Segurança da Informação Conceitos
O que é segurança? Um computador (ou sistema computacional) é dito seguro se atende a três requisitos básicos: Confidencialidade: A informação só está disponível para aqueles devidamente autorizados; Integridade: A informação não é destruída ou corrompida e o sistema tem um desempenho correto; Disponibilidade: os serviços/recursos do sistema estão disponíveis sempre que forem necessários (e permitidos).
O que é segurança? Quando algum dos requisitos é comprometido ocorre uma violação de segurança Exemplos? Confidencialidade Integridade Disponibilidade
Por que se preocupar? Computadores são usados em: Transações financeiras: Internet Banking E-commerce Comunicação: E-mail Chat VoIP Armazenamento de dados: Pessoais ou empresariais
Por que se preocupar?
Por que alguém iria me atacar? Por vários motivos: • utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor; • utilizar seu computador para lançar ataques contra outros computadores; • utilizar seu disco rígido como repositório de dados; • destruir informações (vandalismo); • disseminar mensagens alarmantes e falsas; • ler e enviar e-mails em seu nome; • propagar malware (vírus, worms, etc.); • furtar números de cartões de crédito e senhas bancárias; • furtar a login, para acessar sites e serviços se fazendo passar por você; • furtar dados sigilosos da sua empresa...
Senhas Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser. A senha é de total responsabilidade do usuário
Como elaborar uma boa senha Nomes, sobrenomes, números de documentos, placas de carros, números de telefones e datas deverão estar fora de sua lista de senhas. Jamais utilizar palavras que façam parte de dicionários. Existem softwares que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicionários) e listas de nomes (nomes próprios, músicas, filmes, etc.).
Como elaborar uma boa senha Uma boa senha deve ter pelo menos oito caracteres (letras, números e símbolos), deve ser simples de digitar e, o mais importante, deve ser fácil de lembrar. Normalmente os sistemas diferenciam letras maiúsculas das minúsculas, o que já ajuda na composição da senha. Exemplo: SeNaI e sEnAi seriam senhas diferentes
Como elaborar uma boa senha Uma regra realmente prática e que gera boas senhas difíceis de serem descobertas é utilizar uma frase qualquer e pegar a primeira, segunda ou a última letra de cada palavra.
Exemplo Considere a frase: “batatinha quando nasce se esparrama pelo chão” Pegando as iniciais de cada palavra temos a sequência de caracteres: bqnsepc A fim de aumentar a complexidade ainda podemos: Alterar algumas letras para maiúsculas Substituir uma letra por um dígito de formato aproximado Inserir um ou mais caracteres especiais em posições determinadas da senha
Exemplo Continuando... Pronto! Temos uma senha forte que não é impossível de se lembrar! bqnsepc BqNsEpC 8qNs3pC 8qNs3pC#
Quantas senhas diferentes devo usar? Procure identificar o número de locais onde você necessita utilizar uma senha. Este número deve ser equivalente a quantidade de senhas distintas a serem mantidas por você. Utilizar senhas diferentes, uma para cada local, é extremamente importante, pois pode atenuar os prejuízos causados, caso alguém descubra uma de suas senhas.
Com que frequência devo mudar minhas senhas? Você deve trocar suas senhas regularmente, procurando evitar períodos muito longos. Uma sugestão é que você realize tais trocas a cada dois ou três meses. Alguns sistemas proíbem (sabiamente) o uso de senhas alternadas ou parecidas
Cuidados especiais com senhas De nada adianta elaborar uma senha bastante segura e difícil de ser descoberta, se alguém puder vê-la. observar o processo de digitação da sua senha (shoulder surfing); utilizar algum método de persuasão, para tentar convencê-lo a entregar sua senha capturar sua senha enquanto ela trafega pela rede.
Cuidados especiais com senhas Certifique-se de não estar sendo observado ao digitar a sua senha; Não forneça sua senha para qualquer pessoa, em hipótese alguma; Não utilize computadores de terceiros (por exemplo, em LAN houses, cyber cafés, stands de eventos, etc.) em operações que necessitem utilizar suas senhas; Observe se os sites/serviços utilizados utilizam criptografia de informações principalmente para aqueles que envolvam o fornecimento de uma senha.
Senhas de Administradores (root) Administrador/root detém todos os privilégios do sistema Esse login deve ser usado apenas para realizar tarefas administrativas Por questão de comodidade (aka “preguiça”) vários administradores de sistemas usam o login privilegiado o tempo todo, para executar tarefas corriqueiras (acessar à Web, ler/escrever e-mails) Isso deve ser evitado a todo custo! Risco de danificar o sistema Risco de oferecer ao atacante acesso total
Senhas de Administradores (root) Elaborar uma boa senha para o usuário Administrator (ou root), e tomar os devidos cuidados com ela; Utilizar o usuário Administrador (root) somente quando for estritamente necessário; Criar usuários com privilégios normais para todas as pessoas que utilizam o computador, para substituir assim o usuário Administrator (ou root) em tarefas rotineiras.
Cookies Informações que os sites visitados podem armazenar no browser. guardar login e senha quando o usuário navega no site; manter listas de compras ou listas de produtos preferidos em sites de e-commerce; personalizar sites pessoais ou de notícias; manter listas das páginas vistas em um site, etc; Cookies podem representar uma ameaça à privacidade do usuário.
Engenharia Social Método de ataque, onde se faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a informações.
Engenharia Social Você recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você e executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante.
Vulnerabilidade Falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. Algumas vulnerabilidades podem ser exploradas remotamente
Códigos Maliciosos (Malware) Termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador. Exemplos: Vírus Worms Cavalos de Tróia Spyware Rootkits
Códigos Maliciosos (Malware)
Negação de Serviço (Denial of Service) Sigla: DoS O atacante utiliza um computador para tirar de operação um serviço ou computador conectado à Internet
DDoS - Distributed Denial of Service Um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet. Importante: DoS ou DDoS não significa INVASÃO Porém DDoS normalmente se aproveitam de máquinas infectadas (“zumbis”)
DDoS Pesquisar sobre as atividades do grupo Anonymous Brasil nos últimos dias. Quais foram os “alvos”? Por que? Como?
Criptografia Ciência/arte de escrever mensagens em forma cifrada ou em código Aplicações: Autenticação de usuários Autenticar e proteger dados sigilosos Verificar integridade de dados
Criptografia Mensagem criptografada = mensagem privada Mensagem assinada Receptor tem como verificar se o transmissor é quem diz ser e se a mensagem foi alterada. Tipos de Criptografia: Simétrica (chave única ou chave privada) Assimétrica (chave pública)
Criptografia Simétrica
Criptografia Assimétrica
Assinatura Digital
Certificado Digital
Certificado Digital