Segurança da Informação
Conceitos
O que é segurança?
• Um computador (ou sistema computacional) é dito seguro se atende a três requisitos básicos:– Confidencialidade:
• A informação só está disponível para aqueles devidamente autorizados;
– Integridade: • A informação não é destruída ou corrompida e o sistema
tem um desempenho correto;
– Disponibilidade:• os serviços/recursos do sistema estão disponíveis sempre
que forem necessários (e permitidos).
O que é segurança?
• Quando algum dos requisitos é comprometido ocorre uma violação de segurança– Exemplos?• Confidencialidade• Integridade• Disponibilidade
Por que se preocupar?
• Computadores são usados em:– Transações financeiras:• Internet Banking• E-commerce
– Comunicação:• E-mail• Chat• VoIP
– Armazenamento de dados:• Pessoais ou empresariais
Por que se preocupar?
Por que alguém iria me atacar?• Por vários motivos:
• utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
• utilizar seu computador para lançar ataques contra outros computadores;
• utilizar seu disco rígido como repositório de dados;• destruir informações (vandalismo);• disseminar mensagens alarmantes e falsas;• ler e enviar e-mails em seu nome;• propagar malware (vírus, worms, etc.);• furtar números de cartões de crédito e senhas bancárias;• furtar a login, para acessar sites e serviços se fazendo passar por você;• furtar dados sigilosos da sua empresa...
Senhas
• Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usuário, ou seja, é utilizada no processo de verificação da identidade do usuário, assegurando que este é realmente quem diz ser.
• A senha é de total responsabilidade do usuário
Como elaborar uma boa senha
• Nomes, sobrenomes, números de documentos, placas de carros, números de telefones e datas deverão estar fora de sua lista de senhas.
• Jamais utilizar palavras que façam parte de dicionários. – Existem softwares que tentam descobrir senhas
combinando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicionários) e listas de nomes (nomes próprios, músicas, filmes, etc.).
Como elaborar uma boa senha
• Uma boa senha deve ter pelo menos oito caracteres (letras, números e símbolos), deve ser simples de digitar e, o mais importante, deve ser fácil de lembrar.
• Normalmente os sistemas diferenciam letras maiúsculas das minúsculas, o que já ajuda na composição da senha. – Exemplo: SeNaI e sEnAi seriam senhas diferentes
Como elaborar uma boa senha
• Uma regra realmente prática e que gera boas senhas difíceis de serem descobertas é utilizar uma frase qualquer e pegar a primeira, segunda ou a última letra de cada palavra.
Exemplo
• Considere a frase: “batatinha quando nasce se esparrama pelo chão”
• Pegando as iniciais de cada palavra temos a sequência de caracteres: bqnsepc
• A fim de aumentar a complexidade ainda podemos:– Alterar algumas letras para maiúsculas– Substituir uma letra por um dígito de formato
aproximado– Inserir um ou mais caracteres especiais em posições
determinadas da senha
Exemplo
• Continuando...
• Pronto! Temos uma senha forte que não é impossível de se lembrar!
bqnsepc BqNsEpC 8qNs3pC 8qNs3pC#
Quantas senhas diferentes devo usar?
• Procure identificar o número de locais onde você necessita utilizar uma senha.
• Este número deve ser equivalente a quantidade de senhas distintas a serem mantidas por você.
• Utilizar senhas diferentes, uma para cada local, é extremamente importante, pois pode atenuar os prejuízos causados, caso alguém descubra uma de suas senhas.
Com que frequência devo mudar minhas senhas?
• Você deve trocar suas senhas regularmente, procurando evitar períodos muito longos.
• Uma sugestão é que você realize tais trocas a cada dois ou três meses.
• Alguns sistemas proíbem (sabiamente) o uso de senhas alternadas ou parecidas
Cuidados especiais com senhas
• De nada adianta elaborar uma senha bastante segura e difícil de ser descoberta, se alguém puder vê-la.– observar o processo de digitação da sua senha
(shoulder surfing);– utilizar algum método de persuasão, para tentar
convencê-lo a entregar sua senha – capturar sua senha enquanto ela trafega pela
rede.
Cuidados especiais com senhas
• Certifique-se de não estar sendo observado ao digitar a sua senha;
• Não forneça sua senha para qualquer pessoa, em hipótese alguma;
• Não utilize computadores de terceiros (por exemplo, em LAN houses, cyber cafés, stands de eventos, etc.) em operações que necessitem utilizar suas senhas;
• Observe se os sites/serviços utilizados utilizam criptografia de informações principalmente para aqueles que envolvam o fornecimento de uma senha.
Senhas de Administradores (root)
• Administrador/root detém todos os privilégios do sistema
• Esse login deve ser usado apenas para realizar tarefas administrativas
• Por questão de comodidade (aka “preguiça”) vários administradores de sistemas usam o login privilegiado o tempo todo, para executar tarefas corriqueiras (acessar à Web, ler/escrever e-mails)
• Isso deve ser evitado a todo custo!– Risco de danificar o sistema– Risco de oferecer ao atacante acesso total
Senhas de Administradores (root)
• Elaborar uma boa senha para o usuário Administrator (ou root), e tomar os devidos cuidados com ela;
• Utilizar o usuário Administrador (root) somente quando for estritamente necessário;
• Criar usuários com privilégios normais para todas as pessoas que utilizam o computador, para substituir assim o usuário Administrator (ou root) em tarefas rotineiras.
Cookies
• Informações que os sites visitados podem armazenar no browser.– guardar login e senha quando o usuário navega no
site;– manter listas de compras ou listas de produtos
preferidos em sites de e-commerce;– personalizar sites pessoais ou de notícias;– manter listas das páginas vistas em um site, etc;
• Cookies podem representar uma ameaça à privacidade do usuário.
Engenharia Social
• Método de ataque, onde se faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a informações.
Engenharia Social
• Você recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco.
• Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você e executar o aplicativo que está anexado à mensagem.
• A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha.
• Na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante.
Vulnerabilidade
• Falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.
• Algumas vulnerabilidades podem ser exploradas remotamente
Códigos Maliciosos (Malware)
• Termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador.
• Exemplos:– Vírus– Worms– Cavalos de Tróia– Spyware– Rootkits
Códigos Maliciosos (Malware)
Negação de Serviço (Denial of Service)
• Sigla: DoS• O atacante utiliza um computador para tirar
de operação um serviço ou computador conectado à Internet
DDoS - Distributed Denial of Service
• Um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.
• Importante:– DoS ou DDoS não significa INVASÃO– Porém DDoS normalmente se aproveitam de
máquinas infectadas (“zumbis”)
DDoS
• Pesquisar sobre as atividades do grupo Anonymous Brasil nos últimos dias.– Quais foram os “alvos”?– Por que?– Como?
Criptografia
• Ciência/arte de escrever mensagens em forma cifrada ou em código
• Aplicações:– Autenticação de usuários– Autenticar e proteger dados sigilosos– Verificar integridade de dados
Criptografia
• Mensagem criptografada = mensagem privada• Mensagem assinada– Receptor tem como verificar se o transmissor é
quem diz ser e se a mensagem foi alterada.• Tipos de Criptografia:– Simétrica (chave única ou chave privada)– Assimétrica (chave pública)
Criptografia Simétrica
Criptografia Assimétrica
Assinatura Digital
Certificado Digital
Certificado Digital