TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo

Segurança na Internet  A evolução da internet veio acompanhada de problemas relacionados a segurança.  Exemplo de alguns casos de falta de segurança: Em 1999: cracker russo de 19 anos rouba mais de números de cartões de crédito da CDUniverse Em 2000: sites do Yahoo, buy.com, amazon.com CNN ficaram parados por horas. Estudante descobre que podia visualizar dados de todos os clientes do buy.com Constatação: a Internet não é completamente segura

Justificativa pela falta de segurança  Falta de legislação específica  Softwares com bugs  Ingenuidade das pessoas  Número cada vez maior de problemas  Muitos administradores inexperientes ou negligentes

Política de Segurança Deve conter: – O que é, ou não é, permitido – Distribuição de responsabilidades – Limites aceitáveis de comportamento e punições adequadas – O que fazer em caso de invasão – Análises de riscos e compromissos – Sistemas atualizados e com bugs corrigidos.

- Hacker (decifrador): programadores habilidosos que se dedicam intensamente a realizar modificações e manipulações não triviais em sistemas computacionais. Cracker: são hackers que usam seus conhecimentos para fins imorais, ilegais ou prejudiciais. Lamers: Aprendiz, novato. Também é Lamer quem acha que é hacker mas não é. Script Kiddies: São as pessoas que utilizam receitas de bolos para hackear. Tipos de Invasores

Principais tipos de ataques  Vírus Um dos mais representativos código malicioso. Tem como objetivo sobreviver e reproduzir.  Cavalo de Tróia Código malicioso (malware) que invade o computador com intenções maliciosas de capturar informações da máquina para cometer crimes. Exemplos: - apresentava-se como com anexo com tentativa de desativar antivírus e firewall - se destina a roubar senhas de bancos e aplicativos de usuário da máquina alvo.

Principais tipos de ataques  Tipos de cavalo de troia: -keylogger – registra tudo que é digitado com o intuito de capturar senhas de conta, número de conta e afins. -backdoor – recurso utilizado para garantir acesso remoto ao sistema ou rede infectada explorando falhas críticas em programas e softwares instalados para abrir portas do roteador. - Mouselogger – usado para capturar movimentos do mouse.

Principais tipos de ataques  Engenharia social Método de ataque, que tem o intuito de persuadir o usuário, para obter informações sigilosas e importantes sobre cliente ou de alguma máquina Para atingir seu objetivo o atacante pode se passar por outra pessoa, ou outra personalidade, para obter informações.  Phishing scam Método de ataque através de envio de mensagem não solicitada (spam) com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima. Normalmente se passam por uma instituição conhecida, como banco, empresa ou site popular.

Principais tipos de ataques

 Ataque de navegação de serviço (DOS) Tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Seu objetivo é atingir máquinas servidoras da WEB para tornar as páginas hospedadas nesses servidores indisponíveis. Não ocorre invasão no sistema, mas uma invalidação por sobrecarga (quantidade excessiva de solicitações de serviços).  Ataques Coordenados (DDOS) Semelhante ao ataque DoS, porém ocorre de forma distribuída. Ocorre quando um computador mestre (denominado “Master”) pode ter sob seu comando milhares de computadores (“Zombies”) que terão a tarefa de ataque de navegação de serviço coletivamente em uma determinada data.

Principais tipos de ataques

 SQL Injection Tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. Ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.

COMO REDUZIR OS RISCOS Não abra ou execute imediatamente os arquivos anexados às mensagens que você recebe. Verifique antes com um antivírus; Os browsers, como qualquer software, possuem bugs. Utilize, sempre que possível, a última versão do browser com as devidas atualizações; Se usar um site provedor de s, o cuidado também deve ser grande. Evite clicar em links que aparecerem no conteúdo das mensagens. Eles não são 100% seguros;

COMO REDUZIR OS RISCOS Desconfie de mensagens que mostrem muitas vantagens no campo “assunto”. Trata-se apenas de uma armadilha via ; Quando estiver em sites de trocas de mensagens instantâneas (bate-papo ou sites de relacionamentos), evite divulgar informações pessoais. Quadrilhas de bandidos usam esses sites para fazer amizade com os internautas, saber mais de suas vidas e, depois, ameaçar ou cometer outros crimes;

COMO REDUZIR OS RISCOS Evite baixar programas de sites desconhecidos. Muitos sites de peer-to-peer (compartilhamentos de programas e arquivos de música, filmes etc, como Kazaa e o eMule) podem conter programas pirateados com vírus e outras ameaças digitais; Evite navegar na Internet em uma estação desconhecida. Neste caso, nunca acesse sites que contenham informações confidenciais; Tenha backup de seus dados.

DICAS DE SEGURANÇA

CRIPTOGRAFIA  É uma técnica usada para proteger uma informação através do uso de um algoritmo de criptografia.  Este algoritmo é capaz de transformar a mensagem original em uma mensagem cifrada (ilegível), de forma que será decifrada e reconhecida apenas pelo destinatário.  Este método torna a mensagem difícil de ser lida por alguém não autorizado, nesse caso só o destinatário poderá ler esta informação.

TIPOS DE CRIPTOGRAFIA  Existe dois tipos de criptografia: simétrica e assimétrica.  Na criptografia simétrica a chave que é usada para criptografar é a mesma para decriptografar, ela é enviada na própria mensagem.  Na criptografia assimétrica são usadas duas chaves diferentes, uma para criptografar e outra para decriptografar. A primeira é enviada na própria mensagem (chave pública). A segunda consta no destinatário (chave privada).

CRIPTOGRAFIA (Chave Simétrica) Olá, Vamos marcar para o dia 15. Olá, Vamos marcar para o dia 15.

CRIPTOGRAFIA (Chave Assimétrica) Mensagem 1 Mensagem 2 Mensagem 3 Chave Publica do Rafa Encrypt Sistema A Sistema B Sistema C Chave Privada do Rafa Decrypt Mensagem 1 Mensagem 2 Mensagem 3

Objetivos da Criptografia 1. Confidencialidade da mensagem: só o destinatário autorizado deve ser capaz de extrair o conteúdo da mensagem da sua forma cifrada. 2. Integridade da mensagem: o destinatário deverá ser capaz de determinar se a mensagem foi alterada durante a transmissão. 3. Autenticação do remetente: o destinatário deverá ser capaz de identificar o remetente e verificar que foi mesmo ele quem enviou a mensagem. 4. Não-repúdio ou irretratabilidade do remetente: não deverá ser possível ao remetente negar a autenticidade da mensagem.

Certificação e Assinatura Digital  Método utilizado para identificar uma pessoa ou entidade no mundo virtual (carteira de identidade do mundo virtual).  O certificado digital é um documento eletrônico assinado digitalmente por uma autoridade certificadora, e que contém diversos dados sobre o emissor e o seu titular.  Sua função é de vincular uma pessoa ou uma entidade a uma chave pública.  A assinatura digital resulta de uma operação matemática que utiliza criptografia e permite saber a origem e a integridade do documento.  Esta assinatura fica de tal modo vinculada ao documento eletrônico que, caso seja feita qualquer alteração, a assinatura se torna inválida.  Tem como principal característica o fato de garantir que uma mensagem assinada só pode ter sido gerada com informações privadas do destinatário.

Certificação e Assinatura Digital A utilização da assinatura providencia a prova inegável de que uma mensagem veio do emissor. Para verificar este requisito, uma assinatura digital deve ter as seguintes propriedades: – autenticidade - o receptor deve poder confirmar que a assinatura foi feita pelo emissor; – integridade - qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento; – irretratabilidade - o emissor não pode negar a autenticidade da mensagem.

SSL (Secure Socket Layer)  Protocolo situado entre os protocolos de aplicação e o TCP/IP Encriptação de dados Integridades das mensagens Autenticação do servidor e do cliente Muito utilizado na Web

HTTPs  HTTPs é a combinação do protocolo HTTP com o SSL (Secure Sockets Layer).  Permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais.  É a maneira mais comum atualmente de trafegar documentos via HTTP de maneira segura.  Provê encriptação de dados, autenticação de servidor, integridade de mensagem e autenticação de cliente.

FIREWALL  Conjunto de equipamentos e software para proteção de uma rede.  Todo o tráfego da rede passa pelo firewall.  É uma espécie de barreira que impede a passagem de tráfego indesejado da rede.  Política de segurança do site.

EXERCÍCIO  Navegue pela Web e encontre exemplos de – Páginas https – Páginas que utilizam assinatura digital – Firewalls – Casos de ataques que usam a ingenuidade do usuário – Veja este site: verisign/index.html