O documento apresenta uma palestra sobre segurança da informação ministrada por Mastroianni Oliveira e Ingrid Batista. Eles discutem conceitos como confidencialidade, integridade, disponibilidade e legalidade. Também abordam tópicos como hackers vs crackers, mecanismos de segurança físicos e lógicos, certificados digitais, Lei Carolina Dieckman e estratégias de ataque e defesa. O objetivo é conscientizar sobre os riscos na internet e formas de proteção.
5. Apresentação da Palestra
●
O que é a informação ?
●
Conceitos iniciais de segurança da informação
●
Breve historia sobre o emprego da palavra hacker
●
Hackers vs crackers
●
Identificação sobre um hacker no seu estilo de agir ?
●
Mecanismos de segurança: Controle fisico e controle logico ?
●
O que é certificado digital ?
●
Tipos de certificados digitais ?
●
Lei Carolina Dieckman
●
Como minimizar o problema
●
Estratégias ataque e defesa
●
Como prevenir se contra uma posição invasão em sua rede local ou corporativa
●
O que é um firewall
●
Tipos de firewalls
●
Politicas de Segurança ?
●
Como é a criação de uma politica de segurança
●
Tipos de engenharia social
●
Referências bibliograficas
●
Referências de imagens
●
Termos
7. O que é a segurança da Informação ?
É a pratica de assegurar que os recursos que geram , armazenam ou
proliferam as informações sejam protegidos contra quebra da
confidencialidade , comprometimento da integridade e contra a
indisponibilidade de acesso a tais recursos ( Yuri Diógenes e Daniel
Mauser).Tambem podemos considerar de C.I.D.A.L, que abrange a
legalidade.
8. Devemos nos preocuparmos com a segurança ?
Hoje em dia um servidor ligado a internet não é simples host e sim
um alvo. Não apenas assegurar somente um servidor ou sistemas e
sim a varios elos onde a força da corrente é medida pelo tamanho da
resistencia do seu elo mais fragil.
9. Conceitos iniciais de segurança da informação
●
Confidencialidade: trata-se
da prevenção do vazamento
de informação para
usuarios ou sistemas que
nao estao autorizados a ter
acesso a tal informação. Ex
é a situação de clientes da
corretora XP
Investimentos, dados de
mais de 29 mil deles foram
parar em mãos indevidas
no ano de 2013 á 2014.
10. Edward snowden. Liberdade ou Traição ?
●
O ex-técnico da CIA Edward Snowden, de 29 anos, é
acusado de espionagem por vazar informações sigilosas
de segurança dos Estados Unidos e revelar em detalhes
alguns dos programas de vigilância que o país usa para
espionar a população americana – utilizando servidores
de empresas como Google, Apple e Facebook – e vários
países da Europa e da América Latina, entre eles o Brasil,
inclusive fazendo o monitoramento de conversas da
presidente Dilma Rousseff com seus principais
assessores. Analisando metadados de varios .
11. Integridade
●
Trata-se da preservação / manutenção do dado na sua forma integra, ou seja ,sem sofre
modificações através de fontes nao autorizadas.Ex: Yahoo usuários do serviço de e-mail
de que foi vítima de mais uma invasão hacker. Desta vez, mais de um bilhão de contas
foram interceptadas, tendo suas informações agora de posse dos hackers. Esse já é o
segundo grande vazamento de informações que a Yahoo! sofre. Há três meses, a empresa
havia informando que hackers conseguiram acesso a mais de 500 milhões de contas.
12. Disponibilidade
●
Trata-se da manutenção
da disponibilização da
informação , ou seja , a
informação precisa estar
disponivel quando se
necessita. Ex: transações
bancarias online. Quando
A consulta do valor da
conta bancaria ,dar acesso
ao saldo disponivel pelo
sistema do bb.
13. Autenticidade
●
Autenticidade está dentro da
Integridade. É a propriedade
de que a informação foi
produzida, modificada ou
descartada por uma
determinada pessoa física,
órgão, entidade ou sistema.
A autenticidade relaciona-se
com a confirmação de
autoria, a certificação e a
originalidade da
informação.
14. Legalidade
●
Legalidade: Garante que
as informações foram
produzidas respeitando a
legislação vigente. Ex:
acesso com senha a um
determinado sistema isto
garante a possivel
legalidade das
informações geridas pelo
usuario.
15. Breve história sobre o emprego da palavra hacker !
●
Antes da década de 40, onde nasceu o primeiro computador (o
famoso ENIAC Etronic Numerical Integrator and Calculator, que
pesava cerca de 30 toneladas e foi criado em 1944 pra ser mais
exato), os meios de informação disponíveis eram apenas o rádio, a
televisão e a escrita através dos jornais e revistas.dos meios de
informação, onde apenas tinha acesso às informações
disponibilizadas pela mídia e pelo Estado, que por sinal, era
extremamente repressor e autoritário com relação "ao que o povo
teria direito de saber".
●
Surge aí um dos pontos cruciais da "ética Hacker", o princípio que
"Toda informação deve ser livre". O termo "Hacker" na verdade é
originário do verbo "hack" da língua inglesa, que tem com tradução
e sentido "cortar, tossir, entalhar, golpear".
●
á na década de 50, estudantes e professores do MIT (Massachusetts
Institute of Technology) começaram a empregar o termo para
alguém que tinha grande conhecimento na área de informática,
tanto para software quanto para hardware.
17. Hackers vs Crackers ?
●
Hackers são indivíduos que elaboram e modificam softwares e hardwares de computadores,
seja desenvolvendo funcionalidades novas ou adaptando as antigas. Já cracker é o termo
usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança.
●
Os hackers utilizam todo o seu conhecimento para melhorar softwares de forma legal e nunca
invadem um sistema com o intuito de causar danos.
●
Os crackers têm como prática a quebra da segurança de um software e usam seu
conhecimento de forma ilegal, portanto, são vistos como criminosos. O termo "cracker"
nasceu em 1985, e foram os próprios hackers que disseminaram o nome em sua própria
defesa. A ideia era que eles não fossem mais confundidos com pessoas que praticavam o
roubo ou vandalismo na internet.
●
Conceitos sobre tipos de hachers “White Hat” (Chapéu Branco), “Black Hat” (Chapéu Preto)
e “Gray Hat” (Chapéu Cinza). Os hackers "Chapéu Branco" são pessoas interessadas em
segurança e, na maioria das vezes, usam suas habilidades a favor das empresas, sendo 100%
éticos em suas ações. São eles que ocupam os cargos de analista de sistema, especialista em
TI ou outros empregos na área de informática.
18. Identificação sobre um hacker no seu estilo de agir ?
White Hat
●
O chapéu branco é designado ao Hacker que
segue o lado da segurança, ele invade, mas
dentro da lei e da ética hacker. Objetivo
:acha uma vulnerabilidade em um sistema ou
programa, ele avisa o administrador para que
tal falha seja corrigida. Hackers white hat
agem livremente e dão até palestras sobre
segurança, e prestam consultorias a
empresas, tem até empresas que contratam
esses hackers para cuidar da segurança de
seus sistemas e dados.
19. Black Hat
●
É aquele Hacker que não segue
de nenhuma forma a ética hacker
ou a lei, ele age da forma que
quer para fazer o que quiser com
sistemas vulneráveis, esses são
os verdadeiros criminosos
cibernéticos, eles usam o seu
conhecimento para roubar
pessoas, para invadir
computadores e para destruir
sistemas.Ex:Kevin David
Mitnick
20. Gray hat
●
São hackers que ficam no
meio do muro, eles agem
de forma legal como um
white hat, mas em certos
casos usam idéias
pessoais e criam
argumentos para justificar
os seus atos que ferem a
ética hacker, o que o torna
um black hat.
21. Mecanismos de Segurança:
Controles Físicos
●
São barreiras que limitam
o contato ou acesso direto
a informação ou a
infraestrutura (que garante
a existência da
informação) que a
suporta.Ex: assalto ao
banco central , na cidade
de fortaleza.
22. Controles lógicos
●
Controles lógicos: são
barreiras que impedem ou
limitam o acesso a
informação, que está em
ambiente controlado,
geralmente eletrônico, e
que, de outro modo,
ficaria exposta a alteração
não autorizada por
elemento mal
intencionado
23. Certificado Digital
●
É a identidade digital da
pessoa física e jurídica no
meio eletrônico. Ele
garante autenticidade,
confidencialidade,
integridade e não repúdio
nas operações que são
realizadas por meio dele,
atribuindo validade
jurídica
●
Existem 4 tipos de
Certificados Digitais:
24. Tipos de certificados digitais:
Tipo A
Certificado de Assinatura
Digital
●
São os certificados digitais
utilizados para a assinatura
de documentos, transações
eletrônicas, etc., tendo
como meta provar a
autenticidade e a autoria
por parte do emissor/autor,
garantindo também, a
integridado do documento.
25. Tipo S
●
Certificado de
Sigilo/Confidencialidade:
●
Os certificados do tipo S são
utilizados somente para
proporcionar sigilo ou
criptografia de dados. São os
certificados digitais utilizados
para o envio e/ou
armazenamento destes
documentos sem expor o seu
conteúdo.
26. Tipo T
●
Certificado de Tempo:
Também conhecido como
time-stamping, é o serviço
de certificação da hora e
do dia em que foi
assinado um documento
eletrônico, com
identidade do autor.
27. LEI Nº 12.737, DE 30 DE
NOVEMBRO DE 2012 , chamda
Lei Carolina Dieckman
● Arts. 154-A : “Invasão de dispositivo informático
● Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação
indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem
autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:
● Pena - detenção, de 3 (três) meses a 1 (um) ano, e multa.
● § 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de
computador com o intuito de permitir a prática da conduta definida no caput ; / § 2o Aumenta-se a pena de um sexto
a um terço se da invasão resulta prejuízo econômico ; / § 3o Se da invasão resultar a obtenção de conteúdo de
comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em
lei, ou o controle remoto não autorizado do dispositivo invadido:
● Pena - reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
● § 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou
transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
● § 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra:
● I - Presidente da República, governadores e prefeitos; II - Presidente do Supremo Tribunal Federal, III - Presidente
da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do
Distrito Federal ou de Câmara Municipal; ou
● IV - dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”
28. Nudes...hummmmm .Estou preparada para tal diversão ?
●
Sexting (contração de sex e texting) é um anglicismo que refere-se
a divulgação de conteúdos eróticos e sensuais através de celulares.
Iniciou-se através das mensagens SMS de textos sexualmente
sugestivos com conteúdo sexual explícito, e com o avanço
tecnológico tem-se aumentado o envio de fotografias e vídeos em
posições sensuais ou nus, aos quais aplica-se o termo nude selfie
("selfie de nudez"), ou simplesmente nude.
Ex: Publicacao realizada no dia 27/12/2016, de daniele martins,
estudante de Recife, de 21 anos ,sofrendo ameaças apos postar no
seu perfil em uma rede social. Curtidas 64mil, quase 17mil
compartilhamentos e 28mil comentarios.
29. Nudes eis a questão ?
● Compartilhamento indevido de arquivos pode gerar
um enorme , dor cabeça ao usuario , tendo em vista
sua fragilidade no conhecimento de uso de
ferramentas de acesso a redes sociais por parte do
mesmo ou de terceiros , que recebem os dados
enviados.
30. Art. 154-B.
Nos crimes definidos no art. 154-A, somente se procede mediante
representação, salvo se o crime é cometido contra a administração pública
direta ou indireta de qualquer dos Poderes da União, Estados, Distrito
Federal ou Municípios ou contra empresas concessionárias de serviços
públicos.”
Art. 3o Os arts. 266 e 298 do Decreto-Lei no 2.848, de 7 de dezembro de
1940 - Código Penal, passam a vigorar com a seguinte redação:
“Interrupção ou perturbação de serviço telegráfico, telefônico, informático,
telemático ou de informação de utilidade pública
31. Como minimizar o problema ?
●
Consientização por parte dos usuarios
na segurança
●
Profissionais de TI devidamente
qualificados
●
Normas / Procedimentos / Politicas de
Segurança
●
Segurança Física / Segurança de
Aplicações
●
Governança de TI e Segurança da
Informação
●
Backup / Tolerancias as Falhas / Alta
de Disponibilidade / Antivirus
●
Filtro de Pacotes / Criptografia /
Proxy
33. Vírus
São um dos maiores problemas dos usuários. Eles são frutos
da criação de pequenos programas com objetivo de causar
danos à máquina infectada. Eles podem apagar dados, capturar
informações e alterar o funcionamento normal do computador.
●
Os sistemas operacionais Windows, que são os mais utilizados
no mundo todo, e seus usuários, são o principal foco de ataque
desses vírus, que muitas vezes podem agir sem provocar
nenhuma percepção do usuário e até mesmo ser executados em
datas específicas.
●
A melhor forma de descobrir se seu computador está infectado
é fazendo uma varredura pelo antivírus, que deve estar
previamente atualizado.
34. Worms
●
O que é ransomware?
É uma espécie de malware (software mal-
intencionado) que os criminosos instalam em seu
computador sem seu consentimento. O
ransomware dá aos criminosos a possibilidade de
bloquear seu computador de um local remoto.
Depois, ele apresenta uma janela pop-up com um
aviso de que seu computador está bloqueado e
você não poderá acessá-lo, a menos que pague..
Empresa kaspersky combate diretamente esta
praga real.
35. Como prevenir se contra uma posição invasão em sua rede
local ou corporativa ?
●
Honeypot é uma camada de segurança
informática mecanismo criado para
detectar, desviar, ou, de algum modo,
contrariar as tentativas de uso não
autorizado de sistemas de informação .
Geralmente, um chamariz consiste de
dados (por exemplo, em um local de
rede) que parece ser uma parte legítimo
do local, mas é realmente isolado e
monitorizado, e que parece conter
informação ou um recurso de valor aos
atacantes.
36. O que é um firewall ?
●
Firewall é uma solução de
segurança baseada em
hardware ou software
(mais comum) que, a
partir de um conjunto de
regras ou instruções,
analisa o tráfego de rede
para determinar quais
operações de transmissão
ou recepção de dados
podem ser executadas.
37. Tipos de firewalls
●
Filtros de pacotes: Este tipo de Firewalls são conhecidos por esse
nome por utilizarem regras que consistem na filtragem de
pacotes.
●
Filtros baseados em estados: Na verdade, o Firewall baseado em
estado é uma evolução do filtro de pacotes, pois possui uma
tabela de estado que é associada à tabela de regras, o que auxilia
na tomada de decisões.
●
Proxy: Este tipo de Firewall intercepta todas as mensagens que
entram e saem da rede.
38. Politicas de Segurança da informação (PSI)
●
O que uma politica de segurança da informação ?
É um documento que deve conter um conjunto de normas,
métodos e procedimentos, os quais devem ser comunicados a
todos os funcionários, bem como analisado e revisado
criticamente, em intervalos regulares ou quando mudanças se
fizerem necessárias.
39. Politica de Segurança da Informação
1-Introdução
A segurança é um dos assuntos mais importantes dentre as preocupações de nossa empresa
2 – A empresa e a politica da segurança
Ex: todas as normas aqui estabelecidas serão seguidas á risca por todos os funcionários ,parceiros e prestadores de serviço.
Ao receber tal documento da psi, todos estão cientes que tudo sera monitorados pela equipe de segurança da informação
3 – O não cumprimento dessa politica
Ex: acarrete-a sanções administrativas em 1 instância, podendo ocorrer o desligamento do funcionário de acordo com a
gravidade da ocorrência
4 – Autenticação
Ex: o uso de sistemas de informática serão baseados em uso de senha. Senhas com combinações de números e letras.
5 – Politicas de Senhas
Ex: Uma senha segura devera conter no mínimo 6 caracteres alfanuméricos (letras e números) com diferentes caixas. Ex:
P@litc@da!nform@cao
6 - Politica de e-mail
Ex: não abra anexos com extensões .bat ,exe,src, ink, caso não tenha a devida certeza da informação.
Desconfie de tudo em qualquer tipo de e-mails
7 - Politicas de acesso a internet
Ex: Não acessar sites com conteudos pornograficos
Navegaçaõ em sites permitidos
Tecnologia da Informação
Empresa aprendendo o conhecimento
40. Engenharia social
●
É uma das técnicas
utilizadas por Crackers para
obter acesso não autorizado
a sistemas, redes ou
informações com grande
valor estratégico para as
organizações. Os Crackers
que utilizam desta técnica
são conhecidos como
Engenheiros Sociais.
41. Seis técnicas de engenharia social
●
Analise do
Lixo:Provavelmente
poucas organizações tem
o cuidado de verificar o
que está sendo descartado
da empresa e de que
forma é realizado este
descarte. O lixo é uma das
fontes mais ricas de
informações para os
Engenheiros Sociais.
●
Internet e Redes Sociais: Atualmente muitas
informações podem ser coletadas através da
Internet e Redes Sociais sobre o alvo. Quando
um Engenheiro Social precisa conhecer melhor
seu alvo, esta técnica é utilizada, iniciando um
estudo no site da empresa para melhor
entendimento, pesquisas na Internet e uma boa
consulta nas redes sociais na qual é possível
encontrar informações interessantes de
funcionários da empresa, cargos, amizades,
perfil pessoal, entre outros.
42. ●
Contato Telefônico: Com
as informações coletadas
nas duas técnicas acima, o
Engenheiro Social pode
utilizar uma abordagem
via telefone para obter
acesso não autorizado,
seja se passando por um
funcionário da empresa,
fornecedor ou terceiros.
●
Abordagem Pessoal: Está
técnica consiste do
Engenheiro Social realizar
uma visita na empresa alvo,
podendo se passar por um
fornecedor, terceiro, amigo
do diretor, prestador de
serviço, entre outros, no
qual através do poder de
persuasão e falta de
treinamento dos
funcionários, consegue sem
muita dificuldade.
43. ●
Phishing: Sem dúvidas esta é a
técnica mais ut pode ser
traduzido como “pescaria” ou
“e-mail falso”, queilizada para
conseguir um acesso na rede
alvo. O Phishing são e-mails
manipulados e enviados a
organizações e pessoas com o
intuito de aguçar algum
sentimento que faça com que o
usuário aceite o e-mail e realize
as operações solicitadas.
●
Falhas Humano: O Ser
Humano possui várias
vulnerabilidades que são
exploradas pelos
Engenheiros Sociais, tais
como, confiança, medo,
curiosidade, instinto de
querer ajudar, culpa,
ingenuidade, entre outros.
46. ●
Referências Bibliograficas
●
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12737.htm
●
Yuri Diógenes ,Daniel Mauser.Certificação Security+.Da pratica para o exame syo-301.Rio de Janeiro,2°edição, p
02 ,03.2013
●
http://www.brutalsecurity.com.br/2016/11/04/invasao-em-hospital-resulta-em-consultas-e-cirurgias-canceladas/
●
https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_Informa%C3%A7%C3%A3o_e_Comunica
%C3%A7%C3%B5es
●
http://www.teleco.com.br/tutoriais/tutorialitil/pagina_2.asp
●
http://www.opopular.com.br/editorias/cidade/ap%C3%B3s-postar-foto-nua-estudante-sofre-amea%C3%A7as-em-
rede-social-1.1204746
●
http://g1.globo.com/mundo/noticia/2013/07/entenda-o-caso-de-edward-snowden-que-revelou-espionagem-dos-
eua.html
●
http://www.infoescola.com/redes-de-computadores/firewall/
●
https://olhardigital.uol.com.br/fique_seguro/noticia/qual-a-diferenca-entre-hacker-e-cracker/38024
●
https://www.vivaolinux.com.br/artigo/Uma-breve-descricao-do-termo-Hacker
●
http://www.mundodoshackers.com.br/termos-hacker-os-chapeus
●
http://www.beneficioscd.com.br/cartilha_online/?pagina=oq04
●
https://www.profissionaisti.com.br/2013/10/engenharia-social-as-tecnicas-de-ataques-mais-utilizadas/
●
Livro: Yuri Diógenes ,Daniel Mauser.Certificação Security+.Da pratica para o exame syo-301.Rio de
Janeiro,2°edição, p 02 ,03.2013
●
47. Termos na segurança da informação
●
Hackers: é um indivíduo que se dedica, com intensidade incomum, a conhecer e
modificar os aspectos mais internos de dispositivos, programas e redes de
computadores.
●
Psi:é um documento que deve conter um conjunto de normas, métodos e
procedimentos, os quais devem ser comunicados a todos os funcionários, bem como
analisado e revisado criticamente, em intervalos regulares ou quando mudanças se
fizerem necessárias.
●
Firewall: é um dispositivo de uma rede de computadores que tem por objetivo aplicar
uma política de segurança a um determinado ponto da rede.
●
C.I.D.A.L: confidencialidade,integridade,disponibilidade,autenticidade e legalidade.
●
Crackers: aquele que quebra os sistemas de segurança informáticos.