1. Trabalho de Segurança e Auditoria de Sistemas
xxxxxxxxxx – FEUC / BSI – 7º Período / Manhã
Resumos
1. Fraudes de Políticas de Segurança
Fraude:
É um esquema ilícito ou de má fé criado para obter ganhos pessoais.
Golpes mais comuns da internet segundo a FTC:
Oportunidades de negócio;
Venda de malas diretas;
Correntes;
Propostas para trabalho em casa;
Golpes da dieta ou da melhoria de saúde;
Esquemas para ganho de dinheiro fácil;
Produtos gratuitos;
Oportunidades de investimento;
Kits para decodificação de sinal de TV a Cabo;
Garantia de crédito e empréstimo facilitados;
Recuperação de crédito;
Promoções de viagens.
Hoax:
Histórias falsas e má intencionadas recebidas por e-mail cujo objetivo é aproveitar da falta de
informação do usuário.
A segurança da informação está relacionada com proteção de um conjunto de informações, no
sentido de preservar o valor que possuem para um indivíduo ou uma organização.
Seus objetivos devem ser determinados a partir das seguintes determinantes:
Serviços oferecidos versus Segurança fornecida;
Facilidade de uso versus Segurança;
Custo da segurança versus o Risco da perda.
2. Problemas de privacidade no Acesso à Internet
Privacidade Digital:
É usada para a pessoa não expor e disponibilizar suas informações através de meios eletrônicos e
internet.
Política de Privacidade:
2. Usada para que empresas sites entre outros não use e exponha as informações de seus usuários de
maneira inadequada garantindo a integridade de ambos.
Leis de Proteção a privacidade:
Art. 5° - “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas,
assegurando o direito a indenização pelo dano material ou moral decorrente de sua violação.”
Art. 220° - “A manifestação do pensamento, a criação, a expressão e a informação, sob qualquer
forma, processo ou veículo não sofrerão qualquer restrição, observando o disposto nesta
Constituição.”
Selos de Privacidade:
Verificam se os serviços (sites, vídeos etc) não violam a política de privacidade do usuário do
serviço.
Exemplo de ataque:
Cavalo de Tróia - programa disfarçado que executa alguma tarefa maligna, como abrir portas TCP
do computador por exemplo.
Como se Proteger na Internet:
Ao Usar navegadores Web seguros;
Ao usar programas leitores de e-mails;
Ao efetuar transações bancárias e acessar Sites de Internet Banking com certificado válido;
Ao efetuar transações comerciais e acessar sites de comércio eletrônico com certificado válido.
3. Governança de TI e Segurança de Informação
Governança de TI pode se definir como o que tem valor,
São usadas normas de segurança referentes a ISO 27001 e ISO 27002.
ISO 27001:
Anexo A – Normativo: Objetivos de Controles e Controles;
Anexo C – Informativo: Correspondência com a ISO 9001 e ISSO 14001.
Termos e definições são:
Ativo, disponibilidade, confidencialidade:
Disponibilidade: Conceito positivo;
3. Confidencialidade: Conceito negativo.
Requisitos Gerais:
A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da
organização e os riscos que ela enfrenta.
ISO 27002:
Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer
diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da
informação em uma organização”.
A segurança da informação é obtida a partir da implementação de um conjunto de controles
adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de
software e hardware.
Fontes de requisitos de si:
Analise/avaliação de riscos;
Legislação e normas vigentes.
4. ISO 27001/IEC / ISO 27007 / NBR 15999
ISO/IEC 27001:
Foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
ISO 27007:
Fornece diretrizes sobre como gerenciar um programa de auditoria de sistemas de gestão da
segurança da informação (SGSI) e sobre como executar as auditorias e a competência de auditores
de SGSI, em complementação as diretrizes descritas na ABNT NBR ISO 19011.
NBR 15999:
Serve como um guia para orientar as empresas na preparação de um plano alternativo em caso de
algum incidente, com a adoção de melhores práticas em Gestão de Continuidades de Negócios e
orientação de planos de respostas a incidentes.
4. 5. Crimes Digitais e Legislação
Não são feitos somente por pessoas. Podem ser por máquinas, geralmente por máquinas zumbis.
Sempre tem alguém por trás das máquinas
Crimes Analógicos:
Feitos por dispositivos não digitais.
6. Segurança de Dados em Redes Cabeadas e Não Cabeadas
Os princípios básicos de segurança em sistemas são confiabilidade, integridade, disponibilidade e
autenticidade.
Situações de insegurança:
Catástrofes - enchentes, alagamentos, terremotos, desabamentos;
Problemas ambientais.
Situações de Insegurança:
Supressão de serviços - queda de luz, mal funcionamento da internet/rede, comportamento
antissocial; acidentes variados, acão criminosa, contaminação eletrônica (vírus).
Segurança de Redes com Fio:
Algumas das principais ameaças são:
Destruição de informação e de outros recursos;
Modificação ou deturpação da informação;
Roubo, remoção ou perda da informação ou de outros recursos;
Revelação de informações.
Os serviços de segurança em redes de computadores tem como função manter a confidencialidade e
a integridade dos dados.
Os mecanismos de segurança são criptografia firewalls e controle de acesso.
Segurança de Redes sem Fio:
Os mecanismos de segurança usados são cifragem e autenticidade.
7. Perícia, Evidências Digitais e Computação
Objetivos:
Identificação de evidências encontrados em HD, pendrives ou qualquer mídia de armazenamento
5. digital.
Fases da Computação Forense:
Preservação:
Com objetivo de encontrar informações de preservá-las evitando alteração.
Extração:
Extrair as informações encontradas para um outro dispositivo protegido.
Análise:
Analisar a informação para entender o que ela significa.
Vantagens:
Preservação da Prova;
Agrupamento dos dados do processo;
Ética.
Desvantagens:
Dados Variáveis;
Informações invisíveis;
Tecnologia sempre em atualização;
Alguns dos Desafios para essa área serão:
Cloud Computing (Computação em nuvem);
Capacidade crescente de armazenamento em dispositivos;
Inteligência artificial;
Dispositivos móveis.
8. Auditoria de Sistemas
9. Plano de Contingência e Prevenção de Desastres
Impróprio:
Utiliza o meio eletrônico para difamar alguém.
Próprio:
Quando o próprio ambiente digital é a vítima.
10. Criptografia
Escrever uma mensagem que ninguém exceto o remetente e o destinatário, pode ler.
O objetivo é garantir a confidencialidade, privacidade, sigilo das informações, ou seja, garantir que
uma mensagem não será lida por pessoas não autorizadas.
6. Esteganografia:
É a arte de ocultar a mensagem para que ninguém se quer saiba a sua existência.
Criptografia digital:
O tamanho da chave é medido em bits;
A chave é gerada pelo computador através de programas específicos;
Quanto maior a chave mais difícil de descobri-la.
Chave simétrica:
É a utilização de uma chave tanto para cifrar como decifrar uma informação. Chaves iguais para
enviar e para ler.
Características:
Rápida e fácil;
Algoritmo não muito complicado;
Indicada para grande volume de dados;
Chave compartilhada;
Nível de segurança ligado ao tamanho da chave;
DEE: 56 bits;
3des: Triple DES;
AES: 128 bits ou 256 bits (o mais usado atualmente).
Chaves assimétrica / Chave publica:
Tem uma chave privada (chave do dono) e tem a chave publica(chave que é distribuídas
livremente). Uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua
chave privada correspondente e vice-versa.
Características:
Segura, pesada (difícil de processar), só são usadas as chaves do destinatário,
Principal algoritmo:
RSA: admite chaves de 1024,2048 e até mesmo 4096 bits.
Hash – garante a integridade dos dados compartilhados (CPF do arquivo) - garante que o arquivo é
ele mesmo.
11. Assinatura / Certificado Digital
Documentos digitais que contém informações que identificam uma empresa ou pessoa,
respectivamente.
Meios de utilização:
Algoritmo assimétrico - chaves privadas ou publicas.
7. Esteganografia:
É a arte de ocultar a mensagem para que ninguém se quer saiba a sua existência.
Criptografia digital:
O tamanho da chave é medido em bits;
A chave é gerada pelo computador através de programas específicos;
Quanto maior a chave mais difícil de descobri-la.
Chave simétrica:
É a utilização de uma chave tanto para cifrar como decifrar uma informação. Chaves iguais para
enviar e para ler.
Características:
Rápida e fácil;
Algoritmo não muito complicado;
Indicada para grande volume de dados;
Chave compartilhada;
Nível de segurança ligado ao tamanho da chave;
DEE: 56 bits;
3des: Triple DES;
AES: 128 bits ou 256 bits (o mais usado atualmente).
Chaves assimétrica / Chave publica:
Tem uma chave privada (chave do dono) e tem a chave publica(chave que é distribuídas
livremente). Uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua
chave privada correspondente e vice-versa.
Características:
Segura, pesada (difícil de processar), só são usadas as chaves do destinatário,
Principal algoritmo:
RSA: admite chaves de 1024,2048 e até mesmo 4096 bits.
Hash – garante a integridade dos dados compartilhados (CPF do arquivo) - garante que o arquivo é
ele mesmo.
11. Assinatura / Certificado Digital
Documentos digitais que contém informações que identificam uma empresa ou pessoa,
respectivamente.
Meios de utilização:
Algoritmo assimétrico - chaves privadas ou publicas.