criminosos e mostra como as empresas podem ter prejuízos com a vulnerabilidade dos dados dos clientes. Segundo Marcelo Silva, diretor de serviços da companhia no Brasil, já existe um ecossistema criado em torno do roubo de dados. “Quem rouba nem sempre vende os dados. A gente fala de crime organizado, mas o que existe é um grande mercado”, afirma o executivo. Veja tabela com o preço dos dados no mercado negro:
Produto Preço
Contas bancárias de 10 dólares a mil dólares
Cartões de crédito de 0,40 dólar a 20 dólares
Identidades completas de 1 dólar a 15 dólares
Contas do eBay de 1 dólar a 18 dólares
Senhas de e-mail de 4 dólares a 30 dólares
Proxies de 1,5 dólar a 30 dólares CW Connect - No grupo de discussão sobre Crimes Digitais do CW Connect, a primeira rede social para profissionais de tecnologia da informação e telecomunicações do mercado, uma das participantes - a analista Fabiana - inseriu uma pesquisa sobre as principais ameaças às informações da empresa:
1 - Vírus 75% (Por falta de conhecimento os usuários baixam programas sem conhecimento, acessam sites suspeitos, etc) 2 - Divulgação de senhas 57% 3 - Hackers 44% 4 - Funcionários insatisfeitos 42% 5 - Acessos indevidos 40% 6 - Vazamento de informações 33%
![Page 151: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/151.jpg)
151
![Page 152: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/152.jpg)
152
![Page 153: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/153.jpg)
Análise de Segurança
153
– Origem de ataques informáticos:
• 85% são originados na rede interna de uma organização
• 15% são originados em plataformas externas
– Método de levantamento remoto de recursos
• Recolher o máximo de informação para caracterizar o
sistema alvo
• Analisar a informação que o sistema disponibiliza
através das mensagens de serviços instalados
• Utilizar aplicações especializadas e desenvolvidas para
esse fim, com base nas idiossincrasias da pilha IP do
sistema a analisar
![Page 154: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/154.jpg)
Análise de Segurança
154
São falhas em serviços, aplicativos e sistemas operacionais que pode acarretar acesso ao sistemas parcial ou total em nível de administração.
Hoje temos ferramentas de escaneamento de vulnerabilidades que detecta falhas de sistemas, mais também são utilizadas para invasão.
Segundo o site sectools.org temos as 10 principais ferramentas de escaneamento de vulnerabilidades de sistemas.
– Nessus, GFI LANguard, Retina, Core Impact, ISS Internet Scanner, X-scan, Sara, QualysGuard, SAINT, MBSA
![Page 155: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/155.jpg)
0100101101001
Usuário
Rede
Dados
Falhas da Rede causam problemas de performance
Sniffer® provê a visão mais detalhada do tráfego de
rede - Total Network Visibility
Sniffer é o produto com maior facilidade de uso do
mercado, que resolve problemas em redes de qualquer
tamanho e complexidade
O Que é Análise de Rede?
![Page 156: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/156.jpg)
156
Soluções para a Insegurança
Informática NMAP
- É uma ferramenta para exploração de rede criada
pelo Fyodor. É uma das ferramentas mais
importantes para engenharia de segurança ou pen-
tester. Com ele você poderá entrar em uma rede e
buscar serviços que estão escutando em cada porta
especifica. Você pode fazer um varredura de
tcp()connect que fará uma conexão completa com o
host ou uma syn scan que fará uma simples conexão
que servirá para testar regras de firewall por
exemplo.
![Page 157: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/157.jpg)
157
Soluções para a Insegurança
Informática NMAP (I)
Alvo:
MS-Windows 95
modificado
![Page 158: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/158.jpg)
158
Soluções para a Insegurança
Informática NMAP (II)
Alvo:
Linux Mandrake
modificado
![Page 159: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/159.jpg)
159
Soluções para a Insegurança
Informática NMAP (comandos)
Um rastreio(scan)
típico do Nmap é
mostrado em
Example 1, “Uma
amostra de
rastreio(scan) do
Nmap”. Os únicos
argumentos que o
Nmap utiliza nesse
exemplo são -A para
permitir a detecção de
SO e a versão -T4
para execução mais
rápida e os nomes de
anfitrião(hostnames)
de dois alvos.
![Page 160: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/160.jpg)
160
Soluções para a Insegurança
Informática NMAP (comandos - Ubuntu)
Version detection:
Após as portas TCP
e/ou UDP serem
descobertas por
algum dos métodos, o
nmap irá determinar
qual o serviço está
rodando atualmente.
O arquivo nmap-
service-probes é
utilizado para
determinar tipos de
protocolos, nome da
aplicação, número da
versão e outros
detalhes
![Page 161: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/161.jpg)
161
Soluções para a Insegurança
Informática NMAP (comandos - Ubuntu)
D <decoy1,[decoy2],[SEU_IP]...>
Durante uma varredura, utiliza uma série de
endereços falsificados, simulando que o scanning
tenha originado desses vários hosts, sendo
praticamente impossível identificar a verdadeira
origem da varredura.
sudo nmap -D IP1,IP2,IP3,IP4,IP6,SEU_IP
192.168.0.1
![Page 162: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/162.jpg)
162
Soluções para a Insegurança
Informática Análise de Segurança
– Método de detecção remota de vulnerabilidades
• Aplicações como o NMAP não tiram conclusões
• Existe outro tipo de aplicação que efectua o levantamento
remoto de recursos, detecta vulnerabilidades, alerta o utilizador
ou lança ataques
– NESSUS (Nessus Security Scanner)
• É uma ferramenta sofisticada que funciona de forma semi-
automática
• Pode ser usada para obter relatórios de segurança informática
• Também pode ser utilizada para “atacar “ uma plataforma
• Incorpora ataques de negação de serviço, teste de exploits, etc
• Facilita muito a actividade dos crackers
![Page 163: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/163.jpg)
163
Soluções para a Insegurança
Informática NESSUS - Até há pouco tempo o Nessus só funcionava no Linux, mas
recentemente foi lançado o Nessus para Windows. É uma
excelente ferramenta designada para testar e descobrir falhas
de segurança (portas, vulnerabilidades, exploits) de uma ou
mais máquinas.
- Estas falhas ou problemas podem ser descobertos por um grupo
hacker, um único hacker, uma empresa de segurança ou pelo
próprio fabricante, podendo ser de maneira acidental ou
proposital, O Nessus ajuda a identificar e resolver estes
problemas antes que alguém tire vantagem destes com
propósitos maliciosos.
![Page 164: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/164.jpg)
164
Soluções para a Insegurança
Informática NESSUS
Alvo: Linux
SuSE
Detectando
Nmap
![Page 165: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/165.jpg)
165
Soluções para a Insegurança
Informática NESSUS
Alvo: MS-
Windows 95
Detectando
Nmpa
![Page 166: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/166.jpg)
166
Soluções para a Insegurança
Informática NESSUS
Alvo: Linux RedHat após instalação
![Page 167: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/167.jpg)
167
Soluções para a Insegurança
Informática NESSUS
Verificação da
pópria máquina
![Page 168: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/168.jpg)
Soluções para a Insegurança
Informática
NESSUS - Report
![Page 169: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/169.jpg)
NESSUS – Report com formato HTML
Soluções para a Insegurança
Informática
![Page 170: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/170.jpg)
170
Soluções para a Insegurança
Informática Ethereal - Além do Nessus, outro aliado importante é o Ethereal, um
poderoso sniffer. Bem, assim como o Nessus ele pode ser
usado tanto para proteger seu sistema quanto para roubar
dados dos vizinhos, uma faca de dois gumes, por isso ele é às
vezes visto como uma "ferramenta hacker" quando na verdade
o objetivo do programa é dar a você o controle sobre o que
entra e sai da sua máquina e a possibilidade de detectar
rapidamente qualquer tipo de trojan, spyware ou acesso não
autorizado.
![Page 171: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/171.jpg)
Ethereal
Soluções para a Insegurança
Informática - Ethereal
![Page 172: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/172.jpg)
Soluções para a Insegurança
Informática - Ethereal
![Page 173: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/173.jpg)
Soluções para a Insegurança
Informática - Ethereal
![Page 174: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/174.jpg)
Soluções para a Insegurança
Informática - Ethereal
![Page 175: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/175.jpg)
Soluções para a Insegurança
Informática - Ethereal
![Page 176: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/176.jpg)
Soluções para a Insegurança
Informática - Ethereal
![Page 177: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/177.jpg)
16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: S
6928467:6928467(0) win 8192 <mss 1460> (DF)
16:15:14.490000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: S
3259336854:3259336854(0) ack 6928468 win 8760 <mss 1460> (DF)
16:15:14.490000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: . ack 1 win
8760 (DF)
16:15:14.680000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 1:48(47)
ack 1 win 8760 (DF)
4500 0057 dd14 4000 fe06 07f0 c885 2201 : E..W..@.......".
ac10 0105 006e 0415 c245 8897 0069 b854 : .....n...E...i.T
5018 2238 a7d9 0000 2b4f 4b20 5150 4f50 : P."8....+OK QPOP
2028 7665 7273 696f 6e20 322e 3533 2920 : (version 2.53)
6174 2063 6170 6962 6120 7374 6172 7469 : at capiba starti
6e67 2e20 200d 0a : ng. ..
16:15:14.680000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 1:12(11)
ack 48 win 8713 (DF)
4500 0033 870c 4000 2006 3c1d ac10 0105 : E..3..@. .<.....
c885 2201 0415 006e 0069 b854 c245 88c6 : .."....n.i.T.E..
5018 2209 4e42 0000 5553 4552 206d 6d6d : P.".NB..USER mmm
6d0d 0a : m..
16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: . ack 12 win
8760 (DF)
Exemplo de Captura: POP3
Início da conexão
TCP (3-way handshake)
Dados do protocolo
passando às claras
Identificação do usuário
passando às claras
![Page 178: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/178.jpg)
Exemplo de captura: POP3 16:15:14.690000 capiba.cesar.org.br.pop3 > 172.16.1.5.1045: P 48:81(33)
ack 12 win 8760 (DF)
4500 0049 dd16 4000 fe06 07fc c885 2201 : E..I..@.......".
ac10 0105 006e 0415 c245 88c6 0069 b85f : .....n...E...i._
5018 2238 0c1d 0000 2b4f 4b20 5061 7373 : P."8....+OK Pass
776f 7264 2072 6571 7569 7265 6420 666f : word required fo
7220 6d6d 6d6d 2e0d 0a : r mmmm...
16:15:14.690000 172.16.1.5.1045 > capiba.cesar.org.br.pop3: P 12:29(17)
ack 81 win 8680 (DF)
4500 0039 880c 4000 2006 3b17 ac10 0105 : E..9..@. .;.....
c885 2201 0415 006e 0069 b85f c245 88e7 : .."....n.i._.E..
5018 21e8 cd39 0000 5041 5353 2034 3079 : P.!..9..PASS p@l
6c61 2a67 616d 2a0d 0a : @f1t@..
Senha do usuário
passando às claras
![Page 179: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/179.jpg)
179
Soluções para a Insegurança
Informática Segurança Ativa
– Instalar um sistema de proteção é uma boa solução de
segurança
– Porém a segurança está a tornar-se cada vez mais volátil
– É necessário testar os próprios sistemas de protecção:
• O administrador actua externamente como um hacker
• Monitoriza remotamente as redes que administra
• Efectua periodicamente levantamentos remotos de
recursos
• Realiza testes de penetração e ataques informáticos
“reais”
– Os recursos necessários para a segurança activa são:
• Uma plataforma remota com acesso IP sem restrições
• Uma boa largura de banda (um ISP comercial serve)
![Page 180: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/180.jpg)
180
Soluções para a Insegurança
Informática Segurança Ativa
– Através de monitorização remota
• Confirma se os serviços para o exterior estão
operacionais
• Usa plataforma externa com carácter periódico muito
frequente
– Através de auditoria remota
• Efectua periodicamente um levantamento de recursos
• Usa plataforma externa com baixo carácter periódico
– Através de acções remotas preventivas
• Realiza testes de penetração e ataques informáticos
“reais”
• Usa plataforma externa de forma casuística
– Através da aplicação rápida de actualizações
![Page 181: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/181.jpg)
181
Soluções para a Insegurança Uma Solução a Custo Zero
– Usar um PC actualizado (2 ou mais interfaces de rede)
– Instalar Linux/Windows com funcionalidades de firewall
– Ponto a ser explorado e a pasta compartilhada c$ que fornece direito a administrador do computador sendo assim terá controle completo do computador (Resolução do problema remover o compartilhamento ou deixar somente acesso o usuário administrador).
– Juntar um router IP capaz de efectuar filtragem de pacotes (opcional)
– Instalar e configurar o software de firewall:
• IPTABLES – analisa pacotes IP e gere a
filtragem/encaminhamento
• NETFILTER – permite manipulações complexas a nível de sessão
• SNORT – sistema IDS muito sofisticado e flexível
• NMAP – aplicação de identificação activa (para resposta a
ataques)
• P0F – aplicação de identificação passiva (detecção de sistemas)
• NESSUS – aplicação de teste e validação da configuração
• Proxies de aplicação q. b.
![Page 182: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/182.jpg)
182
Os objetivos da Segurança da
Informação são:
Manutenção dos serviços prestados pela
empresa
Segurança do corpo funcional
Em caso de problemas:
– detecção das causas e origens dos problemas no
menor prazo possível, minimização das
conseqüências dos mesmos, retorno às
condições normais no menor prazo, com o menor
custo e com o menor trauma possíveis
![Page 183: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/183.jpg)
183
Técnicas para Alcançar os Objetivos
da Segurança
Detecção e análise dos pontos vulneráveis
Estabelecimento de políticas de segurança
(técnicas de segurança incluem aspectos do
hardware computacional, rotinas
programadas e procedimentos manuais, bem
como os meios físicos usuais de segurança
local e segurança de pessoal, fechaduras,
chaves e distintivos).
![Page 184: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/184.jpg)
184
Técnicas para Alcançar os
Objectivos da Segurança
Execução das políticas de segurança
Avaliação dos resultados contra os
objetivos traçados
Correção de objetivos e políticas
Gestão de acesso
![Page 185: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/185.jpg)
185
Técnicas para Alcançar os Objetivos
da Segurança
Basicamente, deve ser criado um Plano de Segurança (como evitar problemas) e um Plano de Contingência (o que fazer em caso de problemas).
É oportuno frisar que segurança absoluta não existe - ninguém é imune a ataques nucleares, colisões com cometas ou asteróides, epidemias mortais, seqüestros, guerras, ou a uma simples maionese com salmonela na festa de fim de ano da empresa.
![Page 186: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/186.jpg)
186
Técnicas para Alcançar os Objetivos
da Segurança
Trata-se de descobrir os pontos vulneráveis,
avaliar os riscos, tomar as providências
adequadas e investir o necessário para ter
uma segurança homogênea e suficiente.
Se a empresa fatura 250.000€ por mês não
se pode ter a mesma segurança que uma
empresa que fature 1 ou 2 milhões mensais.
Sempre existirão riscos. O que não se pode
admitir é o descaso com a segurança.
![Page 187: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/187.jpg)
187
Técnicas para Alcançar os Objetivos
da Segurança
Deve-se perguntar:
– Proteger O QUÊ?
– Proteger DE QUEM?
– Proteger A QUE CUSTOS?
– Proteger COM QUE RISCOS?
O axioma da segurança é bastante conhecido de todos, mas é verdadeiro:
– "Uma corrente não é mais forte do que o seu elo mais fraco"
![Page 188: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/188.jpg)
Gerência de Risco
![Page 189: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/189.jpg)
189
Custo de Segurança:
![Page 190: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/190.jpg)
190
Custo Visiveis x Invisiveis:
![Page 191: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/191.jpg)
A maioria dos
ataques
acontece aqui
Produto
Lançado
Vulnerabilidade
descoberta
Fix
disponível
Fix instalado
pelo cliente
Atualização do ambiente Quando as ameaças ocorrem?
![Page 192: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/192.jpg)
Produto
Lançado
Vulnerabilidade
descoberta
Fix
disponível
Fix instalado
pelo cliente
O tempo (em dias)
entre a
disponibilização da
correção e a invasão
tem diminuído,
portanto a aplicação
de “patches” não pode
ser a única defesa em
grandes empresas
Invasão
151 18
0
331
Blaster
Welchia/ Nachi
Nimda
25
SQL Slamm
er
14
Sasser
Atualização do ambiente Tempo para a invasão diminuindo
![Page 193: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/193.jpg)
Atualização do ambiente Worm Zotob
09/08 - A Microsoft publica a correção
11/08 - A Microsoft informa que um ataque está na eminencia de acontecer sobre essa vulnerabilidade
17/08 - CNN e ABC são atacadas
![Page 194: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/194.jpg)
Principais Problemas Encontrados
Computerworld nº 398 de 19 de novembro 20039 – Pesquisa realizada pela revista
americana CIO e Pricewaterhouse Coopers
0
10
20
30
40
50
60
70
Problemas
Orçamento limitado
Pouco tempo
Poucas pessoas
Pouco treinamento
Falta de suporte
Infra-estrutura de TI complexa
Equipe de TI desqualificada
Falta de cooperação entre equipes
Políticas de segurança pouco definidas
Baixa maturidade de ferramentas de TI
Infra-estrutura de TI mal desenhada
Falta de colaboração entre equipes de
TI e Segurança
![Page 195: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/195.jpg)
Atitude de Segurança
Reativa
– Resposta a incidentes;
– Investigações;
– Aplicação de sanções. Preventiva
Planejamento;
Normalização;
Infra-estrutura segura;
Educação e Treinamento;
Auditoria.
![Page 196: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/196.jpg)
Medidas de Segurança Política de Segurança;
Política de utilização da Internet e Correio Eletrônico;
Política de instalação e utilização de softwares;
Plano de Classificação das Informações;
Auditoria;
Análise de Riscos;
Análise de Vulnerabilidades;
Análise da Política de Backup;
Plano de Ação Operacional;
Plano de Contingência;
Capacitação Técnica;
Processo de Conscientização dos Usuários.
![Page 197: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/197.jpg)
Medidas de Segurança Backups;
Antivírus;
Firewall;
Detecção de Intruso (IDS);
Servidor Proxy;
Filtros de Conteúdo;
Sistema de Backup;
Monitoração;
Sistema de Controle de Acesso;
Criptografia Forte;
Certificação Digital;
Teste de Invasão;
Segurança do acesso físico aos locais críticos.
![Page 198: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/198.jpg)
Principais Desafios
Definição de Padrões e Políticas;
Mudar a atitude de segurança;
Demonstrar o retorno sobre o investimento;
Projeto de Segurança da Informação X Projetos ligados ao negócio da empresa;
Fazer com que a Segurança da Informação seja um custo operacional;
Conscientizar os executivos;
Motivar e treinar os usuários;
Capacitar a equipe técnica.
![Page 199: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/199.jpg)
199
Indice
1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 200: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/200.jpg)
200
6 - Princípios Básicos na
Segurança
![Page 201: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/201.jpg)
Segurança Privacidade Confiabilidade Integridade
Princípios de Segurança
![Page 202: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/202.jpg)
Confidencialidade (1)
É a manutenção do sigilo das informações ou dos recursos
A violação da confidencialidade ocorre com a revelação não
autorizada da informação ou dos recursos
A prevenção contra as ameaças à confidencialidade em SI pode ser
alcançada com a aplicação de mecanismos de controle de acesso e
com técnicas de criptografia e de segurança de redes
A confidencialidade também se aplica a mera existência de um dado,
que pode ser mais importante do que o dado em si
Todos os mecanismos que impõem confidencialidade requerem
serviços para suportá-los – suposições e confiança
202
Definição de segurança computacional
![Page 203: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/203.jpg)
Confidencialidade (2) Exemplo: criptografia como mecanismo de controle
de acesso A criptografia do extrato de uma conta corrente previne
alguém de lê-lo. Caso o correntista precise de ver o extrato, ele precisa ser decifrado. Apenas o possuidor da chave criptográfica, utilizando o programa de decifração, pode fazê-lo. Entretanto, se outro conseguir ler a chave, a confidencialidade do extrato fica comprometida
O problema da confidencialidade do extrato se reduz agora à confidencialidade da chave criptográfica, que deve ser protegida
Exemplo: proteção da existência de um dado Saber que um indivíduo é um cliente VIP de um banco
pode ser mais importante que saber quais/quantos são os recursos que ele possui aplicados
203
Definição de segurança computacional
![Page 204: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/204.jpg)
Integridade (1)
Refere-se a confiabilidade da informação ou dos recursos
A violação da integridade ocorre pela modificação imprópria ou
não autorizada da informação ou dos recursos
Integridade de dados
Confiabilidade do conteúdo dos dados
Integridade de origem
Confiabilidade da fonte dos dados – autenticação
Sustenta-se na acurácia (medidas para caracterizar a precisão de uma grandeza
medida) e na credibilidade da fonte e na confiança que as pessoas depositam na
informação
204
Definição de segurança computacional
![Page 205: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/205.jpg)
Integridade (2)
Classes de mecanismos para integridade
Mecanismos de prevenção
Objetivam manter a integridade dos dados com o bloqueio de qualquer tentativa não autorizada de modificá-los ou qualquer tentativa de modificá-los por meios não autorizados – acesso e uso não autorizados
Autenticação e controle de acessos adequados, em geral, são eficazes para prevenir o acesso não autorizado
O uso não autorizado requer formas de controle distintas, sendo mais difícil de prevenir
Mecanismos de detecção
Buscam reportar que a integridade dos dados não é mais confiável, em parte ou no todo
A criptografia pode ser usada para detectar violações de integridade
A avaliação da integridade é de difícil realização por basear-se em
suposições sobre a fonte dos dados e da sua confiabilidade
205
Definição de segurança computacional
![Page 206: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/206.jpg)
Integridade (3) Exemplo: corrupção da integridade de origem
Um jornal pode noticiar uma informação obtida de um vazamento no Palácio do Planalto, mas atribuí-la a uma fonte errada. A informação é impressa como recebida (integridade dos dados preservada), mas a fonte é incorreta (corrupção na integridade de origem )
Exemplo: distinção entre acesso e uso não autorizados Num sistema contábil, o acesso não autorizado ocorre
quando alguém quebra a segurança para tentar modificar o dado de uma conta, por exemplo, para quitar um débito, sem autoridade para tal
Agora, quando o contador da empresa tenta apropriar-se de dinheiro desviando-o para contas no exterior e ocultado respectivas transações, então ele está abusando de sua autoridade – embora possa, ele não deve fazê-lo
206
Definição de segurança computacional
![Page 207: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/207.jpg)
Disponibilidade (1)
Refere-se a capacidade de usar a informação ou o recurso desejado
A violação da disponibilidade ocorre com a retenção não autorizada de informações ou recursos computacionais
Ataques de recusa de serviço – denial of service attacks
Usualmente definido em termos de “qualidade de serviço”
Usuários autorizados esperam receber um nível específico de serviço, estabelecido em termos de uma métrica
Mecanismos para prevenção/detecção eficazes são difíceis de implementar e podem ser manipulados
207
Definição de segurança computacional
![Page 208: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/208.jpg)
Disponibilidade (2)
– Exemplo: manipulação de mecanismos de disponibilidade
• Suponha que Ana tenha comprometido o servidor
secundário de um banco, que fornece os saldos das
contas correntes. Quando alguém solicita informações
ao servidor, Ana pode fornecer a informação que
desejar. Caixas validam saques contatando o servidor
primário. Caso ele não obtenha resposta, o servidor
secundário é solicitado. Um cúmplice de Ana impede
que caixas contactem o servidor primário, de modo que
todos eles acessam o servidor secundário. Ana nunca
tem um saque ou cheque recusado, independente do
saldo real em conta
• Note que se o banco tivesse apenas o servidor
primário, este esquema não funcionaria – o caixa não
teria como validar o saque 208
Definição de segurança computacional
![Page 209: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/209.jpg)
209
Princípios Básicos em Segurança
Confidencialidade:
– proteção da informação compartilhada
contra acessos não autorizados; obtém-se
a confidencialidade pelo controle de
acesso (senhas) e controle das operações
individuais de cada utilizador (log).
Autenticidade:
– garantia da identidade dos utilizadores.
![Page 210: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/210.jpg)
210
Princípios Básicos em Segurança
Integridade:
– garantia da veracidade da informação, que
não pode ser corrompida (alterações
acidentais ou não autorizadas).
Disponibilidade:
– prevenção de interrupções na operação de
todo o sistema (hardware + software); uma
quebra do sistema não deve impedir o
acesso aos dados.
![Page 211: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/211.jpg)
211
Resumo para Atingir Segurança:
Pessoas + Processos + Ferramentas
Pessoas:
Executam os
Processos e usam
as Ferramentas
Para atingir os
Objetivos
Ferramentas:
São manipuladas
pelas Pessoas,
seguindo os
Processos para
atingir os
Objetivos
Processos:
Descrevem como as
Pessoas irão usar
as Ferramentas
para atingir os
Objetivos
>
![Page 212: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/212.jpg)
A convergência digital traz impactos:
Cenário Atual
COMPORTAMENTAIS
ÉTICOS
LEGAIS
![Page 213: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/213.jpg)
- Detecção – preventiva ou contingencial (resposta a incidente)
Tradicional – mínimo de VPN, Firewall, Antivirus, Anti-spyware, regras ACL
em reoteador, bloqueio de acessos.
Diferenciada – com uso de Multicamadas como:
- Uso de Virtual Patch;
- Uso de Anti-virus (melhor é o comportamental);
- Uso de Filtro de Conteúdo;
- Uso de IDS e IPS, filtro web e filtro anti-spam;
- Uso de ferramenta de detecção de anomalias no servidor;
- Bloqueio de ataques Buffer Overflow;
- Controle de Aplicativos;
- Scanning ativo e passivo – mapeamento de vulnerabilidades, uso de
metodologia de auditoria.
Situação das Ferramentas de Segurança
Mas é preciso muito
mais do que apenas
tecnologia!
![Page 214: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/214.jpg)
O que precisamos fazer
Gestão do Risco em 3 níveis:
– 1º. Nível – Tecnologias
– 2º. Nível – Processos
– 3º. Nível – Pessoas
Com medidas:
– Corretivas – em caráter emergencial
– Preventivas – em caráter Estrutural
– Orientativas – em caráter Educacional
Elaborando Política de
Segurança da Informação
e o Código de Conduta
do Funcionário
Palestras e
cartilhas
![Page 215: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/215.jpg)
Várias pesquisas apontam o fator humano como a maior ameaça às informações.
Usuário
“o erro humano é sintoma de problemas
profundos da organização”. Dekker
Riscos Atuais – Cenário Vulnerabilidades
Ameaças Digitais
![Page 216: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/216.jpg)
216
Indice
1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 217: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/217.jpg)
217
7 - Situações de Insegurança
![Page 218: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/218.jpg)
218
SITUAÇÕES DE INSEGURANÇA
Catástrofe – Incêndio acidental ou intencional
– Inundação de caves ou salas com risco potencial, por fuga dos canos ou por goteiras
– Explosão intencional ou provocada por fuga de gás (em botijas ou encanado)
– Desabamento parcial ou total do prédio
– Impacto de escombros da cobertura (teto de gesso, teto falso ou telhado)
– Grande sobrecarga na rede elétrica ou relâmpagos que causam queima total de equipamentos
![Page 219: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/219.jpg)
219
SITUAÇÕES DE INSEGURANÇA
Problemas ambientais
– Variações térmicas - excesso de calor causa
travamentos e destrói os suportes; excesso de frio
congela fisicamente dispositivos mecânicos, como
discos rígidos.
– Humidade - inimigo potencial de todas os
suportes magnéticos.
– Poeira depositada nas cabeças de leitura e
gravação dos drivers, pode destruir fisicamente
um disquete, uma fita ou um culler.
– Ruído causa stress no pessoal.
![Page 220: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/220.jpg)
220
SITUAÇÕES DE INSEGURANÇA
Problemas ambientais
– Fumo - o fumo do cigarro deposita uma camada
de componentes químicos nas cabeças de leitura
e gravação dos drives, que pode inviabilizar a
utilização de disquetes e fitas; fumos de incêndios
próximos é muito mais perigosa.
– Magnetismo - grande inimigo dos suportes
magnéticos, pode desgravar disquetes, fitas e
discos rígidos.
– Trepidação - pode afrouxar placas e componentes
em geral, além de destruir discos rígidos.
![Page 221: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/221.jpg)
221
SITUAÇÕES DE INSEGURANÇA
Supressão de serviços – Falha de energia elétrica - grande risco potencial,
à medida que paralisa totalmente todas as funções relacionadas à informática.
– Queda nas comunicações - grande risco potencial, pois isola o site do resto do mundo; risco de perda de dados.
– Bloqueio nos equipamentos - problema bastante comum, resolvido com backup de informações e de hardware.
– Bloqueio na rede - isola um ou mais computadores de um mesmo site; risco potencial de perda de dados.
![Page 222: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/222.jpg)
222
SITUAÇÕES DE INSEGURANÇA
Supressão de serviços
– Problemas nos sistemas operacionais - risco
potencialmente explosivo, pois podem
comprometer a integridade de todos os dados do
sistema e até mesmo inviabilizar a operação;
eliminam a confiança da equipa.
– Problemas nos sistemas corporativos - grande
risco, causam grande transtorno e perdas de
dados.
– Bloqueio de sistema - igualmente um grande
risco.
![Page 223: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/223.jpg)
223
SITUAÇÕES DE INSEGURANÇA
Comportamento anti-social – Paralisações e greves - problema contornável se houver
condução política adequada.
– Invasões - altíssimo risco de destruição acidental ou intencional.
– Hacker - Pessoa que tenta aceder a sistemas sem autorização, usando técnicas próprias ou não, no intuito de ter acesso a determinado ambiente para proveito próprio ou de terceiros. Dependendo dos objetivos da ação, pode ser chamado Cracker, Lammer ou BlackHat
• indivíduo que conhece profundamente um computador e um sistema operacional e invade o site sem finalidade destrutiva.
– Alcoolismo e drogas - risco de comportamento anómalo de funcionários, com conseqüências imprevisíveis.
![Page 224: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/224.jpg)
224
SITUAÇÕES DE INSEGURANÇA
Comportamento anti-social – Disputas exacerbadas - entre pessoas podem
levar à sabotagem e alteração ou destruição de dados ou de cópias de segurança.
– Falta de espírito de equipa - falta de coordenação, onde cada funcionário trabalha individualmente; risco de omissão ou duplicação de procedimentos.
– Inveja pessoal/profissional - podem levar um profissional a alterar ou destruir dados de outro funcionário.
– Rixas - entre funcionários, setores, administração, diretorias - mesmo caso do item anterior, porém de conseqüências mais intensas.
![Page 225: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/225.jpg)
225
SITUAÇÕES DE INSEGURANÇA
Ação criminosa
– Furtos e roubos - conseqüências imprevisíveis,
podem inviabilizar completamente os negócios da
empresa.
– Fraudes - modificação de dados, com vantagens
para o elemento agressor.
– Sabotagem - modificação deliberada de qualquer
ativo da empresa.
– Terrorismo - de conseqüências imprevisíveis,
pode causar mortes, a destruição total dos
negócios ou de mesmo de toda a empresa.
![Page 226: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/226.jpg)
226
SITUAÇÕES DE INSEGURANÇA
Ação criminosa
– Atentados - uso de explosivos, com as mesmas
conseqüências do item anterior.
– Sequestros - ação contra pessoas que tenham
alguma informação.
– Espionagem industrial - captação não autorizada
de software, dados ou comunicação.
– Cracker - indivíduo que conhece profundamente
um computador e um sistema operacional e
invade o site com finalidade destrutiva.
![Page 227: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/227.jpg)
227
SITUAÇÕES DE INSEGURANÇA
Incidentes variados – Erros de utilizadores - de conseqüências
imprevisíveis, desde problemas insignificantes até a perda de uma faturação inteira; erros de utilizadores costumam contaminar as cópias de segurança (backup) quando não detectados a tempo.
– Erros em backups - risco sério de perda de dados; o backup sempre deve ser verificado.
– Uso inadequado dos sistemas - normalmente ocasionado por falta de treino, falta de documentação adequada do sistema ou falta de capacidade de quem utiliza o sistema de forma inadequada, tem os mesmos riscos do item Erros de utilizadores.
![Page 228: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/228.jpg)
228
SITUAÇÕES DE INSEGURANÇA
Incidentes variados
– Manipulação errada de ficheiros - costuma causar perda de ficheiros e pode contaminar as cópias de segurança.
– Treino insuficiente - inevitavelmente causa erros e uso inadequado.
– Ausência/demissão de funcionário - é problemático se a pessoa ausente for a única que conhece determinados procedimentos.
– Stress/sobrecarga de trabalho - uma pessoa sobrecarregada é mais propensa a cometer erros e adoptar atitudes anti-sociais.
– Equipa de limpeza - deve receber o treino adequado sobre segurança.
![Page 229: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/229.jpg)
229
SITUAÇÕES DE INSEGURANÇA
Contaminação eletrônica
– Vírus - programa que insere uma cópia sua em
outros programas executáveis ou no sector de
boot; os vírus replicam-se através da execução do
programa infectado.
– Bactéria - programa que se reproduz a si próprio e
vai consumindo recursos do processador e
memória.
– Verme - programa que se reproduz através de
redes.
![Page 230: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/230.jpg)
230
SITUAÇÕES DE INSEGURANÇA
Contaminação eletrônica
– Cavalo de Tróia - programa aparentemente inofensivo e útil, mas que contém um código oculto indesejável ou danoso.
– Ameba - utilizador que, sem ter conhecimento para tanto, mexe na configuração do computador ou do software, causando problemas, perda de dados, encravamento da máquina, etc.
– Falhas na segurança dos serviços - os serviços da Internet são potencialmente sujeitos a falhas de segurança, basicamente devido ao fato de o UNIX ter sido construído em ambiente universitário, que visava um processamento cooperativo e não a segurança; além disto, o UNIX é muito bem conhecido por hackers e crackers.
![Page 231: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/231.jpg)
Segurança de Redes sem Fio - Warchalking
![Page 232: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/232.jpg)
232
Indice
1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 233: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/233.jpg)
233
8 - Prejuízos
![Page 234: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/234.jpg)
234
OS PREJUÍZOS
A Informática é o centro nevrálgico da empresa. Qualquer pequeno problema no(s) servidor(es) corporativo(s) ou em algum servidor departamental pode paralisar vários ou mesmo todos os departamentos da empresa. Quanto maior o grau de integração dos sistemas, quanto maior o volume e a complexidade dos negócios, maior será a dependência em relação à Informática.
Graus de severidade. – Podemos classificar os prejuízos decorrentes de problemas
com segurança em graus de severidade, conforme a abrangência dos danos e as providências tomadas para retornar à normalidade:
![Page 235: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/235.jpg)
235
Graus de Severidade
INSIGNIFICANTES – casos em que o problema ocorre, é detectado e corrigido
sem maiores repercussões. São problemas isolados, sem nenhuma repercussão na estrutura computacional da empresa.
– O maior prejuízo é a despesa com a mão de obra alocada, ou algum suprimento desperdiçado.
– Um exemplo é a presença de vírus num computador, que é prontamente detectado e exterminado. Certamente é necessário um grande investimento em segurança para que os problemas possam ser prontamente resolvidos e os prejuízos minimizados;
![Page 236: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/236.jpg)
236
Graus de Severidade
PEQUENOS – O problema ocorre, existindo uma repercussão mínima na
estrutura computacional e organizacional da empresa (atrasos, bloqueio de sistema, perdas de movimentação, etc.), e o problema é resolvido. Um exemplo é a perda dos dados corporativos, a recuperação via backup da posição anterior e a necessidade de redigitar a movimentação de um dia.
– Ou, a destruição física, acidental ou propositada, de um servidor corporativo, com a necessidade de substituição rapidamente, mas sem perda dos dados.
– Os prejuízos são restritos ao âmbito da empresa, sem repercussões nos seus negócios e sem interferências com seus clientes;
![Page 237: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/237.jpg)
237
Graus de Severidade
MÉDIOS
– o problema ocorre, provoca repercussão nos
negócios da empresa e interfere com os seus
clientes, mas a situação consegue ser resolvida
de maneira satisfatória, normalmente com um
grande esforço e com maior ou menor desgaste
interno e externo da empresa. Exemplos: erros
graves no faturação, perda de dados sem backup;
![Page 238: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/238.jpg)
238
Graus de Severidade
GRANDES
– repercussões irreversíveis de caráter interno ou
externo, com perda total de dados, prejuízo
financeiro irrecuperável, perda de clientes, perda
de imagem e posição no mercado;
CATASTRÓFICOS
– prejuízos irrecuperáveis, que podem dar origem a
processos judiciais e falência da empresa
![Page 239: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/239.jpg)
239
Prejuízos em Função do Tempo
Quando ocorre algum problema que
provoque uma paralisação, os prejuízos
menos importantes são percebidos
imediatamente.
Outros, normalmente os maiores, somente
serão percebidos posteriormente, e será
muito difícil, ou mesmo impossível, repará-
los.
![Page 240: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/240.jpg)
240
Prejuízos em Função do Tempo
Problemas de segurança com graus de severidade INSIGNIFICANTE e PEQUENO somente causam prejuízos imediatos, tais como: – Paralisação das atividades normais da empresa
– Danos materiais, variáveis conforme o problema ocorrido
– Sobrecarga na estrutura da empresa, que deve mobilizar os seus recursos, normalmente exíguos, para a tentativa de recuperação dos problemas decorrentes do erro
– Atritos internos em função da responsabilização pelo erro
![Page 241: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/241.jpg)
241
Prejuízos em Função do Tempo
Normalmente problemas com grau de severidade MÉDIO causam poucos prejuízos a médio e longo prazos, que são: – Desvio nos objetivos da empresa
– Perda de mercado
– Perda de imagem
– Perda de credibilidade
– Desânimo e perda de funcionários
– Atritos internos extremamente sérios e atritos externos em função da responsabilização pelo erro
![Page 242: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/242.jpg)
242
Prejuízos em Função do Tempo
Problemas com grau de severidade
GRANDE e CATASTRÓFICO
certamente causam os supra citados
prejuízos a médio e longo prazo,
podendo causar o encerramento das
atividades da empresa e pendências
com a Justiça para seus diretores e
funcionários.
![Page 243: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/243.jpg)
243
Prejuízos em Função do Tempo
A queda na eficiência dos negócios da empresa após
um acidente sério com informática é drástica, como
indica o gráfico abaixo. • ordenadas, temos a eficiência da empresa;
• abcissas, o intervalo em dias após o evento.
![Page 244: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/244.jpg)
244
Custos da Reposição da
Informações
Podem ocorrer prejuízos altíssimos em caso de problemas sérios, considerando, entre outros, alocação de recursos humanos adicionais, procura de documentos, redigitação das informações, reconstrução do local e reposição de hardware e software, multas, etc.
![Page 245: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/245.jpg)
245
Indice
1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 246: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/246.jpg)
246
9 - Modelo Aplicado à Segurança
![Page 247: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/247.jpg)
247
Modelo aplicado à segurança
Definição de
Políticas
Ações
Concretas
Gestão
Operacional
Controle
Sistemático
![Page 248: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/248.jpg)
248
Implementação de um SI
IMPLANTAR
PROJETAR
ANALISAR
MANTER
INVESTIGAR
Desenvolvendo soluções
em sistemas de
informação
![Page 249: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/249.jpg)
249
Implementando um SI Compreender o problema
– Determinar se existe um problema ou oportunidades empresariais.
– Realizar um estudo de viabilidade para determinar se um sistema de informação novo ou aprimorado é uma solução viável.
– Desenvolver um plano de gerenciamento de projeto e obter aprovação da administração.
Desenvolver uma solução
– Analisar as necessidades de informação dos usuários finais, o ambiente organizacional e todo sistema atualmente em uso.
– Desenvolver os requisitos funcionais de um sistema que possa atender as necessidades dos usuários finais.
– Desenvolver especificações para os recursos de hardware, software, pessoal, rede e dados e os produtos de informação que atenderão os requisitos funcionais do sistema proposto.
Implantar a Solução
– Adquirir (ou desenvolver) hardware software.
– Testar o sistema treinar pessoal para operá-lo e utilizá-lo.
– Converter para o novo sistema.
– Utilizar um processo de revisão pós-implantação para monitorar, avaliar e modificar o sistema conforme for necessário.
![Page 250: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/250.jpg)
250
Implementando um SI Compreender o problema
– Determinar se existe um problema ou oportunidades empresariais.
– Realizar um estudo de viabilidade para determinar se um sistema de informação novo ou aprimorado é uma solução viável.
– Desenvolver um plano de gerenciamento de projeto e obter aprovação da administração.
Desenvolver uma solução
– Analisar as necessidades de informação dos usuários finais, o ambiente organizacional e todo sistema atualmente em uso.
– Desenvolver os requisitos funcionais de um sistema que possa atender as necessidades dos usuários finais.
– Desenvolver especificações para os recursos de hardware, software, pessoal, rede e dados e os produtos de informação que atenderão os requisitos funcionais do sistema proposto.
Implantar a Solução
– Adquirir (ou desenvolver) hardware software.
– Testar o sistema treinar pessoal para operá-lo e utilizá-lo.
– Converter para o novo sistema.
– Utilizar um processo de revisão pós-implantação para monitorar, avaliar e modificar o sistema conforme for necessário.
![Page 251: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/251.jpg)
Coleta de Dados
251
Coleta de dados para implementar um sistema de informação
– Entrevistas com funcionários,clientes e gerentes.
– Questionários para os devidos usuários finais na organização.
– Observação pessoal, gravação em vídeo ou envolvimento nas atividades de trabalho dos usuários finais.
– Exame de documentos, relatórios, manuais de procedimentos e ouros registros.
– Desenvolvimentos, simulação e observação de um modelo das atividades de trabalho
![Page 252: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/252.jpg)
252
Técnicas de Segurança
Definição de políticas de segurança – Planos, políticas e procedimentos de segurança
– Análise do risco
– Desenho de soluções de segurança
Ações concretas – Gestão e controlo de acesso
– Detecção de intrusão
– Autenticação
– Certificados digitais
– . . .
![Page 253: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/253.jpg)
253
Técnicas de Segurança
Gestão Operacional
– Gestão, manutenção e controlo (dia-a-dia da
segurança)
– Tratamento de vulnerabilidades
– Análise de logs de Firewall e Internet
Controlo Sistemático
– Análise externa de vulnerabilidades
– Testes de intrusão
– Análise de incidentes
– Auditorias (funcional, interna, de mail, ...)
![Page 254: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/254.jpg)
254
Ciclo de Vida de Segurança O que precisa
ser protegido?
Como proteger? Simulação de
um ataque
Qual é probabilidade
de um ataque?
Qual prejuízo, se
ataque sucedido?
Qual é nível da
proteção?
![Page 255: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/255.jpg)
255
Postura frente a Segurança
Os “4 Ps”
Paranóia
Prudência
Permissividade
Promiscuidade
O bom senso coloca o administrador em um ponto próximo a prudência. É lógico que dependo do que está se protegendo, pois a proteção de um Home Bank coloca o administrador exatamente sobre o primeiro “P”
Posturas de Segurança
![Page 256: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/256.jpg)
Falar em um chat que alguem cometeu algum crime (ex. – ele é um
ladrão...)
Calúnia Art.138 do C.P.
Dar forward para várias pessoas de um boato eletrônico Difamação Art.139 do C.P.
Enviar um email para a Pessoa dizendo sobre caracteristicas dela (gorda,
feia, vaca,...)
Injúria Art.140 do C.P.
Enviar um email dizendo que vai pegar a pessoa Ameaça Art.147 do C.P.
Enviar um email para terceiros com informação considerada confidencial Divulgação de segredo Art.153 do C.P.
Enviar um virus que destrua equipamento ou conteudos Dano Art.163 do C.P.
Copiar um conteudo e não mencionar a fonte, baixar MP3 Violação ao direito autoral Art.184 do C.P.
Criar uma Comunidade Online que fale sobre pessoas e religiões Escárnio por motivo de religião Art.208 do C.P.
Acessar sites pornográficos Favorecimento da prostituição Art.228 do C.P.
Criar uma Comunidade para ensinar como fazer “um gato” Apologia de crime ou criminoso Art.287 do C.P.
Enviar email com remetente falso (caso comum de spam) Falsa identidade Art.307 do C.P.
Fazer cadastro com nome falso em uma loja virtual Inserção de dados falsos em sistema Art.313-A do C.P.
Entrar na rede da empresa ou de concorrente e mudar informações
(mesmo que com uso de um software)
Adulterar dados em sistema de
informações
Art.313-B do C.P.
Se você recebeu um spam e resolve devolver com um vírus, ou com mais
spam
Exercício arbitrário das próprias
razões
Art.345 do C.P.
Participar do Cassino Online Jogo de azar Art.50 da L.C.P.
Falar em um Chat que alguém é isso ou aquilo por sua cor Preconceito ou Discriminação Raça-
Cor-Etnia
Art.20 da Lei
7.716/89
Ver ou enviar fotos de crianças nuas online (cuidado com as fotos de seus
filhos)
Pedofilia Art.247 da Lei
8.069/90
Usar logomarca de empresa em um link na pagina da internet, em uma
comunidade, em um material, sem autorização do titular, no todo ou
em parte.
Crime contra a propriedade industrial Art.195 da Lei
9.279/96
Emprega meio fraudulento, para desviar, clientela de outrem, exemplo,
uso da marca do concorrente como palavra-chave ou link
patrocinado em buscador
Crime de Concorrência Desleal Art.195 da Lei
9.279/96
Usar copia de software sem ter a licença para tanto Crimes Contra Software “Pirataria” Art.12 da Lei
9.609/98
QUE ATIRE O PRIMEIRO MOUSE
QUEM NUNCA TIVER COMETIDO
NENHUM DESSES
PECADINHOS DIGITAIS
![Page 257: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/257.jpg)
“...mas todo mundo faz...” Esta é nossa maior vulnerabilidade hoje.
Não exime de responsabilidade legal.
![Page 258: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/258.jpg)
Estudo de Cenários em SI
![Page 259: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/259.jpg)
Que cuidados especiais devo tomar?
Nunca divulgue sua senha!
Não deixe outra pessoa usar seu computador!
Evite usar o computador de outra pessoa!
Não divulgue informações confidenciais!
Não crie comunidades com o nome da empresa
nem para tratar de assuntos internos!
Não leia mensagens de origem desconhecida!
Não envie ou passe para frente boatos eletrônicos!
Tenha BOM SENSO e BOA-FÉ!
ESTEJA ATENTO À SEGURANÇA DA INFORMAÇÃO NO AMBIENTE DE TRABALHO!
![Page 260: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/260.jpg)
Manual do Motorista Virtual – passar a regra do jogo no jogo
Identidade
Carteira de habilitação Senhas, logs de acesso, nome de usuário
Capacitação técnica
Auto-escola Treinamentos
Conhecimento das normas
Código Nacional de Trânsito Política de Segurança da Informação
Monitoramento
Radar: detecção de infrações Firewall, IDS, controles de rede
Sinalização
Semáforos, placas, faixa de pedestres Avisos de sistema, rodapé de e-mail
Punições para infrações
Multas, suspensão de carta, apreensão Punições previstas na Política, advertência
Polícia e Perícia
Investigação de acidentes Jurídico e Delegacia de Crimes Eletrônicos
Ferramentas de Proteção
Cinto de segurança, air bag, alarme Antivírus, firewall, controle de acesso,
câmeras
Atualização
Troca de óleo e pneu, abastecimento Atualização de SO, correção de falhas
Mesmo com todos os itens de
segurança em dia, se o usuário
fizer mau uso da ferramenta (carro
ou computador) surtirão
conseqüências legais e punições!
![Page 261: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/261.jpg)
EDUCAÇÃO DO USUÁRIO É ESSENCIAL
JOGO DOS ERROS
![Page 262: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/262.jpg)
262
Alguns sites de forum: http://www.istf.com.br/vb/seguranca-da-informacao/
http://forum.clubedohardware.com.br/seguranca-informacao/f65?s=32a8887928d00209bba79a7e7dd1c944&
http://www.forum-seguranca.com/
http://criptografia.forumeiros.com/
http://info.abril.com.br/forum-antigo/forum.php?topico=144893
http://sbseg2009.inf.ufsm.br/sbseg2009/
http://asti.zuqueto.com/viewforum.php?f=33
http://www.forumweb.com.br/foruns/index.php?/forum/336-seguranca-da-informacao/
http://forum.ninjaspy.org/index.php?/forum/48-seguranca-da-informacao/
http://lucianomvp.spaces.live.com/blog/cns!D8AFA39404433738!2533.entry
http://cwconnect.computerworld.com.br/groups/seguranca-da-informacao/forum/topic/4654
http://angryhacker.com.br/forum/viewforum.php?f=3
http://www.linhadefensiva.org
http://tecnologia.uol.com.br/seguranca/
http://g1.globo.com/g1/tecnologia/
![Page 263: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/263.jpg)
263
Indice
1. Introdução
2. Histórico
3. Tipos de Seguranças
4. Objetivos da Segurança
5. Introdução a Ataques
6. Princípios Básicos na Segurança
7. Situações de Insegurança
8. Prejuízos
9. Modelo Aplicado à Segurança
10. Normas
![Page 264: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/264.jpg)
Surgimento de Normas NBR / ISO IEC 17799 Breve Histórico ISSO 17799 ISO 17799 – Segurança Organizacional ISO 17799 – Segurança de Pessoas ISO 17799 – Segurança Física e de Ambiente ISO 17799 – Controle de Acesso ISO 17799 – Controle de Acesso à Aplicações ISO 17799 – Plano de Negócios Vantagem das Normas
264
10 – Normas de Segurança
![Page 265: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/265.jpg)
265
Normas de Segurança
O que é uma norma?
Pq precisamos de uma norma?
O que é uma norma de segurança?
Em que consiste uma norma de
segurança?
Quando se pretende escrever uma
política de segurança, como a norma
pode ajudar?
![Page 266: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/266.jpg)
266
Em outubro de 1967 foi criado um documento chamado “Security Control for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores.
Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria”. A versão final deste documento foi impresso em dezembro de 1985.
Surgimento de Normas
![Page 267: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/267.jpg)
267
O “Orange Book” é considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro.
O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados.
Surgimento de Normas
![Page 268: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/268.jpg)
268
Este esforço foi liderado pela "International
Organization for Standardization (ISO). No
final do ano de 2000, o primeiro resultado
desse esforço foi apresentado, que é a
norma internacional de Segurança da
Informação "ISO/IEC-17799:2000", a qual já
possui uma versão aplicada aos países de
língua portuguesa, denominada "NBR
ISO/IEC-17799“ .
Surgimento de Normas
![Page 269: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/269.jpg)
269
NBR/ISO IEC 17799
A ISO 17799 é um conjunto de
recomendações para gestão da Segurança
da Informação;
Providencia uma base comum para o
desenvolvimento de normas de segurança
organizacional e das práticas efetivas de
gestão da segurança;
Leva em consideração tecnologia,
processos e pessoas. Esta norma é
publicada no Brasil pela ABNT com o código
NBR ISO 17799.
![Page 270: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/270.jpg)
270
Breve histórico da ISO 17799
A Associação Britânica de Normas tinha 2
normas referentes à segurança de sistemas
de informação: a BS 7799-1 e a BS 7799-2.
A BS 7799-1 foi submetida ao ISO e
aprovada (com problemas), vindo a ser a
ISO 17799.
A BS 7799-2 se referia especialmente ao
processo de certificação do aspecto de
segurança em organizações e não foi
submetida para o ISO.
![Page 271: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/271.jpg)
271
Componentes do ISO 17799
1. Objetivo da norma
2. Termos e definições
3. Política de segurança
4. Segurança organizacional
5. Classificação e controle dos ativos de informação
6. Segurança de pessoas
7. Segurança física e do ambiente
8. Gerenciamento de operações e comunicações
9. Controle de acesso
10. Desenvolvimento de sistemas.
11. Gestão de continuidade de negócios
12. Conformidade
![Page 272: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/272.jpg)
OBJETIVO
Esta norma fornece recomendações para gestão da
segurança da informação para uso por aqueles que são
responsáveis pela introdução, implementação ou
manutenção da segurança em suas organizações.
![Page 273: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/273.jpg)
PONTOS RELATADOS PELA NORMA.
- Política de Segurança de Informação.
- Segurança Organizacional.
- Classificação dos Ativos da Organização.
- Segurança em Pessoas.
- Segurança Física e do Ambiente.
- Gerenciamento das operações e comunicações.
- Controle de Acesso
- Desenvolvimento e Manutenção de Sistemas.
- Gestão da Continuidade de Nogócio.
- Conformidade
![Page 274: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/274.jpg)
274
ISO 17799 – Segurança Organizacional
Infraestrutura de segurança: indica que
uma estrutura organizacional deve ser criada
para iniciar e implementar as medidas de
segurança.
Segurança no acesso de prestadores de
serviço: garantir a segurança dos ativos
acessados por prestadores de serviços.
Segurança envolvendo serviços
terceirizados: deve-se incluir nos contratos
de terceirização de serviços computacionais
cláusulas para segurança
![Page 275: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/275.jpg)
275
ISO 17799 – Segurança de Pessoas Segurança na definição e Recursos de Trabalho:
Devem ser incluídas as preocupações de segurança no momento da contratação de pessoas. Verificar os critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade.
Treinamento dos usuários: educação, conscientização e treinamento referentes a segurança.
Mecanismos de Incidente de Segurança: Deve existir mecanismos para funcionários poderem reportar possíveis falhas.
Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionários que violaram os procedimentos de segurança.
![Page 276: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/276.jpg)
276
ISO 17799 – Segurança Física e de
Ambiente
Áreas de segurança: prevenir acesso não
autorizado, dano e interferência nas instalações
físicas. Isso inclui: definir um perímetro de segurança,
controles de entrada física, etc .
Segurança de equipamento: convém proteger
equipamentos fisicamente de ameaças e perigos
ambientais. Isso inclui roubo, fogo, e outros perigos
ambientais, proteção contra falta de energia,
segurança do cabeamento, definição de política de
manutenção, proteção a equipamentos fora das
instalações .
Controles gerais: Por exemplo proteção de tela com
senha para evitar que informação fique visível em
tela, deve-se ter uma política quanto a deixar papéis
na impressora por muito tempo, etc.
![Page 277: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/277.jpg)
277
ISO 17799 – Controle de Acesso
Gerenciamento de acesso dos usuários:
– Registro do usuário: ID única para cada usuário, pedir
assinatura em termo de responsabilidade, remover
usuário assim que o funcionário sair da empresa .
– Gerenciamento de privilégios: Basicamente, se
recomenda que usuários tenham apenas os privilégios
necessários para fazer seu trabalho.
– Gerenciamento de senhas: termo de responsabilidade
deve afirmar que senha é secreta e não deve ser
divulgada, senhas temporárias devem funcionar
apenas uma vez.
– Análise crítica dos direitos de acesso do usuário:
deve-se analisar os direitos de acesso dos usuários
com freqüência de 6 meses ou menos.
![Page 278: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/278.jpg)
278
ISO 17799 – Controle de Acesso
Responsabilidades dos usuários:
– Senhas: segundo norma, usuário deve
zelar pela sua senha e criar uma senha
considerada aceitável (mínimo de 6
caracteres).
– Equipamentos sem monitoração: Usuários
deve tomar os cuidados necessários ao
deixar um equipamento sem
monitoramento, com seções abertas.
![Page 279: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/279.jpg)
279
ISO 17799 – Controle de Acesso
Controle de Acesso ao SO:
– Controle de acesso ao sistema operacional:
Identificação automática de terminal: nos casos onde
deve-se conhecer onde um usuário efetua logon.
– Procedimentos de entrada no sistema (log-on).
Sugestões como: limitar o número de tentativas erradas
para o log-on e não fornecer ajuda no processo de log-on,
entre outros.
– Identificação de usuários: a não ser em casos
excepcionais cada usuário deve ter apenas um ID.
Considerar outras tecnologias de identificação e
autenticação: smart cards, autenticação biométrica.
– Sistema de Gerenciamento de Senhas: Contém os
atributos desejáveis para sistema que lê, armazena e
verifica senhas.
![Page 280: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/280.jpg)
280
ISO 17799 – Controle de Acesso às Aplicações
Controle de Acesso às aplicações:
– Registro de Eventos: Trilha de auditoria registrando
exceções e outros eventos de segurança devem ser
armazenados por um tempo adequado.
– Monitoração do Uso do Sistema: Os procedimentos
do monitoração do uso do sistema devem ser
estabelecidos. Uma análise crítica dos logs deve ser
feita de forma periódica.
– Sincronização dos Relógios: Para garantir a
exatidão dos registros de auditoria.
![Page 281: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/281.jpg)
281
ISO 17799 – Continuidade de Negócios
Deve-se desenvolver planos de contingência para caso de falhas de segurança, desastres, perda de serviço, etc.
Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal.
![Page 282: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/282.jpg)
282
ISO 17799 – Componentes do Plano de
Continuidade de Negócios
condições para a ativação do plano;
procedimentos de emergência a serem tomados;
procedimentos de recuperação para transferir atividades essenciais para outras localidades, equipamentos, programas, entre outros;
procedimentos de recuperação quando do estabelecimento das operações;
programação de manutenção que especifique quando e como o plano deverá ser testado;
desenvolvimento de atividades de treinamento e conscientização do pessoal envolvido;
designação de responsabilidades.
![Page 283: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/283.jpg)
283
ISO 17799 – Conformidade
Conformidade com Requisitos Legais:
Para evitar a violação de qualquer lei,
estatuto, regulamentação ou
obrigações contratuais. Evitar a
violação de Direitos Autorais dos
aplicativos.
Análise Crítica da Política de
Segurança e da Conformidade
Técnica.
Considerações referentes Auditoria
de Sistemas.
![Page 284: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/284.jpg)
284
BS 7799-2
O BS 7799-2 é a segunda parte do
padrão de segurança inglês cuja
primeira parte virou o ISO 17799.
O BS 7799-2 fala sobre certificação de
segurança de organizações; isto é,
define quando e como se pode dizer
que uma organização segue todo ou
parte do ISO 17799 (na verdade do BS
7799).
![Page 285: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/285.jpg)
285
PE
SS
OA
L
INS
TA
LA
ÇÕ
ES
TE
CN
OL
OG
IA
DA
DO
S
SIS
TE
MA
S
COBIT – Control OBjectives for Information and related
Technology
![Page 286: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/286.jpg)
286
FE
RR
AM
EN
TA
S
TR
EIN
AM
EN
TO
SIS
TE
MA
NO
RM
AT
IVO
ORGANIZAÇÃO DA SEGURANÇA DE TI
USUÁRIOS DE TI
PARCEIROS DE NEGÓCIO
CO
BIT
Ob
jeti
vo
s d
e S
eg
ura
nça
ATIVIDADES
DE TI
Controles
Detalhados
PROCESSOS
DE TI
Controle
Macros
DOMÍNIOS
DE TI
DA
DO
S
SIS
TE
MA
S
TE
CN
OL
OG
IA
INS
TA
LA
ÇÕ
ES
NBR ISO/IEC 17799 COBIT / COSO
COSO
Objetivos de
Segurança PE
SS
OA
S
![Page 287: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/287.jpg)
Vantagens das Normas
Conformidade com regras dos governos
para o gerenciamento de riscos
Maior proteção das informações
confidenciais da organização
Redução no risco de ataques de hackers
Recuperação de ataques mais fácil e
rápidas
Metodologia estruturada de segurança que
está alcançando reconhecimento
internacional
![Page 288: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/288.jpg)
“Se você não pode proteger o que tem, você não tem nada.” Anônimo
![Page 289: Seguranca de sistema](https://reader031.vdocuments.net/reader031/viewer/2022031701/568bda2e1a28ab2034a9cdb8/html5/thumbnails/289.jpg)
289
Fim da Ementa.
Reflexão: “Os computadores são incrivelmente rápidos, precisos e burros; os
homens são incrivelmente lentos, imprecisos e brilhantes; juntos, seu
poder ultrapassa os limites da Imaginação” – Albert Einstein
Dúvidas