of 43 /43
Segurança

Aula import seg

Embed Size (px)

Text of Aula import seg

  • Segurana

  • Importncia da Segurana da Informao

    Tipos de Ataques

    Tipos de Segurana

    Classificao da Informao

    Ciclo de Vida de Segurana

    Senha

    Mecanismos de Proteo

  • Auditoria

    Incidente de Segurana

    Criptografia

    Utilizao consciente da Internet e seus

    servios

    Gerenciamento de Riscos

    Tendncias

  • Entende-se por informao todo e qualquer

    contedo ou dado que tenha valor para alguma

    organizao ou pessoa.

    Quanto vale informao para uma empresa?

    Sem Informao uma empresa pode sobreviver

    quanto tempo?

    O que exatamente precisa de ser protegido?

  • Estudante Alterar ou enviar e-mail em nome de outros

    Hacker - Examinar a segurana do Sistema; Roubar informao

    Empresrio - Descobrir o plano de marketing estratgico do

    competidor

    Ex-empregado - Vingar-se por ter sido despedido

    Contador - Desviar dinheiro de uma empresa

    Corretor - Negar uma solicitao feita a um cliente por e-mail

    Terrorista - Roubar segredos de guerra

    Outros

  • Um mecanismo de Segurana da Informao providencia

    meios para reduzir as vulnerabilidades existentes em um

    Sistema de Informao.

    Segurana envolve tecnologia, processos e pessoas

  • F D

    Fonte de

    Informao

    Destino da

    Informao

    Fluxo Normal

    F D

    Interrupo

    F D

    Interceptao

    I

    F D

    Modificao

    M

    F D

    Fabricao

    F

  • Roubo de Informaes;

    Alterao de informaes;

    Danos fsicos;

    Alterao de configuraes da rede;

  • Restringir ao mximo o acesso dos usurios s informaes vitais da

    organizao;

    Restringir o acesso fsico s reas crticas;

    Definir e divulgar normas e polticas de acesso fsico e lgico;

    Implementar solues de criptografia para informaes crticas;

    Implementar solues de auditoria para informaes crticas;

    Controlar o acesso de prestadores de servios as reas crticas e as

    informaes.

  • Segurana Fsica

    Segurana Lgica

  • Providenciar mecanismos para restringir o contato direto a

    informao ou a infraestrutura acesso direto a informao e reas

    crticas da organizao

    Como isto pode ser feito?

    Existem mecanismos de segurana que apoiam os controles

    fsicos:

    Portas / trancas / paredes / blindagem / guardas / etc ..

  • Fornecer mecanismos para garantir:

    Confidencialidade;

    Integridade;

    Disponibilidade;

    No Repudiao ou Irrefutabilidade;

    Autenticidade

    Mecanismos tradicionais garantem a Segurana Lgica?

  • Perda de Confidencialidade: seria quando h uma quebra de

    sigilo de uma determinada informao (ex: a senha de um

    usurio ou administrador de sistema)

    Perda de Integridade: aconteceria quando uma determinada

    informao fica exposta a manuseio por uma pessoa no

    autorizada.

    Perda de Disponibilidade: acontece quando a informao deixa

    de estar acessvel por quem necessita dela. queda de um servidor

    de uma aplicao crtica de negcio.

  • Mudando a Cultura!!!

    Palestras

    Seminrios

    Exemplos prticos

    Simulaes

    Estudo de Casos

  • A Informao deve ser disponvel para:

    1. Todos

    2. Um grupo

    3. Um indivduo

  • Ciclo de Vida de Segurana O que precisa

    ser protegido?

    Como

    proteger? Simulao de

    um ataque

    Qual probabilidade

    de um ataque?

    Qual prejuzo, se

    ataque sucedido?

    Qual nvel da

    proteo?

  • Escolha da Senha X Segurana da Rede.

    O acesso senha de um usurio no d acesso apenas aos seus dados

    particulares, mas a todos os recursos que ele utiliza, como documentos

    de seu setor, dados dos sistemas administrativos, entre outros.

    Programasquequebramsenhas.

  • No use seu login nem invertido, com letras maisculas, duplicado,

    etc.

    No use qualquer um de seus nomes ou sobrenomes;

    No use qualquer informao a seu respeito (apelido, placa de

    automvel, numero de telefone, marca de seu automvel, nome de

    pessoas de sua famlia, datas de nascimento, endereo, cep, cgc,cpf

    etc.);

  • No use senhas bvias (se voc flamengista, no use mengo,

    nem urubu);

    No use palavras que constem do dicionrio (gaveta, amrica,

    celular);

    Use senhas que misturem caracteres maisculos e minsculos e

    nmeros;

    Use senhas fceis de lembrar;

    Use senhas com no mximo 3 caracteres repetidos;

  • Nunca escreva sua senha;

    Troque sua senha pelo menos uma vez por ms;

    Nunca fale sua senha, nem empreste sua conta para ningum.

    Ela, e qualquer coisa feita com ela de sua inteira

    responsabilidade. No corra riscos.

  • EEEBBBCCC (3 caracteres repetidos)

    4610133 (nmero de telefone)

    carleto (nome de pessoa)

    PEDROSILVA (Nome em maiscula)

    .215423 (s nmeros)

    opmac (Campos ao contrrio)

    LGF-4589 (Placa de carro)

    Leonardo Di Capri (Nome de artista)

    clipes (contm no dicionrio)

    #$cr^98Y/kl1 (difcil de digitar e de lembrar)

  • Adversrios e sua motivao

  • Ataques contra senhas;

    Farejadores de pacotes;

    Ataques que desviam SO;

    Ataques de recuperao de dados;

    Ataques de reconstruo de memria;

    etc

  • Estudo da Escrita(grafia) Secreta(cripto)

    Esconder a informao de todos exceto ...

    Verificar a exatido de uma informao

    Base tecnolgica para a resoluo de problemas de

    segurana em comunicaes e em computao

  • Egpcios antigos cifravam alguns de seus

    hierglifos

    O barro de Phaistos (1600 a.c) ainda no

    decifrado

    Cifrador de Jlio Csar,

    aproximadamente 60 ac

    Tratado sobre criptografia por

    Trithemius entre 1500 e 1600

  • Thomas Jefferson e James Monroe

    cifravam as suas cartas para manter em

    sigilo as suas discusses polticas

    (1785)

    Roda Criptogrfica

    http://www.murky.org/cryptography/classical/jefferson.shtmlhttp://www.murky.org/cryptography/classical/jefferson.shtml

  • Tambm chamados de Criptossistemas so sistemas que

    dispe de algoritmos e funes de criptografia para

    assegurar:

    Confidencialidade;

    Integridade;

    No Repudiao ou Irrefutabilidade;

    Autenticidade

  • Marcao de caracteres

    Tinta Invisvel

    Pequenos furos no papel

    Moderna Esteganografia

    Uso de bits no significativos

    rea no usada

    Programas de Esteganografia

    http://www.stegoarchive.com/http://www.jjtc.com/stegoarchive/stego/software.htmlhttp://www.jjtc.com/stegoarchive/stego/software.html

  • Senha;

    Firewall;

    Proxy;

    Auditoria;

    Outros;

    Ser que estes mecanismos fornecem a

    segurana necessria?

  • Uma das ferramentas de

    segurana mais

    difundida que permite a

    auditoria, proteo,

    controle do trfego

    interno e externo de uma

    rede.

  • uma ferramenta que registra TODOS os acessos

    aos diversos recursos da rede. Exemplos:

    Tentativa de acessar, excluir, alterar uma

    pasta(com ou sem acesso);

    Pginas visitadas;

    Porqu utilizar Auditoria?

  • Quando ocorre um problema

    relacionado com a segurana,

    podemos dizer que ocorreu um

    Incidente de Segurana.

  • Atravs de relatrio, email, telefone avisar o responsvel de segurana para

    ele investigar: origem, prejuzo, consequncias entre outros fatores.

    O responsvel de segurana tomar medidas cabveis.

    No Brasil este controle e feito pelo:

    CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de

    Segurana no Brasil

    O CERT.br o grupo de resposta a incidentes de segurana para a Internet

    brasileira, mantido pelo NIC.br, do Comit Gestor da Internet no Brasil. O

    CERT.br responsvel por receber, analisar e responder a incidentes de

    segurana envolvendo redes conectadas Internet no Brasil.

    http://www.nic.br/http://www.cgi.br/

  • No abra os arquivos anexados com os emails que voc no

    conhece ou no est esperando, caso haja dvidas, entre em

    contato com o suporte.

    Caso receber algum email pedindo o envio do mesmo para outras

    pessoas, com assuntos variadas como ataque de vrus, corrente de

    email e etc., NUNCA faa isto. Caso haja dvidas quanto ao um

    vrus especfico, entre em contato com o suporte.

    Ao transferir qualquer arquivo via internet, no esquea de

    passar o antivrus neste arquivo, antes de utiliz-lo.

    Ao trmino de consultas, transferncia de fundos, etc, no

    esquea de encerrar a sesso e fechar o browser.

  • Definir as Ameaas

    Quais as Ameaas so Riscos Imediatos?

    Anlise de Riscos;

    Minimizar os Riscos;

    Implementar mecanismos de preveno;

    Monitorar a eficincia dos mecanismos empregados.

  • Hackers so os que quebram senhas, cdigos e

    sistemas de segurana por puro prazer em achar tais

    falhas. Preocupam-se em conhecer o

    funcionamento mais ntimo de um S.O

    Crackers o criminoso virtual, que extorque

    pessoas usando seus conhecimentos, usando as

    mais variadas estratgias.

  • Vrus de Boot :Infecta a partio de inicializao do sistema

    operacional.

    Time Bomb:Os vrus do tipo "bomba de tempo" so programados para

    se ativarem em determinados momentos, definidos pelo seu criador

    Ex:"Sexta-Feira 13" e o "Michelangelo".

    Worm ou vermes :Com o interesse de fazer um vrus se espalhar da

    forma mais abrangente possvel

    Trojans ou cavalos de Tria: Trazem um cdigo a parte, que permite a

    um estranho acessar o micro infectado ou coletar dados e envi-los

    pela Internet para um desconhecido, sem notificar o usurio.

  • Hijackers: "sequestram" navegadores de Internet, principalmente o

    Internet Explorer. Quando isso ocorre, o hijacker altera a pgina inicial

    do browser e impede o usurio de mud-la, exibe propagandas em

    pop-ups ou janelas novas, instala barras de ferramentas

    Keylogger(Capturador de teclas):Ficam escondidos no sistema

    operacional, sendo assim a vtima no tem como saber que est sendo

    monitorada.

    Estado Zumbi: Ocorre quando o computador infectado e est sendo

    controlado por terceiros.Podem ser usados para disseminar, vrus ,

    keyloggers, e procededimentos invasivos em geral.

  • SPLOG:Nada mais do que um blog em que na realidade de

    propaganda, quase sempre, isso geralmente para alavancar as

    vendas de algum produto, raramente faz algum mal, mas pode

    conter links que podem ser perigosos

    Vrus no orkut - capaz de enviar scraps (recados)

    automaticamente para todos os contatos da vtima na rede social,

    alm de roubar senhas e contas bancrias de um micro infectado

    atravs da captura de teclas e cliques.

    Scareware - Programas criados para causar problemas no seu

    computador, mas que so vendidos como proteo

    Ransomware - um tipo de malware. Refere-se aos cavalos de

    tria que cobram resgate.

    At Maro de 2009 Total de 630,000 vrus conhecidos.

    http://pt.wikipedia.org/wiki/Malwarehttp://pt.wikipedia.org/wiki/Trojanhttp://pt.wikipedia.org/wiki/Trojan