Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
FURG UAB 2007 Aplicações para a Web – Especialização
Internet & Sociedade
Segurança da
Informação I
Segurança da Informação
Segurança pessoal
em meio digital
Intrusão eletrônica
FURG UAB 2007 Aplicações para a Web – Especialização
Segurança pessoal em meio digital
FURG UAB 2007 Aplicações para a Web – Especialização
Os jovens são os maiores alvos de roubo de
identidade na Internet
25-34 anos é a faixa mais visada, seguida da faixa de
18-25(nos EUA)
Estudantes são candidatos atrativos porque têm
registros relativamente temporários, menor história de
crédito ou quaisquer outras operações
Estudantes adotam, também, mais comportamentos de
risco: são maiores freqüentadores de sites de
relacionamento onde deixam muita informação sobre si
mesmos
Segurança pessoal em meio digital
Sugestões dos especialistas:
Deixe suas informações pessoais em local inacessível mesmo
para “companheiros” de quarto
Papéis descartadas com informações pessoais devem ser
completamente inutilizados (rasgados ou picotados)
Não disponibilize números como CPF e RG a não ser em
ambiente idôneo
Relute em aceitar que tais números sirvam de identificação em
ambientes não oficiais
Evite fornecer tais números ou de cartões de créditos em troca
de promoções baratas ou duvidosas
JAMAIS dê qualquer destes dados por telefone
FURG UAB 2007 Aplicações para a Web – Especialização
Segurança pessoal em meio digital
Um truque bastante usado na Rede é o da “pescagem de dados”
(phishing):
O ladrão de dados personifica alguém (pessoa ou organização)
em ação caracterizada por uma atividade legítima (vendas,
prêmios, brindes, pesquisas de opinião, testes de software,
informações acerca de ilegalidades que estariam sendo
cometidas - em geral ou contra você etc.) que solicita dados de
modo a que você tenha acesso às informações correspondentes
Exemplo:
Informa que você teve cheque retido em organismo de
proteção ao crédito (SPC, SERASA), e pede para
acessar informações mais detalhadas
FURG UAB 2007 Aplicações para a Web – Especialização
Casos...
Compilados pela Privacy Rights Clearing House e o Identity Theft Center (San
Diego):
-- Dois ex-estudantes de Engenharia da California State University on
Northbridge acessaram ilegalmente a rede de um professor para modificar notas.
(julho, 2006)
-- Um ex-estudante de Engenharia de Computação da Delaware University
enviou mensagens a alunos de um professor através da conta de correio
eletrônico deste informando incorretamente que a data de um exame havia
mudado (abril, 2006) O sujeito pagou US $ 10.000,00 de multa.
-- Um adolescente holandês usava máquinas da George Mason University in
Fairfax, Va., para armazenar músicas (2005)
-- Máquinas da University of Colorado e da Ohio University eram usadas por
hackers franceses e da Europa Oriental para armazenar filmes.
FURG UAB 2007 Aplicações para a Web – Especialização
Segurança pessoal em meio digital
Segurança pessoal em meio digital
Casos (cont.)...
Insegurança SEM computador:
-- Locais de dados mantidos de modo inseguro: catálogo de clientes (lojas,
consultórios médicos, sindicatos...)
-- Uma sacola contendo documentos e dados (incluindo o SSN) de 834
estudantes do Anderson South California College foi encontrada abandonada
num estacionamento do campus.
Incúria on line:
-- A Mont Clair State University (New Jersey) publicou na Internet dados
completos de 9.100 estudantes por quatro meses, até que um deles protestou.
Insegurança DO computador:
-- roubo ou extravio de de laptops, CD’s, pen-drives ...
FURG UAB 2007 Aplicações para a Web – Especialização
Intrusão eletrônica
Usuários domésticos e organizacionais têm
mais razão do que nunca para se preocupar com
intrusos xeretando seus discos rígidos
Sasser, Blaster, Code Red, Zotob...
todos Internet worms (“vírus” que se
propagam autonomamente pela Rede)
FURG UAB 2007 Aplicações para a Web – Especialização
Intrusão eletrônica
Há uma seqüência no ciberespaço...
-- Os pesquisadores de vulnerabilidades (“hackers do bem” (?))
localizam as falhas de segurança
-- Os “hackers do mal” desenvolvem malware - código
pernicioso (vírus e outros) e o colocam na Internet (em geral, só
para mostrar que sabem...)
-- os cibercriminosos acabam por usar tais programas para
controlar os computadores vulneráveis para o crime
-- Os “hackers do bem” desenvolvem “soluções” para as
vulnerabilidades ou programes de combate ao malware
FURG UAB 2007 Aplicações para a Web – Especialização
Intrusão eletrônica
Mas a motivação para a intrusão e o roubo de dados tem
aumentado e o cibercrime começa a mudar
Não são mais os sistemas operacionais (como Windows) o
alvo preferido (ficaram mais seguros), e sim os aplicativos
largamente usados - browsers, planilhas eletrônicas, IRC’s,
media players...
MS Internet Explorer, Mozilla Firefox, Adobe Flash
Authoring Tool, Skype...
E mesmo editores de texto como Word ou softwares de
apresentação como Power Point
E também os sites de relacionamento são assaltados e
usados como ponte de ataques diversos...
FURG UAB 2007 Aplicações para a Web – Especialização
Intrusão eletrônica
Pior, segundo os especialistas: os cibercriminosos estão mais
sofisticados em suas táticas, principalmente no que se refere a não
deixar rastros.
As atualizações automáticas dos aplicativos também operam na
disseminação das vulnerabilidades, fora de qualquer controle dos
usuários...
De 2004 para 2006 houve um aumento de 200% no número de ameaças
digitais em circulação, passando hoje de 200.000 identificadas
Em 2005, a Apple teve que recuperar 262 “furos” (incluindo 16 do
QuickTime, player do iPod); a Microsoft, 157; Mozilla, 150; e Adobe,
46.
Em julho de 2006, uma vulnerabilidade por dia foi publicada, a maioria
sobre o Internet Explorer, mas incluindo também Firefox, Opera e
Safari.
FURG UAB 2007 Aplicações para a Web – Especialização
FURG UAB 2007 Aplicações para a Web – Especialização
Intrusão eletrônica
Uma forma corrente de disseminação é através de
mensagens eletrônicas com anexos, os quais os
usuários incautos são induzidos a inspecionar
A mais insidiosa é aquela provida por referências a
páginas daninhas.
Intrusão eletrônica Lições a aprender...
“Ninguém faz nada sobre segurança até ter absolutamente
que fazê-lo.” Richard Stiennon, IT-Harvest.
-- A Microsoft mantém 650 profissionais trabalhando na
detecção e correção de falhas de segurança
-- Procura compartilhar com toda a indústria de software
essa experiência
-- Libera módulos de correção (patches) regularmente
fazendo uma classificação da periculosidade dos problemas.
-- A Apple, por enquanto opera em menor esforço, com
menos módulos de correção e sem classificação
FURG UAB 2007 Aplicações para a Web – Especialização
Referências MARKLEIN, Mary Beth. How to keep your personal
informations safe. USAToday.com, 02 aug. 2006. In:
PAPARELLA, Maureen Sheehan ; SIMKO, Eugene (orgs.)
Current topics in technology: social, legal, ethical and
industry issues for computers and Internet. Boston,
Thomson Learning, Inc., 2007.
ACOHIDO, Byron. Cybercrooks constantly find new ways
into PCs. USAToday, 02 aug. 2006. In: PAPARELLA,
Maureen Sheehan ; SIMKO, Eugene (orgs.) Current topics
in technology: social, legal, ethical and industry issues for
computers and Internet. Boston, Thomson Learning, Inc.,
2007.
FURG UAB 2007 Aplicações para a Web – Especialização
Questões para discussão
Por que os estudantes parecem ser os grupos de maior risco para o roubo de dados
pessoais?
Exemplifique comportamentos de risco em relação a isto.
Que tipo de conselhos você daria para prevenção da “pescagem de dados”?
Que más conseqüências podem advir de se fornecer indiscriminadamente números
como RG, CPF, cartão de crédito?
O que você acha que não se deve informar por telefone?
Os hackers parecem estar se concentrando mais nos produtos da Apple Software do
que nos da Microsoft. Por que? Teria a ver com a assertiva de Stiennon?
É razoável que se publique código pernicioso, sabendo-se que pode ser usado para
intrusão e mesmo cibercrime? Em que situação seria produtivo publicá-lo?
Terá sido pesada demais a multa a para o estudante que usou desautorizadamente o
e-mail do professor?
Se não houve risco para dados pessoais, que outros danos poderiam causar os
incidentes na George Mason e na University of Colorado (uso de disco para
armazenamento de música e filmes)? Que outras questões isto levanta?
FURG UAB 2007 Aplicações para a Web – Especialização