Post on 13-Jan-2015
description
29/11/2012Universidade Anhembi Morumbi
Laureate 1
Segurança da Informação
Prof. Carlos Caruso, CPP
29/11/2012Universidade Anhembi Morumbi
Laureate 2
Introdução
O mundo real não é
seguro. O mundo virtual é
menos ainda.Carlos Caruso
29/11/2012Universidade Anhembi Morumbi
Laureate 3
Tópicos de discussão
Principais ameaças
Prevenção e precauções
29/11/2012Universidade Anhembi Morumbi
Laureate 4
ORIGEM DA INTERNET
A "Grande Rede" embora nascida no meio universitário
americano, foi depois utilizada em plena Guerra Fria como
arma militar norte-americana de informação, mas, atualmente
destaca-se como o mais forte meio de comunicação global.
DEFINIÇÃO DE CRAKER OU HACKER
Cracker/hacker - na sua grande maioria, jovem, abaixo de 30
anos, inteligente acima da média, educados, sem qualquer
envolvimento anterior com o crime, com poder aquisitivo
razoável, do sexo masculino, audaciosos e aventureiros,
movidos pelo desafio da superação do conhecimento
29/11/2012Universidade Anhembi Morumbi
Laureate 5
LEIS E PROJETOS DE LEIS
A Lei n° 9.983/2000 acrescentou 2 (dois) tipos penais ao
Código Penal Brasileiro:
“Art. 313-A”. Inserir ou facilitar, o funcionário autorizado, a
inserção de dados falsos, alterar ou excluir indevidamente
dados corretos nos sistemas informatizados ou bancos de
dados da Administração Pública com o fim de obter vantagem
indevida para si ou para outrem ou para causar dano: Pena –
reclusão, de 2 (dois) a 12 (doze) anos, e multa.”.
“Art.313-B”. Modificar ou alterar, o funcionário, sistema de
informações ou programa de informática sem autorização ou
solicitação de autoridade competente: Pena – detenção, de 3
(três) meses a 2 (dois) anos, e multa.”
29/11/2012Universidade Anhembi Morumbi
Laureate 6
DECISÕES DA JUSTIÇA BRASILEIRA
O dia 31 (trinta e um) de Dezembro de 2003 marca um
momento histórico para a Justiça:
Márcio Júnior Teles foi condenado pelo crime de estelionato
(artigos 171, caput, combinado com o parágrafo 3° do Código
Penal), formação de quadrilha (artigo 288 do Código Penal) e
violação de sigilo bancário (Lei Complementar 105/2001).
Willian Marques Braga condenado a 4 (quatro) anos e 6 (seis)
meses de prisão, em regime semi-aberto, por desviar R$ 400
(quatrocentos) mil reais do Fundo de Desenvolvimento
Econômico e Social (FUNDES – Estado do Tocantins), foi
condenado no artigo 155, parágrafo 4°, incisos I e IV, do
Código Penal, que trata de “crime de furto qualificado
mediante fraude e destreza e concurso de duas ou mais
pessoas”.
29/11/2012Universidade Anhembi Morumbi
Laureate 7
Pesquisas apontam que o Brasil está na rota dos
crimes envolvendo a Internet.
Segundo a Polícia Federal, de cada 10 (dez) crackers ativos no
mundo, 8 (oito) vivem no Brasil. Além disso, cerca de 2/3 dos
responsáveis pela criação de páginas de pedofilia na Internet -
já detectadas por investigações policiais brasileiras e do
exterior - têm origem brasileira.
A Polícia também aponta que, no Brasil, as fraudes financeiras
que utilizam o ambiente virtual e correios eletrônicos já
superam, em valores financeiros, os prejuízos de assalto a
banco.
(Fonte: IDG Now, citado no sítio forumpcs).
29/11/2012Universidade Anhembi Morumbi
Laureate 8
ATAQUESTécnicas de invasão
Invasão é a entrada em um site, servidor, computador ou
serviço por alguém não autorizado. Mas antes da invasão
propriamente dita, o invasor poderá fazer um teste de invasão,
que é uma tentativa de invasão em partes, onde o objetivo é
avaliar a segurança de uma rede e identificar seus pontos
vulneráveis.
Spoofing
Nesta técnica, o invasor convence alguém de que ele é algo ou
alguém que não é, sem ter permissão para isso, conseguindo
autenticação para acessar o que não deveria ter acesso,
falsificando seu endereço de origem. É uma técnica de ataque
contra a autenticidade, onde um usuário externo se faz passar
por um usuário ou computador interno.
29/11/2012Universidade Anhembi Morumbi
Laureate 9
Sniffers
É um programa de computador que monitora passivamente o
tráfego de rede, ele pode ser utilizado legitimamente, pelo
administrador do sistema para verificar problemas de rede ou
pode ser usado ilegitimamente por um intruso, para roubar
nomes de usuários e senhas. Explora os pacotes TCP/IP por
não serem criptografados. Para utilizar o sniffer, é necessário
que esteja instalado em um ponto da rede, onde passe pacotes
de interesse para o invasor ou administrador.
Ataque do tipo DoS - Denial of Service
É um ataque de recusa de serviço, estes ataques são capazes
de tirar um site do ar, indisponibilizando seus serviços. É
baseado na sobrecarga da capacidade ou em uma falha não
prevista.
29/11/2012Universidade Anhembi Morumbi
Laureate 10
Trojans
A denominação “Cavalo de Tróia” (Trojan Horse) foi atribuída
aos programas que permitem a invasão de um computador
alheio com espantosa facilidade.
Nesse caso, o termo é análogo ao famoso artefato militar
fabricado pelos gregos espartanos. Um amigo virtual
presenteia o outro com um “Presente de Grego”, que seria um
aplicativo qualquer. Quando o leigo o executa, o programa
atua de forma diferente do que era esperado.
29/11/2012Universidade Anhembi Morumbi
Laureate 11
CRIMINOSOS DA INTERNET
Kevin MitnickKevin era um garotão californiano, autoconfiante,
que roubou nada mais, nada menos, que cerca
de 20.000 números de cartões de crédito dos
associados da rede Netcom. Não satisfeito com
sua façanha e tendo conhecimento da existência
de Shimomura como o principal especialista em
segurança de redes de computadores ligado ao
FBI, Mitnick invadiu o computador desse gênio
nipo-americano e, por várias vezes, deixou
mensagens de desafio e afronta – do tipo “sou o
melhor”. Um dos erros de Kevin Mitnick foi
subestimar a capacidade de Shimomura e pensar
que jamais poderia ser rastreado pelo agente
americano, o que resultou numa tremenda
caçada por parte desse que é considerado o
maior farejador cibernético
29/11/2012Universidade Anhembi Morumbi
Laureate 12
CRIMINOSOS DA INTERNET
John Draper
Pelas informações obtidas até hoje,
este foi o primeiro Hacker a receber
a conotação de Phreaker
(especialista em sistemas de
telefonia no underground). Ele
desenvolveu uma técnica simples e
ao mesmo tempo inteligente para
fazer ligações interurbanas
gratuitamente, usando um apito de
brinquedo que era dado a quem
comprasse uma determinada marca
de cereal, muito consumido nos
Estados Unidos. Também foi preso
e sua pena não foi divulgada.
29/11/2012Universidade Anhembi Morumbi
Laureate 13
CRIMINOSOS DA INTERNET
Phiber Optik
Discípulo de John Draper, este foi e continua
sendo a fera entre os especialistas em
Phreak. Na época, Optik (Mark Abene) fazia
parte do grupo nova-iorquino “Mestres da
Fraude” e deu início a toda uma nova
geração de Hackers, interessados nos
meandros dos sistemas de telefonia no país
do Tio Sam. Optik também cumpriu parte da
pena que lhe foi atribuída e foi solto em
liberdade condicional. Recentemente,
ministrou várias palestras em alguns estados
brasileiros, acompanhado de mais dois ex-
Hackers, cobrando somas consideráveis por
cada palestra. Hoje é especialista em montar
sistemas de segurança para grandes
empresas.
29/11/2012Universidade Anhembi Morumbi
Laureate 14
CRIMINOSOS DA INTERNET
Vladimir Levin
Proveniente da Rússia, onde atualmente se
concentram um grande número de piratas
cibernéticos, Levin passou a fazer parte da lista
de Hackers famosos quando penetrou no
sistema de segurança dos computadores do
Citibank e desviou alguns milhões de dólares
das contas de clientes deste conceituado banco.
Quando estava quase embarcando de volta ao
seu país, foi preso pela Interpol no aeroporto de
Londres. Em seu processo, Vladimir recusava
todos os advogados públicos que eram
oferecidos para defendê-lo, afirmando sempre
que os mesmos eram, na verdade, agentes
secretos prontos para espioná-lo. Sua pena
também não foi divulgada pela mídia.
29/11/2012Universidade Anhembi Morumbi
Laureate 15
CRIMINOSOS DA INTERNET
Robert Morris
Na condição de filho do principal encarregado
do National Computer Security Center, rapaz
inteligente e com futuro promissor, Robert ficou
conhecido nos meios jornalísticos por
contaminar a Internet, propositalmente, com um
vírus de nome “Worm” (minhoca). Em pouco
tempo, inúmeros computadores foram
infectados e entraram em pane. Em seu
julgamento, Robert afirmou que a contaminação
não tinha sido intencional, mas pagou seu erro
com uma pena relativamente rigorosa, sendo
condenado a cinco anos de prisão com direito a
liberdade condicional.
29/11/2012Universidade Anhembi Morumbi
Laureate 16
CRIMINOSOS DA INTERNET
Kevin Pousen
Em 1990 a Rádio KIIS-FM, de Los Angeles,
Califórnia, EUA, estava oferecendo um
Porsche para o autor da centésima segunda
chamada telefônica do dia. Kevin assumiu o
controle de todas as ligações feitas e
colocou sua ligação como se fosse à
centésima segunda e levou o ambicioso
prêmio. Mais tarde, foi preso por invadir
computadores operados por agentes do FBI.
A vida de Poulsen inspirou o jornalista Jon
Littman a escrever o livro "The Watching".
29/11/2012Universidade Anhembi Morumbi
Laureate 17
CRIMINOSOS DA INTERNET
Tsutomu Shimomura
Tsutomu Shimomura trabalha no San Diego
Super Computer Center nas áreas de Física
Computacional e Segurança da Informação.
Em 1995 ele ajudou muitas companhias ligadas
à Internet a capturar Kevin Mitnick, que tinha
roubado software e e-mails dos computadores
de Shimomura.
Autor do livro Takedown: The Pursuit and
Capture of America’s Most Wanted Computer
Outlaw -- By The Man Who Did It, with John
Markoff (Hyperion, January 1996)
29/11/2012Universidade Anhembi Morumbi
Laureate 18
O Rombo da Fraude Eletrônica
Confira alguns dos principais números dos golpes pela
internet, no Brasil e no mundo.
300 milhões de reais é o prejuízo admitido pelos bancos com
fraudes online no Brasil
920 reais é o prejuízo médio de cada incidente
630 milhões de dólares é a soma dos golpes registrados nos
Estados Unidos
850 dólares é o valor médio do desfalque nos golpes aplicados
nos Estados Unidos
7,9 milhões de mensagens de phishing são enviados
diariamente
Dados de 2006
Fontes: Febraban, FGV, Symantec e Consumer Reports.
29/11/2012Universidade Anhembi Morumbi
Laureate 19
29/11/2012Universidade Anhembi Morumbi
Laureate 20
SenhaMantê-la em segredo é a sua segurança!
É o alvo principal dos ataques
Como escolher uma boa senha?
Ex: 0OdiaMp1
Qual o tempo de troca ideal?
Quantas senhas devo ter?
29/11/2012Universidade Anhembi Morumbi
Laureate 21
Engenharia Social
Método para obter informações
importantes das pessoas
Utilizam telefones, e-mails, salas de
bate-papo, redes sociais...
Cuidado com as informações
fornecidas. Instrua as outras
pessoas da casa.
29/11/2012Universidade Anhembi Morumbi
Laureate 22
Cavalo de Tróia
Programas anexados a e-mails ou
baixados explorando a credulidade do
usuário
Permitem que um hacker tenha o controle
total da sua máquina
Permite ao hacker ver seus arquivos,
copiar, apagar, descobrir todas as senhas
que v. digita
Tratamento: anti-vírus, firewall pessoal e
precaução
29/11/2012Universidade Anhembi Morumbi
Laureate 23
Back Doors
Semelhantes aos cavalos de Tróia, porém causados por falhas nos programas mais usuais da Internet: Explorer, e-mail, ICQ, IRC e outros
Tratamento: visitar periodicamente os sites dos fabricantes e buscar atualizações
Anti-vírus não elimina o problema
Firewall ajuda, mas não elimina
29/11/2012Universidade Anhembi Morumbi
Laureate 24
Vírus
Programas que vem anexados a e-
mails ou podem ser baixados pelo
próprio usuário involuntariamente
Podem fazer de tudo, se duplicam e
geralmente não são percebidos
Proteção: anti-vírus atualizado
29/11/2012Universidade Anhembi Morumbi
Laureate 25
Programas de e-mail
Precauções:
Desligue a opção auto-execução de
e-mails (em Preferências/Configurações)
Regra de ouro: Nunca abra e-mails
ou anexos enviados por
desconhecidos ou que tenha
suspeita quanto ao seu conteúdo
29/11/2012Universidade Anhembi Morumbi
Laureate 26
Salas de bate-papo
Há perigo?
O perigo é a informação que você
está fornecendo a desconhecidos –
Estelionatários? Pedófilos?
Seqüestradores? Chantagistas? Na
maioria das vezes não sabemos
com quem estamos falando...
29/11/2012Universidade Anhembi Morumbi
Laureate 27
Programas de troca instantânea de mensagens
Mais conhecidos: ICQ, IRC, AIM e outros
Ficam sempre conectados a um servidor e,
por isso, podem estar sujeitos a ataques
de hackers, principalmente se houver uma
falha no programa (backdoor)
Dica: ler informações sobre segurança do
próprio provedor do serviço
29/11/2012Universidade Anhembi Morumbi
Laureate 28
Programas de distribuição de arquivos
Mais conhecidos:Napster (MP3) e o
Gnutella (qualquer tipo de arquivo)
O Napster só funciona para música, mas o
Gnutella pode enviar qualquer tipo de
arquivo, mesmo os confidenciais, se v. os
colocar inadvertidamente numa pasta
errada.
Perigo: arquivos baixados também podem
trazer vírus ou cavalos de Tróia
29/11/2012Universidade Anhembi Morumbi
Laureate 29
Privacidade
Toda vez que v. visita um site, o seu browser fornece ao servidor do site:
Endereço do seu computador (IP)
Nome e versão do sistema operacional
Nome e versão do seu browser
Última página visitada
Resolução do seu monitor
Dica: www.anonymizer.com
29/11/2012Universidade Anhembi Morumbi
Laureate 30
Cookies São pequenas informações deixadas pelos
sites que v. visita no seu browser:
Guardar seus dados quando v. pula de uma página para outra
Manter sua lista de compras
Identificar suas preferências
Manter uma lista de páginas que v. visitou num site
Problema maior não é de segurança, mas de invasão de privacidade
Alguns browsers permitem bloquear cookies, ou que v. os autorize
29/11/2012Universidade Anhembi Morumbi
Laureate 31
Privacidade de e-mails Seus e-mails podem ser lidos por
outras pessoas? Podem! O administrador do servidor de e-mails, se quiser, pode ler os conteúdos das mensagens enquanto v. não baixá-las no seu computador
Solução: usar um programa de criptografia, onde v. e o destinatário devem possuir uma chave para poder ler a mensagem (decifrar)
29/11/2012Universidade Anhembi Morumbi
Laureate 32
Spam Mensagens de propaganda que
entulham nossa caixa postal de
baboseiras
Muitas tentativas de fraudes, virus e
cavalos de Tróia vem nessas
mensagens
Solução: bloquear remetente
(quando propaganda) ou eliminar
antes de abrir
29/11/2012Universidade Anhembi Morumbi
Laureate 33
Hoax São as famosas lendas da Internet
Acabam sendo endossadas por pessoas crédulas que as repassam aos amigos e conhecidos
Podem estar acompanhadas de vírus
Melhor solução: eliminar e não abrir
Na dúvida consultar: www.HoaxBusters.ciac.org
29/11/2012Universidade Anhembi Morumbi
Laureate 34
Dados pessoais Jamais forneça seus dados
pessoais, nos. de documentos,
telefone, nomes de familiares e
principalmente número do cartão de
crédito
No caso de compra, prefira pagar
com ficha de compensação bancária
29/11/2012Universidade Anhembi Morumbi
Laureate 35
Formulários, Comércio Eletrônico e Home Banking
Verifique se não há nada de “diferente” no site visitado
Se o site é confiável e se tem conexão segura (deve começar com https e não com apenas http)
Cadeadinho fechado (se estiver aberto, não é segura) – Clicando em cima do cadeado deve aparecer a chave de criptografia utilizada (de 40 até 128 bits)
29/11/2012Universidade Anhembi Morumbi
Laureate 36
Home BankingDicas de Segurança para ver se o site não é pirata
•Minimize a página. Se o teclado virtual também for minimizado, está correto. Caso ficar no meio da tela, Não tecle nada nele
•Tecle sua senha errada na primeira vez. Se o site for mesmo do banco, vai apontar o erro. Se não apontar,o site é falso.
29/11/2012Universidade Anhembi Morumbi
Laureate 37
Programas de proteção do usuário
Anti-vírus•Pricipais funções:
•Detectar, bloquear e eliminar vírus•Analisar os arquivos baixados pela Internet ou mesmoaqueles que estejam nos outros drives do computador (A ou C), etc.•Atuar também contra cavalos de Tróia•Criar discos de recuperação (boot), caso o drive C sejaafetado •Possibilidade de atualização constante através do site do fornecedor
29/11/2012Universidade Anhembi Morumbi
Laureate 38
Programas de proteção do usuário
Firewall•Principais funções:
•Barrar conexões indesejadas, sitesde conteúdo impróprio, etc.
•Barrar cavalos de Tróia, mesmo que já estejam instalados•Atuar em conjunto com o anti-vírus•Criar arquivos de log (aviso) ao usuário casohaja uma tentativa de invasão
29/11/2012Universidade Anhembi Morumbi
Laureate 39
Programas de proteção do usuário
Criptografia e Autenticação(Assinatura eletrônica)
•Principais funções:•Com a utilização de chaves de criptografia, fazer comque as mensagens enviadas só possam ser lidas pelo seu destinatário, desde que ele também a possua
•Muitos bancos já usam a autenticação obrigatória para os clientes fazerem suas transações (especialmente pessoas jurídicas)
29/11/2012Universidade Anhembi Morumbi
Laureate 40
Outras dicas:A informação confidencial não resideapenas nos computadores
•Não converse assuntos confidenciais na frente de terceiros – lugares públicos, no elevador, na frente de empregados, etc.
•Instrua seus filhos e familiares a fazerem o mesmo e não fornecerem informações a estranhos por telefone,em salas de bate-papo, Orkut, não coloque fotos, etc.
•Se perceber que as informações estão saindo fora doseu controle, faça uma varredura anti-grampoperiodicamente
•Evite ostentação•Procure não sacar quantias elevadas nos bancos•Triture papéis confidenciais antes de jogá-los no lixo•Não deixe papéis confidenciais expostos. Guarde-osem gavetas com chave
•Evite a rotina. Faça percursos diferentes
29/11/2012Universidade Anhembi Morumbi
Laureate 41
Outras dicas:
•Tire sempre cópia de segurança (back-up) de seus arquivos mais importantes e guarde-os em local diferente (CD, pen-drive, etc)•Se for empresa, adote uma política de segurança da informaçãoa ser seguida por todos os funcionários
•Obrigue a troca periódica das senhas (a cada 30 ou 60 dias) e evite senhas óbvias
•Use sempre o bom-senso
29/11/2012Universidade Anhembi Morumbi
Laureate 42
Clonagem de Caixas Eletrônicos
Colocando um leitor de cartões falsoSobre o original
29/11/2012Universidade Anhembi Morumbi
Laureate 43
Clonagem de Caixas Eletrônicos
Leitor falso instalado é imperceptível
29/11/2012Universidade Anhembi Morumbi
Laureate 44
Clonagem de Caixas Eletrônicos
Falso porta-panfletos com microcamerasembutidas para filmar a senha digitada
29/11/2012Universidade Anhembi Morumbi
Laureate 45
Clonagem de Caixas Eletrônicos
Instalação falsa concluída
29/11/2012Universidade Anhembi Morumbi
Laureate 46
Clonagem de Caixas Eletrônicos
Vista interna do falso porta-panfletos
Câmera que visualiza a tela
Câmera que visualiza o teclado
Antena
Bateria
29/11/2012Universidade Anhembi Morumbi
Laureate 47
Obrigado e boa sorte!
Carlos Caruso
caruso.anhembi@uol.com.br