Politica Segurança Da Informação

Segurança da Informação Prof. Carlos Caruso, CPP

29/11/2012

Universidade Anhembi Morumbi Laureate

1

Introdução 

O mundo real não é seguro. O mundo virtual é menos ainda. Carlos Caruso

29/11/2012


2

Tópicos de discussão

29/11/2012



Principais ameaças



Prevenção e precauções


3

ORIGEM DA INTERNET A "Grande Rede" embora nascida no meio universitário americano, foi depois utilizada em plena Guerra Fria como arma militar norte-americana de informação, mas, atualmente destaca-se como o mais forte meio de comunicação global.

DEFINIÇÃO DE CRAKER OU HACKER Cracker/hacker - na sua grande maioria, jovem, abaixo de 30 anos, inteligente acima da média, educados, sem qualquer envolvimento anterior com o crime, com poder aquisitivo razoável, do sexo masculino, audaciosos e aventureiros, movidos pelo desafio da superação do conhecimento

29/11/2012


4

LEIS E PROJETOS DE LEIS A Lei n° 9.983/2000 acrescentou 2 (dois) tipos penais ao Código Penal Brasileiro: “Art. 313-A”. Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano: Pena – reclusão, de 2 (dois) a 12 (doze) anos, e multa.”.

“Art.313-B”. Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente: Pena – detenção, de 3 (três) meses a 2 (dois) anos, e multa.” 29/11/2012


5

DECISÕES DA JUSTIÇA BRASILEIRA O dia 31 (trinta e um) de Dezembro de 2003 marca um momento histórico para a Justiça: Márcio Júnior Teles foi condenado pelo crime de estelionato (artigos 171, caput, combinado com o parágrafo 3° do Código Penal), formação de quadrilha (artigo 288 do Código Penal) e violação de sigilo bancário (Lei Complementar 105/2001). Willian Marques Braga condenado a 4 (quatro) anos e 6 (seis) meses de prisão, em regime semi-aberto, por desviar R$ 400 (quatrocentos) mil reais do Fundo de Desenvolvimento Econômico e Social (FUNDES – Estado do Tocantins), foi condenado no artigo 155, parágrafo 4°, incisos I e IV, do Código Penal, que trata de “crime de furto qualificado mediante fraude e destreza e concurso de duas ou mais Universidade Anhembi Morumbi pessoas”. 29/11/2012 Laureate

6

Pesquisas apontam que o Brasil está na rota dos crimes envolvendo a Internet.

Segundo a Polícia Federal, de cada 10 (dez) crackers ativos no mundo, 8 (oito) vivem no Brasil. Além disso, cerca de 2/3 dos responsáveis pela criação de páginas de pedofilia na Internet já detectadas por investigações policiais brasileiras e do exterior - têm origem brasileira. A Polícia também aponta que, no Brasil, as fraudes financeiras que utilizam o ambiente virtual e correios eletrônicos já superam, em valores financeiros, os prejuízos de assalto a banco. (Fonte: IDG Now, citado no sítio forumpcs). 29/11/2012


7

ATAQUES Técnicas de invasão Invasão é a entrada em um site, servidor, computador ou serviço por alguém não autorizado. Mas antes da invasão propriamente dita, o invasor poderá fazer um teste de invasão, que é uma tentativa de invasão em partes, onde o objetivo é avaliar a segurança de uma rede e identificar seus pontos vulneráveis.

Spoofing Nesta técnica, o invasor convence alguém de que ele é algo ou alguém que não é, sem ter permissão para isso, conseguindo autenticação para acessar o que não deveria ter acesso, falsificando seu endereço de origem. É uma técnica de ataque contra a autenticidade, onde um usuário externo se faz passar por um usuário ou computador interno. 29/11/2012


8

Sniffers É um programa de computador que monitora passivamente o tráfego de rede, ele pode ser utilizado legitimamente, pelo administrador do sistema para verificar problemas de rede ou pode ser usado ilegitimamente por um intruso, para roubar nomes de usuários e senhas. Explora os pacotes TCP/IP por não serem criptografados. Para utilizar o sniffer, é necessário que esteja instalado em um ponto da rede, onde passe pacotes de interesse para o invasor ou administrador.

Ataque do tipo DoS - Denial of Service É um ataque de recusa de serviço, estes ataques são capazes de tirar um site do ar, indisponibilizando seus serviços. É baseado na sobrecarga da capacidade ou em uma falha não prevista. 29/11/2012


9

Trojans A denominação “Cavalo de Tróia” (Trojan Horse) foi atribuída aos programas que permitem a invasão de um computador alheio com espantosa facilidade. Nesse caso, o termo é análogo ao famoso artefato militar fabricado pelos gregos espartanos. Um amigo virtual presenteia o outro com um “Presente de Grego”, que seria um aplicativo qualquer. Quando o leigo o executa, o programa atua de forma diferente do que era esperado.

29/11/2012


10

CRIMINOSOS DA INTERNET Kevin Mitnick Kevin era um garotão californiano, autoconfiante, que roubou nada mais, nada menos, que cerca de 20.000 números de cartões de crédito dos associados da rede Netcom. Não satisfeito com sua façanha e tendo conhecimento da existência de Shimomura como o principal especialista em segurança de redes de computadores ligado ao FBI, Mitnick invadiu o computador desse gênio nipo-americano e, por várias vezes, deixou mensagens de desafio e afronta – do tipo “sou o melhor”. Um dos erros de Kevin Mitnick foi subestimar a capacidade de Shimomura e pensar que jamais poderia ser rastreado pelo agente americano, o que resultou numa tremenda caçada por parte desse que é considerado o maior farejador cibernético 29/11/2012


11

CRIMINOSOS DA INTERNET John Draper Pelas informações obtidas até hoje, este foi o primeiro Hacker a receber a conotação de Phreaker (especialista em sistemas de telefonia no underground). Ele desenvolveu uma técnica simples e ao mesmo tempo inteligente para fazer ligações interurbanas gratuitamente, usando um apito de brinquedo que era dado a quem comprasse uma determinada marca de cereal, muito consumido nos Estados Unidos. Também foi preso e sua pena não foi divulgada. 29/11/2012


12

CRIMINOSOS DA INTERNET Phiber Optik Discípulo de John Draper, este foi e continua sendo a fera entre os especialistas em Phreak. Na época, Optik (Mark Abene) fazia parte do grupo nova-iorquino “Mestres da Fraude” e deu início a toda uma nova geração de Hackers, interessados nos meandros dos sistemas de telefonia no país do Tio Sam. Optik também cumpriu parte da pena que lhe foi atribuída e foi solto em liberdade condicional. Recentemente, ministrou várias palestras em alguns estados brasileiros, acompanhado de mais dois exHackers, cobrando somas consideráveis por cada palestra. Hoje é especialista em montar sistemas de segurança para grandes empresas. 29/11/2012


13

CRIMINOSOS DA INTERNET

Vladimir Levin Proveniente da Rússia, onde atualmente se concentram um grande número de piratas cibernéticos, Levin passou a fazer parte da lista de Hackers famosos quando penetrou no sistema de segurança dos computadores do Citibank e desviou alguns milhões de dólares das contas de clientes deste conceituado banco. Quando estava quase embarcando de volta ao seu país, foi preso pela Interpol no aeroporto de Londres. Em seu processo, Vladimir recusava todos os advogados públicos que eram oferecidos para defendê-lo, afirmando sempre que os mesmos eram, na verdade, agentes secretos prontos para espioná-lo. Sua pena também não foi divulgada pela mídia. 29/11/2012


14


Robert Morris Na condição de filho do principal encarregado do National Computer Security Center, rapaz inteligente e com futuro promissor, Robert ficou conhecido nos meios jornalísticos por contaminar a Internet, propositalmente, com um vírus de nome “Worm” (minhoca). Em pouco tempo, inúmeros computadores foram infectados e entraram em pane. Em seu julgamento, Robert afirmou que a contaminação não tinha sido intencional, mas pagou seu erro com uma pena relativamente rigorosa, sendo condenado a cinco anos de prisão com direito a liberdade condicional. 29/11/2012


15


Kevin Pousen Em 1990 a Rádio KIIS-FM, de Los Angeles, Califórnia, EUA, estava oferecendo um Porsche para o autor da centésima segunda chamada telefônica do dia. Kevin assumiu o controle de todas as ligações feitas e colocou sua ligação como se fosse à centésima segunda e levou o ambicioso prêmio. Mais tarde, foi preso por invadir computadores operados por agentes do FBI. A vida de Poulsen inspirou o jornalista Jon Littman a escrever o livro "The Watching".

29/11/2012


16

CRIMINOSOS DA INTERNET Tsutomu Shimomura Tsutomu Shimomura trabalha no San Diego Super Computer Center nas áreas de Física Computacional e Segurança da Informação.

Em 1995 ele ajudou muitas companhias ligadas à Internet a capturar Kevin Mitnick, que tinha roubado software e e-mails dos computadores de Shimomura.

Autor do livro Takedown: The Pursuit and Capture of America’s Most Wanted Computer Outlaw -- By The Man Who Did It, with John Markoff (Hyperion, January 1996) 29/11/2012


17

O Rombo da Fraude Eletrônica Confira alguns dos principais números dos golpes pela internet, no Brasil e no mundo. 300 milhões de reais é o prejuízo admitido pelos bancos com fraudes online no Brasil

920 reais é o prejuízo médio de cada incidente 630 milhões de dólares é a soma dos golpes registrados nos Estados Unidos 850 dólares é o valor médio do desfalque nos golpes aplicados nos Estados Unidos

7,9 milhões de mensagens de phishing são enviados diariamente Dados de 2006 Fontes: Febraban, FGV, Symantec e Consumer Reports.

29/11/2012


18

29/11/2012


19

Senha

Mantê-la em segredo é a sua segurança!

 

É o alvo principal dos ataques Como escolher uma boa senha? 

 

29/11/2012

Ex: 0OdiaMp1

Qual o tempo de troca ideal? Quantas senhas devo ter?


20

Engenharia Social 





29/11/2012

Método para obter informações importantes das pessoas Utilizam telefones, e-mails, salas de bate-papo, redes sociais... Cuidado com as informações fornecidas. Instrua as outras pessoas da casa.


21

Cavalo de Tróia 







29/11/2012

Programas anexados a e-mails ou baixados explorando a credulidade do usuário Permitem que um hacker tenha o controle total da sua máquina Permite ao hacker ver seus arquivos, copiar, apagar, descobrir todas as senhas que v. digita Tratamento: anti-vírus, firewall pessoal e precaução Universidade Anhembi Morumbi Laureate

22

Back Doors 



 

29/11/2012

Semelhantes aos cavalos de Tróia, porém causados por falhas nos programas mais usuais da Internet: Explorer, e-mail, ICQ, IRC e outros Tratamento: visitar periodicamente os sites dos fabricantes e buscar atualizações Anti-vírus não elimina o problema Firewall ajuda, mas não elimina Universidade Anhembi Morumbi Laureate

23

Vírus 





29/11/2012

Programas que vem anexados a emails ou podem ser baixados pelo próprio usuário involuntariamente Podem fazer de tudo, se duplicam e geralmente não são percebidos Proteção: anti-vírus atualizado


24

Programas de e-mail 

Precauções: Desligue a opção auto-execução de e-mails (em Preferências/Configurações)  Regra de ouro: Nunca abra e-mails ou anexos enviados por desconhecidos ou que tenha suspeita quanto ao seu conteúdo 

29/11/2012


25

Salas de bate-papo

29/11/2012



Há perigo?



O perigo é a informação que você está fornecendo a desconhecidos – Estelionatários? Pedófilos? Seqüestradores? Chantagistas? Na maioria das vezes não sabemos com quem estamos falando... Universidade Anhembi Morumbi Laureate

26

Programas de troca instantânea de mensagens  



29/11/2012

Mais conhecidos: ICQ, IRC, AIM e outros Ficam sempre conectados a um servidor e, por isso, podem estar sujeitos a ataques de hackers, principalmente se houver uma falha no programa (backdoor) Dica: ler informações sobre segurança do próprio provedor do serviço


27

Programas de distribuição de arquivos 





29/11/2012

Mais conhecidos:Napster (MP3) e o Gnutella (qualquer tipo de arquivo) O Napster só funciona para música, mas o Gnutella pode enviar qualquer tipo de arquivo, mesmo os confidenciais, se v. os colocar inadvertidamente numa pasta errada. Perigo: arquivos baixados também podem trazer vírus ou cavalos de Tróia


28

Privacidade 

Toda vez que v. visita um site, o seu browser fornece ao servidor do site: Endereço do seu computador (IP)  Nome e versão do sistema operacional  Nome e versão do seu browser  Última página visitada  Resolução do seu monitor Dica: www.anonymizer.com 

29/11/2012


29

Cookies 

São pequenas informações deixadas pelos sites que v. visita no seu browser: 

  





29/11/2012

Guardar seus dados quando v. pula de uma página para outra Manter sua lista de compras Identificar suas preferências Manter uma lista de páginas que v. visitou num site

Problema maior não é de segurança, mas de invasão de privacidade Alguns browsers permitem bloquear cookies, ou que v. os autorize


30

Privacidade de e-mails Seus e-mails podem ser lidos por outras pessoas? Podem! O administrador do servidor de e-mails, se quiser, pode ler os conteúdos das mensagens enquanto v. não baixálas no seu computador  Solução: usar um programa de criptografia, onde v. e o destinatário devem possuir uma chave para poder ler a mensagem (decifrar) 

29/11/2012


31

Spam Mensagens de propaganda que entulham nossa caixa postal de baboseiras  Muitas tentativas de fraudes, virus e cavalos de Tróia vem nessas mensagens  Solução: bloquear remetente (quando propaganda) ou eliminar antes de abrir 

29/11/2012


32

Hoax São as famosas lendas da Internet  Acabam sendo endossadas por pessoas crédulas que as repassam aos amigos e conhecidos  Podem estar acompanhadas de vírus  Melhor solução: eliminar e não abrir  Na dúvida consultar: www.HoaxBusters.ciac.org 

29/11/2012


33

Dados pessoais Jamais forneça seus dados pessoais, nos. de documentos, telefone, nomes de familiares e principalmente número do cartão de crédito  No caso de compra, prefira pagar com ficha de compensação bancária 

29/11/2012


34

Formulários, Comércio Eletrônico e Home Banking Verifique se não há nada de “diferente” no site visitado  Se o site é confiável e se tem conexão segura (deve começar com https e não com apenas http)  Cadeadinho fechado (se estiver aberto, não é segura) – Clicando em cima do cadeado deve aparecer a chave de criptografia utilizada (de 40 até 128 bits) 

29/11/2012


35

Home Banking Dicas de Segurança para ver se o site não é pirata •Minimize a página. Se o teclado virtual também for minimizado, está correto. Caso ficar no meio da tela, Não tecle nada nele •Tecle sua senha errada na primeira vez. Se o site for mesmo do banco, vai apontar o erro. Se não apontar, o site é falso.

29/11/2012


36

Programas de proteção do usuário Anti-vírus •Pricipais funções: •Detectar, bloquear e eliminar vírus •Analisar os arquivos baixados pela Internet ou mesmo aqueles que estejam nos outros drives do computador (A ou C), etc. •Atuar também contra cavalos de Tróia •Criar discos de recuperação (boot), caso o drive C seja afetado •Possibilidade de atualização constante através do site do fornecedor

29/11/2012


37

Programas de proteção do usuário Firewall •Principais funções: •Barrar conexões indesejadas, sites de conteúdo impróprio, etc. •Barrar cavalos de Tróia, mesmo que já estejam instalados •Atuar em conjunto com o anti-vírus •Criar arquivos de log (aviso) ao usuário caso haja uma tentativa de invasão

29/11/2012


38

Programas de proteção do usuário Criptografia e Autenticação (Assinatura eletrônica) •Principais funções: •Com a utilização de chaves de criptografia, fazer com que as mensagens enviadas só possam ser lidas pelo seu destinatário, desde que ele também a possua •Muitos bancos já usam a autenticação obrigatória para os clientes fazerem suas transações (especialmente pessoas jurídicas)

29/11/2012


39

Outras dicas: A informação confidencial não reside apenas nos computadores •Não converse assuntos confidenciais na frente de terceiros – lugares públicos, no elevador, na frente de empregados, etc. •Instrua seus filhos e familiares a fazerem o mesmo e não fornecerem informações a estranhos por telefone, em salas de bate-papo, Orkut, não coloque fotos, etc. •Se perceber que as informações estão saindo fora do seu controle, faça uma varredura anti-grampo periodicamente •Evite ostentação •Procure não sacar quantias elevadas nos bancos •Triture papéis confidenciais antes de jogá-los no lixo •Não deixe papéis confidenciais expostos. Guarde-os em gavetas com chave •Evite a rotina. Faça percursos diferentes Universidade Anhembi Morumbi

29/11/2012

Laureate

40

Outras dicas: •Tire sempre cópia de segurança (back-up) de seus arquivos mais importantes e guarde-os em local diferente (CD, pen-drive, etc) •Se for empresa, adote uma política de segurança da informação a ser seguida por todos os funcionários •Obrigue a troca periódica das senhas (a cada 30 ou 60 dias) e evite senhas óbvias •Use sempre o bom-senso

29/11/2012


41

Clonagem de Caixas Eletrônicos

Colocando um leitor de cartões falso Universidade Anhembi Morumbi Sobre o original 29/11/2012 Laureate

42


Leitor falso instalado é imperceptível 29/11/2012


43


Falso porta-panfletos com microcameras Anhembi Morumbi embutidas para filmar a Universidade senha Laureate digitada 29/11/2012

44


Instalação falsa concluída 29/11/2012


45

Clonagem de Caixas Eletrônicos Câmera que visualiza a tela Câmera que visualiza o teclado

Antena

Bateria

Vista interna do falso porta-panfletos 29/11/2012


46

Obrigado e boa sorte! Carlos Caruso [email protected]

29/11/2012


47

Politica Segurança Da Informação

Recommend Documents