Segurança da Informação e principais ameaças

Segurança da
Informação

Prof. Carlos Caruso, CPP

Universidade Anhembi Morumbi
29/11/2012 1
Laureate

Introdução
 O mundo real não é
seguro. O mundo virtual é
menos ainda.
Carlos Caruso

29/11/2012 2
Laureate

Tópicos de discussão
 Principais ameaças

 Prevenção e precauções

29/11/2012 3
Laureate

ORIGEM DA INTERNET

A "Grande Rede" embora nascida no meio universitário
americano, foi depois utilizada em plena Guerra Fria como
arma militar norte-americana de informação, mas, atualmente
destaca-se como o mais forte meio de comunicação global.

DEFINIÇÃO DE CRAKER OU HACKER

Cracker/hacker - na sua grande maioria, jovem, abaixo de 30
anos, inteligente acima da média, educados, sem qualquer
envolvimento anterior com o crime, com poder aquisitivo
razoável, do sexo masculino, audaciosos e aventureiros,
movidos pelo desafio da superação do conhecimento

29/11/2012 4
Laureate

LEIS E PROJETOS DE LEIS
A Lei n° 9.983/2000 acrescentou 2 (dois) tipos penais ao
Código Penal Brasileiro:

“Art. 313-A”. Inserir ou facilitar, o funcionário autorizado, a
inserção de dados falsos, alterar ou excluir indevidamente
dados corretos nos sistemas informatizados ou bancos de
dados da Administração Pública com o fim de obter vantagem
indevida para si ou para outrem ou para causar dano: Pena –
reclusão, de 2 (dois) a 12 (doze) anos, e multa.”.

“Art.313-B”. Modificar ou alterar, o funcionário, sistema de
informações ou programa de informática sem autorização ou
solicitação de autoridade competente: Pena – detenção, de 3
(três) meses a 2 (dois) anos, e multa.”

29/11/2012 5
Laureate

DECISÕES DA JUSTIÇA BRASILEIRA

O dia 31 (trinta e um) de Dezembro de 2003 marca um
momento histórico para a Justiça:

Márcio Júnior Teles foi condenado pelo crime de estelionato
(artigos 171, caput, combinado com o parágrafo 3° do Código
Penal), formação de quadrilha (artigo 288 do Código Penal) e
violação de sigilo bancário (Lei Complementar 105/2001).

Willian Marques Braga condenado a 4 (quatro) anos e 6 (seis)
meses de prisão, em regime semi-aberto, por desviar R$ 400
(quatrocentos) mil reais do Fundo de Desenvolvimento
Econômico e Social (FUNDES – Estado do Tocantins), foi
condenado no artigo 155, parágrafo 4°, incisos I e IV, do
Código Penal, que trata de “crime de furto qualificado
mediante fraude e destreza e concurso de duas ou mais
pessoas”.
29/11/2012
Laureate 6

Pesquisas apontam que o Brasil está na rota dos
crimes envolvendo a Internet.

Segundo a Polícia Federal, de cada 10 (dez) crackers ativos no
mundo, 8 (oito) vivem no Brasil. Além disso, cerca de 2/3 dos
responsáveis pela criação de páginas de pedofilia na Internet -
já detectadas por investigações policiais brasileiras e do
exterior - têm origem brasileira.

A Polícia também aponta que, no Brasil, as fraudes financeiras
que utilizam o ambiente virtual e correios eletrônicos já
superam, em valores financeiros, os prejuízos de assalto a
banco.

(Fonte: IDG Now, citado no sítio forumpcs).
29/11/2012 7
Laureate

ATAQUES
Técnicas de invasão

Invasão é a entrada em um site, servidor, computador ou
serviço por alguém não autorizado. Mas antes da invasão
propriamente dita, o invasor poderá fazer um teste de invasão,
que é uma tentativa de invasão em partes, onde o objetivo é
avaliar a segurança de uma rede e identificar seus pontos
vulneráveis.
Spoofing

Nesta técnica, o invasor convence alguém de que ele é algo ou
alguém que não é, sem ter permissão para isso, conseguindo
autenticação para acessar o que não deveria ter acesso,
falsificando seu endereço de origem. É uma técnica de ataque
contra a autenticidade, onde um usuário externo se faz passar
por um usuário ou computador interno.

29/11/2012 8
Laureate

Sniffers

É um programa de computador que monitora passivamente o
tráfego de rede, ele pode ser utilizado legitimamente, pelo
administrador do sistema para verificar problemas de rede ou
pode ser usado ilegitimamente por um intruso, para roubar
nomes de usuários e senhas. Explora os pacotes TCP/IP por
não serem criptografados. Para utilizar o sniffer, é necessário
que esteja instalado em um ponto da rede, onde passe pacotes
de interesse para o invasor ou administrador.

Ataque do tipo DoS - Denial of Service

É um ataque de recusa de serviço, estes ataques são capazes
de tirar um site do ar, indisponibilizando seus serviços. É
baseado na sobrecarga da capacidade ou em uma falha não
prevista.

29/11/2012 9
Laureate

Trojans

A denominação “Cavalo de Tróia” (Trojan Horse) foi atribuída
aos programas que permitem a invasão de um computador
alheio com espantosa facilidade.
Nesse caso, o termo é análogo ao famoso artefato militar
fabricado pelos gregos espartanos. Um amigo virtual
presenteia o outro com um “Presente de Grego”, que seria um
aplicativo qualquer. Quando o leigo o executa, o programa
atua de forma diferente do que era esperado.

29/11/2012 10
Laureate

CRIMINOSOS DA INTERNET
Kevin Mitnick
Kevin era um garotão californiano, autoconfiante,
que roubou nada mais, nada menos, que cerca
de 20.000 números de cartões de crédito dos
associados da rede Netcom. Não satisfeito com
sua façanha e tendo conhecimento da existência
de Shimomura como o principal especialista em
segurança de redes de computadores ligado ao
FBI, Mitnick invadiu o computador desse gênio
nipo-americano e, por várias vezes, deixou
mensagens de desafio e afronta – do tipo “sou o
melhor”. Um dos erros de Kevin Mitnick foi
subestimar a capacidade de Shimomura e pensar
que jamais poderia ser rastreado pelo agente
americano, o que resultou numa tremenda
caçada por parte desse que é considerado o
maior farejador cibernético
29/11/2012 11
Laureate

John Draper

Pelas informações obtidas até hoje,
este foi o primeiro Hacker a receber
a conotação de Phreaker
(especialista em sistemas de
telefonia no underground). Ele
desenvolveu uma técnica simples e
ao mesmo tempo inteligente para
fazer ligações interurbanas
gratuitamente, usando um apito de
brinquedo que era dado a quem
comprasse uma determinada marca
de cereal, muito consumido nos
Estados Unidos. Também foi preso
e sua pena não foi divulgada.
29/11/2012 12
Laureate

Phiber Optik
Discípulo de John Draper, este foi e continua
sendo a fera entre os especialistas em
Phreak. Na época, Optik (Mark Abene) fazia
parte do grupo nova-iorquino “Mestres da
Fraude” e deu início a toda uma nova
geração de Hackers, interessados nos
meandros dos sistemas de telefonia no país
do Tio Sam. Optik também cumpriu parte da
pena que lhe foi atribuída e foi solto em
liberdade condicional. Recentemente,
ministrou várias palestras em alguns estados
brasileiros, acompanhado de mais dois ex-
Hackers, cobrando somas consideráveis por
cada palestra. Hoje é especialista em montar
sistemas de segurança para grandes
empresas.
29/11/2012 13
Laureate


Vladimir Levin
Proveniente da Rússia, onde atualmente se
concentram um grande número de piratas
cibernéticos, Levin passou a fazer parte da lista
de Hackers famosos quando penetrou no
sistema de segurança dos computadores do
Citibank e desviou alguns milhões de dólares
das contas de clientes deste conceituado banco.
Quando estava quase embarcando de volta ao
seu país, foi preso pela Interpol no aeroporto de
Londres. Em seu processo, Vladimir recusava
todos os advogados públicos que eram
oferecidos para defendê-lo, afirmando sempre
que os mesmos eram, na verdade, agentes
secretos prontos para espioná-lo. Sua pena
também não foi divulgada pela mídia.
29/11/2012 14
Laureate


Robert Morris

Na condição de filho do principal encarregado
do National Computer Security Center, rapaz
inteligente e com futuro promissor, Robert ficou
conhecido nos meios jornalísticos por
contaminar a Internet, propositalmente, com um
vírus de nome “Worm” (minhoca). Em pouco
tempo, inúmeros computadores foram
infectados e entraram em pane. Em seu
julgamento, Robert afirmou que a contaminação
não tinha sido intencional, mas pagou seu erro
com uma pena relativamente rigorosa, sendo
condenado a cinco anos de prisão com direito a
liberdade condicional.
29/11/2012 15
Laureate


Kevin Pousen

Em 1990 a Rádio KIIS-FM, de Los Angeles,
Califórnia, EUA, estava oferecendo um
Porsche para o autor da centésima segunda
chamada telefônica do dia. Kevin assumiu o
controle de todas as ligações feitas e
colocou sua ligação como se fosse à
centésima segunda e levou o ambicioso
prêmio. Mais tarde, foi preso por invadir
computadores operados por agentes do FBI.
A vida de Poulsen inspirou o jornalista Jon
Littman a escrever o livro "The Watching".

29/11/2012 16
Laureate

Tsutomu Shimomura

Tsutomu Shimomura trabalha no San Diego
Super Computer Center nas áreas de Física
Computacional e Segurança da Informação.
Em 1995 ele ajudou muitas companhias ligadas
à Internet a capturar Kevin Mitnick, que tinha
roubado software e e-mails dos computadores
de Shimomura.

Autor do livro Takedown: The Pursuit and
Capture of America’s Most Wanted Computer
Outlaw -- By The Man Who Did It, with John
Markoff (Hyperion, January 1996)
29/11/2012 17
Laureate

O Rombo da Fraude Eletrônica
Confira alguns dos principais números dos golpes pela
internet, no Brasil e no mundo.
300 milhões de reais é o prejuízo admitido pelos bancos com
fraudes online no Brasil
920 reais é o prejuízo médio de cada incidente

630 milhões de dólares é a soma dos golpes registrados nos
Estados Unidos
850 dólares é o valor médio do desfalque nos golpes aplicados
nos Estados Unidos
7,9 milhões de mensagens de phishing são enviados
diariamente
Dados de 2006
Fontes: Febraban, FGV, Symantec e Consumer Reports.

29/11/2012 18
Laureate

29/11/2012 19
Laureate

Senha
Mantê-la em segredo é a sua segurança!

 É o alvo principal dos ataques
 Como escolher uma boa senha?
 Ex: 0OdiaMp1
 Qual o tempo de troca ideal?
 Quantas senhas devo ter?

29/11/2012 20
Laureate

Engenharia Social
 Método para obter informações
importantes das pessoas
 Utilizam telefones, e-mails, salas de
bate-papo, redes sociais...
 Cuidado com as informações
fornecidas. Instrua as outras
pessoas da casa.

29/11/2012 21
Laureate

Cavalo de Tróia
 Programas anexados a e-mails ou
baixados explorando a credulidade do
usuário
 Permitem que um hacker tenha o controle
total da sua máquina
 Permite ao hacker ver seus arquivos,
copiar, apagar, descobrir todas as senhas
que v. digita
 Tratamento: anti-vírus, firewall pessoal e
precaução
29/11/2012 22
Laureate

Back Doors
 Semelhantes aos cavalos de Tróia,
porém causados por falhas nos
programas mais usuais da Internet:
Explorer, e-mail, ICQ, IRC e outros
 Tratamento: visitar periodicamente
os sites dos fabricantes e buscar
atualizações
 Anti-vírus não elimina o problema
 Firewall ajuda, mas não elimina

29/11/2012 23
Laureate

Vírus
 Programas que vem anexados a e-
mails ou podem ser baixados pelo
próprio usuário involuntariamente
 Podem fazer de tudo, se duplicam e
geralmente não são percebidos
 Proteção: anti-vírus atualizado

29/11/2012 24
Laureate

Programas de e-mail
 Precauções:
 Desligue a opção auto-execução de
e-mails (em Preferências/Configurações)
 Regra de ouro: Nunca abra e-mails
ou anexos enviados por
desconhecidos ou que tenha
suspeita quanto ao seu conteúdo

29/11/2012 25
Laureate

Salas de bate-papo
 Há perigo?

 O perigo é a informação que você
está fornecendo a desconhecidos –
Estelionatários? Pedófilos?
Seqüestradores? Chantagistas? Na
maioria das vezes não sabemos
com quem estamos falando...

29/11/2012 26
Laureate

Programas de troca
instantânea de
mensagens
 Mais conhecidos: ICQ, IRC, AIM e outros
 Ficam sempre conectados a um servidor e,
por isso, podem estar sujeitos a ataques
de hackers, principalmente se houver uma
falha no programa (backdoor)
 Dica: ler informações sobre segurança do
próprio provedor do serviço

29/11/2012 27
Laureate

Programas de
distribuição de arquivos
 Mais conhecidos:Napster (MP3) e o
Gnutella (qualquer tipo de arquivo)
 O Napster só funciona para música, mas o
Gnutella pode enviar qualquer tipo de
arquivo, mesmo os confidenciais, se v. os
colocar inadvertidamente numa pasta
errada.
 Perigo: arquivos baixados também podem
trazer vírus ou cavalos de Tróia

29/11/2012 28
Laureate

Privacidade
 Toda vez que v. visita um site, o seu
browser fornece ao servidor do site:
 Endereço do seu computador (IP)
 Nome e versão do sistema
operacional
 Nome e versão do seu browser

 Última página visitada

 Resolução do seu monitor

Dica: www.anonymizer.com

29/11/2012 29
Laureate

Cookies
 São pequenas informações deixadas pelos
sites que v. visita no seu browser:
 Guardar seus dados quando v. pula de uma
página para outra
 Manter sua lista de compras
 Identificar suas preferências
 Manter uma lista de páginas que v. visitou
num site
 Problema maior não é de segurança, mas
de invasão de privacidade
 Alguns browsers permitem bloquear
cookies, ou que v. os autorize

29/11/2012 30
Laureate

Privacidade de e-mails
 Seus e-mails podem ser lidos por
outras pessoas? Podem! O
administrador do servidor de e-mails,
se quiser, pode ler os conteúdos das
mensagens enquanto v. não baixá-
las no seu computador
 Solução: usar um programa de
criptografia, onde v. e o destinatário
devem possuir uma chave para
poder ler a mensagem (decifrar)

29/11/2012 31
Laureate

Spam
 Mensagens de propaganda que
entulham nossa caixa postal de
baboseiras
 Muitas tentativas de fraudes, virus e
cavalos de Tróia vem nessas
mensagens
 Solução: bloquear remetente
(quando propaganda) ou eliminar
antes de abrir

29/11/2012 32
Laureate

Hoax
 São as famosas lendas da Internet
 Acabam sendo endossadas por
pessoas crédulas que as repassam
aos amigos e conhecidos
 Podem estar acompanhadas de
vírus
 Melhor solução: eliminar e não abrir

 Na dúvida consultar:
www.HoaxBusters.ciac.org

29/11/2012 33
Laureate

Dados pessoais
 Jamais forneça seus dados
pessoais, nos. de documentos,
telefone, nomes de familiares e
principalmente número do cartão de
crédito
 No caso de compra, prefira pagar
com ficha de compensação bancária

29/11/2012 34
Laureate

Formulários, Comércio
Eletrônico e Home Banking
 Verifique se não há nada de
“diferente” no site visitado
 Se o site é confiável e se tem
conexão segura (deve começar com
https e não com apenas http)
 Cadeadinho fechado (se estiver
aberto, não é segura) – Clicando em
cima do cadeado deve aparecer a
chave de criptografia utilizada (de 40
até 128 bits)

29/11/2012 35
Laureate

Home Banking
Dicas de Segurança para ver se o site
não é pirata

•Minimize a página. Se o teclado virtual também for
minimizado, está correto. Caso ficar no meio da tela,
Não tecle nada nele

•Tecle sua senha errada na primeira vez. Se o site for
mesmo do banco, vai apontar o erro. Se não apontar,
o site é falso.

29/11/2012 36
Laureate

Programas de proteção do usuário
Anti-vírus
•Pricipais funções:
•Detectar, bloquear e eliminar vírus
•Analisar os arquivos baixados pela Internet ou mesmo
aqueles que estejam nos outros drives do computador
(A ou C), etc.
•Atuar também contra cavalos de Tróia
•Criar discos de recuperação (boot), caso o drive C seja
afetado
•Possibilidade de atualização constante através do
site do fornecedor

29/11/2012 37
Laureate

Firewall
•Principais funções:
•Barrar conexões indesejadas, sites
de conteúdo impróprio, etc.
•Barrar cavalos de Tróia, mesmo que já estejam
instalados
•Atuar em conjunto com o anti-vírus
•Criar arquivos de log (aviso) ao usuário caso
haja uma tentativa de invasão

29/11/2012 38
Laureate

Criptografia e Autenticação
(Assinatura eletrônica)
•Principais funções:
•Com a utilização de chaves de criptografia, fazer com
que as mensagens enviadas só possam ser lidas
pelo seu destinatário, desde que ele também a possua

•Muitos bancos já usam a autenticação obrigatória
para os clientes fazerem suas transações
(especialmente pessoas jurídicas)

29/11/2012 39
Laureate

Outras dicas:
A informação confidencial não reside
apenas nos computadores
•Não converse assuntos confidenciais na frente de
terceiros – lugares públicos, no elevador, na frente
de empregados, etc.
•Instrua seus filhos e familiares a fazerem o mesmo
e não fornecerem informações a estranhos por telefone,
em salas de bate-papo, Orkut, não coloque fotos, etc.
•Se perceber que as informações estão saindo fora do
seu controle, faça uma varredura anti-grampo
periodicamente
•Evite ostentação
•Procure não sacar quantias elevadas nos bancos
•Triture papéis confidenciais antes de jogá-los no lixo
•Não deixe papéis confidenciais expostos. Guarde-os
em gavetas com chave
•Evite a rotina. Faça percursos diferentesMorumbi
Universidade Anhembi
29/11/2012 40
Laureate

Outras dicas:

•Tire sempre cópia de segurança (back-up) de seus arquivos mais
importantes e guarde-os em local diferente (CD, pen-drive, etc)
•Se for empresa, adote uma política de segurança da informação
a ser seguida por todos os funcionários
•Obrigue a troca periódica das senhas (a cada 30 ou 60 dias) e
evite senhas óbvias
•Use sempre o bom-senso

29/11/2012 41
Laureate

Clonagem de Caixas Eletrônicos

Colocando um leitor de cartões falso
29/11/2012 o original
Sobre Universidade Anhembi Morumbi
Laureate 42


Leitor falso instalado é imperceptível
29/11/2012 43
Laureate


Falso porta-panfletos com microcameras
embutidas para filmar a Universidade Anhembi Morumbi
29/11/2012 senha Laureate
digitada 44


Instalação falsa concluída
29/11/2012 45
Laureate


Câmera que visualiza a tela

Câmera que visualiza o teclado

Antena

Bateria

Vista interna do falso porta-panfletos
29/11/2012 46
Laureate

Obrigado e boa sorte!

Carlos Caruso

caruso.anhembi@uol.com.br

29/11/2012 47
Laureate

Segurança da Informação e principais ameaças

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (13)

Similaire à Segurança da Informação e principais ameaças

Similaire à Segurança da Informação e principais ameaças (20)

Segurança da Informação e principais ameaças