O documento resume três tópicos principais sobre segurança cibernética: 1) conceitos básicos como confidencialidade, integridade e disponibilidade da informação; 2) técnicas de ataques cibernéticos como engenharia social, phishing e malware; 3) mecanismos de segurança como políticas, firewalls e criptografia.
2. 2
Cyber Security
Cyber Security
k mbszdyqbkpsk o y kvsmobmo
occoxmskv nk sxnozoxnoxmsk nkc
ybqkxsjkmyoc xk sxdobxod, kccsw mywy
yc ohobmsdyc cky yc kvsmobmoc
occoxmsksc nyc ocdknyc, zybaeo, no
yedby wyny, ew ocdkny pkmsvwoxdo
kccewsbsk y myxdbyvo no yedby.
3. 3
Cyber Security
Cyber Security
Segurança da Informação
Conjunto de medidas aplicadas às informações para
preservar o seu valor.
Segurança de Tecnologia da Informação
Cyber Security
Protege computadores e servidores, dispositivos móveis,
sistemas eletrônicos, redes e dados de ataques
maliciosos
4. 4
Cyber Security
Cyber Security
Atributos básicos que os serviços de segurança
devem entregar às informações:
Confidencialidade
Uma informação somente pode ser acessada por pessoas
que devem ter seu conhecimento
Integridade
Garantia de que as informações acessadas mantêm suas
características originais
Disponibilidade
A Informação deve poder ser legitimamente acessada no
momento em que for necessário
5. 5
Cyber Security
Cyber Security
Atributos complementares que os serviços de
segurança devem entregar às informações:
● Autenticidade ou Autenticação
○ Garantia de que a entidade que se comunica é aquela que ela afirma ser
● Não-Repúdio ou Irretratabilidade
○ Impede que uma entidade negue a autoria de determinada informação
● Controle de Acesso
○ Impede o uso não autorizado de um recurso
● Conformidade ou Legalidade
○ Observância à legislação aplicável
LGPD : Lei Geral de Proteção de Dados
Regula o tratamento dos dados pessoais de cidadãos brasileiros
Vídeo: https://www.youtube.com/watch?v=Tk-r0GUt1GU
Texto oficial na íntegra: http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/L13709.htm
6. 6
Cyber Security
Cyber Security
Técnicas usadas em Golpes Cibernéticos:
Engenharia Social
Uso de persuasão, aproveitando-se de ingenuidade ou confiança,
para a obtenção de informações
Phishing
Prática de enviar mensagens fraudulentos com o objetivo de
roubar dados confidenciais
- Pharming: adulteração em DNS, fazendo com que a
URL de um site passe a apontar para um servidor diferente do
original.
➢ Furto de Identidade
➢ Execução de Malwares (códigos maliciosos)
➢ Motivações financeiras
➢ Motivações ideológicas
9. 9
Cyber Security
Cyber Security
Golpes Cibernéticos:
Exemplos:
A vítima, ao cair no golpe, é
usada para monetização de
anúncios, é levada a enganar
outros amigos pelo WhatsApp,
e acaba caindo no formulário
de pedir uma amostra grátis do
perfume, sendo que bastaria ter
acessado diretamente o site da
empresa.
10. 10
Cyber Security
Cyber Security
Dicas para evitar Golpes Cibernéticos:
❖ Identificar as seguintes características, comuns em mensagens
contendo tentativas de golpes:
➢ oferecimento de vantagens financeiras
➢ solicita que seja respondida rapidamente
➢ erros de ortografia ou gramaticais
❖ Desconfie de solicitações de pagamentos antecipados
❖ Cuidado ao acessar links
➢ procure digitar o endereço no navegador
➢ desconfie de redirecionamento de URL
❖ Verifique se a página utiliza conexão segura 🔒 e verifique se o
certificado corresponde ao site verdadeiro
❖ Utilize mecanismos de segurança
11. 11
Cyber Security
Cyber Security
Técnicas de Ataques Cibernéticos:
❏ Exploração de vulnerabilidades
Ausência de proteções ou falhas que permitem a violação da segurança.
❏ Varredura em redes (scan)
Coleta de informações e busca de vulnerabilidades. Pode ou não ser legítima.
❏ Falsificação de e-mail (e-mail spoofing)
Técnica que consiste em alterar o cabeçalho de um e-mail, para aparentar o
envio de uma determinada origem quando, na verdade, foi enviado de outra.
❏ Interceptação de tráfego (sniffing)
Técnica para inspecionar dados trafegados em redes, por meio de programas
específicos (sniffers). Pode ou não ser legítima.
❏ Força bruta
Consiste em adivinhar, por tentativa e erro, um nome de usuário e senha.
❏ Desfiguração de página (defacement)
❏ Negação de serviço (Dos e DDoS)
Tem o objetivo de causar indisponibilidade, por meio do
esgotamento de recursos.
12. 12
Cyber Security
Cyber Security
Técnicas de Ataques Cibernéticos:
Códigos Maliciosos (Malware)
Software projetado para obter acesso não
autorizado, executar ações danosas e maliciosas.
➢ Vírus
➢ Worm
➢ Bot e Botnet
➢ Spyware
➢ Backdoor
➢ Cavalo de tróia (trojan)
➢ Rootkit
Diferenciam-se basicamente por:
● forma de obtenção
● forma de instalação
● meios usados para propagação
● ações maliciosas mais comuns
No entanto, o surgimento de variantes de
malware que mesclam suas características entre
si tem tornado sua classificação impraticável.
13. 13
Cyber Security
Cyber Security
Técnicas de Ataques Cibernéticos:
Ransomware
Ransomware é um tipo de código malicioso que torna inacessíveis os dados
armazenados em um equipamento, geralmente usando criptografia, e que exige
pagamento de resgate (ransom) para restabelecer o acesso ao usuário.
O pagamento do resgate geralmente
é exigido por criptomoedas, e não há
garantia que as informações possam
ser recuperadas após o pagamento.
● WannaCry
➢ Vídeo: Anatomia de um ataque
14. 14
Cyber Security
Cyber Security
Mecanismos de Segurança:
● Política de Segurança
○ Define os direitos e as responsabilidades de cada um em relação à
segurança dos recursos computacionais
● Notificação de incidentes e abusos
○ Eventos adversos relacionados à segurança de TI devem ser comunicados.
● Contas e senhas
○ Mecanismo mais usado para controle de acesso.
○ Autenticação forte: deve usar pelo menos 2 fatores (sabe, possui, é)
● Cópias de Segurança (backups)
○ Permitem a preservação dos dados em casos fortuitos.
● Registro de eventos (logs)
○ Registra o histórico de atividades de programas, é usado em auditorias e
troubleshooting.
15. 15
Cyber Security
Cyber Security
Mecanismos de Segurança:
● Firewall
○ Barreira através da qual todo o tráfego deve obrigatoriamente passar,
sendo submetido a um conjunto definido de regras de segurança e
filtragem.
○ Controla os dados que entram e saem de um computador ou rede.
❖ Tipos de Firewall
➢ Firewall Pessoal (host)
➢ Firewall de Rede (network)
❖ Tipos de Firewall de Rede
➢ Filtro de pacotes
➢ Statefull inspection
➢ UTM
➢ NGFW
17. 17
Cyber Security
Cyber Security
Criptografia
➢ “Escrita Secreta”
➢ Arte de escrever mensagens de forma codificada
➢ É um dos principais mecanismos utilizados pela Cyber Security
Tópicos:
Criptografia de chaves simétricas
x
Criptografia de chaves assimétricas
Funções de Resumo (hash)
Assinatura Digital
Certificado Digital
18. 18
Cyber Security
Cyber Security
Criptografia de chaves simétricas
➢ criptografia de chave secreta ou única
➢ utiliza uma mesma chave tanto para codificar como para decodificar informações
➢ Exemplos: DES, 3DES, AES, IDEA, Twofish, Serpent
19. 19
Cyber Security
Cyber Security
Exemplo:
Cifra de César - Chave 3
Shqvh irud gd fdlad.
Cifra de César - Chave 22
Lajoa bknw zw ywetw.
Texto Claro
Pense fora da caixa.
Criptografia
➢ Cifra de César
Cifra de substituição simples na qual cada letra de um texto a ser
criptografado é substituída por outra letra, presente no alfabeto porém
deslocada um certo número de posições.
20. 20
Cyber Security
Cyber Security
Criptografia - Cifra de César - Chave 10
K mbszdyqbkpsk o y kvsmobmo occoxmskv nk
sxnozoxnoxmsk nkc ybqkxsjkmyoc xk sxdobxod, kccsw mywy
yc ohobmsdyc cky yc kvsmobmoc occoxmsksc nyc ocdknyc,
zybaeo, no yedby wyny, ew ocdkny pkmsvwoxdo kccewsbsk y
myxdbyvo no yedby.
A criptografia é o alicerce essencial da independência das
organizações na Internet, assim como os exércitos são os
alicerces essenciais dos estados, porque, de outro modo, um
estado facilmente assumiria o controle de outro.
Julian Assange
https://www.theguardian.com/media/2012/dec/07/julian-assange-fugitive-interview
21. 21
Cyber Security
Cyber Security
Criptografia de chaves assimétricas
➢ Criptografia de chave pública
➢ Utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e
uma privada, que deve ser mantida em segredo por seu dono.
➢ Uma informação codificada com uma das chaves, só pode ser decodificada com
a outra chave do par.
➢ Qual chave usar para codificar depende da proteção que se deseja.
➢ A chave privada pode ser armazenada de diferentes maneiras, como um arquivo
no computador, um smartcard ou um token.
➢ Exemplos: RSA,
Diffie-Hellman.
22. 22
Cyber Security
Cyber Security
Chaves Simétricas x Chaves Assimétricas
A criptografia de chave simétrica, quando comparada com a de chaves
assimétricas, é a mais indicada para garantir a confidencialidade de grandes volumes
de dados, pois seu processamento é mais rápido. Todavia, quando usada para o
compartilhamento de informações, se torna complexa e pouco escalável, em virtude
da:
● necessidade de um canal de comunicação seguro para promover o compartilhamento da chave secreta
entre as partes (o que na Internet pode ser bastante complicado) e;
● dificuldade de gerenciamento de grandes quantidades de chaves (imagine quantas chaves secretas
seriam necessárias para você se comunicar com todos os seus amigos).
A criptografia de chaves assimétricas, apesar de ter processamento mais lento,
resolve estes problemas, pois não requer que se mantenha uma chave secreta com
cada um que desejar se comunicar, dispensando assim a necessidade de um canal
de comunicação seguro para o compartilhamento de chaves.
Para aproveitar as vantagens de cada um destes métodos, o ideal é o uso
combinado, onde a criptografia de chave simétrica é usada para a codificação da
informação e a criptografia de chaves assimétricas é utilizada para o
compartilhamento da chave secreta (chave de sessão). Esse uso combinado é
amplamente utilizado pelos navegadores Web e programas leitores de e-mails.
23. 23
Cyber Security
Cyber Security
Funções Resumo (hash)
Método criptográfico que, quando aplicado sobre uma informação, independente
do tamanho que ela tenha, gera um resultado único e de tamanho fixo.
É utilizado para:
● verificar a integridade de um arquivo (alguns sites disponibilizam o hash, além do
próprio arquivo correspondente, para verificar se o arquivo foi corretamente
transmitido e gravado)
● gerar assinaturas digitais
Para verificar a integridade de um arquivo, deve-se calcular o hash e, quando
necessário, gerar novamente este valor. Se os dois hashes forem iguais então você
pode concluir que o arquivo não foi alterado. Caso contrário, este pode ser um forte
indício de que o arquivo esteja corrompido ou que foi modificado.
Exemplos de métodos de hash são: SHA-1, SHA-256 e MD5.
O hash é gerado de tal forma que não é possível realizar o processamento
inverso para se obter a informação original e que qualquer alteração na informação
original produzirá um hash distinto. Apesar de ser teoricamente possível que
informações diferentes gerem hashes iguais, a probabilidade disto ocorrer é bastante
baixa.
24. 24
Cyber Security
Cyber Security
Assinatura Digital
A assinatura digital permite comprovar a autenticidade e a integridade de uma
informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela
não foi alterada.
A assinatura digital baseia-se no fato de que apenas o dono conhece a chave
privada e que, se ela foi usada para codificar uma informação, então apenas seu
dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave
pública, pois se o texto foi codificado com a chave privada, somente a chave pública
correspondente pode decodificá-lo.
Para contornar a baixa eficiência característica da criptografia de chaves
assimétricas, a codificação é feita sobre o hash e não sobre o conteúdo em si, pois é
mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a
informação toda.
25. 25
Cyber Security
Cyber Security
Certificado Digital
➢ Método para comprovar a quem uma chave pública pertence.
➢ Registro eletrônico composto por um conjunto de dados que distingue uma
entidade e associa a ela uma chave pública.
➢ Pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede
(por exemplo, um site Web)
Passaporte
Emissor: Polícia Federal
Certificado Digital
Emissor: Autoridade Certificadora
26. 26
Cyber Security
Cyber Security
Certificado Digital
➢ O certificado digital de uma AC é emitido, geralmente, por outra AC,
estabelecendo uma hierarquia conhecida como "cadeia de certificados" ou
"caminho de certificação". A AC raiz, primeira autoridade da cadeia, é a âncora
de confiança para toda a hierarquia e, por não existir outra AC acima dela, possui
um certificado autoassinado. Os certificados das ACs raízes publicamente
reconhecidas já vêm inclusos, por padrão, em grande parte dos sistemas
operacionais e navegadores e são atualizados juntamente com os próprios
sistemas.