Your SlideShare is downloading. ×
Segurança dos sistemas de informação
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Segurança dos sistemas de informação

1,121
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,121
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
44
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Segurança dos Sistemas de InformaçãoParte IProf. Rodrigo Gomes da Silva
  • 2. Segurança da InformaçãoNo meio computacional, o termo segurança da informação é usado com o significado de minimizar a vulnerabilidade dos dados, da informação, do conhecimento e da infra-estrutura de Tecnologia da Informação e Comunicação (TIC) que o suporta.Vulnerabilidade é qualquer fraqueza que pode ser explorada para se violar um sistema ou para acessar as informações que ele contém .
  • 3. Segurança da Informação• A segurança da informação está relacionada à necessidade de proteção contra o acesso ou manipulação intencional ou não de informações confidenciais por elementos não autorizados e a utilização não autorizada do computador ou de seus dispositivos periféricos.
  • 4. Segurança da Informação• Motivos para invações: – utilizar o sistema em alguma atividade ilícita, para esconder a real identidade e localização do invasor; – utilizar o sistema para lançar ataques contra outros sistemas; – utilizar o espaço de armazenamento como repositório de dados, geralmente infringindo leis de direitos autorais; – destruir informações (vandalismo); – disseminar mensagens alarmantes e falsas;
  • 5. Segurança da Informação• Motivos para invações: – ler e enviar e-mails em nome de outra pessoa; – propagar vírus de computador; – furtar números de cartões de crédito e senhas bancárias; – furtar a senha de contas, para acessar outros sistemas em nome de outras pessoas; – furtar dados pessoais presentes nos sistemas como, por exemplo, informações sobre a declaração do Imposto de Renda.
  • 6. Conceitos iniciais em segurançada informação
  • 7. Segurança da InformaçãoConceitos Importantes sobre informação: • Confidencialidade • Integridade • Disponibilidade
  • 8. Segurança da InformaçãoConfidencialidade:• Quando informações são lidas ou copiadas por alguém não autorizado a fazê-lo.• Para alguns tipos de informações, confidencialidade é um atributo indispensável. Como exemplo, pode-se considerar dados de pesquisas, especificações de um novo produto e estratégias de investimento empresarial.• Em algumas situações, há uma obrigação moral, e até mesmo legal em alguns casos, de proteger a privacidade dos dados referentes a um indivíduo. Isso é particularmente verdadeiro para bancos e companhias de empréstimo, companhias de cartão de crédito, consultórios médicos etc.
  • 9. Segurança da InformaçãoIntegridade:• Informações podem ser corrompidas quando disponíveis em uma rede de computadores. Quando uma informação é modificada de uma forma não esperada, o resultado é conhecido com perda de integridade.• Isso significa que mudanças não autorizadas são realizadas nas informações, seja por erro humano ou de forma intencional.• Integridade é particularmente importante para informações de segurança crítica usadas para atividades como controle de tráfego aéreo, contabilidade financeira, transações bancárias etc.
  • 10. Segurança da InformaçãoDisponibilidade:• A informação também pode ser apagada ou tornar-se inacessível, resultando na falta de disponibilidade. Isto significa que pessoas que são autorizadas a acessar a informação não podem fazê-lo.• Disponibilidade é, freqüentemente, o atributo mais importante em negócios que dependem da informação.
  • 11. Segurança da InformaçãoConceitos Importantes sobre pessoas (usuários): • Autenticação • Autorização
  • 12. Segurança da InformaçãoAutenticação:• A autenticação é utilizada para provar que o usuário é quem diz ser. Esse processo envolve algo que o usuário conheça (como uma senha), algo que ele tenha (como um smartcard) ou algo sobre o usuário que prove sua identificação (com o uso de recursos biométricos).
  • 13. Segurança da InformaçãoAutorização:• Autorização, por sua vez, é o ato de determinar se um usuário particular (ou sistema computacional) tem o direito de executar certa atividade, como a leitura de um arquivo ou a execução de um programa. Autenticação e autorização são processos empregados em conjunto.• Os usuários precisam ser autenticados antes de executarem uma atividade que eles estão autorizados a executar. A segurança torna-se mais forte quando o resultado de uma autenticação não pode ser negado posteriormente (ou seja, o usuário não poderá negar que executou uma determinada atividade). Este processo é conhecido como não-repúdio.
  • 14. Como a minha empresa podesofrer roubos de informação?
  • 15. Engenharia Social Engenharia Social?
  • 16. Engenharia SocialA Engenharia Social, de maneira simples, caracteriza-se por explorar a fragilidade das pessoas. Em outras palavras, consiste na habilidade de obter informações ou acesso indevido a determinado ambiente ou sistema, utilizando técnicas de persuasão (Vargas,2002).
  • 17. Engenharia SocialO dito popular “jogar verde pra colher maduro” define bem o tema. Quem nunca se viu envolvido sendo questionado sobre um determinado assunto e, quando se deu conta, já tinha “entregue o ouro pro bandido?” Isso quando a pessoa se dá conta; muitas vezes ela fala e nem percebe o conteúdo do que foi dito.
  • 18. Engenharia SocialCaracterísticas:• Ataques altamente eficazes• Custo relativamente baixo• Muitas empresas e pessoas não percebem que foram atacados• Na maioria das vezes, pessoas atacadas não admitem
  • 19. Engenharia SocialCaracterísticas:• Formas variadas de ataque que exploram a fragilidade e a ingenuidade das pessoasTipos de Ataques:• Físico: local de trabalho, telefone, lixo, etc• Psicológico: maneira como o ataque é executado,persuasão
  • 20. Engenharia SocialLocal de Trabalho :Nomes, lista de ramais, endereços eletrônicos, organogramas e outros dados da empresa, comumente ficam expostos em lugares onde transitam pessoas estranhas.Um hacker pode simplesmente entrar na empresa como se fosse um técnico em manutenção ou consultor que tem livre acesso às dependências da empresa e, enquanto caminha pelos corredores, pode ir captando todas estas informações que porventura estejam expostas (Maia,2002).
  • 21. Engenharia SocialPor Telefone:Esta modalidade de ataque vai desde roubar informações de funcionários ingênuos até a clonagem ou grampo telefônico.Um hacker chega na empresa passando-se por um técnico que fará manutenção da central telefônica e, em seguida, desvia uma linha de onde pode efetuar ligações para qualquer parte do mundo, ou então pode grampear os telefones de algum executivo.
  • 22. Engenharia SocialLixo:O lixo das empresas pode ser uma fonte muito rica de informações para um hacker.Vasculhar o lixo, é um método muito usado pelos invasores, porque é comum encontrarmos itens como cadernetas com telefones, organograma da empresa, manuais de sistemas utilizados, memorandos, relatórios com informações estratégicas, apólices de seguro e até anotações com login e senha de usuários.
  • 23. Engenharia SocialLixo:As listas telefônicas podem fornecer os nomes e números das pessoas-alvo, o organograma mostra quem são as pessoas que estão no comando, as apólices mostram o quanto a empresa é segura ou insegura, os manuais dos sistemas ensinam como acessar as informações e assim todo e qualquer lixo poderá ser de grande valia para uma pessoa mal intencionada (Granger,2001).
  • 24. Engenharia SocialDesafio das Senhas:As senhas são os principais pontos fracos das empresas. É comum as pessoas dividirem senhas com outras ou escolherem senhas fracas, sem a menor preocupação. Muitos usam como senha, palavras que existem em todos os dicionários, seus apelidos, ou até mesmo o próprio nome que, com um software5 gerenciador de senhas, é possível decifrá-las em segundos(Virinfo,2002). Segundo Kevin Mitnick (2001), elas chegam a representar 70% do total de senhas utilizadas nas empresas.
  • 25. Engenharia SocialEngenharia Social online:Talvez a maneira mais fácil de se conseguir um acesso é através da internet.A displicência dos usuários que criam senhas fáceis de serem descobertas, que ficam longos períodos sem alterá-las, e ainda utilizam a mesma senha para acesso a várias contas, torna o ataque mais simples.
  • 26. Engenharia SocialEngenharia Social online:As salas de bate-papo também são um canal explorado para o roubo de informações. Homens e mulheres se dizem jovens, atraentes e de bom papo. Na verdade podem ser farsantes que manipulam os sentimentos das pessoas em busca de informações (Maia,2002).
  • 27. Engenharia SocialEngenharia Social online:Os e-mails também podem ser usados como meio para conseguir acesso a um sistema. Por exemplo, um e-mail enviado para alguém pode conter um vírus de computador ou cavalos de tróia, que, quando instalados no computador da vítima, podem destruir todas as informações, ou simplesmente ficar ocultos e transmitindo ao invasor todo tipo de informação como, senhas, números de cartão de crédito, ou mesmo abrir o firewall da empresa, deixando-a vulnerável a qualquer tipo de ataque (Granger,2001).
  • 28. Engenharia SocialPersuasão:Os próprios hackers vêem a engenharia social de um ponto de vista psicológico, enfatizando como criar o ambiente psicológico perfeito para um ataque. Os métodos básicos de persuasão são: personificação, insinuação, conformidade e a velha amizade.Independente do método usado, o objetivo principal é convencer a pessoa que dará a informação, de que o engenheiro social é, de fato uma pessoa a quem ela pode confiar as informações prestadas.
  • 29. Engenharia SocialPersuasão:Personificação geralmente significa criar algum tipo de personagem e representar um papel. Quanto mais simples esse papel, melhor. Às vezes, isto pode ser apenas ligar para alguém e dizer: “Oi, eu sou Marcos do setor de informática e preciso da sua senha”. Mas isto nem sempre funciona.Outra tática comum que pode ser utilizada num ataque de personificação é o hacker se passar por assistente da gerência ou mesmo presidência e pedir a um funcionário, em nome do seu superior, alguma informação. Para não criar atritos com seu superior, o usuário fornece as informações sem muitos questionamentos.
  • 30. Engenharia SocialPersuasão:Quando em dúvida, a melhor maneira de obter informação no ataque de engenharia social é ser amigável. O local para abordagem não necessariamente precisa ser na empresa; pode ser num clube ou numa mesa de bar. O hacker só precisa conquistar a confiança do funcionário alvo, a ponto de convencê-lo a prestar “toda a ajuda solicitada”. Além disso, a maioria dos funcionários responde bem a gentilezas, especialmente as mulheres. Uma bajulação pode ajudar a convencer o funcionário alvo a cooperar no futuro. Um hacker esperto sabe quando parar de extrair informações antes que a vítima suspeite que está sendo alvo de um ataque (Granger,2001).
  • 31. Engenharia SocialEngenharia Social Inversa:Isto ocorre quando um hacker cria uma personalidade que aparece numa posição de autoridade, de modo que todos os usuários lhe pedirão informação. Se pesquisados, planejados e bem executados, os ataques de engenharia social inversa permitem ao hacker extrair dos funcionários informações muito valiosas; entretanto, isto requer muita preparação e pesquisa.
  • 32. Engenharia SocialEngenharia Social Inversa:Os três métodos de ataques de engenharia social inversa são, sabotagem, propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede, então divulga que possui a solução para este, e se propõe a solucioná-lo. Na expectativa de ver a falha corrigida, os funcionários passam para o hacker todas as informações por ele solicitadas. Após atingir o seu objetivo, o hacker elimina a falha e a rede volta funcionar normalmente. Resolvido o problema os funcionários sentem-se satisfeitos e jamais desconfiarão que foram alvos de um hacker (Granger,2001).
  • 33. Engenharia Social
  • 34. Engenharia Social
  • 35. O que Fazer?
  • 36. Engenharia SocialFormas de Prevenção:Para amenizar estes riscos, é recomendável que as empresas criem políticas de segurança centralizada e bem divulgada, para que todos os seus colaboradores saibam como proteger as informações que estão em seu poder.As intranets podem ser um recurso valioso para esta divulgação, assim como boletins periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de senha e treinamento.
  • 37. Engenharia SocialFormas de Prevenção:O maior risco é de os funcionários tornarem-se complacentes e relaxarem na segurança; por isso a importância da insistência (Granger,2002).O treinamento deve estender-se por toda a empresa. Diretores, gerentes, supervisores, e demais funcionários, todos devem ser treinados. Nestes treinamentos devem ser exploradas as táticas comuns de intromissão e as estratégias de prevenção. Quando alguém captar sinais de um ataque, deve imediatamente alertar os demais, para que não sejam também abordados.