A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Decidir por onde começar a implementação de segurança em um site pode ser um processo difícil. Você deve primeiro entender quais são as ameaças existentes.

Apresentações semelhantes


Apresentação em tema: "Decidir por onde começar a implementação de segurança em um site pode ser um processo difícil. Você deve primeiro entender quais são as ameaças existentes."— Transcrição da apresentação:

1 Decidir por onde começar a implementação de segurança em um site pode ser um processo difícil. Você deve primeiro entender quais são as ameaças existentes e como você pode reduzir a sua vulnerabilidade.

2 Como justificar investimentos com infra-estruturas para segurança? Análise de riscos classificados nas seguintes categorias: Físico: computadores, equipamentos de rede, mídia de armazenamento, etc. Intelectual: código de programa e documentação, informações de servidores WWW, informações de banco de dados, projetos; Valores não palpáveis: reputação da empresa, privacidade de usuários, informações confidenciais, morais de empregados; Serviços computacionais: alocação de CPU, discos, suporte técnico.

3 O que uma política de segurança deve conter? Explicações: É importante que a política seja explícita e clara sobre o por quê das decisões; Responsabilidades: Todos devem saber a função (responsabilidade) de cada um. Use uma linguagem comum: Escreva um texto claro, de fácil entendimento e direto ao assunto. Faça cumprir a autoridade: A política deverá especificar quem vai decidir e aplicar os tipos de penalidades disponíveis. A quem é permitido ter uma conta em seu site? Existe alguma política de contas para visitantes, clientes, fornecedores, membros da família, etc? Uma mesma conta pode ser compartilhada por vários usuários? O que fazer quando as pessoas deixam a organização ou tem seu acesso negado? Como serão protegidas as informações confidenciais?

4 O que deve ser considerado em um programa de treinamento em segurança? Forneça treinamento com regularidade para a equipe de suporte, usuários, gerentes e novos empregados; Utilize diferentes meios de treinamentos: aulas, Web, vídeo, etc.; Revise seus procedimentos de treinamento regularmente e assegure-se que continuam atualizados e relevantes para o seu ambiente.

5 Quais são os problemas comuns de segurança encontrados nos sites? Suporte ou autoridade insuficiente: Nem sempre a equipe de suporte tem apoio de sua gerência ou autoridade para adotar medidas de segurança apropriadas para sua organização. Sistemas com problemas de segurança: Ainda hoje máquinas/sistemas continuam sendo vendidos com configurações default, trazendo sérias vulnerabilidades.. Patches não aplicados: Em alguns sites não existe uma preocupação com instalação de patches (pacotes de correção de furos de segurança do próprio sistema) Senhas reutilizadas não criptografadas: Alguns sites ainda utilizam sistema de autenticação sem criptografia em acessos remotos e ainda com senhas reutilizadas.

6 Medidas de segurança deficientes em serviços de linha discada: Servidores de linhas discadas vulneráveis podem servir de pontos de partida para ataques a este site e a sites remotos. Acesso aberto à rede: Acesso às máquinas internas sem restrições ou sem monitoramento do tráfego da rede. Contas de usuários criadas sem critérios segurança: Algumas organizações criam contas com senhas default e muitas vezes estas senhas nunca são trocadas pelos usuários. Monitoramento e expiração de contas ineficientes: Contas de usuários que deixam a empresa às vezes permanecem sem serem removidas. Estas contas podem ser descobertas por intrusos ou usuários locais mal intencionados. Sistemas novos mal configurados: Algumas máquinas são instaladas na rede sem nenhuma preocupação com segurança.

7 Proteja suas senhas contra sniffers Estes tipos de ataques são comuns. É muito importante que você, como usuário Internet, tenha consciência de como suas senhas são vulneráveis e como tomar medidas apropriadas para tornar sua conta mais segura. Selecionar uma boa senha e regularmente trocar de senha ajuda bastante, mas também é muito importante que se conheça quando se está vulnerável a "sniffers" e como lidar com eles. O que são sniffers? "Sniffers" são programas que permitem a um atacante roubar sua senha e assim utilizar a sua conta como se fosse você.

8 Por quê roubar sua senha? Existem diversas razões que levam pessoas a roubarem senhas, desde para simplesmente aborrecer alguém (enviando como sendo você) até para praticar atividades ilegais (invasão em outros computadores, "roubo" de informações, etc.). Um atrativo para os hackers é a capacidade de utilizar a identidade de terceiros nestas atividades. Uma das principais razões que atacantes tentam quebrar sistemas e instalar "sniffers" é poder capturar rapidamente o máximo de contas possível. Assim, quanto mais contas este atacante possuir, mais fácil fica ocultar o seu esconderijo.

9 Como você pode se proteger? Você precisa ter consciência de onde o risco está, quando você está em risco e o quê fazer para estar a salvo. É fundamental que você troque sua senha regularmente. Esta precaução limita a quantidade de tempo que uma senha roubada possa ser utilizada por um atacante. Nunca compartilhe sua senha com outros. Nunca forneça sua senha para alguém alegando que precisa acessar sua conta para corrigir algum problema ou quer investigar uma "quebra" do sistema. Este truque é um dos métodos mais eficazes de hacking, conhecido como "engenharia social". Utilize redes que você possa confiar.

10 Como detectar um "sniffer" na rede? Isso é uma tarefa muito difícil. "Sniffers" são aplicações passivas, não geram nada que possa ser sentido facilmente pelos usuários e/ou administradores. Em geral, não deixam "rastros". Uma maneira de detectar um "sniffer" é verificar todos os processos em execução. Isto não é totalmente confiável, mas é um bom ponto de partida. Uma outra alternativa é procurar por um "sniffer" conhecido. Existe uma grande chance do atacante estar utilizando uma versão "freeware". Obviamente, existe a possibilidade do atacante ter escrito o seu próprio "sniffer" e neste caso a busca fica mais difícil. Você teria que gastar mais tempo em analisar o que pode ter sido alterado pelo atacante. Por exemplo, comparar backup de dias diferentes ou utilizar alguns programas que possam ajudá-lo nesta atividade, como: TripWire, ATP e Hobgoblin que são programas interessantes para checagem da integridade do sistema e arquivos.

11 O que se está fazendo? Uso de softwares que permitam estabelecer sessões de acessos remotos criptografadas, ajudará em muito a tornar seu ambiente mais seguro. Porém, para uma segurança mais efetiva somente quando implementado em TODOS os computadores que você utiliza em sua empresa, em sua casa e nas organizações fora se sua empresa que eventualmente tenha conta. Uma das tecnologia de encriptação bastante comum atualmente na comunicação segura entre máquina remota é SSH (Secure Shell). O SSH encontra-se disponível para diferentes plataformas. O seu uso não impede que a senha seja capturada, mas como esta encontra-se criptografada não servirá para o atacante. SSH negocia conexões utilizando algoritmo RSA. Depois que o serviço é autenticado, todo o tráfego subseqüente é encriptado utilizando tecnologia IDEA. Este tipo de criptografia é bastante forte. No futuro, a segurança será cada vez mais intrínseca aos sistemas e nas infraestruturas de redes. Não adianta ter todos os "aparatos" de segurança que você precisa, mas não utilizá-los. Segurança não é algo que se possa garantir totalmente. Lembre-se, ninguém está 100% seguro.

12 Alertas para riscos Vírus: Um vírus é um programa ou código feito pelo homem que provoca um evento inesperado, normalmente prejudicial. Os vírus costumam ser jogos ou imagens disfarçados com títulos atraentes e apelativos como "Eu pelado. Worm: Os worms são vírus que residem na memória ativa de um computador e se duplicam. Eles enviam cópias de si mesmos a outros computadores, usando, por exemplo, o . Cavalo de Tróia: Um cavalo de Tróia é um programa mal-intencionado que finge ser um aplicativo benigno; esse programa realiza uma ação inesperada pelo usuário de forma intencional. Os cavalos de Tróia não são vírus, pois não se duplicam, mas podem ser igualmente destrutivos.

13 Phishing: Um Phishing é um tipo de golpe que se dá por , atraindo consumidores a sites falsos que imitam sites comerciais verdadeiros, e que depois solicita aos visitantes a confirmação ou atualização das informações de conta, obtendo assim dados confidenciais. Spywares: Spywares são diversos programas indesejados que, entre outras coisas, reúnem informações sobre o usuário do computador e a utilização da Internet, transmitindo-as a terceiros. Pharming: O pharming é um tipo de golpe fraudulento ainda mais perigoso do que o phishing scam. O pharming envolve modificações no sistema DNS (Domain Name System) de endereços, encaminhando o internauta para uma página que não corresponde à digitada no endereço, mas sim a um website falso desenvolvido especialmente com o objetivo de copiar o original nos mínimos detalhes e fazer com que o usuário não perceba que está em território perigoso.

14 1) Proteja seu computador: Tenha instalado antivírus (de preferência atualizado automaticamente, porque nós temos a tendência de esquecer de fazer as atualizações manualmente), um firewall e um anti-spams. 2) Não forneça senhas: Nunca informe qualquer senha para qualquer pessoa ou para qualquer pedido de cadastramento ou recadastramento sob nenhum argumento. 3) Atenção no destinatário: Recuse qualquer cujo o remetente seja desconhecido, ou que sua identidade levante suspeitas. Essas mensagens devem ser deletadas. Preste atenção em endereços falsos. 4) Pagamento: Um das formas mais comuns de aplicação de golpes é a exigência de pagamentos antecipados. Certifique-se sobre a procedência do site e em caso de dúvida, contate a empresa através do atendimento on-line ou telefone fixo. Ao sentir qualquer desconfiança, não efetue o pagamento. 5) Dados pessoais: Forneça somente seus dados pessoais como CPF e RG para sites reconhecidos e de procedência confiável. Em caso de dúvida da procedência do site, não forneça os seus dados pessoais. Os DEZ mandamentos do Movimento Internet Segura

15 6) Participação de sorteios: Recuse participar de sorteios de ofertas tentadoras e milagrosas, pois normalmente ações como estas são armadilhas para roubar dados e identidades. 7) Ofertas tentadoras: Não aceite ofertas tentadoras via . 8) Programas de invasão: Cuidado com mensagens beneficentes ou que contenham imagens de catástrofes, atos de barbárie, pornografia, acidentes etc que são enviadas para que sejam abertas. A curiosidade do internauta é explorada pelos falsários, com o intuito de aplicar golpes. 9) s: Não abrir anexos de s vindos de desconhecidos ou mesmo de conhecidos mas com texto suspeito ou sem sentido. Exemplo : 10) Movimentação bancária: Em movimentações financeiras, seguir sempre as regras para internetbanking.

16 Notícias Coréia do Sul questiona serviço Google Earth Quinta-feira, 01 de setembro de h55. SÃO PAULO – O Google Earth está sendo questionado por autoridades de alguns países, que consideram que o programa do Google que capta imagens por satélite de qualquer lugar do globo terrestre é uma ameaça. A Coréia do Sul é um dos que estão protestando contra o site de busca, alegando que o serviço pode ser usado para espionagem. Pelo Google Earth, o internauta consegue visualizar, em alguns casos, locais com muita nitidez. Um porta-voz do governo da Coréia do Sul informou que o serviço mostra áreas sensíveis de sua base militar para inimigos e que as imagens beneficiam a rival Coréia do Norte. Preocupadas com o uso livre do programa do Google, autoridades da Coréia do Sul fizeram um alerta ao governo dos Estados Unidos, que podem também ter suas bases militares e plantas nucleares expostas para terroristas. Antes do protesto da Coréia do Sul, autoridades da Holanda e Austrália já haviam chamado atenção dos Estados Unidos para o uso do Google Earth para espionagem, principalmente em casos de guerras. Edileuza Soares, do Plantão INFO

17 Banco Central alerta para falso Terça-feira, 30 de agosto de h49. SÃO PAULO – Um do Banco Central (BC) está circulando na web, informando que a instituição criou um sistema de acesso seguro à internet. A mensagem pede dados bancários do correntista para ativar sua conta neste sistema. O BC alerta que se trata de um scam e que os links mencionados no são de sites falsos. O objetivo dos autores da mensagem é obter o número da conta, a agência e a senha do usuário para fraudes virtuais. O BC recomenda aos usuários para que não acessem esses links nem forneçam informações pessoais, pois a instituição não tem hábito de solicitar dados de correntista pela internet. O BC esclarece que não envia s diretamente a correntistas ou a usuários do sistema financeiro nacional, exceto em resposta a consultas feitas diretamente pelos clientes na instituição. Edileuza Soares, do Plantão INFO.

18 Polícia prende 85 invasores de banco online Quinta-feira, 25 de agosto de h41. SÃO PAULO – A Polícia Federal (PF) já prendeu 85 pessoas acusadas de fazer parte de uma quadrilha especializada em invadir contas bancárias pela internet. As informações são da superintendência Regional da PF em Goiás, Estado de origem de um bando de fraudadores que atua em várias regiões do país. O bando foi preso durante a operação Pégasus, que começou hoje, às 6 horas da manhã, com ações simultâneas em Goiás, Pará, Distrito Federal, Tocantins, Maranhão, Espírito Santo, Minas Gerais e São Paulo. Há 146 mandados de prisão e de busca e apreensão expedida pela Justiça Federal do Tocantins e de Goiás. A caçada se estende ao longo de todo o dia de hoje. A operação Pégasus envolve 410 policiais federais. Edileuza Soares, do Plantão INFO

19 Intel Capital investe na CertiSign Terça-feira, 30 de agosto de h30 SÃO PAULO – A Intel Capital anunciou hoje investimento em mais uma empresa brasileira, que é a CertiSign, fornecedora de soluções de certificação digital, controlada pela VeriSign. O valor do investimento de capital não foi revelado. David Thomas, diretor da Intel Capital da América Latina, explica que a empresa está investindo na CertiSign porque a certificação digital é uma solução de segurança crucial para as transações online. O investimento faz parte do programa "Digital Office, que tem o objetivo de oferecer ambiente seguro para as corporações realizarem negócio digitalmente e ajudar os gerentes de TI a proteger dados da companhia. A Intel Capital investe em empresas que atuam em segmentos que possam alavancar tecnologias da fabricante de chips. As áreas que têm despertado interesse do fundo de investimento são de internet de banda larga sem fio, de infra-estrutura para e-business e as que desenvolvem soluções para comunicação wireless. Edileuza Soares, do Plantão INFO

20 Segurança é uma questão à qual se deve dar alta prioridade. O único sistema de computação totalmente seguro é aquele que nunca foi ligado na corrente elétrica. Sua organização deve selecionar um nível de segurança que considere apropriado avaliando o impacto financeiro e em sua reputação no caso de um possível ataque bem sucedido ao seu site. Antonio Figueiredo – Plantão Info Conclusão Sempre haverá algum tipo de tentativa de invasão no sistema de sua empresa, por isso é fundamental além de executar um plano de segurança, também monitorá-lo o tempo todo pois a informação é o maior patrimônio de uma empresa. Professor Surjan Jacov

21 Referências: Internet: - Artigo de Antonio Figueiredo Oppenheimer, D.L., Wagner, D.A., and Crabb, M.D., System Security: A Management Perspective, Short Topics on System Administration, SAGE, vol. 3, March SANS Conf. and Office, 1998 Network Security Roadmap poster, Chapman, D.B. and Zwicky, E.D., Building Internet Firewalls, O'Reilly & Associates, Inc., CERT Advisory CA-94:01, Ongoing Network Monitoring Attacks, Feb D.Dittrich, Network"sniffers" & You. Washington University/CAC, Jan "Anonymous", Maximum Security, Sams.net Pub., Web Design e E-Commerce / 2005 Sistema de Segurança na Web A. E. Y.

22 FFI M


Carregar ppt "Decidir por onde começar a implementação de segurança em um site pode ser um processo difícil. Você deve primeiro entender quais são as ameaças existentes."

Apresentações semelhantes


Anúncios Google