O documento discute segurança da informação, com o professor Carlos Caruso apresentando os principais tópicos como ameaças à segurança e precauções. Ele também discute criminosos da internet famosos como Kevin Mitnick e os métodos de ataque como cavalos de Tróia e engenharia social.
1. Segurança da
Informação
Prof. Carlos Caruso, CPP
Universidade Anhembi Morumbi
29/11/2012 1
Laureate
2. Introdução
O mundo real não é
seguro. O mundo virtual é
menos ainda.
Carlos Caruso
Universidade Anhembi Morumbi
29/11/2012 2
Laureate
3. Tópicos de discussão
Principais ameaças
Prevenção e precauções
Universidade Anhembi Morumbi
29/11/2012 3
Laureate
4. ORIGEM DA INTERNET
A "Grande Rede" embora nascida no meio universitário
americano, foi depois utilizada em plena Guerra Fria como
arma militar norte-americana de informação, mas, atualmente
destaca-se como o mais forte meio de comunicação global.
DEFINIÇÃO DE CRAKER OU HACKER
Cracker/hacker - na sua grande maioria, jovem, abaixo de 30
anos, inteligente acima da média, educados, sem qualquer
envolvimento anterior com o crime, com poder aquisitivo
razoável, do sexo masculino, audaciosos e aventureiros,
movidos pelo desafio da superação do conhecimento
Universidade Anhembi Morumbi
29/11/2012 4
Laureate
5. LEIS E PROJETOS DE LEIS
A Lei n° 9.983/2000 acrescentou 2 (dois) tipos penais ao
Código Penal Brasileiro:
“Art. 313-A”. Inserir ou facilitar, o funcionário autorizado, a
inserção de dados falsos, alterar ou excluir indevidamente
dados corretos nos sistemas informatizados ou bancos de
dados da Administração Pública com o fim de obter vantagem
indevida para si ou para outrem ou para causar dano: Pena –
reclusão, de 2 (dois) a 12 (doze) anos, e multa.”.
“Art.313-B”. Modificar ou alterar, o funcionário, sistema de
informações ou programa de informática sem autorização ou
solicitação de autoridade competente: Pena – detenção, de 3
(três) meses a 2 (dois) anos, e multa.”
Universidade Anhembi Morumbi
29/11/2012 5
Laureate
6. DECISÕES DA JUSTIÇA BRASILEIRA
O dia 31 (trinta e um) de Dezembro de 2003 marca um
momento histórico para a Justiça:
Márcio Júnior Teles foi condenado pelo crime de estelionato
(artigos 171, caput, combinado com o parágrafo 3° do Código
Penal), formação de quadrilha (artigo 288 do Código Penal) e
violação de sigilo bancário (Lei Complementar 105/2001).
Willian Marques Braga condenado a 4 (quatro) anos e 6 (seis)
meses de prisão, em regime semi-aberto, por desviar R$ 400
(quatrocentos) mil reais do Fundo de Desenvolvimento
Econômico e Social (FUNDES – Estado do Tocantins), foi
condenado no artigo 155, parágrafo 4°, incisos I e IV, do
Código Penal, que trata de “crime de furto qualificado
mediante fraude e destreza e concurso de duas ou mais
pessoas”.
29/11/2012
Universidade Anhembi Morumbi
Laureate 6
7. Pesquisas apontam que o Brasil está na rota dos
crimes envolvendo a Internet.
Segundo a Polícia Federal, de cada 10 (dez) crackers ativos no
mundo, 8 (oito) vivem no Brasil. Além disso, cerca de 2/3 dos
responsáveis pela criação de páginas de pedofilia na Internet -
já detectadas por investigações policiais brasileiras e do
exterior - têm origem brasileira.
A Polícia também aponta que, no Brasil, as fraudes financeiras
que utilizam o ambiente virtual e correios eletrônicos já
superam, em valores financeiros, os prejuízos de assalto a
banco.
(Fonte: IDG Now, citado no sítio forumpcs).
Universidade Anhembi Morumbi
29/11/2012 7
Laureate
8. ATAQUES
Técnicas de invasão
Invasão é a entrada em um site, servidor, computador ou
serviço por alguém não autorizado. Mas antes da invasão
propriamente dita, o invasor poderá fazer um teste de invasão,
que é uma tentativa de invasão em partes, onde o objetivo é
avaliar a segurança de uma rede e identificar seus pontos
vulneráveis.
Spoofing
Nesta técnica, o invasor convence alguém de que ele é algo ou
alguém que não é, sem ter permissão para isso, conseguindo
autenticação para acessar o que não deveria ter acesso,
falsificando seu endereço de origem. É uma técnica de ataque
contra a autenticidade, onde um usuário externo se faz passar
por um usuário ou computador interno.
Universidade Anhembi Morumbi
29/11/2012 8
Laureate
9. Sniffers
É um programa de computador que monitora passivamente o
tráfego de rede, ele pode ser utilizado legitimamente, pelo
administrador do sistema para verificar problemas de rede ou
pode ser usado ilegitimamente por um intruso, para roubar
nomes de usuários e senhas. Explora os pacotes TCP/IP por
não serem criptografados. Para utilizar o sniffer, é necessário
que esteja instalado em um ponto da rede, onde passe pacotes
de interesse para o invasor ou administrador.
Ataque do tipo DoS - Denial of Service
É um ataque de recusa de serviço, estes ataques são capazes
de tirar um site do ar, indisponibilizando seus serviços. É
baseado na sobrecarga da capacidade ou em uma falha não
prevista.
Universidade Anhembi Morumbi
29/11/2012 9
Laureate
10. Trojans
A denominação “Cavalo de Tróia” (Trojan Horse) foi atribuída
aos programas que permitem a invasão de um computador
alheio com espantosa facilidade.
Nesse caso, o termo é análogo ao famoso artefato militar
fabricado pelos gregos espartanos. Um amigo virtual
presenteia o outro com um “Presente de Grego”, que seria um
aplicativo qualquer. Quando o leigo o executa, o programa
atua de forma diferente do que era esperado.
Universidade Anhembi Morumbi
29/11/2012 10
Laureate
11. CRIMINOSOS DA INTERNET
Kevin Mitnick
Kevin era um garotão californiano, autoconfiante,
que roubou nada mais, nada menos, que cerca
de 20.000 números de cartões de crédito dos
associados da rede Netcom. Não satisfeito com
sua façanha e tendo conhecimento da existência
de Shimomura como o principal especialista em
segurança de redes de computadores ligado ao
FBI, Mitnick invadiu o computador desse gênio
nipo-americano e, por várias vezes, deixou
mensagens de desafio e afronta – do tipo “sou o
melhor”. Um dos erros de Kevin Mitnick foi
subestimar a capacidade de Shimomura e pensar
que jamais poderia ser rastreado pelo agente
americano, o que resultou numa tremenda
caçada por parte desse que é considerado o
maior farejador cibernético
Universidade Anhembi Morumbi
29/11/2012 11
Laureate
12. CRIMINOSOS DA INTERNET
John Draper
Pelas informações obtidas até hoje,
este foi o primeiro Hacker a receber
a conotação de Phreaker
(especialista em sistemas de
telefonia no underground). Ele
desenvolveu uma técnica simples e
ao mesmo tempo inteligente para
fazer ligações interurbanas
gratuitamente, usando um apito de
brinquedo que era dado a quem
comprasse uma determinada marca
de cereal, muito consumido nos
Estados Unidos. Também foi preso
e sua pena não foi divulgada.
Universidade Anhembi Morumbi
29/11/2012 12
Laureate
13. CRIMINOSOS DA INTERNET
Phiber Optik
Discípulo de John Draper, este foi e continua
sendo a fera entre os especialistas em
Phreak. Na época, Optik (Mark Abene) fazia
parte do grupo nova-iorquino “Mestres da
Fraude” e deu início a toda uma nova
geração de Hackers, interessados nos
meandros dos sistemas de telefonia no país
do Tio Sam. Optik também cumpriu parte da
pena que lhe foi atribuída e foi solto em
liberdade condicional. Recentemente,
ministrou várias palestras em alguns estados
brasileiros, acompanhado de mais dois ex-
Hackers, cobrando somas consideráveis por
cada palestra. Hoje é especialista em montar
sistemas de segurança para grandes
empresas.
Universidade Anhembi Morumbi
29/11/2012 13
Laureate
14. CRIMINOSOS DA INTERNET
Vladimir Levin
Proveniente da Rússia, onde atualmente se
concentram um grande número de piratas
cibernéticos, Levin passou a fazer parte da lista
de Hackers famosos quando penetrou no
sistema de segurança dos computadores do
Citibank e desviou alguns milhões de dólares
das contas de clientes deste conceituado banco.
Quando estava quase embarcando de volta ao
seu país, foi preso pela Interpol no aeroporto de
Londres. Em seu processo, Vladimir recusava
todos os advogados públicos que eram
oferecidos para defendê-lo, afirmando sempre
que os mesmos eram, na verdade, agentes
secretos prontos para espioná-lo. Sua pena
também não foi divulgada pela mídia.
Universidade Anhembi Morumbi
29/11/2012 14
Laureate
15. CRIMINOSOS DA INTERNET
Robert Morris
Na condição de filho do principal encarregado
do National Computer Security Center, rapaz
inteligente e com futuro promissor, Robert ficou
conhecido nos meios jornalísticos por
contaminar a Internet, propositalmente, com um
vírus de nome “Worm” (minhoca). Em pouco
tempo, inúmeros computadores foram
infectados e entraram em pane. Em seu
julgamento, Robert afirmou que a contaminação
não tinha sido intencional, mas pagou seu erro
com uma pena relativamente rigorosa, sendo
condenado a cinco anos de prisão com direito a
liberdade condicional.
Universidade Anhembi Morumbi
29/11/2012 15
Laureate
16. CRIMINOSOS DA INTERNET
Kevin Pousen
Em 1990 a Rádio KIIS-FM, de Los Angeles,
Califórnia, EUA, estava oferecendo um
Porsche para o autor da centésima segunda
chamada telefônica do dia. Kevin assumiu o
controle de todas as ligações feitas e
colocou sua ligação como se fosse à
centésima segunda e levou o ambicioso
prêmio. Mais tarde, foi preso por invadir
computadores operados por agentes do FBI.
A vida de Poulsen inspirou o jornalista Jon
Littman a escrever o livro "The Watching".
Universidade Anhembi Morumbi
29/11/2012 16
Laureate
17. CRIMINOSOS DA INTERNET
Tsutomu Shimomura
Tsutomu Shimomura trabalha no San Diego
Super Computer Center nas áreas de Física
Computacional e Segurança da Informação.
Em 1995 ele ajudou muitas companhias ligadas
à Internet a capturar Kevin Mitnick, que tinha
roubado software e e-mails dos computadores
de Shimomura.
Autor do livro Takedown: The Pursuit and
Capture of America’s Most Wanted Computer
Outlaw -- By The Man Who Did It, with John
Markoff (Hyperion, January 1996)
Universidade Anhembi Morumbi
29/11/2012 17
Laureate
18. O Rombo da Fraude Eletrônica
Confira alguns dos principais números dos golpes pela
internet, no Brasil e no mundo.
300 milhões de reais é o prejuízo admitido pelos bancos com
fraudes online no Brasil
920 reais é o prejuízo médio de cada incidente
630 milhões de dólares é a soma dos golpes registrados nos
Estados Unidos
850 dólares é o valor médio do desfalque nos golpes aplicados
nos Estados Unidos
7,9 milhões de mensagens de phishing são enviados
diariamente
Dados de 2006
Fontes: Febraban, FGV, Symantec e Consumer Reports.
Universidade Anhembi Morumbi
29/11/2012 18
Laureate
20. Senha
Mantê-la em segredo é a sua segurança!
É o alvo principal dos ataques
Como escolher uma boa senha?
Ex: 0OdiaMp1
Qual o tempo de troca ideal?
Quantas senhas devo ter?
Universidade Anhembi Morumbi
29/11/2012 20
Laureate
21. Engenharia Social
Método para obter informações
importantes das pessoas
Utilizam telefones, e-mails, salas de
bate-papo, redes sociais...
Cuidado com as informações
fornecidas. Instrua as outras
pessoas da casa.
Universidade Anhembi Morumbi
29/11/2012 21
Laureate
22. Cavalo de Tróia
Programas anexados a e-mails ou
baixados explorando a credulidade do
usuário
Permitem que um hacker tenha o controle
total da sua máquina
Permite ao hacker ver seus arquivos,
copiar, apagar, descobrir todas as senhas
que v. digita
Tratamento: anti-vírus, firewall pessoal e
precaução
Universidade Anhembi Morumbi
29/11/2012 22
Laureate
23. Back Doors
Semelhantes aos cavalos de Tróia,
porém causados por falhas nos
programas mais usuais da Internet:
Explorer, e-mail, ICQ, IRC e outros
Tratamento: visitar periodicamente
os sites dos fabricantes e buscar
atualizações
Anti-vírus não elimina o problema
Firewall ajuda, mas não elimina
Universidade Anhembi Morumbi
29/11/2012 23
Laureate
24. Vírus
Programas que vem anexados a e-
mails ou podem ser baixados pelo
próprio usuário involuntariamente
Podem fazer de tudo, se duplicam e
geralmente não são percebidos
Proteção: anti-vírus atualizado
Universidade Anhembi Morumbi
29/11/2012 24
Laureate
25. Programas de e-mail
Precauções:
Desligue a opção auto-execução de
e-mails (em Preferências/Configurações)
Regra de ouro: Nunca abra e-mails
ou anexos enviados por
desconhecidos ou que tenha
suspeita quanto ao seu conteúdo
Universidade Anhembi Morumbi
29/11/2012 25
Laureate
26. Salas de bate-papo
Há perigo?
O perigo é a informação que você
está fornecendo a desconhecidos –
Estelionatários? Pedófilos?
Seqüestradores? Chantagistas? Na
maioria das vezes não sabemos
com quem estamos falando...
Universidade Anhembi Morumbi
29/11/2012 26
Laureate
27. Programas de troca
instantânea de
mensagens
Mais conhecidos: ICQ, IRC, AIM e outros
Ficam sempre conectados a um servidor e,
por isso, podem estar sujeitos a ataques
de hackers, principalmente se houver uma
falha no programa (backdoor)
Dica: ler informações sobre segurança do
próprio provedor do serviço
Universidade Anhembi Morumbi
29/11/2012 27
Laureate
28. Programas de
distribuição de arquivos
Mais conhecidos:Napster (MP3) e o
Gnutella (qualquer tipo de arquivo)
O Napster só funciona para música, mas o
Gnutella pode enviar qualquer tipo de
arquivo, mesmo os confidenciais, se v. os
colocar inadvertidamente numa pasta
errada.
Perigo: arquivos baixados também podem
trazer vírus ou cavalos de Tróia
Universidade Anhembi Morumbi
29/11/2012 28
Laureate
29. Privacidade
Toda vez que v. visita um site, o seu
browser fornece ao servidor do site:
Endereço do seu computador (IP)
Nome e versão do sistema
operacional
Nome e versão do seu browser
Última página visitada
Resolução do seu monitor
Dica: www.anonymizer.com
Universidade Anhembi Morumbi
29/11/2012 29
Laureate
30. Cookies
São pequenas informações deixadas pelos
sites que v. visita no seu browser:
Guardar seus dados quando v. pula de uma
página para outra
Manter sua lista de compras
Identificar suas preferências
Manter uma lista de páginas que v. visitou
num site
Problema maior não é de segurança, mas
de invasão de privacidade
Alguns browsers permitem bloquear
cookies, ou que v. os autorize
Universidade Anhembi Morumbi
29/11/2012 30
Laureate
31. Privacidade de e-mails
Seus e-mails podem ser lidos por
outras pessoas? Podem! O
administrador do servidor de e-mails,
se quiser, pode ler os conteúdos das
mensagens enquanto v. não baixá-
las no seu computador
Solução: usar um programa de
criptografia, onde v. e o destinatário
devem possuir uma chave para
poder ler a mensagem (decifrar)
Universidade Anhembi Morumbi
29/11/2012 31
Laureate
32. Spam
Mensagens de propaganda que
entulham nossa caixa postal de
baboseiras
Muitas tentativas de fraudes, virus e
cavalos de Tróia vem nessas
mensagens
Solução: bloquear remetente
(quando propaganda) ou eliminar
antes de abrir
Universidade Anhembi Morumbi
29/11/2012 32
Laureate
33. Hoax
São as famosas lendas da Internet
Acabam sendo endossadas por
pessoas crédulas que as repassam
aos amigos e conhecidos
Podem estar acompanhadas de
vírus
Melhor solução: eliminar e não abrir
Na dúvida consultar:
www.HoaxBusters.ciac.org
Universidade Anhembi Morumbi
29/11/2012 33
Laureate
34. Dados pessoais
Jamais forneça seus dados
pessoais, nos. de documentos,
telefone, nomes de familiares e
principalmente número do cartão de
crédito
No caso de compra, prefira pagar
com ficha de compensação bancária
Universidade Anhembi Morumbi
29/11/2012 34
Laureate
35. Formulários, Comércio
Eletrônico e Home Banking
Verifique se não há nada de
“diferente” no site visitado
Se o site é confiável e se tem
conexão segura (deve começar com
https e não com apenas http)
Cadeadinho fechado (se estiver
aberto, não é segura) – Clicando em
cima do cadeado deve aparecer a
chave de criptografia utilizada (de 40
até 128 bits)
Universidade Anhembi Morumbi
29/11/2012 35
Laureate
36. Home Banking
Dicas de Segurança para ver se o site
não é pirata
•Minimize a página. Se o teclado virtual também for
minimizado, está correto. Caso ficar no meio da tela,
Não tecle nada nele
•Tecle sua senha errada na primeira vez. Se o site for
mesmo do banco, vai apontar o erro. Se não apontar,
o site é falso.
Universidade Anhembi Morumbi
29/11/2012 36
Laureate
37. Programas de proteção do usuário
Anti-vírus
•Pricipais funções:
•Detectar, bloquear e eliminar vírus
•Analisar os arquivos baixados pela Internet ou mesmo
aqueles que estejam nos outros drives do computador
(A ou C), etc.
•Atuar também contra cavalos de Tróia
•Criar discos de recuperação (boot), caso o drive C seja
afetado
•Possibilidade de atualização constante através do
site do fornecedor
Universidade Anhembi Morumbi
29/11/2012 37
Laureate
38. Programas de proteção do usuário
Firewall
•Principais funções:
•Barrar conexões indesejadas, sites
de conteúdo impróprio, etc.
•Barrar cavalos de Tróia, mesmo que já estejam
instalados
•Atuar em conjunto com o anti-vírus
•Criar arquivos de log (aviso) ao usuário caso
haja uma tentativa de invasão
Universidade Anhembi Morumbi
29/11/2012 38
Laureate
39. Programas de proteção do usuário
Criptografia e Autenticação
(Assinatura eletrônica)
•Principais funções:
•Com a utilização de chaves de criptografia, fazer com
que as mensagens enviadas só possam ser lidas
pelo seu destinatário, desde que ele também a possua
•Muitos bancos já usam a autenticação obrigatória
para os clientes fazerem suas transações
(especialmente pessoas jurídicas)
Universidade Anhembi Morumbi
29/11/2012 39
Laureate
40. Outras dicas:
A informação confidencial não reside
apenas nos computadores
•Não converse assuntos confidenciais na frente de
terceiros – lugares públicos, no elevador, na frente
de empregados, etc.
•Instrua seus filhos e familiares a fazerem o mesmo
e não fornecerem informações a estranhos por telefone,
em salas de bate-papo, Orkut, não coloque fotos, etc.
•Se perceber que as informações estão saindo fora do
seu controle, faça uma varredura anti-grampo
periodicamente
•Evite ostentação
•Procure não sacar quantias elevadas nos bancos
•Triture papéis confidenciais antes de jogá-los no lixo
•Não deixe papéis confidenciais expostos. Guarde-os
em gavetas com chave
•Evite a rotina. Faça percursos diferentesMorumbi
Universidade Anhembi
29/11/2012 40
Laureate
41. Outras dicas:
•Tire sempre cópia de segurança (back-up) de seus arquivos mais
importantes e guarde-os em local diferente (CD, pen-drive, etc)
•Se for empresa, adote uma política de segurança da informação
a ser seguida por todos os funcionários
•Obrigue a troca periódica das senhas (a cada 30 ou 60 dias) e
evite senhas óbvias
•Use sempre o bom-senso
Universidade Anhembi Morumbi
29/11/2012 41
Laureate
42. Clonagem de Caixas Eletrônicos
Colocando um leitor de cartões falso
29/11/2012 o original
Sobre Universidade Anhembi Morumbi
Laureate 42
43. Clonagem de Caixas Eletrônicos
Leitor falso instalado é imperceptível
Universidade Anhembi Morumbi
29/11/2012 43
Laureate
44. Clonagem de Caixas Eletrônicos
Falso porta-panfletos com microcameras
embutidas para filmar a Universidade Anhembi Morumbi
29/11/2012 senha Laureate
digitada 44
45. Clonagem de Caixas Eletrônicos
Instalação falsa concluída
Universidade Anhembi Morumbi
29/11/2012 45
Laureate
46. Clonagem de Caixas Eletrônicos
Câmera que visualiza a tela
Câmera que visualiza o teclado
Antena
Bateria
Vista interna do falso porta-panfletos
Universidade Anhembi Morumbi
29/11/2012 46
Laureate
47. Obrigado e boa sorte!
Carlos Caruso
caruso.anhembi@uol.com.br
Universidade Anhembi Morumbi
29/11/2012 47
Laureate