Virus, ataques a computadores

Aliny PaternostroKaren FukuokaLeticia Ohara

Manuela CortezPaula Oliveira

Tecnologia de Informação e Estado – Professor: Jakow Grajew

Segurança em Sistemas de Informação

Problemas no hardware;

Problemas no software;

Desastres;

Utilização de computadores fora do ambiente de

trabalho.

Vulnerabilidade nos Sistemas

Desafios Na Segurança

Rede aberta;

IP fixo, facilitando a identificação pelos

hackers;

Anexos em e-mails;

Falta de segurança em IM.

Vulnerabilidade na Internet

Virus Worms Trojan Horses

Spyware

Key Loggers

Malware

Qualquer violação que envolva o conhecimento das

tecnologia para obtenção de informações.

Exemplos

Acessar computadores sem autorização;

Utilizar emails para ofensas ou preconceitos.

O que é um crime via computador?

Spoofin - criação de um email falso para se passar por

outra pessoa

Sniffer - roubar informações pessoais invadindo emails ou

arquivos de empresas

DDOS (Denial of Service Attacks) - enviar milhares de

emails para derrubar um sistema

Principais ações de hackers

Phising

Criação de sites falsos para obtenção de informações pessoais

Envio de emails falsos

Roubo de identidade

Evil Twins

Redes wireless que parecem seguras porém copiam seus dados.

Principais ações de hackers

Conhecimento das ferramentas Social engeneering: enganar os funcionários

para descobrir suas senhas

Ameaças internas

Vulnerabilidade

• Softwares possuem falhas: erro zero é impossível (erros ocultos)

• Erros facilitam a entrada de intrusos• Atualizações são mais rápidas que

correções• Perda da função do negócio• Credibilidade• Valor de mercado

Utilidade• Crimes de colarinho branco• Tempo, dinheiro com questões legais

Vulnerabilidade do software vs. utilidade

Controles do sistema: gerais (governo, combinação de hardware, software para ter um controle maior)

Controles aplicados: específico para cada aplicativo (input, processo e output)

Avaliação dos riscos: caso o processo não seja controlado

Quadro para segurança e controle

Política de segurança Guia outras políticas

Gestão dos sistemas de autorização Onde e quando o usuário terá acesso Acesso restrito: apenas algumas partes do sistema

Plano de recuperação de desastres e continuidade dos negócios

Restauração dos serviços interrompidos Restauração de operações de negócios após o desastre

Auditoria Análise global Simular desastres Avalia impacto financeiro

Quadro para segurança e controle

Como prevenir acesso impróprio de sistemas

por usuários não autorizados:

Autorização;

Autenticação:

Senhas;

Tokens;

Smart cards;

Autenticação biométrica.

Controle de Acesso

Firewall

O que é?

Combinação de hardware e software que previne usuários não autorizados de acessar redes privadas.

Firewall Corporativo

O firewall fica localizado entre a rede privada da empresa e a rede pública ou outra rede não confiável para proteger contra tráficos não autorizados.

Detecção de intrusos

Monitoramento de hot spots em redes corporativas para detectar possíveis intrusos;

Antivirus e antispyware software:

Checam computadores contra a presença de ameaças e vírus, podendoaté eliminá-los; Requerem atualização contínua.

Criptografia

Transformação de texto ou dados em criptogramas que não podem ser lidos por destinatários não adequados;

Dois métodos: Symmetric key encryption : remetente e

destinatário usam uma senha única e compartilhada;

Public key encryption:

Certificados Digitais

Ajudam a estabelecer a identidade de pessoas ou bens eletrônicos;

Protegem transações promovendo uma comunicação online mais segura e criptografada.

Disponibilidade de Sistemas

O processamento de transações online requer 100% de disponibilidade do sistema, sem downtime;

Sistema Fault-tolerant: Para disponibilidade contínua, serviço ininterrupto.

Ex: mercado de ações; Suprimentos excessivos: hardware, software, gerador

de energia; High – availability computing:

Ajuda a recuperar rapidamente de danos; Minimiza, mas não elimina downtime.

Qualidade de Software

Métricas de Software: avaliações objetivas do sistema em forma de medidas quantificadas;

Ex: n° de transações, tempo de resposta online, etc.

Testes antecipados e regulares;

Debugging: processo pelo qual erros são eliminados;

Walkthrough: revisão de especificações ou design feito por um grupo de pessoas qualificadas.

Exemplos Reais sobre Falhas de Segurança

Ataque de negação de serviços

Computador “mestre” comanda computadores “zumbis” para realizar uma mesma ação ao mesmo tempo

Resultado: milhares de requisições em um curto período de tempo

DDoS (Distributed Denial-of-Service attacks)

Caso Anonymous Brasil Ataque aos Bancos

Hackers brasileiros do grupo Anonymous tiraram do ar vários sites de bancos públicos e privados

Ação #OpWeeksPayments: protesto contra a corrupção e mostrar poder do grupo

Início: 30/01/2012 – maior movimentação nas contas na 1ª semana do mês

Método utilizado: DDoS

Caso Anonymous – BrasilAtaque aos bancos

Instituições atingidas: Itaú, Bradesco, Banco do Brasil, HSBC, Citibank, BMG, Panamericano, Febraban (Federação Brasileira de Bancos), Cielo, RedeCard, Banco Central.

Caso Anonymous – BrasilAtaque aos bancos

Vídeo:http://www.youtube.com/watch?v=6IiknJp7u1Q

Caso Anonymous – BrasilAtaque aos bancos

Phising: e-mails para contas cadastradas em banco de dados da Apple com o assunto: “Apple update your billing information”.

Link redireciona para um endereço que instala um malware: repasse de informações confidenciais

Ataques por e-mail: Apple

Caso “MEGAUPLOAD” e a Guerra Virtual

Ação do Governo

Americano contra a pirataria

Protestos

Guerra Virtual

•SOPA (Stop Online Piracy Act) - permitirá ao governo norte-americano bloquear o acesso dos visitantes a determinados websites que, segundo o órgão, prejudiquem a criatividade econômica ou incentivem o roubo de propriedade intelectual.

Dezembro de 2011

•Manifetação: Blecaute do Wikipédia

16 de Janeiro de

2012

•Fechamento do Megaupload - Departamento de Justiça norte-americano ordenou o bloqueio dos serviços e prendeu sete pessoas envolvidas com a empresa, entre as quais está o fundador da mesma, Kim Dotcom

19 de janeiro de

2012

Anonymous (grupo de hackers ativistas) ataca os seguintes sites: Departamento de Justiça dos EUA - justice.gov e usdoj.gov Universal Music - universalmusic.com RIAA - riaa.org MPAA - mpaa.org Orgão responsável pelos direitos autorais - copyright.com HADOPI, orgão francês responsável pelos direitos autorais - hadopi.fr Warner Music Group - wmg.com BMI - bmi.com FBI - fbi.gov

DDoS – Ataque de negação de serviços

Efeito Inesperado – Atualização do Software trazia variante de malware Zeus Cavalo de Troia - rouba dados de acesso a bancos online, webmail e até cookies (arquivos

que gravam histórico de navegação).

Revolta – Ataque dos Hackers

SOPA:

reduzem a liberdade de expressão, aumentam o risco da ciber-segurança ou enfraquecem a dinâmica e a inovação na Internet global

Industria da internet possui um peso maior que a indústria do entretenimento

Aumenta a segurança dos direitos autorais e de propriedade

Resultado: Insegurança Cibernética

Guerra Virtual

Obrigado!