O papel do usuário na Segurança

• Todo usuário deve reportar incidentes de segurança

• Cada usuário é responsável pela sua senha
• O usuário não deve baixar ou instalar software
• O usuário deve utilizar e-mail e internet para o seu
trabalho
• As informações da empresa pertencem à empresa, e não
devem ser divulgadas sem autorização
Norma ABNT ISO-IEC 17799
“Código de Práticas para o Gerenciamento da
Segurança da Informação”
• Define 127 controles de segurança “opcionais”
• É referência mundial no controle da segurança da
informação
• É um guia que auxilia o gestor de segurança
• Pode ser utilizado para a certificação BS-7799

1
 Direito Autoral - Exemplos de aplicação da Lei

• Lei 9.609/98: Dispõe sobre a propriedade intelectual de

programa de computador
• Lei 9.610/98: Dispõe sobre direitos autorais
• Pena de detenção de 6 meses a 4 anos
• Multa de 3000 vezes o valor do software

Software: WinZip 9.0

Custo: R$ 72,50 por unidade
Multa: R$ 217.500,00
por computador pirata

Software: MS Office 2003 Std

Custo: R$ 734,00 por unidade
Multa: R$ 2.202.000,00
por computador pirata

2
 O impacto da pirataria

• Para a empresa
– Prejuízo financeiro (multa)
– Prejuízo a imagem
– Softwares com vírus
– Softwares sem suporte do fabricante
• Para o funcionário
– Prejuízo legal (detenção)
– Demissão

Quem fiscaliza ?

• As fiscalizações são conduzidas

pela ABES - Associação Brasileira de Empresas de
Software)
• A ABES fiscaliza tanto empresas públicas quanto empresas
privadas, sem distinção
• A ABES aceita denúncias anônimas
• http://www.abes.org.br
3
 Código malicioso
• Qualquer programa que interfere na confidencialidade,
integridade ou disponibilidade das informações ou nos
sistemas de armazenamento, processamento ou
transmissão das informações, sem o conhecimento ou a
autorização do usuário

4
 Como funciona um código malicioso?
• Um código malicioso pode:
• Depender da ação de um usuário...
– Abrir um anexo de e-mail, executar um programa, baixar um
arquivo da Internet
• Se aproveitar de um defeito no Windows...
• Se transmitir sozinho por e-mail ou pela rede...
• Derrubar uma rede inteira, como um hacker...
• Roubar suas senhas do banco...
• Lotar a caixa postal do seu e-mail...
• Etc...!

Antivírus:
• Existem diversos tipos:
– Para proteger as estações e servidores
– E-mail interno e e-mail da Internet
– Dados da navegação na Internet (navegador)
– Tráfego de rede
• Deve ser instalado em todos os computadores da rede
• Pode não ser suficiente para parar um ataque

5
 Senha - Objetivos

• Identificar o usuário
• Através da senha, é possível
– Dar permissões e privilégios de acesso
– Registrar o que o usuário acessou
– Saber quem alterou um arquivo
– Saber em que computador um usuário está
• A senha é pessoal e intransferível !!!

Senha tem que ser confidencial !

6
 Principais falhas no uso da senha
• Senhas fáceis de adivinhar
– Nome (seu, da esposa, do marido, do cachorro, do filho,
iniciais, time de futebol...)
– Datas (nascimento, casamento, nascimento do filho, ...)
– Placa do carro
– Documentos (RG, CPF, ...)
– As senhas mais utilizadas (deus, jesus, amor, alegria,
paixão, palavrões)
• Usar seqüências
– 123456
– 111111
– qwerty
– abcedf
• Compartilhar a senha
• Anotar a senha
– Principalmente sob o teclado ou mousepad

7
 Programas de ataque a senha
• Usam método de força bruta ou dicionário
• Força bruta
– Tenta adivinhar a senha testando milhares de
combinações
• Dicionário
– Tenta adivinhar a senha utilizando palavras de uma lista
de palavras pré-definidas
lØphtcrack

Quebra:
Senhas Numericas.
Senhas Alfabéticas;
Senhas Fracas Alfa+Num

8
 Senhas fortes

• Têm pelo menos 8 caracteres no mínimo

• Misturam caracteres dos 4 grupos seguintes:
– Letras minuscúlas {abcdefghijk....}
– Letras maiúsculas {ABCDEFGH...}
– Números {0123456789}
– Caracteres especiais {!@#$%^&*()-=_+]...}

• Estacio$@853
• s&nh@984
• s3cr3t@ Exemplos de senhas fortes
• p3rn@mbuc0
• 123!@#abc
• *Senh@2005#

9
 Autenticação com dois fatores

• Uma autenticação pode ocorrer através de:

– Algo que o usuário sabe (senha)
– Algo que o usuário tem (token)
– Algo que o usuário é (biometria)
• Uma autenticação forte sempre combina pelo menos dois
desses fatores:
– Senha + Token
– Senha + Biometria
– Token + Biometria

Recomendações para proteger a senha

• Utilize senhas fáceis de memorizar e difíceis de se adivinhar
• Utilize sempre senhas fortes
• Troque de senha periodicamente (40 dias)
• Não reutilize senhas antigas
• Não anote sua senha
• Não diga sua senha para ninguém!

10
 Uso correto de e-mail e Internet
• E-mail e Internet como recursos de competitividade para
os negócios
• Desperdício de recursos através de E-mail e Internet
• SPAM
• E-mails falsos e ataque de phishing
• Acesso a sites indevidos
• Código malicioso em sites
• Monitoramento e controle de e-mails
• Monitoramento e controle do acesso a Internet
• Recomendações de uso de e-mail e Internet

11
 SPAM

• E-mails indesejados, enviados para uma grande quantidade

de usuários, normalmente de propaganda
• Provoca perda de produtividade, pois demoramos para ler
muitos e-mails
• Gasta muitos recursos, como banda de rede e espaço em
servidores
• Para evitar o SPAM, evite fornecer seu e-mail em sites de
cadastro
E-mais falsos e phishing

• Tentam instalar códigos maliciosos no computador do

usuário ou roubar dados
• Como reconhecer o Phishing?

12
Exemplo de Phishing

13
Exemplo de Phishing

14
Exemplo de Phishing

15
 Acesso a sites indevidos
• O que é um site indevido?
– Pornografia
– Compras
– Racismo
– Pay-to-surf
– Notícias
– Esportes
• Todos os usuários devem poder acessar os
mesmos tipos de site?
• Quem deve determinar isso?
16
 Código malicioso em sites

• Alguns sites podem instalar códigos maliciosos no

computador do usuário
• O Spyware é um código malicioso muito comum
• O usuário deve desconfiar de janelas de alerta que pedem
para “confiar” no conteúdo fornecido por uma empresa que
ele não conhece

Exemplo de Spyware: GATOR

• Registra os sites visitados pelo usuário

• Envia esses dados para um servidor
• Vende anúncios: quando o site de um concorrente aparece
na tela, ele exibe um pop-up do anunciante

17
 Monitoramento e controle de e-mail

• Já foi decidido legalmente: o e-mail pertence à empresa, e

a empresa pode monitorar o conteúdo de e-mails enviados
pelos usuários (TST, em 17/05/2005).
• Um e-mail sai com o nome da empresa como remetente
(fulano@empresa.com.br). Tem o mesmo valor de um papel
timbrado.
• Uso indevido do e-mail pode causar demissão por justa
causa.
Monitoramento e controle da Internet

• Da mesma forma que o e-mail, a internet, assim como o

computador, é uma ferramenta de trabalho
• O empregador pode monitorar o acesso realizado pelo
empregado
• O empregador pode restringir quais sites podem ser
acessados pelo empregado
18
 Recomendações para uso de e-mail e Internet

• Use a Internet apenas para assuntos de trabalho

• Use a Internet para assuntos pessoais quando isso
beneficia o seu tempo no trabalho (pagamento de contas
em banco)
• Não envie e-mails particulares utilizando o e-mail da
empresa
• Tome cuidado ao navegar em sites desconhecidos
• Tome muito cuidado ao digitar senhas na Internet, tenha
certeza de que você está no site certo
• Não guarde e-mails particulares nos computadores da
empresa

19
20
21
Fóruns >> Ciência e Tecnologia >> APRENDA A QUERBAR
SENHAS DE E-MAIL, MSN, ZIP . (120 mensagens)
Fórum criado em 04/05/2005

http://geocities.yahoo.com.br/brazilianhackers/index.html KIT
BRAZILIAN HACKER Bem Vindos ao Mundo Hacker, aqui você
encontrara centenas de programas de invasão FTP, HTTP, Wiretapping,
além de poder descobrir senhas de emails, dominar icqs, nucar caras
chatos da internet, vírus para você detonar quem quiser, Mail
Bombers, apostilas e vídeo aulas em português, e muito mais!!! KIT
CELULAR Tudo sobre celulares CDMA - TDMA - GSM!!! CD ROM com
curso de manutenção de celulares de todas as operadoras do mercado.
Apostila que ensina a clonar celulares. Programas para desbloqueio de
celulares GSM para funcionar com chip de todas operadoras, códigos
para virar o Sansung slim, advancde, easy, vision, compact na mão, e
muito mais!!! KIT MALA DIRETA 30 milhões de e-mails para você
divulgar o que vc quiser. Divididos em estados, pessoas físicas e
jurídicas. Programas completos de envio e de e-mails com manuais em
português explicando passo-a-passo como utilizá-los.- Estratégias de
negócios na Internet, Como ganhar grandes lucros com negócio de
Mala Direta, Truques cruéis e secretos de negociação, e muito mais!!!
TUDO ISSO E MUITO MAIS, CLIQUE NO LINK ABAIXO E ACESSE JÁ O SITE:
http://geocities.yahoo.com.br/brazilianhackers/index.html
www.brazilianhacker.cjb.net Ou entre em contato pelo email: 22
brazilianhackers@yahoo.com.br
SpyBuddy Stealth PC Monitoring and Surveillance Spy Software

23
24
25
26
27
28
29
30
31
Por que alguém iria querer invadir meu computador?

A resposta para esta pergunta não é simples. Os motivos pelos quais

alguém tentaria invadir seu computador são inúmeros. Alguns destes
motivos podem ser:
•utilizar seu computador em alguma atividade ilícita, para esconder a real
identidade e localização do invasor;
•utilizar seu computador para lançar ataques contra outros computadores;
•utilizar seu disco rígido como repositório de dados;
•destruir informações (vandalismo);
•disseminar mensagens alarmantes e falsas;
•ler e enviar e-mails em seu nome;
•propagar vírus de computador;
•furtar números de cartões de crédito e senhas bancárias;
•furtar a senha da conta de seu provedor, para acessar a Internet se fazendo
passar por você;
•furtar dados do seu computador, como por exemplo, informações do seu
Imposto de Renda.

32
•Cuidados com Telefones Celulares, PDAs e Outros Aparelhos com
Bluetooth

Telefones celulares deixaram de ser meramente aparelhos utilizados

para fazer ligações telefônicas e passaram a incorporar diversas
funcionalidades, tais como: calendário, despertador, agenda telefônica e
de compromissos, câmera fotográfica, envio e recebimento de texto e
imagens, etc.
A tecnologia bluetooth tem sido introduzida em diversos tipos de
telefones celulares para permitir a transmissão de dados entre eles (por
exemplo, contatos da agenda telefônica, agenda de compromissos,
texto, imagens, etc), bem como conectar um telefone a outros tipos de
dispositivo (por exemplo, fones de ouvido, sistema viva-voz de
automóveis, etc). Outros exemplos de aparelhos que podem fornecer
esta
•Quetecnologia são
riscos estão PDAs e notebooks.
associados ao uso de aparelhos com bluetooth?

Muitas vezes, um aparelho que fornece a tecnologia bluetooth vem

configurado de fábrica, ou é posteriormente configurado, de modo que
qualquer outro aparelho possa se conectar a ele, indiscriminadamente.
Esta configuração normalmente permite que dados sejam obtidos do
aparelho sem qualquer tipo de controle.
O problema não reside no fato do aparelho disponibilizar a tecnologia,
mas sim na má configuração das opções de bluetooth, que podem
permitir que terceiros obtenham diversas informações de um aparelho.
Estas informações podem incluir: agenda telefônica, agenda de
compromissos, arquivos, imagens, entre outras. 33
O que é um vírus de telefone celular?

Um vírus de celular se propaga de telefone para telefone através da

tecnologia bluetooth ou da tecnologia MMS (Multimedia Message
Service). A infecção se dá da seguinte forma:

5. O usuário recebe uma mensagem que diz que seu telefone está
prestes a receber um arquivo.
6. O usuário permite que o arquivo infectado seja recebido, instalado e
executado em seu aparelho.
7. O vírus, então, continua o processo de propagação para outros
telefones, através de uma das tecnologias mencionadas
anteriormente.
8. Os vírus de celular diferem-se dos vírus tradicionais, pois
normalmente não inserem cópias de si mesmos em outros arquivos
armazenados no telefone celular, mas podem ser especificamente
projetados para sobrescrever arquivos de aplicativos ou do sistema
operacional instalado no aparelho.
9. Depois de infectar um telefone celular, o vírus pode realizar diversas
atividades, tais como: destruir/sobrescrever arquivos, remover
contatos da agenda, efetuar ligações telefônicas, drenar a carga da
bateria, além de tentar se propagar para outros telefones.
34
35