23/02/2013 1 Curso de Preparatório para Concursos Públicos Segurança da Informação Conteúdo...
Transcript of 23/02/2013 1 Curso de Preparatório para Concursos Públicos Segurança da Informação Conteúdo...
23/02/2013
1
Curso de Preparatório para
Concursos Públicos
Segurança da Informação
Prof. Marcelo Moreira www.professormarcelomoreira.com.br
Conteúdo desse Módulo
Princípios da Segurança da Informação;
Ameaças aos Sistemas de Informação;
Spam;
Malwares;
Phishing.
Recursos de Segurança;
Backup;
Criptografia;
Assinatura Digital;
Certificação Digital.
2 Prof. Marcelo Moreira
Segurança da Informação
As informações digitais estão sujeitas a uma série de ameaças (intencionais ou não) que lhes conferem um situação de “não confiável”;
A segurança da informação trata justamente dos conceitos, técnicas e recursos que conseguem diminuir essa fragilidade, dando níveis de confiabilidade altos às informações digitais.
3 Prof. Marcelo Moreira
Segurança da Informação
Prof. Marcelo Moreira 4
CONCEITOS DE SI
PRINCÍPIOS DE SEGURANÇA
INFORMAÇÃO
RISCOS
AMB. INSEGURO EX. INTERNET
AMEAÇAS
VULNERABILIDADES
DANOS
RECURSOS
PSI
POLÍTICA DE SI BEM PROTEGIDO
AUTENTICIDADE
DISPONIBILIDADE
INTEGRIDADE
CONFIDENCIALIDADE
Ex. ANTIVÍRUS
Ex. FIREWALL
Princípios da Segurança
São os pilares nos quais se apóia a segurança dos
sistemas de informação;
Os princípios da segurança são pré-requisitos para que se considere um sistema de informações seguro.
Bizu: sigla CIDA ou DICA;
5 Prof. Marcelo Moreira
Princípios da Segurança
Confidencialidade: é a garantia de que uma informação não será acessada por pessoas não autorizadas (ser confidencial, ser sigiloso);
Recursos que “mascaram” ou “escondem” a informação (como a criptografia) e que limitam acesso dos usuários (como senhas) cujo foco é a confidencialidade.
6 Prof. Marcelo Moreira
23/02/2013
2
Princípios da Segurança
Integridade: é a garantia de que uma informação não será alterada sem autorização durante seu trajeto ou seu armazenamento (manter-se íntegro);
Recursos que permitem que se saiba se a informação foi, ou não, alterada, como a Função Hash, (“idéia parecida com o dígito verificador do CPF”).
7 Prof. Marcelo Moreira
Princípios da Segurança
Disponibilidade: é a garantia de que um sistema de informações estará sempre disponível aos usuários quando requisitado;
Esta meta pode ser atendida com os Backups das informações, além de outras recursos, como geradores sobressalentes, no-breaks, alguns tipos de RAID.
8 Prof. Marcelo Moreira
Princípios da Segurança
Autenticidade: é a garantia de conhecer a identidade de um usuário ou sistema de informações com quem se vai estabelecer comunicação (ser autêntico, ser quem diz ser);
Recursos como senhas (que, teoricamente, só o usuário conhece), biometria, assinatura digital e certificação digital são usados para essa finalidade.
9 Prof. Marcelo Moreira
Outros Princípios da Segurança
Não-Repúdio (irretratabilidade): é a garantia que uma
pessoa não consiga negar um ato ou documento de sua autoria.
É uma condição necessária para a validade jurídica de documentos e transações digitais (conseguida através da Autenticidade de Integridade).
10 Prof. Marcelo Moreira
Princípios da Segurança
Confiabilidade: este é o objetivo maior da Segurança. Garantir que um sistema vai se comportar (vai realizar seu serviço) segundo o esperado e projetado. (ser confiável, “fazer bem seu papel”);
Para atingir uma alta segurança esse princípio deve ser alcançado com base em todos os outros.
11 Prof. Marcelo Moreira
Exercícios
2011 TJ/ES ANALISTA JUD. ADM – CESPE
Confidencialidade, disponibilidade e integridade da informação, que são conceitos importantes de segurança da informação em ambiente digital, devem estar presentes na gestão e no uso de sistemas de informação, em benefício dos cidadãos e dos fornecedores de soluções.
Prof. Marcelo Moreira 13
23/02/2013
3
Exercícios
2008 – CEF – TEC. BANCÁRIO ACRE - CESGRANRIO
Qual dos princípios básicos da segurança da informação
enuncia a garantia de que uma informação não foi alterada
durante seu percurso, da origem ao destino?
a) Não-repúdio
b) Integridade
c) Autenticidade
d) Disponibilidade
e) Confidencialidade
14 Prof. Marcelo Moreira
Riscos
Vulnerabilidades (Fragilidades): é um ponto fraco do próprio sistema, um fator interno, ou seja, é definida como uma falha no projeto, implementação ou configuração de um software ou do ambiente de TI como um todo, que pode ser explorada por um atacante;
Ameaças: é um fator externo, a exploração das vulnerabilidades de um sistema, realizadas por um agente, de forma espontânea ou proposital, para conseguir seu intento; ou ocasionados por acontecimentos externos.
Prof. Marcelo Moreira 15
Ameaças aos Sistemas
Malware: programas criados com objetivos nocivos, de prejudicar, comprometendo a segurança dos sistemas de informação.
Backdoor: brechas intencionais, não documentadas, em programas legítimos, que permitem o acesso ao sistema por parte de seus desenvolvedores ou mantenedores.
16 Prof. Marcelo Moreira
Ameaças aos Sistemas
Hackers: usuários avançados em TI, que possuem um exímio conhecimento em informática, por muitas vezes melhoram os sistemas existentes.
Crackers: usuários que invadem sistemas de segurança, quebram senha de programas. Os crackers trabalham de de forma ílegal e sem ética.
17 Prof. Marcelo Moreira
Ameaças aos Sistemas
SPAM: envio em massa de mensagens de e-mail não autorizadas pelos destinatários, em resumo, um spam consiste numa mensagem de correio eletrônico com fins publicitários.
Scam (Golpe): um conjunto de técnicas para enganar os usuários de sistemas de informação no intuito de enviar-lhe um programa maléfico ou simplesmente obter seus dados.
18 Prof. Marcelo Moreira
Malware
19 Prof. Marcelo Moreira
Tipos Malware
Vírus; Rootkits;
Worm; Botnets;
Trojan; Sniffer;
Spyware; Port scanner;
Adware; Exploit;
Hijackers;
Vermelho – ficam no computador atacado. Preto – ficam no computador do atacante.
23/02/2013
4
Malware
Vírus de Computador: um programa (ou parte de um programa) que:
Necessita de um hospedeiro para existir (um vírus se “anexa” ao conteúdo de um arquivo para viver);
Capacidade de se replicar (ou copiar) sozinho para outros arquivos (hospedeiros);
Um Vírus só entra em ação quando seu hospedeiro (e o próprio vírus) é executado na memória RAM do micro infectado.
20 Prof. Marcelo Moreira
Malware
Vírus de Boot: infectam o setor de inicialização do HD, denominado setor de boot, afetam o carregamento do Sistema Operacional.
Vírus de Macro: infectam arquivos do Office (Word, Excel, Power Point), afetam os macros desses programas e são baseados em VBA (Visual Basic for Applications).
Vírus Polimórficos: são conhecidos como vírus mutantes, que conseguem modificar a si próprios a cada infecção, dificultando sua identificação.
Prof. Marcelo Moreira 21
Malware
Worm: um programa que apenas usa a estrutura das redes para se copiar de micro em micro, degradando a velocidade da comunicação na estrutura infectada.
Não precisa de hospedeiro, ele próprio é o arquivo que se replica.
Não precisa ser acionado pelo usuário, ele se utiliza de falhas nos protocolos e serviços da rede para se espalhar.
22 Prof. Marcelo Moreira
Malware
Cavalo de Tróia (Trojan Horse): um programa que apresenta-se como algo inofensivo (mensagem de solidariedade, de esperança, um jogo, um cartão de Boas Festas, etc.)
A mensagem esconde objetivos maliciosos, como apagar dados, roubar informações e, mais comumente, abrir portas de comunicação para que se possa invadir o computador que foi infectado.
23 Prof. Marcelo Moreira
Malware
Spyware (programa espião): um programa que monitora e registra os “hábitos” de navegação e acesso à Internet do micro infectado e transmite essa informação a uma entidade externa na Internet, sem o seu conhecimento e o consentimento de vítima.
Um spyware pode conter keyloggers (capturadores de teclado) e screenloggers (capturadores de tela) para copiar as ações e informações que o usuário está fazendo com o computador.
24 Prof. Marcelo Moreira
Malware
Adware: um programa que fica “fazendo anúncios de propaganda” no micro infectado.
Em alguns casos é um programa lícito, acompanhando outros programas.
Fica “abrindo páginas” ou mostrando imagens e links de cassinos, lojas, pornografia e outros.
25 Prof. Marcelo Moreira
23/02/2013
5
Malware
Hijackers (”seqüestradores”) são programas ou scripts que "sequestram" navegadores de Internet, principalmente o IE. O hijacker altera a página inicial do browser e impede o usuário de mudá-la, exibe propagandas em pop-ups ou janelas novas, instala barras de ferramentas no navegador e podem impedir acesso a determinados sites (como sites de software antivírus, por exemplo).
A idéia é vender os cliques que o usuário faz nessas páginas, o que gera lucro para o criador do hijacker.
Prof. Marcelo Moreira 26
Malware
Rootkit: são um tipo de malware cuja principal intenção é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Isto é possível por que estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado.
Um rootkit é um programa com código mal intencionado que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.
Prof. Marcelo Moreira 28
Malware
Botnets: são basicamente redes de computadores infectados por bots.
Bots: Este tipo de ameaça leva esse nome por se parecer com um robô, podendo ser programado para realizar tarefas específicas dentro do computador do usuário afetado é capaz de se comunicar com os invasores que o colocaram em sua máquina.
Da mesma forma que acontece com o Worm, o bot pode ser um programa independente, agindo e se propagando através do seu computador. Desta forma ele cria suas redes e se espalha.
Prof. Marcelo Moreira 29
Exercícios
2010 – CONFEF – Analista em TI - IESES
30 Prof. Marcelo Moreira
Malware
Sniffer: um programa que é instalado na máquina do atacante e serve para capturar os informações da rede
A placa de rede passa a operar em “modo promíscuo”, não rejeitando nenhuma mensagem que chega.
31 Prof. Marcelo Moreira
Malware
Port Scanner: é um programa que vasculha (“verifica”) um computador alvo à procura de portas (serviços) abertas para que, através delas, se possa promover uma invasão àquele micro.
Port scanner envia sucessivos pacotes a várias portas diferentes, esperando receber um pacote de resposta por uma delas e com isso identificar possíveis formas de atacar.
32 Prof. Marcelo Moreira
23/02/2013
6
Malware
Exploit: um programa com o objetivo de tirar vantagem de alguma falha, ou vulnerabilidade, conhecida em um sistema de informação.
Um hacker pode construí-lo para demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou já os crackers com a finalidade de ganhar acesso não autorizado aos sistemas.
Muitos crackers não publicam seus exploits. Seu uso massificado deve-se aos “script kiddies” (amadores);
33 Prof. Marcelo Moreira
Phishing
Em computação, phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir fotos e músicas e outros dados pessoais, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial.
Tal fraude ocorre de várias maneiras, destaca-se formulários HTML falsos em emails, URLs falsas, dentre outros.
34 Prof. Marcelo Moreira
Phishing
Prof. Marcelo Moreira 35
Exercícios
Prova: FCC/2009 TCE-GO - Analista de Contr. Ext. TI
Considere a hipótese de recebimento de uma mensagem não solicitada de um site popular que induza o recebedor a acessar uma página fraudulenta projetada para o furto dos dados pessoais e financeiros dele. Trata-se de
a) spam.
b) phishing/scam.
c) adware.
d) keylogger.
e) bluetooth.
Prof. Marcelo Moreira 38
Nível de Segurança
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos que necessitam de proteção.
No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.
Prof. Marcelo Moreira 39
Mecanismos de segurança
Controles físicos: são barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura (que garante a existência da informação) que a suporta.
Ex. Portas, trancas, paredes, blindagem, guardas, câmeras, cercas elétricas, cães, etc.
Prof. Marcelo Moreira 40
23/02/2013
7
Mecanismos de segurança
Controles lógicos: são barreiras que impedem ou limitam o acesso à informação, que está em ambiente computacional, exposto a cópia, alteração ou apagamento não autorizado por elemento mal intencionado, que pode estar distante da origem dos dados.
Ex. antivírus, firewalls, filtros antispam, analisadores de código, sistemas biométricos, hashing, criptografia, assinatura digital, certificação digital, protocolos seguros.
Prof. Marcelo Moreira 41
Recursos de Segurança
Senha: Sua força depende dos diferentes tipos de caracteres usados, do seu comprimento e de ser encontrada em dicionário ou não.
Segredos da força da senha: comprimento e complexidade
A senha ideal é longa e contém letras, pontuação, símbolos e números.
Sempre que possível, use oito caracteres ou mais.
Não use a mesma senha para tudo. Altere suas senhas com frequência, em intervalos aproximados de três meses.
Não use somente caixa baixa ou alta, faça uma mistura das duas formas;
Evite também usar informações pessoais para criar sua senha, ou palavras comuns.
42 Prof. Marcelo Moreira
Exercícios
Prova: 2012 CESPE – Papiloscopista da PF
27) As senhas, para serem seguras ou fortes, devem ser compostas de pelo menos oito caracteres e conter letras maiúsculas, minúsculas, números e sinais de pontuação. Além disso, recomenda-se não utilizar como senha nomes, sobrenomes, números de documentos, placas de carros, números de telefones e datas especiais.
Prof. Marcelo Moreira 43
Recursos de Segurança
Antivírus: programas que protegem os sistemas de informação contra vírus de computador.
São ferramentas preventivas e corretivas, que detectam e removem vírus de computador e outros programas maliciosos (spywares, worms e cavalos de tróia).
Ex.: Norton Antivírus, McAfee, Avast, AVG Antivírus e outros.
44 Prof. Marcelo Moreira
Recursos de Segurança
Antispam: programas que podem classificar as mensagens de e-mail recebidas como sendo aceitáveis ou como sendo spam (indesejadas). Esse programa permite que os usuários não sejam incomodados com essa prática desagradável.
Como um spam pode trazer outras coisinhas chatas consigo (vírus, worms, trojans), o antispam é um recurso bastante interessante para que nossas caixas postais sejam usadas para armazenar apenas o necessário.
45 Prof. Marcelo Moreira
Recursos de Segurança
Firewall: programa que filtra o tráfego de entrada e saída de dados em uma rede.
O firewall deve ser previamente configurado para o que vai deixar passar e o que vai bloquear.
Pode ser implementado tanto em software quanto em hardware.
46 Prof. Marcelo Moreira
23/02/2013
8
Firewall
47 Prof. Marcelo Moreira
Recursos de Segurança
Backup: é o ato deliberado de fazer cópia dos dados importantes da empresa para outro local (em mídias de armazenamento, como DVDs, CDs ou Fitas DAT).
Backup é um dos recursos de segurança, que objetiva manter a disponibilidade dos dados dos sistema.
48 Prof. Marcelo Moreira
Características Backup
É freqüente: deve ser realizado com muitas vezes, de preferência, diariamente;
É cíclico: é realizado em ciclos, com início e fim. Esses ciclos podem ter qualquer periodicidade;
É contemporâneo: seu objetivo é sempre manter os dados do backup tão recentes quanto os dados originais do sistema a que se destina.
49 Prof. Marcelo Moreira
Tipos de Backup Tipo Arquivos
Normal (Total)
• Todos os arquivos selecionados, • Marca todos os arquivos.
Incremental • Apenas os arquivos novos ou modificados desde o último backup normal, • Marca todos os arquivos.
Diferencial • Apenas os arquivos novos ou modificados desde o último backup normal, • Não Marca todos os arquivos.
De cópia • Todos os arquivos selecionados, • Não Marca todos os arquivos. • (ex: usado para uma emergência)
Diário • Criados ou alterados em data específica • Não Marca todos os arquivos.
50 Prof. Marcelo Moreira
Exercícios
Prova: 2012 CESPE – Papiloscopista da PF
29) Uma característica desejada para o sistema de backup é que ele permita a restauração rápida das informações quando houver incidente de perda de dados. Assim, as mídias de backup devem ser mantidas o mais próximo possível do sistema principal de armazenamento das informações.
Prof. Marcelo Moreira 51
Recursos de Segurança
Criptografia: é o processo matemático usado para reescrever uma informação de forma “embaralhada”, de modo que não seja possível “entendê-la”, se ela for interceptada.
A criptografia é a base para outros recursos de segurança como a Assinatura Digital e a Certificação Digital.
Não importando se é a criptografia simétrica ou assimétrica o objetivo é garantir o sigilo (a confidencialidade) das informações.
52 Prof. Marcelo Moreira
23/02/2013
9
Criptografia Exemplo
Função Mc=Mo x C (algorítimo);
Mc= Mensagem cifrada;
Mo= Mensagem Original;
C = Chave criptográfica.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Mo = “VOU PASSAR NO CONCURSO”
53 Prof. Marcelo Moreira
Criptografia Exemplo
Função Mc=Mo x C (algorítimo);
Mc= Mensagem cifrada;
Mo= Mensagem Original;
C = 1.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Mo= “VOU PASSAR NO CONCURSO”;
Mc = “WPV QBTTBS OP DPODVSTP”
54 Prof. Marcelo Moreira
Criptografia Exemplo
Função Mc=Mo x C (algorítimo);
Mc= Mensagem cifrada;
Mo= Mensagem Original;
C = 3.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Mo= “VOU PASSAR NO CONCURSO”
Mc = “YRX SDVVDU QR FRQFXUVR”
55 Prof. Marcelo Moreira
Criptografia Simétrica
56 Prof. Marcelo Moreira
Criptografia Assimétrica
57 Prof. Marcelo Moreira
Saber para a prova
Simétrica x Assimétrica
Simétrica Assimétrica(Chave Pública)
Apenas uma única chave; Fácil processamento: exige pouco poder computacional.
Usa duas chaves Exigem hardware mais poderoso e mais tempo para processamento.
A chave privada tem que ser compartilhada entre os envolvidos (o que pode se tornar a vulnerabilidade).
Apenas a chave pública é compartilhada. A chave que decodifica continua segura (Chave Privada)
A mesma chave é usada nos dois sentidos:
(A B) e (B A).
Um par de chaves para cada sentido: (A B):usando par de chaves de B (B A):usando par de chaves de A
58 Prof. Marcelo Moreira
23/02/2013
10
Recursos de Segurança
Assinatura Digital: uma forma (meio) que permite associar, irrefutavelmente, uma mensagem a um autor, garantindo que se possa saber a origem da mensagem.
A assinatura digital usa chaves assimétricas (pública e privada), só que de forma diferente da criptografia.
Usam-se os termos:
assinar = cifrar;
verificar a assinatura = decifrar.
59
Prof. Marcelo Moreira
Assinatura Digital
60 Prof. Marcelo Moreira
Objetivos da Assinatura Digital
Não garante a confidencialidade (sigilo) da mensagem, porque a ela poderá ser aberta por todos aqueles que têm a chave pública do emissor.
O foco da Assinatura Digital é a Autenticidade (garantir o autor da mensagem);
Por usar Hash, o processo de assinatura digital também garante a Integridade da mensagem;
E, com estes dois princípios, a Assinatura é o recurso que nos garante o Não-Repúdio.
61 Prof. Marcelo Moreira
Exercícios
2008 – CEF – TEC. BANCÁRIO ACRE - CESGRANRIO
Quais princípios da segurança da informação são obtidos
com o uso da assinatura digital?
a) Autenticidade, confidencialidade e disponibilidade.
b) Autenticidade, confidencialidade e integridade.
c) Autenticidade, integridade e não-repúdio.
d) Autenticidade, confidencialidade, disponibilidade,
integridade e não-repúdio.
e) Confidencialidade, disponibilidade, integridade e não-
repúdio.
62 Prof. Marcelo Moreira
Recursos de Segurança
Certificação Digital: recurso oferece níveis altos de
confiabilidade por meio da garantia prestada por empresas de certificação.
Tais instituições, chamadas Autoridades de Certificação (AC) são responsáveis por emitir, revogar e renovar os certificados digitais dos usuários do sistema.
Certificado digital é um documento (arquivo no computador) que garante a nossa identidade de forma irrefutável, porque está assinado digitalmente por uma empresa que atesta isso (AC, parece “cartório virtual”). O Certificado Digital é a nossa chave pública assinada pela AC.
63 Prof. Marcelo Moreira
Certificado Digital
Quais informações são encontradas em um certificado digital?
Número de série;
Data de validade;
Assinatura da AC;
Chave Pública da Entidade
CPF/CNPJ da Entidade;
E outros.
Prof. Marcelo Moreira 64
23/02/2013
11
65 Prof. Marcelo Moreira
Exercícios
Prova 2011 – SEGER/ES – Nível Superior - CESPE
Considerando que, em uma intranet, os servidores web estejam configurados para uso de certificados digitais, julgue os itens subsequentes.
39 - Entre as características de um certificado digital inclui-se a existência de um emissor, do prazo de validade e de uma assinatura digital.
40 - O uso do protocolo https assegura que as informações trafegadas utilizem certificados digitais.
Prof. Marcelo Moreira 66
Exercícios
Prova 2011 – FMS/PI – Nível Superior
De acordo com os conceitos de Segurança da Informação, assinale a alternativa INCORRETA:
a) A diferença entre os tipos de backup realizados está, principalmente, no tipo de mídia utilizado.
b) Devemos verificar se o endereço de alguns sites começam com HTTPS, indicando uma conexão segura. Instituições bancárias e de comércio eletrônico são exemplos de uso.
c) Criptografia é um método de codificação de dados que visa garantir o sigilo de informações.
d) “Cavalo de tróia” é um tipo de software que vem embutido em um arquivo recebido por e-mail ou baixado da rede. Ao executar o arquivo, o usuário permite a abertura de portas, possibilitando a obtenção de informações não autorizadas.
e) Um dos princípios de Segurança da Informação é a Disponibilidade, propriedade que garante que a informação esteja sempre disponível, no momento em que a mesma seja necessária.
Prof. Marcelo Moreira 67
Frase Final
“Motivação é a impulsão para realizações de sonhos”
Edjane Mendes
Prof. Marcelo Moreira 68