FURG UAB 2007 Aplicações para a Web Especialização ... · Segurança pessoal em meio digital FURG UAB 2007 Aplicações para a Web – Especialização Os jovens são os maiores

FURG UAB 2007 Aplicações para a Web – Especialização

Internet & Sociedade

Segurança da

Informação I

Segurança da Informação

Segurança pessoal

em meio digital

Intrusão eletrônica


Segurança pessoal em meio digital


Os jovens são os maiores alvos de roubo de

identidade na Internet

25-34 anos é a faixa mais visada, seguida da faixa de

18-25(nos EUA)

Estudantes são candidatos atrativos porque têm

registros relativamente temporários, menor história de

crédito ou quaisquer outras operações

Estudantes adotam, também, mais comportamentos de

risco: são maiores freqüentadores de sites de

relacionamento onde deixam muita informação sobre si

mesmos


Sugestões dos especialistas:

Deixe suas informações pessoais em local inacessível mesmo

para “companheiros” de quarto

Papéis descartadas com informações pessoais devem ser

completamente inutilizados (rasgados ou picotados)

Não disponibilize números como CPF e RG a não ser em

ambiente idôneo

Relute em aceitar que tais números sirvam de identificação em

ambientes não oficiais

Evite fornecer tais números ou de cartões de créditos em troca

de promoções baratas ou duvidosas

JAMAIS dê qualquer destes dados por telefone



Um truque bastante usado na Rede é o da “pescagem de dados”

(phishing):

O ladrão de dados personifica alguém (pessoa ou organização)

em ação caracterizada por uma atividade legítima (vendas,

prêmios, brindes, pesquisas de opinião, testes de software,

informações acerca de ilegalidades que estariam sendo

cometidas - em geral ou contra você etc.) que solicita dados de

modo a que você tenha acesso às informações correspondentes

Exemplo:

Informa que você teve cheque retido em organismo de

proteção ao crédito (SPC, SERASA), e pede para

acessar informações mais detalhadas


Casos...

Compilados pela Privacy Rights Clearing House e o Identity Theft Center (San

Diego):

-- Dois ex-estudantes de Engenharia da California State University on

Northbridge acessaram ilegalmente a rede de um professor para modificar notas.

(julho, 2006)

-- Um ex-estudante de Engenharia de Computação da Delaware University

enviou mensagens a alunos de um professor através da conta de correio

eletrônico deste informando incorretamente que a data de um exame havia

mudado (abril, 2006) O sujeito pagou US $ 10.000,00 de multa.

-- Um adolescente holandês usava máquinas da George Mason University in

Fairfax, Va., para armazenar músicas (2005)

-- Máquinas da University of Colorado e da Ohio University eram usadas por

hackers franceses e da Europa Oriental para armazenar filmes.




Casos (cont.)...

Insegurança SEM computador:

-- Locais de dados mantidos de modo inseguro: catálogo de clientes (lojas,

consultórios médicos, sindicatos...)

-- Uma sacola contendo documentos e dados (incluindo o SSN) de 834

estudantes do Anderson South California College foi encontrada abandonada

num estacionamento do campus.

Incúria on line:

-- A Mont Clair State University (New Jersey) publicou na Internet dados

completos de 9.100 estudantes por quatro meses, até que um deles protestou.

Insegurança DO computador:

-- roubo ou extravio de de laptops, CD’s, pen-drives ...



Usuários domésticos e organizacionais têm

mais razão do que nunca para se preocupar com

intrusos xeretando seus discos rígidos

Sasser, Blaster, Code Red, Zotob...

todos Internet worms (“vírus” que se

propagam autonomamente pela Rede)



Há uma seqüência no ciberespaço...

-- Os pesquisadores de vulnerabilidades (“hackers do bem” (?))

localizam as falhas de segurança

-- Os “hackers do mal” desenvolvem malware - código

pernicioso (vírus e outros) e o colocam na Internet (em geral, só

para mostrar que sabem...)

-- os cibercriminosos acabam por usar tais programas para

controlar os computadores vulneráveis para o crime

-- Os “hackers do bem” desenvolvem “soluções” para as

vulnerabilidades ou programes de combate ao malware



Mas a motivação para a intrusão e o roubo de dados tem

aumentado e o cibercrime começa a mudar

Não são mais os sistemas operacionais (como Windows) o

alvo preferido (ficaram mais seguros), e sim os aplicativos

largamente usados - browsers, planilhas eletrônicas, IRC’s,

media players...

MS Internet Explorer, Mozilla Firefox, Adobe Flash

Authoring Tool, Skype...

E mesmo editores de texto como Word ou softwares de

apresentação como Power Point

E também os sites de relacionamento são assaltados e

usados como ponte de ataques diversos...



Pior, segundo os especialistas: os cibercriminosos estão mais

sofisticados em suas táticas, principalmente no que se refere a não

deixar rastros.

As atualizações automáticas dos aplicativos também operam na

disseminação das vulnerabilidades, fora de qualquer controle dos

usuários...

De 2004 para 2006 houve um aumento de 200% no número de ameaças

digitais em circulação, passando hoje de 200.000 identificadas

Em 2005, a Apple teve que recuperar 262 “furos” (incluindo 16 do

QuickTime, player do iPod); a Microsoft, 157; Mozilla, 150; e Adobe,

46.

Em julho de 2006, uma vulnerabilidade por dia foi publicada, a maioria

sobre o Internet Explorer, mas incluindo também Firefox, Opera e

Safari.




Uma forma corrente de disseminação é através de

mensagens eletrônicas com anexos, os quais os

usuários incautos são induzidos a inspecionar

A mais insidiosa é aquela provida por referências a

páginas daninhas.

Intrusão eletrônica Lições a aprender...

“Ninguém faz nada sobre segurança até ter absolutamente

que fazê-lo.” Richard Stiennon, IT-Harvest.

-- A Microsoft mantém 650 profissionais trabalhando na

detecção e correção de falhas de segurança

-- Procura compartilhar com toda a indústria de software

essa experiência

-- Libera módulos de correção (patches) regularmente

fazendo uma classificação da periculosidade dos problemas.

-- A Apple, por enquanto opera em menor esforço, com

menos módulos de correção e sem classificação


Referências MARKLEIN, Mary Beth. How to keep your personal

informations safe. USAToday.com, 02 aug. 2006. In:

PAPARELLA, Maureen Sheehan ; SIMKO, Eugene (orgs.)

Current topics in technology: social, legal, ethical and

industry issues for computers and Internet. Boston,

Thomson Learning, Inc., 2007.

ACOHIDO, Byron. Cybercrooks constantly find new ways

into PCs. USAToday, 02 aug. 2006. In: PAPARELLA,

Maureen Sheehan ; SIMKO, Eugene (orgs.) Current topics

in technology: social, legal, ethical and industry issues for

computers and Internet. Boston, Thomson Learning, Inc.,

2007.


Questões para discussão

Por que os estudantes parecem ser os grupos de maior risco para o roubo de dados

pessoais?

Exemplifique comportamentos de risco em relação a isto.

Que tipo de conselhos você daria para prevenção da “pescagem de dados”?

Que más conseqüências podem advir de se fornecer indiscriminadamente números

como RG, CPF, cartão de crédito?

O que você acha que não se deve informar por telefone?

Os hackers parecem estar se concentrando mais nos produtos da Apple Software do

que nos da Microsoft. Por que? Teria a ver com a assertiva de Stiennon?

É razoável que se publique código pernicioso, sabendo-se que pode ser usado para

intrusão e mesmo cibercrime? Em que situação seria produtivo publicá-lo?

Terá sido pesada demais a multa a para o estudante que usou desautorizadamente o

e-mail do professor?

Se não houve risco para dados pessoais, que outros danos poderiam causar os

incidentes na George Mason e na University of Colorado (uso de disco para

armazenamento de música e filmes)? Que outras questões isto levanta?


Documents

FURG UAB 2007 Aplicações para a Web Especialização ... · Segurança pessoal em meio digital FURG UAB 2007 Aplicações para a Web – Especialização Os jovens são os maiores