SlideShare uma empresa Scribd logo
1 de 37
Baixar para ler offline
Segurança dos Sistemas de Informação
Parte I
Prof. Rodrigo Gomes da Silva
Segurança da Informação

No meio computacional, o termo segurança da informação é
  usado com o significado de minimizar a vulnerabilidade dos
  dados, da informação, do conhecimento e da infra-estrutura
  de Tecnologia da Informação e Comunicação (TIC) que o
  suporta.

Vulnerabilidade é qualquer fraqueza que pode ser explorada
  para se violar um sistema ou para acessar as informações que

  ele contém .
Segurança da Informação

• A segurança da informação está relacionada à
  necessidade de proteção contra o acesso ou manipulação
  intencional ou não de informações confidenciais por
  elementos não autorizados e a utilização não autorizada
  do computador ou de seus dispositivos periféricos.
Segurança da Informação
• Motivos para invações:
  – utilizar o sistema em alguma atividade ilícita, para
    esconder a real identidade e localização do invasor;
  – utilizar o sistema para lançar ataques contra outros
    sistemas;
  – utilizar o espaço de armazenamento como repositório
    de dados, geralmente infringindo leis de direitos
    autorais;
  – destruir informações (vandalismo);
  – disseminar mensagens alarmantes e falsas;
Segurança da Informação
• Motivos para invações:
   – ler e enviar e-mails em nome de outra pessoa;
   – propagar vírus de computador;
   – furtar números de cartões de crédito e senhas bancárias;
   – furtar a senha de contas, para acessar outros sistemas em nome de
     outras pessoas;
   – furtar dados pessoais presentes nos sistemas como, por exemplo,
     informações sobre a declaração do Imposto de Renda.
Conceitos iniciais em segurança
da informação
Segurança da Informação
Conceitos Importantes sobre informação:
  • Confidencialidade
  • Integridade
  • Disponibilidade
Segurança da Informação
Confidencialidade:

• Quando informações são lidas ou copiadas por alguém não
  autorizado a fazê-lo.
• Para alguns tipos de informações, confidencialidade é um atributo
  indispensável. Como exemplo, pode-se considerar dados de
  pesquisas, especificações de um novo produto e estratégias de
  investimento empresarial.

•   Em algumas situações, há uma obrigação moral, e até mesmo legal em
    alguns casos, de proteger a privacidade dos dados referentes a um indivíduo.
    Isso é particularmente verdadeiro para bancos e companhias de
    empréstimo, companhias de cartão de crédito, consultórios médicos etc.
Segurança da Informação
Integridade:
• Informações podem ser corrompidas quando disponíveis em uma
  rede de computadores. Quando uma informação é modificada de
  uma forma não esperada, o resultado é conhecido com perda de
  integridade.

• Isso significa que mudanças não autorizadas são realizadas nas
  informações, seja por erro humano ou de forma intencional.

• Integridade é particularmente importante para informações de
  segurança crítica usadas para atividades como controle de tráfego
  aéreo, contabilidade financeira, transações bancárias etc.
Segurança da Informação
Disponibilidade:

• A informação também pode ser apagada ou tornar-se inacessível,
  resultando na falta de disponibilidade. Isto significa que pessoas que
  são autorizadas a acessar a informação não podem fazê-lo.



• Disponibilidade é, freqüentemente, o atributo mais importante em
  negócios que dependem da informação.
Segurança da Informação
Conceitos Importantes sobre pessoas (usuários):
   • Autenticação
   • Autorização
Segurança da Informação
Autenticação:


• A autenticação é utilizada para provar que o usuário é quem diz ser.
  Esse processo envolve algo que o usuário conheça (como uma
  senha), algo que ele tenha (como um smartcard) ou algo sobre o
  usuário que prove sua identificação (com o uso de recursos
  biométricos).
Segurança da Informação
Autorização:
• Autorização, por sua vez, é o ato de determinar se um
  usuário particular (ou sistema computacional) tem o direito
  de executar certa atividade, como a leitura de um arquivo
  ou a execução de um programa. Autenticação e autorização
  são processos empregados em conjunto.

• Os usuários precisam ser autenticados antes de executarem
  uma atividade que eles estão autorizados a executar. A
  segurança torna-se mais forte quando o resultado de uma
  autenticação não pode ser negado posteriormente (ou
  seja, o usuário não poderá negar que executou uma
  determinada atividade). Este processo é conhecido como
  não-repúdio.
Como a minha empresa pode
sofrer roubos de informação?
Engenharia Social


     Engenharia Social?
Engenharia Social

A Engenharia Social, de maneira simples, caracteriza-se por
  explorar a fragilidade das pessoas. Em outras
  palavras, consiste na habilidade de obter informações ou
  acesso indevido a determinado ambiente ou
  sistema, utilizando técnicas de persuasão (Vargas,2002).
Engenharia Social

O dito popular “jogar verde pra colher maduro” define bem
  o tema. Quem nunca se viu envolvido sendo questionado
  sobre um determinado assunto e, quando se deu conta, já
  tinha “entregue o ouro pro bandido?” Isso quando a
  pessoa se dá conta; muitas vezes ela fala e nem percebe o
  conteúdo do que foi dito.
Engenharia Social

Características:
• Ataques altamente eficazes
• Custo relativamente baixo
• Muitas empresas e pessoas não percebem que foram
  atacados
• Na maioria das vezes, pessoas atacadas não admitem
Engenharia Social

Características:
• Formas variadas de ataque que exploram a fragilidade e a
  ingenuidade das pessoas

Tipos de Ataques:
• Físico: local de trabalho, telefone, lixo, etc
• Psicológico: maneira como o ataque é executado,
persuasão
Engenharia Social

Local de Trabalho :
Nomes, lista de ramais, endereços eletrônicos,
  organogramas e outros dados da empresa,
  comumente ficam expostos em lugares onde
  transitam pessoas estranhas.

Um hacker pode simplesmente entrar na empresa como se
  fosse um técnico em manutenção ou consultor que tem
  livre acesso às dependências da empresa e, enquanto
  caminha pelos corredores, pode ir captando todas estas
  informações que porventura estejam expostas
  (Maia,2002).
Engenharia Social

Por Telefone:
Esta modalidade de ataque vai desde roubar
  informações de funcionários ingênuos até a
  clonagem ou grampo telefônico.

Um hacker chega na empresa passando-se por um técnico que
  fará manutenção da central telefônica e, em seguida, desvia
  uma linha de onde pode efetuar ligações para qualquer
  parte do mundo, ou então pode grampear os telefones de
  algum executivo.
Engenharia Social

Lixo:
O lixo das empresas pode ser uma fonte
   muito rica de informações para um hacker.

Vasculhar o lixo, é um método muito usado pelos
   invasores, porque é comum encontrarmos itens
   como cadernetas com telefones, organograma da
   empresa, manuais de sistemas
   utilizados, memorandos, relatórios com
   informações estratégicas, apólices de seguro e até
   anotações com login e senha de usuários.
Engenharia Social

Lixo:
As listas telefônicas podem fornecer os nomes e
  números das pessoas-alvo, o organograma mostra
  quem são as pessoas que estão no comando, as
  apólices mostram o quanto a empresa é segura ou
  insegura, os manuais dos sistemas ensinam como
  acessar as informações e assim todo e qualquer lixo
  poderá ser de grande valia para uma pessoa mal
  intencionada (Granger,2001).
Engenharia Social

Desafio das Senhas:
As senhas são os principais pontos fracos das empresas. É
   comum as pessoas dividirem senhas com outras ou
   escolherem senhas fracas, sem a menor preocupação.
   Muitos usam como senha, palavras que existem em todos
   os dicionários, seus apelidos, ou até mesmo o próprio
   nome que, com um software5 gerenciador de senhas, é
   possível decifrá-las em segundos(Virinfo,2002). Segundo
   Kevin Mitnick (2001), elas chegam a representar 70% do
   total de senhas utilizadas nas empresas.
Engenharia Social

Engenharia Social online:
Talvez a maneira mais fácil de se conseguir um
   acesso é através da internet.
A displicência dos usuários que criam senhas fáceis
   de serem descobertas, que ficam longos períodos
   sem alterá-las, e ainda utilizam a mesma senha
   para acesso a várias contas, torna o ataque mais
   simples.
Engenharia Social

Engenharia Social online:
As salas de bate-papo também são um canal explorado
  para o roubo de informações. Homens e mulheres se
  dizem jovens, atraentes e de bom papo. Na verdade
  podem ser farsantes que manipulam os sentimentos
  das pessoas em busca de informações (Maia,2002).
Engenharia Social

Engenharia Social online:
Os e-mails também podem ser usados como meio para
   conseguir acesso a um sistema. Por exemplo, um e-mail
   enviado para alguém pode conter um vírus de computador
   ou cavalos de tróia, que, quando instalados no computador
   da vítima, podem destruir todas as informações, ou
   simplesmente ficar ocultos e transmitindo ao invasor todo
   tipo de informação como, senhas, números de cartão de
   crédito, ou mesmo abrir o firewall da empresa, deixando-a
   vulnerável a qualquer tipo de ataque (Granger,2001).
Engenharia Social

Persuasão:
Os próprios hackers vêem a engenharia social de um ponto de vista
   psicológico, enfatizando como criar o ambiente psicológico
   perfeito para um ataque. Os métodos básicos de persuasão são:
   personificação, insinuação, conformidade e a velha amizade.


Independente do método usado, o objetivo principal é convencer a
   pessoa que dará a informação, de que o engenheiro social é, de
   fato uma pessoa a quem ela pode confiar as informações
   prestadas.
Engenharia Social

Persuasão:
Personificação geralmente significa criar algum tipo de personagem
   e representar um papel. Quanto mais simples esse papel, melhor.
   Às vezes, isto pode ser apenas ligar para alguém e dizer: “Oi, eu
   sou Marcos do setor de informática e preciso da sua senha”. Mas
   isto nem sempre funciona.

Outra tática comum que pode ser utilizada num ataque de
  personificação é o hacker se passar por assistente da gerência
  ou mesmo presidência e pedir a um funcionário, em nome do seu
  superior, alguma informação. Para não criar atritos com seu
  superior, o usuário fornece as informações sem muitos
  questionamentos.
Engenharia Social

Persuasão:
Quando em dúvida, a melhor maneira de obter informação no
  ataque de engenharia social é ser amigável. O local para
  abordagem não necessariamente precisa ser na empresa; pode ser
  num clube ou numa mesa de bar. O hacker só precisa
  conquistar a confiança do funcionário alvo, a ponto de
  convencê-lo a prestar “toda a ajuda solicitada”. Além disso, a
  maioria dos funcionários responde bem a
  gentilezas, especialmente as mulheres. Uma bajulação pode
  ajudar a convencer o funcionário alvo a cooperar no futuro.
  Um hacker esperto sabe quando parar de extrair informações
  antes que a vítima suspeite que está sendo alvo de um ataque
  (Granger,2001).
Engenharia Social

Engenharia Social Inversa:
Isto ocorre quando um hacker cria uma personalidade que aparece
    numa posição de autoridade, de modo que todos os usuários lhe
    pedirão informação. Se pesquisados, planejados e bem
    executados, os ataques de engenharia social inversa permitem
    ao hacker extrair dos funcionários informações muito valiosas;
    entretanto, isto requer muita preparação e pesquisa.
Engenharia Social

Engenharia Social Inversa:
Os três métodos de ataques de engenharia social inversa são,
   sabotagem, propaganda e ajuda. Na sabotagem, o hacker
   causa problemas na rede, então divulga que possui a
   solução para este, e se propõe a solucioná-lo. Na
   expectativa de ver a falha corrigida, os funcionários
   passam para o hacker todas as informações por ele
   solicitadas. Após atingir o seu objetivo, o hacker elimina
   a falha e a rede volta funcionar normalmente. Resolvido
   o problema os funcionários sentem-se satisfeitos e
   jamais desconfiarão que foram alvos de um hacker
   (Granger,2001).
Engenharia Social
Engenharia Social
O que Fazer?
Engenharia Social

Formas de Prevenção:
Para amenizar estes riscos, é recomendável que as empresas criem
   políticas de segurança centralizada e bem divulgada, para que
   todos os seus colaboradores saibam como proteger as
   informações que estão em seu poder.

As intranets podem ser um recurso valioso para esta
   divulgação, assim como boletins periódicos on-line, lembretes
   no correio eletrônico, requisitos de mudança de senha e
   treinamento.
Engenharia Social

Formas de Prevenção:
O maior risco é de os funcionários tornarem-se complacentes
   e relaxarem na segurança; por isso a importância da
   insistência (Granger,2002).

O treinamento deve estender-se por toda a empresa.
   Diretores, gerentes, supervisores, e demais funcionários,
   todos devem ser treinados. Nestes treinamentos devem
   ser exploradas as táticas comuns de intromissão e as
   estratégias de prevenção. Quando alguém captar sinais de
   um ataque, deve imediatamente alertar os demais, para
   que não sejam também abordados.

Mais conteúdo relacionado

Mais procurados

Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redeselliando dias
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoEmerson Rocha
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação   alunosApostila de princípios de segurança da informação   alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Paulo Sousa
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 

Mais procurados (20)

Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informação
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de Informações
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação   alunosApostila de princípios de segurança da informação   alunos
Apostila de princípios de segurança da informação alunos
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 

Semelhante a Segurança dos sistemas de informação

Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informaçãomastroianni oliveira
 
Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.GDGFoz
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganarAnderson Zardo
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia SocialMiguel Reis
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
SEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptSEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptAgostinho9
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacionalLucas Mellos Carlos
 

Semelhante a Segurança dos sistemas de informação (20)

FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptx
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informação
 
Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganar
 
E-book sobre Engenharia Social
E-book sobre Engenharia SocialE-book sobre Engenharia Social
E-book sobre Engenharia Social
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade Humana
 
Engenharia Social.docx
Engenharia Social.docxEngenharia Social.docx
Engenharia Social.docx
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
 
Crimes digitais
Crimes digitaisCrimes digitais
Crimes digitais
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
SEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptSEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.ppt
 
3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional3º SICT-Sul Minicurso Técnicas para segurança computacional
3º SICT-Sul Minicurso Técnicas para segurança computacional
 

Mais de Rodrigo Gomes da Silva

Mais de Rodrigo Gomes da Silva (14)

BABOK - Visão Geral
BABOK - Visão GeralBABOK - Visão Geral
BABOK - Visão Geral
 
Análise de negócios para curiosos
Análise de negócios para curiososAnálise de negócios para curiosos
Análise de negócios para curiosos
 
Gerenciamento de Requisitos de Software
Gerenciamento de Requisitos de SoftwareGerenciamento de Requisitos de Software
Gerenciamento de Requisitos de Software
 
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
Es 04   desenvolvimento de software dirigido por casos de uso - parte iiiEs 04   desenvolvimento de software dirigido por casos de uso - parte iii
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
 
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
Es 02   desenvolvimento de software dirigido por casos de uso - parte iEs 02   desenvolvimento de software dirigido por casos de uso - parte i
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
 
PHP Orientado a Objetos
PHP Orientado a ObjetosPHP Orientado a Objetos
PHP Orientado a Objetos
 
Introdução ao RUP
Introdução ao RUPIntrodução ao RUP
Introdução ao RUP
 
Introdução à UML com Casos de Uso
Introdução à UML com Casos de UsoIntrodução à UML com Casos de Uso
Introdução à UML com Casos de Uso
 
Computacao na 01_introdução
Computacao na 01_introduçãoComputacao na 01_introdução
Computacao na 01_introdução
 
Aula inaugural computação
Aula inaugural computaçãoAula inaugural computação
Aula inaugural computação
 
Comércio eletrônico
Comércio eletrônicoComércio eletrônico
Comércio eletrônico
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Pirataria de software
Pirataria de softwarePirataria de software
Pirataria de software
 
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacaoAsi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
 

Segurança dos sistemas de informação

  • 1. Segurança dos Sistemas de Informação Parte I Prof. Rodrigo Gomes da Silva
  • 2. Segurança da Informação No meio computacional, o termo segurança da informação é usado com o significado de minimizar a vulnerabilidade dos dados, da informação, do conhecimento e da infra-estrutura de Tecnologia da Informação e Comunicação (TIC) que o suporta. Vulnerabilidade é qualquer fraqueza que pode ser explorada para se violar um sistema ou para acessar as informações que ele contém .
  • 3. Segurança da Informação • A segurança da informação está relacionada à necessidade de proteção contra o acesso ou manipulação intencional ou não de informações confidenciais por elementos não autorizados e a utilização não autorizada do computador ou de seus dispositivos periféricos.
  • 4. Segurança da Informação • Motivos para invações: – utilizar o sistema em alguma atividade ilícita, para esconder a real identidade e localização do invasor; – utilizar o sistema para lançar ataques contra outros sistemas; – utilizar o espaço de armazenamento como repositório de dados, geralmente infringindo leis de direitos autorais; – destruir informações (vandalismo); – disseminar mensagens alarmantes e falsas;
  • 5. Segurança da Informação • Motivos para invações: – ler e enviar e-mails em nome de outra pessoa; – propagar vírus de computador; – furtar números de cartões de crédito e senhas bancárias; – furtar a senha de contas, para acessar outros sistemas em nome de outras pessoas; – furtar dados pessoais presentes nos sistemas como, por exemplo, informações sobre a declaração do Imposto de Renda.
  • 6. Conceitos iniciais em segurança da informação
  • 7. Segurança da Informação Conceitos Importantes sobre informação: • Confidencialidade • Integridade • Disponibilidade
  • 8. Segurança da Informação Confidencialidade: • Quando informações são lidas ou copiadas por alguém não autorizado a fazê-lo. • Para alguns tipos de informações, confidencialidade é um atributo indispensável. Como exemplo, pode-se considerar dados de pesquisas, especificações de um novo produto e estratégias de investimento empresarial. • Em algumas situações, há uma obrigação moral, e até mesmo legal em alguns casos, de proteger a privacidade dos dados referentes a um indivíduo. Isso é particularmente verdadeiro para bancos e companhias de empréstimo, companhias de cartão de crédito, consultórios médicos etc.
  • 9. Segurança da Informação Integridade: • Informações podem ser corrompidas quando disponíveis em uma rede de computadores. Quando uma informação é modificada de uma forma não esperada, o resultado é conhecido com perda de integridade. • Isso significa que mudanças não autorizadas são realizadas nas informações, seja por erro humano ou de forma intencional. • Integridade é particularmente importante para informações de segurança crítica usadas para atividades como controle de tráfego aéreo, contabilidade financeira, transações bancárias etc.
  • 10. Segurança da Informação Disponibilidade: • A informação também pode ser apagada ou tornar-se inacessível, resultando na falta de disponibilidade. Isto significa que pessoas que são autorizadas a acessar a informação não podem fazê-lo. • Disponibilidade é, freqüentemente, o atributo mais importante em negócios que dependem da informação.
  • 11. Segurança da Informação Conceitos Importantes sobre pessoas (usuários): • Autenticação • Autorização
  • 12. Segurança da Informação Autenticação: • A autenticação é utilizada para provar que o usuário é quem diz ser. Esse processo envolve algo que o usuário conheça (como uma senha), algo que ele tenha (como um smartcard) ou algo sobre o usuário que prove sua identificação (com o uso de recursos biométricos).
  • 13. Segurança da Informação Autorização: • Autorização, por sua vez, é o ato de determinar se um usuário particular (ou sistema computacional) tem o direito de executar certa atividade, como a leitura de um arquivo ou a execução de um programa. Autenticação e autorização são processos empregados em conjunto. • Os usuários precisam ser autenticados antes de executarem uma atividade que eles estão autorizados a executar. A segurança torna-se mais forte quando o resultado de uma autenticação não pode ser negado posteriormente (ou seja, o usuário não poderá negar que executou uma determinada atividade). Este processo é conhecido como não-repúdio.
  • 14. Como a minha empresa pode sofrer roubos de informação?
  • 15. Engenharia Social Engenharia Social?
  • 16. Engenharia Social A Engenharia Social, de maneira simples, caracteriza-se por explorar a fragilidade das pessoas. Em outras palavras, consiste na habilidade de obter informações ou acesso indevido a determinado ambiente ou sistema, utilizando técnicas de persuasão (Vargas,2002).
  • 17. Engenharia Social O dito popular “jogar verde pra colher maduro” define bem o tema. Quem nunca se viu envolvido sendo questionado sobre um determinado assunto e, quando se deu conta, já tinha “entregue o ouro pro bandido?” Isso quando a pessoa se dá conta; muitas vezes ela fala e nem percebe o conteúdo do que foi dito.
  • 18. Engenharia Social Características: • Ataques altamente eficazes • Custo relativamente baixo • Muitas empresas e pessoas não percebem que foram atacados • Na maioria das vezes, pessoas atacadas não admitem
  • 19. Engenharia Social Características: • Formas variadas de ataque que exploram a fragilidade e a ingenuidade das pessoas Tipos de Ataques: • Físico: local de trabalho, telefone, lixo, etc • Psicológico: maneira como o ataque é executado, persuasão
  • 20. Engenharia Social Local de Trabalho : Nomes, lista de ramais, endereços eletrônicos, organogramas e outros dados da empresa, comumente ficam expostos em lugares onde transitam pessoas estranhas. Um hacker pode simplesmente entrar na empresa como se fosse um técnico em manutenção ou consultor que tem livre acesso às dependências da empresa e, enquanto caminha pelos corredores, pode ir captando todas estas informações que porventura estejam expostas (Maia,2002).
  • 21. Engenharia Social Por Telefone: Esta modalidade de ataque vai desde roubar informações de funcionários ingênuos até a clonagem ou grampo telefônico. Um hacker chega na empresa passando-se por um técnico que fará manutenção da central telefônica e, em seguida, desvia uma linha de onde pode efetuar ligações para qualquer parte do mundo, ou então pode grampear os telefones de algum executivo.
  • 22. Engenharia Social Lixo: O lixo das empresas pode ser uma fonte muito rica de informações para um hacker. Vasculhar o lixo, é um método muito usado pelos invasores, porque é comum encontrarmos itens como cadernetas com telefones, organograma da empresa, manuais de sistemas utilizados, memorandos, relatórios com informações estratégicas, apólices de seguro e até anotações com login e senha de usuários.
  • 23. Engenharia Social Lixo: As listas telefônicas podem fornecer os nomes e números das pessoas-alvo, o organograma mostra quem são as pessoas que estão no comando, as apólices mostram o quanto a empresa é segura ou insegura, os manuais dos sistemas ensinam como acessar as informações e assim todo e qualquer lixo poderá ser de grande valia para uma pessoa mal intencionada (Granger,2001).
  • 24. Engenharia Social Desafio das Senhas: As senhas são os principais pontos fracos das empresas. É comum as pessoas dividirem senhas com outras ou escolherem senhas fracas, sem a menor preocupação. Muitos usam como senha, palavras que existem em todos os dicionários, seus apelidos, ou até mesmo o próprio nome que, com um software5 gerenciador de senhas, é possível decifrá-las em segundos(Virinfo,2002). Segundo Kevin Mitnick (2001), elas chegam a representar 70% do total de senhas utilizadas nas empresas.
  • 25. Engenharia Social Engenharia Social online: Talvez a maneira mais fácil de se conseguir um acesso é através da internet. A displicência dos usuários que criam senhas fáceis de serem descobertas, que ficam longos períodos sem alterá-las, e ainda utilizam a mesma senha para acesso a várias contas, torna o ataque mais simples.
  • 26. Engenharia Social Engenharia Social online: As salas de bate-papo também são um canal explorado para o roubo de informações. Homens e mulheres se dizem jovens, atraentes e de bom papo. Na verdade podem ser farsantes que manipulam os sentimentos das pessoas em busca de informações (Maia,2002).
  • 27. Engenharia Social Engenharia Social online: Os e-mails também podem ser usados como meio para conseguir acesso a um sistema. Por exemplo, um e-mail enviado para alguém pode conter um vírus de computador ou cavalos de tróia, que, quando instalados no computador da vítima, podem destruir todas as informações, ou simplesmente ficar ocultos e transmitindo ao invasor todo tipo de informação como, senhas, números de cartão de crédito, ou mesmo abrir o firewall da empresa, deixando-a vulnerável a qualquer tipo de ataque (Granger,2001).
  • 28. Engenharia Social Persuasão: Os próprios hackers vêem a engenharia social de um ponto de vista psicológico, enfatizando como criar o ambiente psicológico perfeito para um ataque. Os métodos básicos de persuasão são: personificação, insinuação, conformidade e a velha amizade. Independente do método usado, o objetivo principal é convencer a pessoa que dará a informação, de que o engenheiro social é, de fato uma pessoa a quem ela pode confiar as informações prestadas.
  • 29. Engenharia Social Persuasão: Personificação geralmente significa criar algum tipo de personagem e representar um papel. Quanto mais simples esse papel, melhor. Às vezes, isto pode ser apenas ligar para alguém e dizer: “Oi, eu sou Marcos do setor de informática e preciso da sua senha”. Mas isto nem sempre funciona. Outra tática comum que pode ser utilizada num ataque de personificação é o hacker se passar por assistente da gerência ou mesmo presidência e pedir a um funcionário, em nome do seu superior, alguma informação. Para não criar atritos com seu superior, o usuário fornece as informações sem muitos questionamentos.
  • 30. Engenharia Social Persuasão: Quando em dúvida, a melhor maneira de obter informação no ataque de engenharia social é ser amigável. O local para abordagem não necessariamente precisa ser na empresa; pode ser num clube ou numa mesa de bar. O hacker só precisa conquistar a confiança do funcionário alvo, a ponto de convencê-lo a prestar “toda a ajuda solicitada”. Além disso, a maioria dos funcionários responde bem a gentilezas, especialmente as mulheres. Uma bajulação pode ajudar a convencer o funcionário alvo a cooperar no futuro. Um hacker esperto sabe quando parar de extrair informações antes que a vítima suspeite que está sendo alvo de um ataque (Granger,2001).
  • 31. Engenharia Social Engenharia Social Inversa: Isto ocorre quando um hacker cria uma personalidade que aparece numa posição de autoridade, de modo que todos os usuários lhe pedirão informação. Se pesquisados, planejados e bem executados, os ataques de engenharia social inversa permitem ao hacker extrair dos funcionários informações muito valiosas; entretanto, isto requer muita preparação e pesquisa.
  • 32. Engenharia Social Engenharia Social Inversa: Os três métodos de ataques de engenharia social inversa são, sabotagem, propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede, então divulga que possui a solução para este, e se propõe a solucioná-lo. Na expectativa de ver a falha corrigida, os funcionários passam para o hacker todas as informações por ele solicitadas. Após atingir o seu objetivo, o hacker elimina a falha e a rede volta funcionar normalmente. Resolvido o problema os funcionários sentem-se satisfeitos e jamais desconfiarão que foram alvos de um hacker (Granger,2001).
  • 36. Engenharia Social Formas de Prevenção: Para amenizar estes riscos, é recomendável que as empresas criem políticas de segurança centralizada e bem divulgada, para que todos os seus colaboradores saibam como proteger as informações que estão em seu poder. As intranets podem ser um recurso valioso para esta divulgação, assim como boletins periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de senha e treinamento.
  • 37. Engenharia Social Formas de Prevenção: O maior risco é de os funcionários tornarem-se complacentes e relaxarem na segurança; por isso a importância da insistência (Granger,2002). O treinamento deve estender-se por toda a empresa. Diretores, gerentes, supervisores, e demais funcionários, todos devem ser treinados. Nestes treinamentos devem ser exploradas as táticas comuns de intromissão e as estratégias de prevenção. Quando alguém captar sinais de um ataque, deve imediatamente alertar os demais, para que não sejam também abordados.