O documento aborda a segurança de dados e informações, focando na classificação e planejamento de ataques cibernéticos. Ele detalha as etapas envolvidas em um ataque, desde o levantamento de informações até a camuflagem das evidências, e classifica os diferentes tipos de ataques. Além disso, menciona os fatores que contribuem para a vulnerabilidade de sistemas e aplicações.

1. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 1
Escola Técnica Estadual Aderico Alves de Vasconcelos
Curso Técnico de Redes de Computadores
Professor Fagner Lima (ete.fagnerlima.pro.br)
Segurança de Dados e Informações
Aula 3
Ataques

2. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 2
Planejamento de um Ataque
1) Levantamento de informações
2) Exploração das informações (scanning)
3) Obtenção de acesso
4) Manutenção do acesso
5) Camuflagem das evidências

3. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 3
Planejamento de um Ataque
1) Levantamento das Informações
– Fase preparatória
– Coleta do maior número de informações
– Reconhecimento passivo
● Sem interação direta com o alvo
– Reconhecimento ativo
● Interação direta com o alvo

4. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 4
Planejamento de um Ataque
2) Exploração das informações (scanning)
– Exploração da rede
● Baseada nas informações obtidas
– Técnicas e softwares:
● Port scan
● Scanner de vulnerabilidade
● Network mapping

5. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 5
Planejamento de um Ataque
3) Obtenção do Acesso
– Penetração do sistema
– Exploração das vulnerabilidades
● Internet, rede local, fraude ou roubo
– Possibilidade de acesso:
● Sistema operacional, aplicação ou rede

6. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 6
Planejamento de um Ataque
4) Manutenção do Acesso
– Manutenção do domínio sobre o sistema
– Proteção contra outros atacantes
– Acessos exclusivos
● Rootkits, backdoors ou trojans
– Upload, download e manipulação
● Dados, aplicações e configurações

7. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 7
Planejamento de um Ataque
5) Camuflagem das evidências
– Camuflagem dos atos não autorizados
– Aumento da permanência no hospedeiro

8. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 8
Classificação dos Ataques
● Ataques para obtenção de informações
● Ataques ao sistema operacional
● Ataques à aplicação
● Ataques de códigos pré-fabricados
● Ataques de configuração mal feita

9. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 9
Classificação dos Ataques
● Ataques para obtenção de informações
– Informações:
● Endereço específico
● Sistema operacional
● Arquitetura do sistema
● Serviços executados

10. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 10
Classificação dos Ataques
● Ataques a sistemas operacionais
– Natureza complexa
– Implementação de vários serviços
– Portas abertas por padrão
– Diversos programas instalados
– Falta da aplicação de patches
– Falta de conhecimento e perfil do profissional de TI

11. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 11
Classificação dos Ataques
● Ataques à Aplicação
– Tempo curto de desenvolvimento
– Grande número de funcionalidades e recursos
– Falta de profissionais qualificados
– Falta de testes

12. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 12
Classificação dos Ataques
● Ataques de códigos pré-fabricados
– Por que reinventar a roda?
– Scripts prontos
– Facilidade e agilidade
– Falta de processo de refinamento
– Falta de customização para as reais necessidades

13. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 13
Classificação dos Ataques
● Ataques de configuração mal feita
– Configurações incorretas
– Falta do conhecimento e recursos necessários
– Criação de configurações simples

14. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 14
Tipos de Ataques
● Engenharia Social
● Phishing Scan
● Denial of Service (DOS)
● Distributed Denial of Service (DDoS)
● SQL Injection

15. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 15
Tipos de Ataques
● Engenharia Social
– Persuasão
– Ingenuidade ou confiança do usuário

16. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 16
Tipos de Ataques
● Phishing Scan
– Envio de mensagem não solicitada (spam)
– Indução do acesso a páginas fraudulentas

17. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 17
Tipos de Ataques
● Denial of Service (DoS)
– Indisponibilidade dos recursos do sistema
– Sem ocorrência de invasão
– Invalidação por sobrecarga

18. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 18
Tipos de Ataques
● Distributed Denial of Service (DDoS)
– Computador mestre (master)
– Computadores zumbis (zombies)

19. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 19
Tipos de Ataques
● SQL Injection
– Falhas de sistemas que usam bancos de dados
– Utilização de SQL
● Linguagem de manipulação de bancos de dados
– Inserção de instruções SQL em uma consulta
– Manipulação das entradas de dados

20. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 20
Escola Técnica Estadual Aderico Alves de Vasconcelos
Curso Técnico de Redes de Computadores
Professor Fagner Lima (ete.fagnerlima.pro.br)
Segurança de Dados e Informações
Aula 3
Ataques

21. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 21
Referências
● STALLINGS, W. Criptografia e Segurança de
Redes: Princípios e Práticas. São Paulo: Pearson
Education do Brasil, 2015.
● GALVÃO, M. C. G. Fundamentos em segurança da
informação. São Paulo: Pearson Education do Brasil,
2015.
● GUIMARÃES, R. Gestão de Segurança da
Informação. Rio de Janeiro: Estácio.