Segurança Na Internet

Segurança na Internet
Izequiel Pereira de Norões
Módulo 1 – Conceitos Fundamentais

- Conceitos de segurança – Engenharia Social –
Principais Normas
Apresentação
• Professor:
– Izequiel Pereira de Norões
– Bacharel em Informática (Unifor)
– Pós em Gerência Estratégica da Informação (Unifor)
– Pós em Tecnologias da Informação – Ênfase Web (UFC)
Contato: izequiel@gmail.com
Material da disciplina:
http://fatene.ipn.eti.br
Izequiel Pereira de Norões - 2008

A disciplina
• Objetivos:
– Conhecer os principais aspectos de segurança
na rede mundial de computadores;
– Dominar os conceitos de segurança na
internet;
– Discutir as principais linhas de produtos de
suporte à implementação, à administração e
revisão de segurança de informações na
internet;
– Dominar sistemas de controle de acesso, de
isolamento de rede, de detecção de invasão e
de detecção de vulnerabilidade
– Dominar as técnicas do uso seguro da WWW e
correio eletrônico.

Plano do Conteúdo
• Módulo 1: Conceitos Fundamentais;
• Módulo 2: Segurança na WWW I – (TCP/IP e IP)
• Módulo 3: Criptografia;
• Módulo 4: Segurança na WWW II - (Cont. IP Sec –
HTTP – SSL e outros protocolos);
• Módulo 5: Ferramentas de Segurança da Informação
e Sistemas WEB ( Hackers – Ameaças – Sistemas
WEB);
• Módulo 6: Virtual Private Network(VPN);
Extras
• Módulo 7: Auditoria, Analise de Riscos e Políticas de
Segurança;
• Módulo 8: Direito e Internet.
Sugestões bibliográficas
• Hack Notes: Segurança de Redes.
– SHEMA, C e CLINTON M.
• Hack Notes: Segurança na Web
– SCHEMA, C.
• Segurança no Desenvolvimento de
Software
– ALBUQUERQUE, Ricardo e RIBEIRO, Bruno.
• Segurança Máxima
– Autor Anônimo.
• TCP/IP – Internet, Intranet e Segurança
– STARLIN, Gorki.
Metodologia de Avaliação
• Trabalhos individuais.
• 1 prova.
• ------------------------- 1ª Nota
• 1 Trabalho em equipe + apresentação.
(Prova).
• ------------------------- 2ª Nota

Conceitos Fundamentais
• Introdução
- “ É fácil ter-se um sistema de computação seguro.
Você meramente tem que desconectar o seu sistema
de qualquer rede externa, e permitir somente
terminais ligados diretamente a ele. Pôr a máquina e
seus terminais em uma sala fechada,e um guarda na
porta.“ F.T. Grampp e R.H. Morris
- Kevin Mitnick um dos hackers mais famosos do
mundo, diz que um computador seguro é aquele que
está desligado. Isso é verdade?
Completando a idéia:
“Sim, aquele que está desligado e enterrado no fundo
do quintal”.
- “Nem um computador desligado é seguro!”
Izequiel Norões – 2006

• Objetivos da Segurança
– Quando se pensa em segurança de informações, a primeira idéia
que nos vem à mente é a proteção da mesma, não importando
onde esteja. Um sistema computacional é considerado seguro se
houver uma garantia de que é capaz de atuar exatamente como
esperado. Porém segurança é um conceito que vai muito além
disso. É expectativa de todos que a informação armazenada em
um sistema computacional, permaneçam lá, sem que pessoas
não autorizadas tenham acesso a seu conteúdo. Ou seja, é
expectativa de qualquer usuário que a informação esteja
disponível no local e momento que desejar, que sejam
confiáveis, corretas e permaneçam imunes a acessos não
autorizados

• Conceitos de Segurança:
– Um computador (ou sistema computacional) é dito seguro se
este atende a três requisitos básicos - MODELO CIA
(Confidentiality, Integrity and Availability) - relacionados aos
recursos que o compõem:
• Confidencialidade: alguém obtém acesso não autorizado ao
seu computador e lê todas as informações contidas na sua
declaração de Imposto de Renda; (Dados disponíveis
somente para quem precisa deles)
• Integridade: alguém obtém acesso não autorizado ao seu
computador e altera informações da sua declaração de
Imposto de Renda, momentos antes de você enviá-la à
Receita Federal; (Dados não devem ser alterados)
• Disponibilidade: o seu provedor sofre uma grande
sobrecarga de dados ou um ataque de negação de serviço e
por este motivo você fica impossibilitado de enviar sua
declaração de Imposto de Renda à Receita Federal. (Dados
disponíveis no momento necessário)
• Conceitos de Segurança:
– Em complemento ao Modelo CIA podemos acrescentar:
• Consistência – certificar-se de que o sistema atua de
acordo com a expectativa dos usuários.
• Isolamento ou uso legítimo – controlar o acesso ao sistema.
Garantir que somente usuários autorizados possuam acesso
ao sistema.
• Auditoria – proteger os sistemas contra erros e atos
cometidos por usuários autorizados. Para identificar autores
e ações, são utilizadas trilhas de auditorias e logs, que
registram o que foi executado no sistema, por quem e
quando.
• Confiabilidade – garantir que, mesmo em condições
adversas, os sistema atuará conforme esperado.

• Antes de implementar um programa de segurança de
informações, é aconselhável responder às seguintes
questões:
– O que se proteger?
– Contra que ou quem?
– Quais as ameaças mais prováveis?
– Qual a importância de cada recurso?
– Qual o grau de proteção desejado?
– Quanto tempo, recursos humanos e financeiros se pretende
gastar para atingir os objetivos de segurança desejados?
– Quais as expectativas dos usuários e clientes em relação à
segurança de informações?
– Quais as conseqüências para a instituição se seus sistemas e
informações forem corrompidos ou roubados?

• Por que devo me preocupar com a segurança do meu
computador?
– Computadores domésticos são utilizados para realizar inúmeras
tarefas, tais como: transações financeiras, sejam elas bancárias ou
mesmo compra de produtos e serviços; comunicação, por exemplo,
através de e-mails; armazenamento de dados, sejam eles pessoais ou
comerciais, etc.
– É importante que você se preocupe com a segurança de seu
computador, pois você, provavelmente, não gostaria que:
• suas senhas e números de cartões de crédito fossem furtados e utilizados
por terceiros;
• sua conta de acesso a Internet fosse utilizada por alguém não autorizado;
• seus dados pessoais, ou até mesmo comerciais, fossem alterados,
destruídos ou visualizados por terceiros;
• seu computador deixasse de funcionar, por ter sido comprometido e
arquivos essenciais do sistema terem sido apagados, etc.

• Por que alguém iria querer invadir meu computador?
– A resposta para esta pergunta não é simples. Os motivos
pelos quais alguém tentaria invadir seu computador são
inúmeros. Alguns destes motivos podem ser:
• utilizar seu computador em alguma atividade ilícita,
para esconder a real identidade e localização do
invasor;
• utilizar seu computador para lançar ataques contra
outros computadores;
• utilizar seu disco rígido como repositório de dados;
• destruir informações (vandalismo);
• disseminar mensagens alarmantes e falsas;
• ler e enviar e-mails em seu nome;

• Por que alguém iria querer invadir meu computador?
• propagar vírus de computador;
• furtar números de cartões de crédito e senhas
bancárias;
• furtar a senha da conta de seu provedor, para acessar
a Internet se fazendo passar por você;
• furtar dados do seu computador, como por exemplo,
informações do seu Imposto de Renda.

• Política de segurança das informações
– A política de segurança é um mecanismo preventivo de proteção
dos dados e processos importantes de uma organização que
define um padrão de segurança a ser seguido pelo corpo técnico
e gerencial e pelos usuários, internos e externos. Pode ser
usada para definir as interfaces entre usuários, fornecedores e
parceiros e para medir a qualidade e a segurança dos sistemas
atuais.
– A política de segurança de informações deve estabelecer
princípios de como a instituição irá se proteger, controlar e
monitorar seus recursos de informática.


– O principal objetivo da implantação de uma política de
segurança é preservar a informação quanto a sua integridade,
disponibilidade e confidencialidade.
– Para seu bom funcionamento, algumas premissas devem ser
atingidas:
• Definição do público alvo – Hoje em dia o público alvo de uma
política de segurança não é somente os funcionários da empresa.
Percebemos que todos os usuários de informação deverão seguir
esta política. Quando dizemos usuários de informação, falamos a
respeito de todos aqueles que direta ou indiretamente têm contato
com alguma informação da empresa. Nesse contexto não
podemos deixar de fora as pessoas terceirizadas, os fornecedores
e clientes da empresa.
• Implantação da gestão de segurança – Deve-se indicar um
responsável pela gerência de segurança, que acompanhará a
implementação da política de segurança e participará de suas
revisões.
– Uma boa política de segurança deve abranger os seguintes
tópicos:
• Propriedade da Informação - Toda informação deve possuir um
proprietário (owner), responsável por definir os usuários que terão
acesso á informação e o setor de informática será o custodiante
da mesma, ou seja, é o responsável pelas operações de
manutenção da informação.
• Classificação da Informação - As informações devem ser
classificadas quanto aos princípios da disponibilidade, integridade
e confidencialidade pelo seu gestor.
• Controle de Acesso - Deve atender ao princípio de menor
privilégio. Todo pedido de acesso deve ser documentado, com a
justificativa de acesso. Deve-se atentar para que haja segregação
de função, ou seja, não deixar que um único usuário tenha acesso
a todas as informações de um processo, por exemplo, um
funcionário não deve ter acesso à geração de pagamentos e
liberação do mesmo. É importante que se mantenha trilhas de
auditorias.
tópicos:
• Gerência de Usuários e Senhas - As senhas devem ser únicas e
individuais e seguir critérios de qualidade. A responsabilidade da
senha é do usuário proprietário da mesma.
• Segurança Física - Os acessos a áreas de servidores devem ser
consentidos mediante autorização. Deve-se haver controle sobre a
entrada e saída de equipamentos.
• Gestão de Segurança - Deve ser criado um comitê de segurança e
uma administração de segurança responsáveis por revisões
periódicas na política de segurança e sanções em caso de violação
da mesma.

tópicos:
• Desenvolvimento de Sistemas - É importante que se tenha
uma metodologia interna.
• Capacitação e Conscientização - Deve-se haver uma
divulgação da política para que haja conscientização da
mesma.
• Continuidade de Negócios – A elaboração de um plano de
continuidade de negócios é um tópico dos mais importantes
na política de segurança.

– Para a implantação da política de segurança,
destacamos as principais fases:
• 1. Identificação dos recursos críticos.
• 2. Classificação das informações.
• 3. Definição dos objetivos de segurança a serem atingidos.
• 4. Análise das necessidades de segurança ( identificação da
possíveis ameaças, análise de riscos e impactos).
• 5. Elaboração de proposta da política.
• 6. Discussões abertas com os envolvidos.
• 7. Apresentação de documento formal à gerência superior.
• 8. Aprovação.
• 9. Implementação.
• 10. Revisão.

• Mecanismos de Segurança
– O suporte para as recomendações de segurança
pode ser encontrado em:
• Controles físicos: são barreiras que limitam o contato ou
acesso direto a informação ou a infra-estrutura (que
garante a existência da informação)que a suporta.
• Existem mecanismos de segurança que apóiam os controles
físicos como: Portas / trancas / paredes / blindagem /
guardas / etc ..

– O suporte para as recomendações de segurança
pode ser encontrado em:
• Controles lógicos: são barreiras que impedem ou limitam o
acesso a informação, que está em ambiente controlado,
geralmente eletrônico, e que, de outro modo, ficaria
exposta a alteração não autorizada por elemento mal
intencionado.
– Existem mecanismos de segurança que apóiam os
controles lógicos:
• Mecanismos de criptografia. Permitem a transformação
reversível da informação de forma a torná-la ininteligível a
terceiros. Utiliza-se para tal, algoritmos determinados e
uma chave secreta para, a partir de um conjunto de dados
não criptografados, produzir uma sequência de dados
criptografados. A operação inversa é a decifração.
controles lógicos:
• Assinatura digital - Um conjunto de dados criptografados,
associados a um documento do qual são função, garantindo
a integridade do documento associado, mas não a sua
confidencialidade.
• Mecanismos de garantia da integridade da informação -
Usando funções de "Hashing" ou de checagem, consistindo
na adição.
• Mecanismos de controle de acesso. Palavras-chave,
sistemas biométricos, firewalls, cartões inteligentes.

controles lógicos:
• Mecanismos de certificação: Atesta a validade de um
documento.
• Integridade: Medida em que um serviço/informação é
genuino, isto é, esta protegido contra a personificação por
intrusos.
• Honeypot: É o nome dado a um software, cuja função é
detectar ou de impedir a ação de um cracker, de um
spammer, ou de qualquer agente externo estranho ao
sistema, enganando-o, fazendo-o pensar que esteja de fato
explorando uma vulnerabilidade daquele sistema

• Modelo dos ciclos de vida da Segurança
– Modelo ARBIL (Asset and Risk Based INFOSEC
lifecycle – Ciclo de vida da segurança baseado em
bens e riscos)

– Ciclo Externo  segurança operacional e gerencial:
• Compreender – saber o papel da empresa ou entidade,
dos seus produtos e serviços, de seus funcionários, a sua
missão, etc.
• Coletar  Compilar informações sobre os recursos
organizacionais, departamentais e de grupo, incluindo tipo
de dados e pessoas, infra-estrutura de rede e
computacional, mecanismos de proteção e controles
adotados e processos e procedimento aplicados/ausentes.
Com entrevistas, questionários e pesquisa documental.
• Avaliar  Determinar quem, o que, onde, quando, e como
estão inseridos no papel da empresa os objetivos que as
apóiam e as funções operacionais que são necessárias
para que ocorram.

– Ciclo Externo  segurança operacional e gerencial:
• Fazer auditoria  teste e avaliação dos controles,
mecanismos de segurança e também as etapas de solução
alternativa necessárias para da conta dos pontos
vulneráveis.
• Implementar  Quando ações corretivas são
determinadas, elas são priorizadas e designadas para
implementação. Algumas vezes, a implementação pode
ser orientada por uma análise da relação custo/benefício.
• Gerenciar  Depois de todos os passos anteriores os
controles e mecanismos de proteção aplicados devem ser
gerenciados aplicando os princípios usados no círculo
interno ou recomeçar a fase de compreensão pelo círculo
externo.

– Ciclo Interno  controles e mecanismos orientados
por ações:
• Mecanismo de proteção  processos, procedimentos,
métodos administrativos, hardware e software para os
bens organizacionais.
• Monitorar  auditar e registrar alertas e dados do sistema
e depois, avaliar essas informações para triggers e
eventos de segurança.
• Reagir  tomar medidas apropriadas e preparar recursos
para iniciar a defesa.
• Defender  proteger e minimizar os danos.
• Recuperar  no caso de um incidente, avaliar danos e
iniciar a recuperação e assim reavaliar as necessidades de
segurança.

• Visão rápida do processo hacking
– Árvores de ataque;
– Listas de ameaças;
– Listas de vulnerabilidades.

– Árvores de ataque  avaliação de cada ponto de
exposição em potencial dentro da
empresa/entidade.

– Lista de ameaças  compreender cada ameaça
presente depois de mapeadas as árvores de ataque
– Ameaças Deliberadas

– Ameaças Acidentais

– Ameaças Ambientais

– Lista de vulnerabilidades

• Avaliação e gerenciamento de riscos
– Gerenciamento de riscos é uma prática e um processo pelos
quais os riscos e ameaças são devidamente avaliados e os métodos
de proteção, implementados de acordo, de modo a não interferirem,
atrapalharem nem mesmo prejudicarem a capacidade de a empresa
realizar a missão que se destina.
– Meio de encapsular a postura de segurança da empresa/entidade e
permitir que sejam tomadas decisões razoáveis e eficazes de
proteção aos bens que lhe são fundamentais em termos operacionais.
– Determina a direção e o contexto corretos para o plano de segurança
da informação e para as políticas e procedimentos de segurança.

• Avaliação e gerenciamento de riscos
– Avaliação  Componente principal em todo programa de gerenciamento de
riscos e plano de segurança, descreve o processo e os procedimentos gerais,
é feita com base mas informações compiladas obtidas durante o processo.
Que compõe:
• Avaliação de riscos fundamentais;
– Importância fundamental dos dados.
– Importância fundamental da missão operacional.
– Importância fundamental da organização.
– Dificuldade em substituir ou restaurar.
• Avaliação de ameaças;
– Mapeamento de vulnerabilidades
– Revisões de arquitetura
– Avaliações de estações
– Revisão de políticas e procedimentos
– Revisões de aplicações WEB
– Revisões de segurança física
• Avaliação de vulnerabilidades;
• Análise de risco; e
• Resolução de risco.
• Engenharia Social
– é um método utilizado para obter acesso à informações
importantes ou sigilosas em organizações ou sistemas por
meio da enganação ou exploração da confiança das pessoas.
Para isso, o 'engenheiro' pode se passar por outra pessoa,
assumir outra personalidade, fingir que é um profissional de
determinada área, etc.
– É uma forma de entrar em organizações muito facilmente,
porque não necessita da força bruta ou de erros em
máquinas, ela explora com muita sofisticação as falhas de
segurança dos humanos, que quando não treinados para
esses ataques, podem ser facilmente manipulados. Algumas
empresas investem fortunas em tecnologias de segurança de
informações e protegem fisicamente seus sistemas, mas a
maioria não possui métodos que protegem seus funcionários
das armadilhas de engenharia social.

– É importante salientar que, independente do hardware,
software e plataforma utilizada, o elemento mais vulnerável
de qualquer sistema é o ser humano, o qual possui traços
comportamentais e psicológicos que o torna susceptível a
ataques de engenharia social. Dentre essas características,
pode-se destacar:
• Vontade de ser útil : O ser humano, comumente, procura agir
com cortesia, bem como ajudar outros quando necessário.
• Busca por novas amizades : O ser humano costuma se agradar e
sentir-se bem quando elogiado, ficando mais vulnerável e aberto
a dar informações.
• Propagação de responsabilidade : Trata-se da situação na qual o
ser humano considera que ele não é o único responsável por um
conjunto de atividades.
• Persuasão : Compreende quase uma arte, onde se busca obter
respostas específicas. Isto é possível porque as pessoas têm
características comportamentais que as tornam vulneráveis a
manipulação. Izequiel Pereira de Norões - 2008
– É importante observar que o sucesso da engenharia social
depende da compreensão do comportamento do ser humano,
além da habilidade de persuadir outros a disponibilizarem
informações ou realizarem ações desejadas pelo engenheiro
social. Perceba ainda que o medo de perder seu emprego ou
vontade de ascender pode resultar na entrega de informação
de natureza proprietária. Nesse sentido, observa-se que a
engenharia social possui uma seqüência de passos na qual
um ataque pode ocorrer:
• Coleta de informações – O hacker ou engenheiro social
busca as mais diversas informações dos usuários como
número de CPF, data de nascimento, nomes dos pais,
manuais da empresa, etc. Essas informações ajudarão no
estabelecimento de uma relação com alguém da empresa
visada. Ex: “Google Hacking”

• Desenvolvimento de relacionamento – O engenheiro social
explora a natureza humana de ser confiante nas pessoas
até que se prove o contrário.
• Exploração de um relacionamento – O engenheiro social

procura obter informações da vítima ou empresa como,
por exemplo, senha, agenda de compromissos, dados de
conta bancária ou cartão de crédito a serem usados no
ataque.
• Execução do ataque – O hacker ou engenheiro social

realiza o ataque a empresa ou vítima, fazendo uso de
todas informações e recursos obtidos.

– Especialistas afirmam que a medida que nossa sociedade
torna-se cada vez mais dependente da informação, a
engenharia social tende a crescer e constituir-se numa das
principais ameaças aos sistemas de segurança das (grandes)
organizações. Entretanto, embora as situações apresentadas
até agora sejam um tanto indesejáveis e até certo ponto
assustadoras, há mecanismos através dos quais uma
organização pode implementar a fim de detectar e prevenir
ataques de engenharia social. Tais medidas visam,
principalmente, atenuar a participação do componente
humano. Essas medidas compreendem:
• Educação e Treinamento – Importante conscientizar as
pessoas sobre o valor da informação que elas dispõem e
manipulam, seja ela de uso pessoal ou institucional.
Informar os usuários sobre como age um engenheiro
social.
• Segurança Física – Permitir o acesso a dependências de
uma organização apenas às pessoas devidamente
autorizadas, bem como dispor de funcionários de
segurança a fim de monitorar entrada e saída da
organização.
• Política de Segurança – Estabelecer procedimentos que
eliminem quaisquer trocas de senhas. Por exemplo, um
administrador jamais deve solicitar a senha e/ou ser capaz
de ter acesso a senha de usuários de um sistema.
Estimular o uso de senhas de difícil descoberta, além de
remover contas de usuários que deixaram a instituição.
• Controle de Acesso – Os mecanismos de controle de
acesso tem o objetivo de implementar privilégios mínimos
a usuários a fim de que estes possam realizar suas
atividades. O controle de acesso pode também evitar que
usuários sem permissão possam criar/remover/alterar
contas e instalar software danosos a organização.
– Principais Ataques:
• Ataque indireto
O ataque indireto consiste basicamente na utilização de

ferramentas de invasão (como cavalos de tróia e sites
com código malicioso) e de impostura (como cartas, e-
mails e sites falsos com a aparência dos verdadeiros) para
obter informações pessoais. Os usuários individuais de
quem o hacker extrai os dados são apenas vetores para a
coleta de informações de uma entidade maior - empresa,
organização ou governo. sua intenção não é atacar cada
um desses usuários, e sim o organismo maior ao qual elas
pertencem.

– Principais Ataques:
• Ataque direto
São caracterizados pelo contato pessoal. Geralmente são

feitos por fax ou telefone (embora hackers mais
confiantes ousem fazê-los pessoalmente...) e exigem
planejamento detalhado e antecipado, vários planos de
emergência para cada uma das fases do ataque
previamente planejadas e um pouco de dom artístico.
Sim, um bom invasor tem a obrigação de ser bom ator.
Este deve ser bem articulado para que seu plano não seja
desmascarado, e também ter raciocínio rápido para
encontrar saídas caso algo fora do planejado dê errado.

– Ataques comuns
• Vírus que se espalham por e-mail: criadores de vírus
geralmente usam e-mail para a propagação de suas
criações. Na maioria dos casos, é necessário que o usuário
que receber o e-mail execute o arquivo em anexo para
que seu computador seja contaminado. O criador do vírus
pensa então em uma maneira de fazer com que o usuário
clique no anexo. Uma dos métodos mais usados é colocar
um texto que desperte a curiosidade do internauta. Assim,
o texto pode tratar de sexo, de amor, de notícias atuais,
etc. Um dos exemplos mais clássicos é o vírus I Love You,
que chegava ao e-mail das pessoas usando este mesmo
nome. Repare que neste caso, o autor explorou um
assunto que mexe com qualquer pessoa.

– Ataques comuns
• E-mails falsos (scam): é usado principalmente para obter
informações financeiras da pessoa, como número de conta-
corrente e senha. Neste caso, o aspecto explorado é a confiança.
Boa parte dos criadores desses e-mails são criminosos que
desejam roubar o dinheiro presente em contas bancárias. Como
é inviável tentar burlar a seguranças dos sistemas bancários, é
mais fácil ao criminoso tentar enganar as pessoas para que elas
forneçam suas informações bancárias. A tática usada é a
seguinte: o criminoso adquire uma lista de e-mails usados para
SPAM que contém milhões de endereços, depois vai a um site de
um banco muito conhecido, copia o layout da página e o salva
em um site provisório, que tem a url semelhante ao site do
banco. Por exemplo: www.infowester.com
usa-se: www.infoweste.com ou www.imfowester.com ou
www.infowezter.com

– Ataques comuns
• E-mails falsos (scam): O passo seguinte é enviar um e-
mail à lista adquirida usando um layout semelhante ao do
site. Esse e-mail é acompanhado por um link que leva ao
site falso. Para fazer com que o internauta clique no link,
o texto da mensagem pode, por exemplo, sugerir uma
premiação: "Você acaba de ser premiado com 10 mil
reais. Clique no link para atualizar seu cadastro e receber
o prêmio". Como a instituição bancária escolhida
geralmente é muito conhecida, as chances de que o
internauta que recebeu o e-mail seja cliente do banco são
grandes. Assim, ele pode pensar que de fato foi o banco
que enviou aquela mensagem, afinal, o e-mail e o site do
link tem o layout da instituição. Como conseqüência, a
vítima ingenuamente digita seus dados e dias depois
percebe que todo o dinheiro da sua conta sumiu!
– Ataques comuns
• Salas de bate-papo (chat): esse é um dos meios mais
perigosos de enganação e costumam vitimar principalmente
crianças e adolescentes. O perigo ocorre porque a conseqüência
do golpe pode trazer danos físicos e morais à pessoa. Nas salas
de bate-papo, os golpistas vão ganhando a confiança da futura
vítima através da conversa. Por este meio, ele aos poucos vai
convencendo a pessoa a fornecer seus dados, como telefone,
endereço residencial, endereço escolar, etc. Um criminoso pode,
por exemplo, entrar em uma sala de bate-papo para jovens e
dizer coisas que convencem uma adolescente de 13 anos de que
ele pode ser seu namorado perfeito. Ela então fornece seus
dados ou marca um encontro na expectativa de ver seu "príncipe
encantado". Golpes assim também podem ser aplicados em
adultos. Por exemplo, com uma mulher divorciada e que usa um
chat esperando encontrar um novo parceiro.

– Ataques comuns
• Salas de bate-papo (chat): esse é um dos meios mais
perigosos de enganação e costumam vitimar principalmente
crianças e adolescentes. O perigo ocorre porque a conseqüência
do golpe pode trazer danos físicos e morais à pessoa. Nas salas
de bate-papo, os golpistas vão ganhando a confiança da futura
vítima através da conversa. Por este meio, ele aos poucos vai
convencendo a pessoa a fornecer seus dados, como telefone,
endereço residencial, endereço escolar, etc. Um criminoso pode,
por exemplo, entrar em uma sala de bate-papo para jovens e
dizer coisas que convencem uma adolescente de 13 anos de que
ele pode ser seu namorado perfeito. Ela então fornece seus
dados ou marca um encontro na expectativa de ver seu "príncipe
encantado". Golpes assim também podem ser aplicados em
adultos. Por exemplo, com uma mulher divorciada e que usa um
chat esperando encontrar um novo parceiro.

– As principais armas de um engenheiro social podem ser
divididas em dois grandes grupos: pesquisa e impostura.
Comecemos pela pesquisa. A aquisição de material, como
relatórios anuais e lista de pagamento, pode dar uma ótima
visão da hierarquia adotada na empresa. Isso ajuda muito na
hora da seleção dos alvos pontuais (lembre-se: um
pedacinho de informação extraído de cada usuário resulta em
um bolo valiosíssimo quando reunido às outras pequenas
informações extraídas dos outros usuários). O hacker pode
descobrir quem detém o material necessário para a invasão e
outras informações importantes para o ataque, como
departamento em que a pessoa trabalha, softwares
utilizados, sistema operacional, hardware e sistemas
empresariais.

– Observe que nem sempre os dados úteis estão escritos: uma
análise dos resultados de sua busca, compreendendo
combinações e cruzamento de informações, é
importantíssima. "Ler nas entrelinhas" nunca foi tão
necessário... Mesmo assim, a pesquisa é só o começo. Depois
de descobrir quem guarda as informações e quais são elas, o
hacker deve pensar nos meios que utilizará para extrair mais
dados. É nesse ponto que entra a impostura: o hacker deve
se fazer passar por outras pessoas (seja da própria empresa,
seja clientes, fornecedores, seja até agentes do governo)
para, de posse das informações já "garimpadas", angariar
dados e documentos mais sérios, específicos e,
pricipalmente, valiosos.

– O Lixo é rico!
• o lixo de um escritório é, potencialmente, uma das
maiores fontes de informações para o hacker.
• é nele que as pessoas jogam aqueles pedaços de papéis
em que anotam suas senhas antes de memorizá-las ou
transcrever para uma agenda.
• o lixo de uma grande empresa recebe dezenas de
relatórios que podem parecer banais mas que, na
verdade, guardam informações sobre o patrimônio da
empresa, funcionários cadastrados e aspectos dos
sistemas.
• A falta de preocupação só com esse fator isolado pode
render uma invasão bem-sucedida e ainda ajudar o
invasor a limpar seus rastros. Muitas vezes, ele mesmo
pode estar lá para recolher o lixo da sala do
administrador.
– Disfarces
• Como um bom espião, o engenheiro social deve dispor de
diversos disfarces para alcançar seus objetivos. Entre eles
deve constar desde se passar por faxineiro até consultor
em visita. Certas empresas adoram receber consultores
de empresas famosas, para tanto, basta apenas que o
hacker tenha um terno, boa lábia e um crachá. O fator
idade não é mais um problema tão grande, pois o perfil do
profissional de informática é cada vez mais jovem, basta
apenas tratar um pouco da aparência e da linguagem a
ser utilizada.

– Disfarces
• A incorporação do personagem é um fator de grande
importãncia para o sucesso. Imagine um hacker
disfarçado de faxineiro. Ele simplesmente não vai andar
até a lata de lixo, separar os papéis de seu interesse, e
virar as costas, será até estranho se ninguém suspeitar.
Ele deve fazer todo o serviço, desde limpar a mesa até
varrer o chão, conseguindo mais oportunidades para
entender o que acontece ao seu redor. Depois de um
certo tempo, as pessoas passam a confiar mais e o
invasor pode tranqüilamente limpar as mesas repletas de
material importante para o desenvolvimento de um
ataque bem-sucedido.

• Ameaças Programadas
– Os sistemas informatizados podem passar a ter um
comportamento estranho, não por acidente, mas
pela execução de códigos gerados com intuito de
danificar ou adulterar o comportamento normal dos
softwares. Esses códigos são chamados de
ameaças programadas. Normalmente as ameaças
programadas são chamadas de vírus, mas
tecnicamente, existem outras nomenclaturas mais
específicas. As diversas ameaças programadas são
classificadas pela forma como se comportam, como
são ativadas ou como se espalham. Os tipos
principais são:

– Vírus  pequenos programas projetados para se replicarem
e se espalharem de um computador a outro, atacando
programas ou o setor de boot de um disco rígido. São
seqüências de código inseridas em outro código executável,
de forma que, quando esses programas são ativados, os
vírus também são executados. Como os vírus não são
programas executáveis por si mesmos, sempre necessitam
de outro código para que sejam executados. São variações
de cavalos de Tróia, com um mecanismo de ativação (evento
ou data) e com uma missão (apagar arquivos, enviar dados,
etc.), que se propagam (anexando-se a arquivos e
programas). Uma vez ativo, o vírus pode infectar
imediatamente outras partes do computador (outros
programas, arquivos, disquetes e setores de disco) ou
permanecer residente na memória do computador e
oportunamente infectar outros programas e disquetes.
– Worms  programas que se propagam de um computador a
outro em uma rede, sem necessariamente modificar
programas nas máquinas de destino. Worms são programas
que podem rodar independentemente e trafegam de uma
máquina a outra através das conexões de rede, podendo ter
pedaços de si mesmos rodando em várias máquinas. As
worms geralmente não modificam outros programas, embora
possam carregar outros códigos que o façam (como vírus,
por exemplo). Um exemplo de worm, ocorreu em maio de
2000, a VBS/LoveLetter e suas variantes, causaram
problemas em redes de computadores do mundo inteiro.

– Bactéria  programa que gera cópias de si mesmo com
intuito de sobrecarregar um sistema de computador. As
bactérias são programas que não causam explicitamente
danos aos arquivos. Seu único propósito é a sua replicação.
Essa reprodução de bactérias e exponencial, podendo
assumir toda a capacidade do processador, da memória ou
do espaço em disco, impedindo o acesso de usuárias
autorizados a esses recursos.

– Bomba lógica  ameaça programada, camuflada em
programas, que é ativada quando certas condições são
satisfeitas. As bombas lógicas permanecem dormentes, ou
inativas, em softwares de uso comum por um longo período
de tempo até que sejam ativadas. Quando isso ocorre,
executam funções que alteram o comportamento do software
“hospedeiro”. Geralmente as condições ativadoras de bombas
lógicas são: um dia da semana ou do ano; a presença ou
ausência de certos arquivos; ou um determinado usuário
rodando a aplicação. Uma vez ativada, a bomba lógica pode
alterar ou destruir dados, travar o computador ou danificar o
sistema.

– Cavalo de Tróia  programa que parece ter uma função
mas que, na realidade, executa outras funções. Análogos ao
mito da história grega, os cavalos de Tróia modernos se
parecem com um programa que o usuário gostaria de rodar
(como um jogo, uma planilha eletrônica ou editor de textos).
Enquanto parece estar executando o que o usuário quer, na
verdade, o cavalo de Tróia está fazendo algo completamente
diferente, como por exemplo, apagando arquivos,
reformatando discos ou alterando dados. Tudo o que o
usuário vê é apenas a interface adulterada do programa que
ele queria utilizar. Quando o cavalo de Tróia é percebido,
geralmente já é tarde demais. Normalmente os cavalos de
Tróia são utilizados como veículos para vírus, worms e outras
ameaças programadas.

• ISO 27001
– ISO 27001 é uma norma internacional para referência da
implantação de processos de gestão de segurança da
informação, publicada pelo International Organization for
Standardization em outubro de 2005.
– A norma ISO/IEC 27001 (Information Technology -

Information Security Management Systems - Requirements)
trata da implantação de um processo de gestão de segurança
da informação (ISMS - Information Security Management
Systems). Esta norma em conjunto com a ISO 17799
(Código de Boas Práticas da Gestão de Segurança da
Informação) são as principais referências, atualmente, para a
quem procura tratar a questão da segurança da informação
de maneira eficiente e com eficácia.

• ISO 27001
– No Brasil, apenas oito organizações conseguiram obter o
certificado BS7799-2: Serasa, Banco Matone, Samarco,
Módulo Security, Unisys, PRODESP, SERPRO e Telefônica. A
Módulo Security foi a primeira empresa do mundo a obter a
nova certificação ISO 27001. As outras empresas deverão,
em algum momento, se recertificar.
– Em conjunto com a iniciativa desta nova norma, a

International Organization for Standardization vem
desenvolvendo um novo conjunto de normas voltadas para a
segurança da informação, que foram agrupadas sob a
designação genérica de "normas grupo ISO 27000", que
virão detalhar e aprofundar alguns assuntos mais críticos e
substituir a atual ISO 17799.

• Security Officer
– O cargo de Security Officer tomou destaque nos últimos anos
em função do despertar das organizações para a questão da
segurança da informação. Seja por causa de situações que
aconteceram ou seja pela existência de legislação. Cada vez
mais, fica evidente que essa proteção não pode se restringir
à área de tecnologia, mas deve contemplar todo o negócio
independente de como a informação se apresenta ou está
armazenada.
– As organizações de grande porte devem ter um funcionário

em nível de gestor executivo, dedicado a este aspecto. Para
as médias e pequenas empresas, soluções internas ou de
prestador de serviço devem ser avaliadas para uma solução
específica para a organização.

– Em termos de Brasil, pensando de uma forma estruturada,
foi no final da década de 80 que começou a surgir esta
função profissional, apesar de não ter este nome específico.
As instituições financeiras e as companhias aéreas
representam os primeiros segmentos a se preocupar com o
assunto. Isso se explica pelo tipo de informação que essas
organizações utilizam. Porém naquela época, os profissionais
designados para a função, estavam adentrando em um
mundo desconhecido.
– Atualmente existem desafios que todo profissional designado

para a função executiva de gestor da segurança da
informação deve conhecer, enfrentar e superar.
Evidentemente, sempre considerando o porte da organização
e as características do negócio. De uma forma estratégica
destacamos que o profissional deve:

a) Estar ciente que o seu objetivo é fazer acontecer a segurança
O Security Officer é responsável pela execução do processo de
segurança da informação. Ele tem que garantir que os requisitos de
segurança existem, são de conhecimento dos envolvidos e são
cumpridos ao longo do tempo. A responsabilidade por realizar a
segurança da informação será de cada colaborador da organização:
do usuário que realiza a mais simples função até o mais alto
executivo.
b) Construir estratégia da segurança da informação
O Security Officer tem que definir a abordagem estratégica que vai
adotar para a organização. Esta estratégia deve:
- estar alinhada às normas e procedimentos éticos da corporação;
- definir a forma de atuação do grupo de segurança;
- ter por base as normas e melhores práticas de mercado;
- proteger os recursos de informação;
- definir os controles para as novas iniciativas de negócio e
- acompanhar a eficácia da proteção ao longo do tempo.

c) Transmitir a visão estratégica
A direção da organização deve conhecer e compartilhar a
visão estratégica da proteção da informação. De forma
complementar a estratégia do negócio deve ser de
conhecimento do Security Officer.
Essa “avenida de mão dupla” é um fator crítico de sucesso
para a proteção da informação e possibilita a transformação
da teoria em prática.
d) Estruturar políticas, normas, padrões e procedimentos

Sou de opinião que devemos ter distintos documentos
organizacionais, cada um com seu objetivo. A política
explicita a filosofia da organização sobre o assunto
segurança, deve ser de fácil lembrança e deve ser como os
dez mandamentos: informar as regras básicas que devem ser
seguidas. As normas e procedimentos tratarão do
detalhamento e do como executar esses controles.

e) Garantir a conscientização e treinamento das pessoas
O sucesso do processo de segurança da informação depende do
nível de comprometimento dos usuários. As pessoas precisam ser
conscientizadas da necessidade de proteção da informação e
também precisam ser treinada para fazer corretamente essa
proteção.
f) Lembrar que nem sempre o Security Officer sabe tudo

A proteção da informação atua sobre um leque abrangente de
assuntos, situações e novas tecnologias. Algumas vezes, o Security
Officer não saberá detalhes de como implementar. Mas, deve saber
contar com a colaboração de especialistas para a implantação
adequada.
Além desses desafios, o profissional de segurança da informação

deve ter, pelo menos, duas características básicas: amar o que faz e
ser ético. Com essas características e complementando com
profissionalismo, o processo de segurança da informação existirá de
forma efetiva na organização!

• FIM módulo 01

Segurança Na Internet - Módulo 1

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Segurança Na Internet - Módulo 1

Diunggah oleh

Hak Cipta:

Format Tersedia

Izequiel Pereira de Norões

Módulo 1 – Conceitos Fundamentais

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

• Exploração de um relacionamento – O engenheiro social

• Execução do ataque – O hacker ou engenheiro social

Izequiel Pereira de Norões - 2008

O ataque indireto consiste basicamente na utilização de

Izequiel Pereira de Norões - 2008

São caracterizados pelo contato pessoal. Geralmente são

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

– A norma ISO/IEC 27001 (Information Technology -

Izequiel Pereira de Norões - 2008

– Em conjunto com a iniciativa desta nova norma, a

Izequiel Pereira de Norões - 2008

– As organizações de grande porte devem ter um funcionário

Izequiel Pereira de Norões - 2008

– Atualmente existem desafios que todo profissional designado

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008