23/02/2013 1 Curso de Preparatório para Concursos Públicos Segurança da Informação Conteúdo...

23/02/2013

1

Curso de Preparatório para

Concursos Públicos

Segurança da Informação

Prof. Marcelo Moreira www.professormarcelomoreira.com.br

[email protected]

Conteúdo desse Módulo

Princípios da Segurança da Informação;

Ameaças aos Sistemas de Informação;

Spam;

Malwares;

Phishing.

Recursos de Segurança;

Backup;

Criptografia;

Assinatura Digital;

Certificação Digital.

2 Prof. Marcelo Moreira


As informações digitais estão sujeitas a uma série de ameaças (intencionais ou não) que lhes conferem um situação de “não confiável”;

A segurança da informação trata justamente dos conceitos, técnicas e recursos que conseguem diminuir essa fragilidade, dando níveis de confiabilidade altos às informações digitais.



Prof. Marcelo Moreira 4

CONCEITOS DE SI

PRINCÍPIOS DE SEGURANÇA

INFORMAÇÃO

RISCOS

AMB. INSEGURO EX. INTERNET

AMEAÇAS

VULNERABILIDADES

DANOS

RECURSOS

PSI

POLÍTICA DE SI BEM PROTEGIDO

AUTENTICIDADE

DISPONIBILIDADE

INTEGRIDADE

CONFIDENCIALIDADE

Ex. ANTIVÍRUS

Ex. FIREWALL

Princípios da Segurança

São os pilares nos quais se apóia a segurança dos

sistemas de informação;

Os princípios da segurança são pré-requisitos para que se considere um sistema de informações seguro.

Bizu: sigla CIDA ou DICA;



Confidencialidade: é a garantia de que uma informação não será acessada por pessoas não autorizadas (ser confidencial, ser sigiloso);

Recursos que “mascaram” ou “escondem” a informação (como a criptografia) e que limitam acesso dos usuários (como senhas) cujo foco é a confidencialidade.


http://www.professormarcelomoreira.com.br/

mailto:[email protected]

23/02/2013

2


Integridade: é a garantia de que uma informação não será alterada sem autorização durante seu trajeto ou seu armazenamento (manter-se íntegro);

Recursos que permitem que se saiba se a informação foi, ou não, alterada, como a Função Hash, (“idéia parecida com o dígito verificador do CPF”).



Disponibilidade: é a garantia de que um sistema de informações estará sempre disponível aos usuários quando requisitado;

Esta meta pode ser atendida com os Backups das informações, além de outras recursos, como geradores sobressalentes, no-breaks, alguns tipos de RAID.



Autenticidade: é a garantia de conhecer a identidade de um usuário ou sistema de informações com quem se vai estabelecer comunicação (ser autêntico, ser quem diz ser);

Recursos como senhas (que, teoricamente, só o usuário conhece), biometria, assinatura digital e certificação digital são usados para essa finalidade.


Outros Princípios da Segurança

Não-Repúdio (irretratabilidade): é a garantia que uma

pessoa não consiga negar um ato ou documento de sua autoria.

É uma condição necessária para a validade jurídica de documentos e transações digitais (conseguida através da Autenticidade de Integridade).



Confiabilidade: este é o objetivo maior da Segurança. Garantir que um sistema vai se comportar (vai realizar seu serviço) segundo o esperado e projetado. (ser confiável, “fazer bem seu papel”);

Para atingir uma alta segurança esse princípio deve ser alcançado com base em todos os outros.


Exercícios

2011 TJ/ES ANALISTA JUD. ADM – CESPE

Confidencialidade, disponibilidade e integridade da informação, que são conceitos importantes de segurança da informação em ambiente digital, devem estar presentes na gestão e no uso de sistemas de informação, em benefício dos cidadãos e dos fornecedores de soluções.


23/02/2013

3

Exercícios

2008 – CEF – TEC. BANCÁRIO ACRE - CESGRANRIO

Qual dos princípios básicos da segurança da informação

enuncia a garantia de que uma informação não foi alterada

durante seu percurso, da origem ao destino?

a) Não-repúdio

b) Integridade

c) Autenticidade

d) Disponibilidade

e) Confidencialidade


Riscos

Vulnerabilidades (Fragilidades): é um ponto fraco do próprio sistema, um fator interno, ou seja, é definida como uma falha no projeto, implementação ou configuração de um software ou do ambiente de TI como um todo, que pode ser explorada por um atacante;

Ameaças: é um fator externo, a exploração das vulnerabilidades de um sistema, realizadas por um agente, de forma espontânea ou proposital, para conseguir seu intento; ou ocasionados por acontecimentos externos.


Ameaças aos Sistemas

Malware: programas criados com objetivos nocivos, de prejudicar, comprometendo a segurança dos sistemas de informação.

Backdoor: brechas intencionais, não documentadas, em programas legítimos, que permitem o acesso ao sistema por parte de seus desenvolvedores ou mantenedores.



Hackers: usuários avançados em TI, que possuem um exímio conhecimento em informática, por muitas vezes melhoram os sistemas existentes.

Crackers: usuários que invadem sistemas de segurança, quebram senha de programas. Os crackers trabalham de de forma ílegal e sem ética.



SPAM: envio em massa de mensagens de e-mail não autorizadas pelos destinatários, em resumo, um spam consiste numa mensagem de correio eletrônico com fins publicitários.

Scam (Golpe): um conjunto de técnicas para enganar os usuários de sistemas de informação no intuito de enviar-lhe um programa maléfico ou simplesmente obter seus dados.


Malware


Tipos Malware

Vírus; Rootkits;

Worm; Botnets;

Trojan; Sniffer;

Spyware; Port scanner;

Adware; Exploit;

Hijackers;

Vermelho – ficam no computador atacado. Preto – ficam no computador do atacante.

23/02/2013

4

Malware

Vírus de Computador: um programa (ou parte de um programa) que:

Necessita de um hospedeiro para existir (um vírus se “anexa” ao conteúdo de um arquivo para viver);

Capacidade de se replicar (ou copiar) sozinho para outros arquivos (hospedeiros);

Um Vírus só entra em ação quando seu hospedeiro (e o próprio vírus) é executado na memória RAM do micro infectado.


Malware

Vírus de Boot: infectam o setor de inicialização do HD, denominado setor de boot, afetam o carregamento do Sistema Operacional.

Vírus de Macro: infectam arquivos do Office (Word, Excel, Power Point), afetam os macros desses programas e são baseados em VBA (Visual Basic for Applications).

Vírus Polimórficos: são conhecidos como vírus mutantes, que conseguem modificar a si próprios a cada infecção, dificultando sua identificação.


Malware

Worm: um programa que apenas usa a estrutura das redes para se copiar de micro em micro, degradando a velocidade da comunicação na estrutura infectada.

Não precisa de hospedeiro, ele próprio é o arquivo que se replica.

Não precisa ser acionado pelo usuário, ele se utiliza de falhas nos protocolos e serviços da rede para se espalhar.


Malware

Cavalo de Tróia (Trojan Horse): um programa que apresenta-se como algo inofensivo (mensagem de solidariedade, de esperança, um jogo, um cartão de Boas Festas, etc.)

A mensagem esconde objetivos maliciosos, como apagar dados, roubar informações e, mais comumente, abrir portas de comunicação para que se possa invadir o computador que foi infectado.


Malware

Spyware (programa espião): um programa que monitora e registra os “hábitos” de navegação e acesso à Internet do micro infectado e transmite essa informação a uma entidade externa na Internet, sem o seu conhecimento e o consentimento de vítima.

Um spyware pode conter keyloggers (capturadores de teclado) e screenloggers (capturadores de tela) para copiar as ações e informações que o usuário está fazendo com o computador.


Malware

Adware: um programa que fica “fazendo anúncios de propaganda” no micro infectado.

Em alguns casos é um programa lícito, acompanhando outros programas.

Fica “abrindo páginas” ou mostrando imagens e links de cassinos, lojas, pornografia e outros.


23/02/2013

5

Malware

Hijackers (”seqüestradores”) são programas ou scripts que "sequestram" navegadores de Internet, principalmente o IE. O hijacker altera a página inicial do browser e impede o usuário de mudá-la, exibe propagandas em pop-ups ou janelas novas, instala barras de ferramentas no navegador e podem impedir acesso a determinados sites (como sites de software antivírus, por exemplo).

A idéia é vender os cliques que o usuário faz nessas páginas, o que gera lucro para o criador do hijacker.


Malware

Rootkit: são um tipo de malware cuja principal intenção é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Isto é possível por que estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado.

Um rootkit é um programa com código mal intencionado que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.


Malware

Botnets: são basicamente redes de computadores infectados por bots.

Bots: Este tipo de ameaça leva esse nome por se parecer com um robô, podendo ser programado para realizar tarefas específicas dentro do computador do usuário afetado é capaz de se comunicar com os invasores que o colocaram em sua máquina.

Da mesma forma que acontece com o Worm, o bot pode ser um programa independente, agindo e se propagando através do seu computador. Desta forma ele cria suas redes e se espalha.


Exercícios

2010 – CONFEF – Analista em TI - IESES


Malware

Sniffer: um programa que é instalado na máquina do atacante e serve para capturar os informações da rede

A placa de rede passa a operar em “modo promíscuo”, não rejeitando nenhuma mensagem que chega.


Malware

Port Scanner: é um programa que vasculha (“verifica”) um computador alvo à procura de portas (serviços) abertas para que, através delas, se possa promover uma invasão àquele micro.

Port scanner envia sucessivos pacotes a várias portas diferentes, esperando receber um pacote de resposta por uma delas e com isso identificar possíveis formas de atacar.


23/02/2013

6

Malware

Exploit: um programa com o objetivo de tirar vantagem de alguma falha, ou vulnerabilidade, conhecida em um sistema de informação.

Um hacker pode construí-lo para demonstração das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou já os crackers com a finalidade de ganhar acesso não autorizado aos sistemas.

Muitos crackers não publicam seus exploits. Seu uso massificado deve-se aos “script kiddies” (amadores);


Phishing

Em computação, phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir fotos e músicas e outros dados pessoais, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial.

Tal fraude ocorre de várias maneiras, destaca-se formulários HTML falsos em emails, URLs falsas, dentre outros.


Phishing


Exercícios

Prova: FCC/2009 TCE-GO - Analista de Contr. Ext. TI

Considere a hipótese de recebimento de uma mensagem não solicitada de um site popular que induza o recebedor a acessar uma página fraudulenta projetada para o furto dos dados pessoais e financeiros dele. Trata-se de

a) spam.

b) phishing/scam.

c) adware.

d) keylogger.

e) bluetooth.


Nível de Segurança

Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos que necessitam de proteção.

No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.


Mecanismos de segurança

Controles físicos: são barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura (que garante a existência da informação) que a suporta.

Ex. Portas, trancas, paredes, blindagem, guardas, câmeras, cercas elétricas, cães, etc.


23/02/2013

7

Mecanismos de segurança

Controles lógicos: são barreiras que impedem ou limitam o acesso à informação, que está em ambiente computacional, exposto a cópia, alteração ou apagamento não autorizado por elemento mal intencionado, que pode estar distante da origem dos dados.

Ex. antivírus, firewalls, filtros antispam, analisadores de código, sistemas biométricos, hashing, criptografia, assinatura digital, certificação digital, protocolos seguros.


Recursos de Segurança

Senha: Sua força depende dos diferentes tipos de caracteres usados, do seu comprimento e de ser encontrada em dicionário ou não.

Segredos da força da senha: comprimento e complexidade

A senha ideal é longa e contém letras, pontuação, símbolos e números.

Sempre que possível, use oito caracteres ou mais.

Não use a mesma senha para tudo. Altere suas senhas com frequência, em intervalos aproximados de três meses.

Não use somente caixa baixa ou alta, faça uma mistura das duas formas;

Evite também usar informações pessoais para criar sua senha, ou palavras comuns.


Exercícios

Prova: 2012 CESPE – Papiloscopista da PF

27) As senhas, para serem seguras ou fortes, devem ser compostas de pelo menos oito caracteres e conter letras maiúsculas, minúsculas, números e sinais de pontuação. Além disso, recomenda-se não utilizar como senha nomes, sobrenomes, números de documentos, placas de carros, números de telefones e datas especiais.



Antivírus: programas que protegem os sistemas de informação contra vírus de computador.

São ferramentas preventivas e corretivas, que detectam e removem vírus de computador e outros programas maliciosos (spywares, worms e cavalos de tróia).

Ex.: Norton Antivírus, McAfee, Avast, AVG Antivírus e outros.



Antispam: programas que podem classificar as mensagens de e-mail recebidas como sendo aceitáveis ou como sendo spam (indesejadas). Esse programa permite que os usuários não sejam incomodados com essa prática desagradável.

Como um spam pode trazer outras coisinhas chatas consigo (vírus, worms, trojans), o antispam é um recurso bastante interessante para que nossas caixas postais sejam usadas para armazenar apenas o necessário.



Firewall: programa que filtra o tráfego de entrada e saída de dados em uma rede.

O firewall deve ser previamente configurado para o que vai deixar passar e o que vai bloquear.

Pode ser implementado tanto em software quanto em hardware.


23/02/2013

8

Firewall



Backup: é o ato deliberado de fazer cópia dos dados importantes da empresa para outro local (em mídias de armazenamento, como DVDs, CDs ou Fitas DAT).

Backup é um dos recursos de segurança, que objetiva manter a disponibilidade dos dados dos sistema.


Características Backup

É freqüente: deve ser realizado com muitas vezes, de preferência, diariamente;

É cíclico: é realizado em ciclos, com início e fim. Esses ciclos podem ter qualquer periodicidade;

É contemporâneo: seu objetivo é sempre manter os dados do backup tão recentes quanto os dados originais do sistema a que se destina.


Tipos de Backup Tipo Arquivos

Normal (Total)

• Todos os arquivos selecionados, • Marca todos os arquivos.

Incremental • Apenas os arquivos novos ou modificados desde o último backup normal, • Marca todos os arquivos.

Diferencial • Apenas os arquivos novos ou modificados desde o último backup normal, • Não Marca todos os arquivos.

De cópia • Todos os arquivos selecionados, • Não Marca todos os arquivos. • (ex: usado para uma emergência)

Diário • Criados ou alterados em data específica • Não Marca todos os arquivos.


Exercícios

Prova: 2012 CESPE – Papiloscopista da PF

29) Uma característica desejada para o sistema de backup é que ele permita a restauração rápida das informações quando houver incidente de perda de dados. Assim, as mídias de backup devem ser mantidas o mais próximo possível do sistema principal de armazenamento das informações.



Criptografia: é o processo matemático usado para reescrever uma informação de forma “embaralhada”, de modo que não seja possível “entendê-la”, se ela for interceptada.

A criptografia é a base para outros recursos de segurança como a Assinatura Digital e a Certificação Digital.

Não importando se é a criptografia simétrica ou assimétrica o objetivo é garantir o sigilo (a confidencialidade) das informações.


23/02/2013

9

Criptografia Exemplo

Função Mc=Mo x C (algorítimo);

Mc= Mensagem cifrada;

Mo= Mensagem Original;

C = Chave criptográfica.

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z


Mo = “VOU PASSAR NO CONCURSO”






C = 1.



Mo= “VOU PASSAR NO CONCURSO”;

Mc = “WPV QBTTBS OP DPODVSTP”






C = 3.



Mo= “VOU PASSAR NO CONCURSO”

Mc = “YRX SDVVDU QR FRQFXUVR”


Criptografia Simétrica


Criptografia Assimétrica


Saber para a prova

Simétrica x Assimétrica

Simétrica Assimétrica(Chave Pública)

Apenas uma única chave; Fácil processamento: exige pouco poder computacional.

Usa duas chaves Exigem hardware mais poderoso e mais tempo para processamento.

A chave privada tem que ser compartilhada entre os envolvidos (o que pode se tornar a vulnerabilidade).

Apenas a chave pública é compartilhada. A chave que decodifica continua segura (Chave Privada)

A mesma chave é usada nos dois sentidos:

(A B) e (B A).

Um par de chaves para cada sentido: (A B):usando par de chaves de B (B A):usando par de chaves de A


23/02/2013

10


Assinatura Digital: uma forma (meio) que permite associar, irrefutavelmente, uma mensagem a um autor, garantindo que se possa saber a origem da mensagem.

A assinatura digital usa chaves assimétricas (pública e privada), só que de forma diferente da criptografia.

Usam-se os termos:

assinar = cifrar;

verificar a assinatura = decifrar.

59

Prof. Marcelo Moreira

Assinatura Digital


Objetivos da Assinatura Digital

Não garante a confidencialidade (sigilo) da mensagem, porque a ela poderá ser aberta por todos aqueles que têm a chave pública do emissor.

O foco da Assinatura Digital é a Autenticidade (garantir o autor da mensagem);

Por usar Hash, o processo de assinatura digital também garante a Integridade da mensagem;

E, com estes dois princípios, a Assinatura é o recurso que nos garante o Não-Repúdio.


Exercícios

2008 – CEF – TEC. BANCÁRIO ACRE - CESGRANRIO

Quais princípios da segurança da informação são obtidos

com o uso da assinatura digital?

a) Autenticidade, confidencialidade e disponibilidade.

b) Autenticidade, confidencialidade e integridade.

c) Autenticidade, integridade e não-repúdio.

d) Autenticidade, confidencialidade, disponibilidade,

integridade e não-repúdio.

e) Confidencialidade, disponibilidade, integridade e não-

repúdio.



Certificação Digital: recurso oferece níveis altos de

confiabilidade por meio da garantia prestada por empresas de certificação.

Tais instituições, chamadas Autoridades de Certificação (AC) são responsáveis por emitir, revogar e renovar os certificados digitais dos usuários do sistema.

Certificado digital é um documento (arquivo no computador) que garante a nossa identidade de forma irrefutável, porque está assinado digitalmente por uma empresa que atesta isso (AC, parece “cartório virtual”). O Certificado Digital é a nossa chave pública assinada pela AC.


Certificado Digital

Quais informações são encontradas em um certificado digital?

Número de série;

Data de validade;

Assinatura da AC;

Chave Pública da Entidade

CPF/CNPJ da Entidade;

E outros.


23/02/2013

11


Exercícios

Prova 2011 – SEGER/ES – Nível Superior - CESPE

Considerando que, em uma intranet, os servidores web estejam configurados para uso de certificados digitais, julgue os itens subsequentes.

39 - Entre as características de um certificado digital inclui-se a existência de um emissor, do prazo de validade e de uma assinatura digital.

40 - O uso do protocolo https assegura que as informações trafegadas utilizem certificados digitais.


Exercícios

Prova 2011 – FMS/PI – Nível Superior

De acordo com os conceitos de Segurança da Informação, assinale a alternativa INCORRETA:

a) A diferença entre os tipos de backup realizados está, principalmente, no tipo de mídia utilizado.

b) Devemos verificar se o endereço de alguns sites começam com HTTPS, indicando uma conexão segura. Instituições bancárias e de comércio eletrônico são exemplos de uso.

c) Criptografia é um método de codificação de dados que visa garantir o sigilo de informações.

d) “Cavalo de tróia” é um tipo de software que vem embutido em um arquivo recebido por e-mail ou baixado da rede. Ao executar o arquivo, o usuário permite a abertura de portas, possibilitando a obtenção de informações não autorizadas.

e) Um dos princípios de Segurança da Informação é a Disponibilidade, propriedade que garante que a informação esteja sempre disponível, no momento em que a mesma seja necessária.


Frase Final

“Motivação é a impulsão para realizações de sonhos”

Edjane Mendes


23/02/2013 1 Curso de Preparatório para Concursos Públicos Segurança da Informação Conteúdo...

Documents

Transcript of 23/02/2013 1 Curso de Preparatório para Concursos Públicos Segurança da Informação Conteúdo...