Palestra segurança da informação

29/11/2012Universidade Anhembi Morumbi

Laureate 1

Segurança da Informação

Prof. Carlos Caruso, CPP


Laureate 2

Introdução

O mundo real não é

seguro. O mundo virtual é

menos ainda.Carlos Caruso


Laureate 3

Tópicos de discussão

Principais ameaças

Prevenção e precauções


Laureate 4

ORIGEM DA INTERNET

A "Grande Rede" embora nascida no meio universitário

americano, foi depois utilizada em plena Guerra Fria como

arma militar norte-americana de informação, mas, atualmente

destaca-se como o mais forte meio de comunicação global.

DEFINIÇÃO DE CRAKER OU HACKER

Cracker/hacker - na sua grande maioria, jovem, abaixo de 30

anos, inteligente acima da média, educados, sem qualquer

envolvimento anterior com o crime, com poder aquisitivo

razoável, do sexo masculino, audaciosos e aventureiros,

movidos pelo desafio da superação do conhecimento


Laureate 5

LEIS E PROJETOS DE LEIS

A Lei n° 9.983/2000 acrescentou 2 (dois) tipos penais ao

Código Penal Brasileiro:

“Art. 313-A”. Inserir ou facilitar, o funcionário autorizado, a

inserção de dados falsos, alterar ou excluir indevidamente

dados corretos nos sistemas informatizados ou bancos de

dados da Administração Pública com o fim de obter vantagem

indevida para si ou para outrem ou para causar dano: Pena –

reclusão, de 2 (dois) a 12 (doze) anos, e multa.”.

“Art.313-B”. Modificar ou alterar, o funcionário, sistema de

informações ou programa de informática sem autorização ou

solicitação de autoridade competente: Pena – detenção, de 3

(três) meses a 2 (dois) anos, e multa.”


Laureate 6

DECISÕES DA JUSTIÇA BRASILEIRA

O dia 31 (trinta e um) de Dezembro de 2003 marca um

momento histórico para a Justiça:

Márcio Júnior Teles foi condenado pelo crime de estelionato

(artigos 171, caput, combinado com o parágrafo 3° do Código

Penal), formação de quadrilha (artigo 288 do Código Penal) e

violação de sigilo bancário (Lei Complementar 105/2001).

Willian Marques Braga condenado a 4 (quatro) anos e 6 (seis)

meses de prisão, em regime semi-aberto, por desviar R$ 400

(quatrocentos) mil reais do Fundo de Desenvolvimento

Econômico e Social (FUNDES – Estado do Tocantins), foi

condenado no artigo 155, parágrafo 4°, incisos I e IV, do

Código Penal, que trata de “crime de furto qualificado

mediante fraude e destreza e concurso de duas ou mais

pessoas”.


Laureate 7

Pesquisas apontam que o Brasil está na rota dos

crimes envolvendo a Internet.

Segundo a Polícia Federal, de cada 10 (dez) crackers ativos no

mundo, 8 (oito) vivem no Brasil. Além disso, cerca de 2/3 dos

responsáveis pela criação de páginas de pedofilia na Internet -

já detectadas por investigações policiais brasileiras e do

exterior - têm origem brasileira.

A Polícia também aponta que, no Brasil, as fraudes financeiras

que utilizam o ambiente virtual e correios eletrônicos já

superam, em valores financeiros, os prejuízos de assalto a

banco.

(Fonte: IDG Now, citado no sítio forumpcs).


Laureate 8

ATAQUESTécnicas de invasão

Invasão é a entrada em um site, servidor, computador ou

serviço por alguém não autorizado. Mas antes da invasão

propriamente dita, o invasor poderá fazer um teste de invasão,

que é uma tentativa de invasão em partes, onde o objetivo é

avaliar a segurança de uma rede e identificar seus pontos

vulneráveis.

Spoofing

Nesta técnica, o invasor convence alguém de que ele é algo ou

alguém que não é, sem ter permissão para isso, conseguindo

autenticação para acessar o que não deveria ter acesso,

falsificando seu endereço de origem. É uma técnica de ataque

contra a autenticidade, onde um usuário externo se faz passar

por um usuário ou computador interno.


Laureate 9

Sniffers

É um programa de computador que monitora passivamente o

tráfego de rede, ele pode ser utilizado legitimamente, pelo

administrador do sistema para verificar problemas de rede ou

pode ser usado ilegitimamente por um intruso, para roubar

nomes de usuários e senhas. Explora os pacotes TCP/IP por

não serem criptografados. Para utilizar o sniffer, é necessário

que esteja instalado em um ponto da rede, onde passe pacotes

de interesse para o invasor ou administrador.

Ataque do tipo DoS - Denial of Service

É um ataque de recusa de serviço, estes ataques são capazes

de tirar um site do ar, indisponibilizando seus serviços. É

baseado na sobrecarga da capacidade ou em uma falha não

prevista.


Laureate 10

Trojans

A denominação “Cavalo de Tróia” (Trojan Horse) foi atribuída

aos programas que permitem a invasão de um computador

alheio com espantosa facilidade.

Nesse caso, o termo é análogo ao famoso artefato militar

fabricado pelos gregos espartanos. Um amigo virtual

presenteia o outro com um “Presente de Grego”, que seria um

aplicativo qualquer. Quando o leigo o executa, o programa

atua de forma diferente do que era esperado.


Laureate 11

CRIMINOSOS DA INTERNET

Kevin MitnickKevin era um garotão californiano, autoconfiante,

que roubou nada mais, nada menos, que cerca

de 20.000 números de cartões de crédito dos

associados da rede Netcom. Não satisfeito com

sua façanha e tendo conhecimento da existência

de Shimomura como o principal especialista em

segurança de redes de computadores ligado ao

FBI, Mitnick invadiu o computador desse gênio

nipo-americano e, por várias vezes, deixou

mensagens de desafio e afronta – do tipo “sou o

melhor”. Um dos erros de Kevin Mitnick foi

subestimar a capacidade de Shimomura e pensar

que jamais poderia ser rastreado pelo agente

americano, o que resultou numa tremenda

caçada por parte desse que é considerado o

maior farejador cibernético


Laureate 12


John Draper

Pelas informações obtidas até hoje,

este foi o primeiro Hacker a receber

a conotação de Phreaker

(especialista em sistemas de

telefonia no underground). Ele

desenvolveu uma técnica simples e

ao mesmo tempo inteligente para

fazer ligações interurbanas

gratuitamente, usando um apito de

brinquedo que era dado a quem

comprasse uma determinada marca

de cereal, muito consumido nos

Estados Unidos. Também foi preso

e sua pena não foi divulgada.


Laureate 13


Phiber Optik

Discípulo de John Draper, este foi e continua

sendo a fera entre os especialistas em

Phreak. Na época, Optik (Mark Abene) fazia

parte do grupo nova-iorquino “Mestres da

Fraude” e deu início a toda uma nova

geração de Hackers, interessados nos

meandros dos sistemas de telefonia no país

do Tio Sam. Optik também cumpriu parte da

pena que lhe foi atribuída e foi solto em

liberdade condicional. Recentemente,

ministrou várias palestras em alguns estados

brasileiros, acompanhado de mais dois ex-

Hackers, cobrando somas consideráveis por

cada palestra. Hoje é especialista em montar

sistemas de segurança para grandes

empresas.


Laureate 14


Vladimir Levin

Proveniente da Rússia, onde atualmente se

concentram um grande número de piratas

cibernéticos, Levin passou a fazer parte da lista

de Hackers famosos quando penetrou no

sistema de segurança dos computadores do

Citibank e desviou alguns milhões de dólares

das contas de clientes deste conceituado banco.

Quando estava quase embarcando de volta ao

seu país, foi preso pela Interpol no aeroporto de

Londres. Em seu processo, Vladimir recusava

todos os advogados públicos que eram

oferecidos para defendê-lo, afirmando sempre

que os mesmos eram, na verdade, agentes

secretos prontos para espioná-lo. Sua pena

também não foi divulgada pela mídia.


Laureate 15


Robert Morris

Na condição de filho do principal encarregado

do National Computer Security Center, rapaz

inteligente e com futuro promissor, Robert ficou

conhecido nos meios jornalísticos por

contaminar a Internet, propositalmente, com um

vírus de nome “Worm” (minhoca). Em pouco

tempo, inúmeros computadores foram

infectados e entraram em pane. Em seu

julgamento, Robert afirmou que a contaminação

não tinha sido intencional, mas pagou seu erro

com uma pena relativamente rigorosa, sendo

condenado a cinco anos de prisão com direito a

liberdade condicional.


Laureate 16


Kevin Pousen

Em 1990 a Rádio KIIS-FM, de Los Angeles,

Califórnia, EUA, estava oferecendo um

Porsche para o autor da centésima segunda

chamada telefônica do dia. Kevin assumiu o

controle de todas as ligações feitas e

colocou sua ligação como se fosse à

centésima segunda e levou o ambicioso

prêmio. Mais tarde, foi preso por invadir

computadores operados por agentes do FBI.

A vida de Poulsen inspirou o jornalista Jon

Littman a escrever o livro "The Watching".


Laureate 17


Tsutomu Shimomura

Tsutomu Shimomura trabalha no San Diego

Super Computer Center nas áreas de Física

Computacional e Segurança da Informação.

Em 1995 ele ajudou muitas companhias ligadas

à Internet a capturar Kevin Mitnick, que tinha

roubado software e e-mails dos computadores

de Shimomura.

Autor do livro Takedown: The Pursuit and

Capture of America’s Most Wanted Computer

Outlaw -- By The Man Who Did It, with John

Markoff (Hyperion, January 1996)


Laureate 18

O Rombo da Fraude Eletrônica

Confira alguns dos principais números dos golpes pela

internet, no Brasil e no mundo.

300 milhões de reais é o prejuízo admitido pelos bancos com

fraudes online no Brasil

920 reais é o prejuízo médio de cada incidente

630 milhões de dólares é a soma dos golpes registrados nos

Estados Unidos

850 dólares é o valor médio do desfalque nos golpes aplicados

nos Estados Unidos

7,9 milhões de mensagens de phishing são enviados

diariamente

Dados de 2006

Fontes: Febraban, FGV, Symantec e Consumer Reports.


Laureate 19


Laureate 20

SenhaMantê-la em segredo é a sua segurança!

É o alvo principal dos ataques

Como escolher uma boa senha?

Ex: 0OdiaMp1

Qual o tempo de troca ideal?

Quantas senhas devo ter?


Laureate 21

Engenharia Social

Método para obter informações

importantes das pessoas

Utilizam telefones, e-mails, salas de

bate-papo, redes sociais...

Cuidado com as informações

fornecidas. Instrua as outras

pessoas da casa.


Laureate 22

Cavalo de Tróia

Programas anexados a e-mails ou

baixados explorando a credulidade do

usuário

Permitem que um hacker tenha o controle

total da sua máquina

Permite ao hacker ver seus arquivos,

copiar, apagar, descobrir todas as senhas

que v. digita

Tratamento: anti-vírus, firewall pessoal e

precaução


Laureate 23

Back Doors

Semelhantes aos cavalos de Tróia, porém causados por falhas nos programas mais usuais da Internet: Explorer, e-mail, ICQ, IRC e outros

Tratamento: visitar periodicamente os sites dos fabricantes e buscar atualizações

Anti-vírus não elimina o problema

Firewall ajuda, mas não elimina


Laureate 24

Vírus

Programas que vem anexados a e-

mails ou podem ser baixados pelo

próprio usuário involuntariamente

Podem fazer de tudo, se duplicam e

geralmente não são percebidos

Proteção: anti-vírus atualizado


Laureate 25

Programas de e-mail

Precauções:

Desligue a opção auto-execução de

e-mails (em Preferências/Configurações)

Regra de ouro: Nunca abra e-mails

ou anexos enviados por

desconhecidos ou que tenha

suspeita quanto ao seu conteúdo


Laureate 26

Salas de bate-papo

Há perigo?

O perigo é a informação que você

está fornecendo a desconhecidos –

Estelionatários? Pedófilos?

Seqüestradores? Chantagistas? Na

maioria das vezes não sabemos

com quem estamos falando...


Laureate 27

Programas de troca instantânea de mensagens

Mais conhecidos: ICQ, IRC, AIM e outros

Ficam sempre conectados a um servidor e,

por isso, podem estar sujeitos a ataques

de hackers, principalmente se houver uma

falha no programa (backdoor)

Dica: ler informações sobre segurança do

próprio provedor do serviço


Laureate 28

Programas de distribuição de arquivos

Mais conhecidos:Napster (MP3) e o

Gnutella (qualquer tipo de arquivo)

O Napster só funciona para música, mas o

Gnutella pode enviar qualquer tipo de

arquivo, mesmo os confidenciais, se v. os

colocar inadvertidamente numa pasta

errada.

Perigo: arquivos baixados também podem

trazer vírus ou cavalos de Tróia


Laureate 29

Privacidade

Toda vez que v. visita um site, o seu browser fornece ao servidor do site:

Endereço do seu computador (IP)

Nome e versão do sistema operacional

Nome e versão do seu browser

Última página visitada

Resolução do seu monitor

Dica: www.anonymizer.com

http://www.anonymizer.com/


Laureate 30

Cookies São pequenas informações deixadas pelos

sites que v. visita no seu browser:

Guardar seus dados quando v. pula de uma página para outra

Manter sua lista de compras

Identificar suas preferências

Manter uma lista de páginas que v. visitou num site

Problema maior não é de segurança, mas de invasão de privacidade

Alguns browsers permitem bloquear cookies, ou que v. os autorize


Laureate 31

Privacidade de e-mails Seus e-mails podem ser lidos por

outras pessoas? Podem! O administrador do servidor de e-mails, se quiser, pode ler os conteúdos das mensagens enquanto v. não baixá-las no seu computador

Solução: usar um programa de criptografia, onde v. e o destinatário devem possuir uma chave para poder ler a mensagem (decifrar)


Laureate 32

Spam Mensagens de propaganda que

entulham nossa caixa postal de

baboseiras

Muitas tentativas de fraudes, virus e

cavalos de Tróia vem nessas

mensagens

Solução: bloquear remetente

(quando propaganda) ou eliminar

antes de abrir


Laureate 33

Hoax São as famosas lendas da Internet

Acabam sendo endossadas por pessoas crédulas que as repassam aos amigos e conhecidos

Podem estar acompanhadas de vírus

Melhor solução: eliminar e não abrir

Na dúvida consultar: www.HoaxBusters.ciac.org


Laureate 34

Dados pessoais Jamais forneça seus dados

pessoais, nos. de documentos,

telefone, nomes de familiares e

principalmente número do cartão de

crédito

No caso de compra, prefira pagar

com ficha de compensação bancária


Laureate 35

Formulários, Comércio Eletrônico e Home Banking

Verifique se não há nada de “diferente” no site visitado

Se o site é confiável e se tem conexão segura (deve começar com https e não com apenas http)

Cadeadinho fechado (se estiver aberto, não é segura) – Clicando em cima do cadeado deve aparecer a chave de criptografia utilizada (de 40 até 128 bits)


Laureate 36

Home BankingDicas de Segurança para ver se o site não é pirata

•Minimize a página. Se o teclado virtual também for minimizado, está correto. Caso ficar no meio da tela, Não tecle nada nele

•Tecle sua senha errada na primeira vez. Se o site for mesmo do banco, vai apontar o erro. Se não apontar,o site é falso.


Laureate 37

Programas de proteção do usuário

Anti-vírus•Pricipais funções:

•Detectar, bloquear e eliminar vírus•Analisar os arquivos baixados pela Internet ou mesmoaqueles que estejam nos outros drives do computador (A ou C), etc.•Atuar também contra cavalos de Tróia•Criar discos de recuperação (boot), caso o drive C sejaafetado •Possibilidade de atualização constante através do site do fornecedor


Laureate 38


Firewall•Principais funções:

•Barrar conexões indesejadas, sitesde conteúdo impróprio, etc.

•Barrar cavalos de Tróia, mesmo que já estejam instalados•Atuar em conjunto com o anti-vírus•Criar arquivos de log (aviso) ao usuário casohaja uma tentativa de invasão


Laureate 39


Criptografia e Autenticação(Assinatura eletrônica)

•Principais funções:•Com a utilização de chaves de criptografia, fazer comque as mensagens enviadas só possam ser lidas pelo seu destinatário, desde que ele também a possua

•Muitos bancos já usam a autenticação obrigatória para os clientes fazerem suas transações (especialmente pessoas jurídicas)


Laureate 40

Outras dicas:A informação confidencial não resideapenas nos computadores

•Não converse assuntos confidenciais na frente de terceiros – lugares públicos, no elevador, na frente de empregados, etc.

•Instrua seus filhos e familiares a fazerem o mesmo e não fornecerem informações a estranhos por telefone,em salas de bate-papo, Orkut, não coloque fotos, etc.

•Se perceber que as informações estão saindo fora doseu controle, faça uma varredura anti-grampoperiodicamente

•Evite ostentação•Procure não sacar quantias elevadas nos bancos•Triture papéis confidenciais antes de jogá-los no lixo•Não deixe papéis confidenciais expostos. Guarde-osem gavetas com chave

•Evite a rotina. Faça percursos diferentes


Laureate 41

Outras dicas:

•Tire sempre cópia de segurança (back-up) de seus arquivos mais importantes e guarde-os em local diferente (CD, pen-drive, etc)•Se for empresa, adote uma política de segurança da informaçãoa ser seguida por todos os funcionários

•Obrigue a troca periódica das senhas (a cada 30 ou 60 dias) e evite senhas óbvias

•Use sempre o bom-senso


Laureate 42

Clonagem de Caixas Eletrônicos

Colocando um leitor de cartões falsoSobre o original


Laureate 43


Leitor falso instalado é imperceptível


Laureate 44


Falso porta-panfletos com microcamerasembutidas para filmar a senha digitada


Laureate 45


Instalação falsa concluída


Laureate 46


Vista interna do falso porta-panfletos

Câmera que visualiza a tela

Câmera que visualiza o teclado

Antena

Bateria


Laureate 47

Obrigado e boa sorte!

Carlos Caruso

[email protected]

Palestra segurança da informação

Documents

Transcript of Palestra segurança da informação