Introdução À Tecnologia Web

Introdução à Tecnologia Web
Izequiel Pereira de Norões
Módulo 7- Segurança
Apresentação
• Professor:
– Izequiel Pereira de Norões
– Bacharel em Informática (Unifor)
– Pós em Gerência Estratégica da Informação (Unifor)
– Pós em Tecnologias da Informação – Ênfase Web (UFC)
Em andamento
Contato: izequiel@gmail.com
Material da disciplina:
http://fatene.ipn.eti.br
Izequiel Pereira de Norões - 2008

Segurança na Internet
• Introdução
- “ É fácil ter-se um sistema de computação seguro.
Você meramente tem que desconectar o seu sistema
de qualquer rede externa, e permitir somente
terminais ligados diretamente a ele. Pôr a máquina e
seus terminais em uma sala fechada,e um guarda na
porta.“ F.T. Grampp e R.H. Morris
- Kevin Mitnick um dos hackers mais famosos do mundo,
diz que um computador seguro é aquele que está
desligado. Isso é verdade?
Completando a idéia:
“Sim, aquele que está desligado e enterrado no fundo
do quintal”.
- “Nem um computador desligado é seguro!”
Izequiel Norões – 2006

• Conceitos de Segurança:
– Um computador (ou sistema computacional) é dito seguro
se este atende a três requisitos básicos relacionados aos
recursos que o compõem:
• Confidencialidade: alguém obtém acesso não autorizado
ao seu computador e lê todas as informações contidas
na sua declaração de Imposto de Renda;
• Integridade: alguém obtém acesso não autorizado ao
seu computador e altera informações da sua declaração
de Imposto de Renda, momentos antes de você enviá-la
à Receita Federal;
• Disponibilidade: o seu provedor sofre uma grande
sobrecarga de dados ou um ataque de negação de
serviço e por este motivo você fica impossibilitado de
enviar sua declaração de Imposto de Renda à Receita
Federal.

• Situação atual
– Número cada vez maior de problemas
relacionados a invasões e quebras de segurança;
– Maior facilidade para o aprendizado “hacker”;
– Muitos administradores inexperientes ou
negligentes;
– Situação não é de pânico, mas de alerta;
– Grande consumo de tempo para estabelecer
regras e políticas de segurança;
– Desinformação;
– Dificuldade de receber apoio ou cooperação;
– Falta de legislação específica.

• Por que devo me preocupar com a segurança

do meu computador?
– Ninguém gostaria que:
• suas senhas e números de cartões de crédito
fossem furtados e utilizados por terceiros;
• sua conta de acesso a Internet fosse utilizada por
alguém não autorizado;
• seus dados pessoais, ou até mesmo comerciais,
fossem alterados, destruídos ou visualizados por
terceiros;
• seu computador deixasse de funcionar, por ter sido
comprometido e arquivos essenciais do sistema
terem sido apagados, etc.

• Por que alguém iria querer invadir meu
computador?
– utilizar seu computador em alguma atividade ilícita, para
esconder a real identidade e localização do invasor;
– utilizar seu computador para lançar ataques contra outros
computadores;
– utilizar seu disco rígido como repositório de dados;
– destruir informações (vandalismo);
– disseminar mensagens alarmantes e falsas;
– ler e enviar e-mails em seu nome;
– propagar vírus de computador;
– furtar números de cartões de crédito e senhas bancárias;
– furtar a senha da conta de seu provedor, para acessar a
Internet se fazendo passar por você;
– furtar dados do seu computador, como por exemplo,
informações do seu Imposto de Renda.
• Você deixaria a porta de sua casa aberta?

– Ao sairmos de casa nos dias de hoje devemos sempre
tomar alguns cuidados, pois infelizmente estamos sujeitos
a assaltos e outros riscos, com o uso do computador
acontece da mesma maneira, com a disseminação da
tecnologia e a internet, portas abertas no computador são
um “prato cheio” para os criminosos virtuais e por isso
devemos ter alguns cuidados:
• Sempre que sair do computador efetue logoff, sair ou algo
parecido;
• Utilize senhas fortes(difíceis de serem descobertas);
• Procure utilizar navegadores diferentes como o Opera ou
Firefox – O IE esta na maioria dos computadores;
• Muito cuidado com programas de compartilhamento(P2P) e
downloads(Arquivos exe, zip, etc...). Ex: Kaaza, Bittorrent...

• Muita atenção ao utilizar programas de relacionamento,
como o MSN, ICQ, Google talk, etc e nos sites de
relacionamento como o orkut. Todos são facilitadores de
propagação de virus;


• Cuidado com e-mails falsos
-Desconfie de ofertas generosas
(ninguém da nada de graça a ninguém) ;
- Desconfie do endereço de links
do rementente (www.bb1.com.br);
- Não clique em links cujo o final termina
em .EXE;
- e-mails falsos mais comuns são os que
usam o nome de bancos, como Banco
do Brasil e Itaú, de empresas de
software, como Microsoft e Symantec,
de programas de TV, como Big Brother
Brasil, de lojas on-line (oferecendo
prêmios ou descontos mirabolantes);
- Se tiver dúvidas pergunte(confirme).

Fique atento: scams usam sustos para enganar internautas, este é o
nome dado aos e-mails falsos que se passam por mensagens
verdadeiras para atrair internautas. A idéia consiste em usar o nome
de uma empresa ou de algum serviço conhecido na internet para
convencer usuários a clicarem no link da mensagem. No entanto, esse
link não aponta para o que a mensagem oferece, mas sim para um
site falso que tem o mesmo layout de um site verdadeiro ou para um
arquivo executável que tem a função de capturar informações da
máquina da vítima.


• Evite sites de conteúdo duvidoso;
• Cuidado com anexos de e-mail;
• Atualize seu sistema operacional, anti-virus, anti-spyware;
• Não revele informações importantes sobre você(Orkut);
• Cuidado ao fazer cadastros.
• Hoax: a corrente dos boatos, das lendas e dos golpes - Um
hoax pode ser perigoso, é de um que instruía o internauta a
apagar o arquivo Jdbgmgr.exe de computadores com o
Windows (esse boato se espalhou por e-mail e pelo Orkut).
A mensagem dizia que esse arquivo era um vírus. Na
verdade, trata-se apenas de um executável responsável por
executar código em linguagem Java. Usuários que apagaram
esse arquivo poderiam ter dificuldades em acessar sites de
bancos, por exemplo, afinal é comum encontrar aplicações
em Java nesses endereços.

• O que é uma boa senha?
– Uma boa senha deve ter pelo menos oito caracteres (letras,
números e símbolos), deve ser simples de digitar e, o mais
importante, deve ser fácil de lembrar, nunca fácil de
decifrar.
– Normalmente os sistemas diferenciam letras maiúsculas das
minúsculas, o que já ajuda na composição da senha. Por
exemplo, “pAraleLepiPedo” e “paRalElePipEdo” são senhas
diferentes.
– Entretanto, são senhas fáceis de descobrir utilizando
softwares para quebra de senhas, pois não possuem
números e símbolos, além de conter muitas repetições de
letras.

• O que é uma boa senha?
– Quanto mais “bagunçada” for a senha melhor, pois mais
difícil será descobrí-la. Assim, tente misturar letras
maiúsculas, minúsculas, números e sinais de pontuação.
Uma regra realmente prática e que gera boas senhas
difíceis de serem descobertas é utilizar uma frase qualquer
e pegar a primeira, segunda ou a última letra de cada
palavra.
– Por exemplo, usando a frase “batatinha quando nasce se
esparrama pelo chão” podemos gerar a senha “!
BqnsepC” (o sinal de exclamação foi colocado no início para
acrescentar um símbolo a senha). Senhas geradas desta
maneira são fáceis de lembrar e são normalmente difíceis
de serem descobertas.
– Vale ressaltar que se você tiver dificuldades para memorizar
uma senha forte, é preferível anotá-la e guardá-la em local
seguro, do que optar pelo uso de senhas fracas.
• Que cuidados devo ter com o usuário e senha de

Administrador (ou root) em um computador?
– O usuário Administrador (ou root) é de extrema
importância, pois detém todos os privilégios em um
computador. Ele deve ser usado em situações onde
um usuário normal não tenha privilégios para
realizar uma operação, como por exemplo, em
determinadas tarefas administrativas, de
manutenção ou na instalação e configuração de
determinados tipos de software.
– Sabe-se que, por uma questão de comodidade e
principalmente no ambiente doméstico, muitas
pessoas utilizam o usuário Administrador para
realizar todo e qualquer tipo de atividade.

– Este é um procedimento que deve ser sempre
evitado, pois você, como usuário Administrador (ou
root), poderia acidentalmente apagar arquivos
essenciais para o funcionamento do sistema
operacional ou de algum software instalado em seu
computador. Ou ainda, poderia instalar
inadvertidamente um software malicioso que, como
usuário Administrador (ou root), teria todos os
privilégios que necessitasse, podendo fazer qualquer
coisa.


– Portanto, alguns dos principais cuidados que você
deve ter são:
• elaborar uma boa senha para o usuário Administrador;
• utilizar o usuário Administrador somente quando for
estritamente necessário;
• criar tantos usuários com privilégios normais, quantas forem
as pessoas que utilizam seu computador, para substituir
assim o usuário Administrador em tarefas rotineiras, como
leitura de e-mails, navegação na Internet, produção de
documentos, etc.

• Quem são os hackers?
– indivíduos que elaboram e modificam software e
hardware de computadores, seja desenvolvendo
funcionalidades novas, seja adaptando as antigas.
– Originário do inglês, o termo é usado em português

sem modificação. Na língua comum, entretanto, o
termo designa programadores maliciosos e
ciberpiratas que agem com o intuito de violar ilegal
ou imoralmente sistemas cibernéticos, sendo,
portanto, o mesmo que cracker.

• Quem são os hackers? (Tipos de Hacker)
– White hat - (aka hacker ético) hacker em
segurança, utiliza os seus conhecimentos na
exploração e detecção de erros de concepção, dentro
da lei. A atitude típica de um white hat assim que
encontra falhas de segurança é a de entrar em
contacto com os responsáveis pelo sistema,
comunicando do facto. Geralmente, hackers de
chapéu branco violam seus próprios sistemas ou
sistemas de um cliente que o empregou
especificamente para auditar a segurança.
Pesquisadores acadêmicos e consultores profissionais
de segurança são dois exemplos de hackers de
chapéu branco.
– Gray hat - Tem as habilidades e intenções de um hacker
de chapéu branco na maioria dos casos, mas por vezes
utiliza seu conhecimento para propósitos menos nobres.
Um hacker de chapéu cinza pode ser descrito como um
hacker de chapéu branco que às vezes veste um chapéu
preto para cumprir sua própria agenda. Hackers de
chapéu cinza tipicamente se enquadram em outro tipo de
ética, que diz ser aceitável penetrar em sistemas desde
que o hacker não cometa roubo, vandalismo ou infrinja a
confidencialidade. Alguns argumentam, no entanto, que o
ato de penetrar em um sistema por si só já é anti-ético
(ética hacker).

– Black hat - (aka cracker ou dark-side hacker)
criminoso ou malicioso hacker, um cracker; Em
geral, crackers são menos focados em programação
e no lado acadêmico de violar sistemas. Eles
comumente confiam em programas de cracking e
exploram vulnerabilidades conhecidas em sistemas
para descobrir informações importantes para ganho
pessoal ou para danificar a rede ou sistema alvo.

– Script kiddie - Indivíduo que não tem domínio dos
conhecimentos de programação, pouco experiente, com
poucas noções de informática, porém tenta fazer-se
passar por um cracker afim de obter fama, o que acaba
gerando antipatia por parte dos hackers verdadeiros,
cerca de 95% dos ataques virtuais são praticados por
script kiddies.
– Newbie - É aquele jovem aprendiz de hacker que possui
uma sede de conhecimento incrivel, pergunta muito e é
ignorado e ridicularizado maioria das vezes, ao contrario
dos lamers não tenta se pôr acima dos outros, geralmente
é muito simples e possui uma personalidade ainda fraca.
– Phreaker - hacker especialista em telefonia móvel ou
fixa.
• Quem são os hackers? (Tipos de Ataques)
– Cavalo de Tróia - ou trojan-horse, é um programa
disfarçado que executa alguma tarefa maligna. Um
exemplo: o usuário roda um jogo que conseguiu na
Internet. O jogo secretamente instala o cavalo de tróia,
que abre uma porta TCP do micro para invasão. Alguns
trojans populares são NetBus, Back Orifice e SubSeven.
Há também cavalos-de-tróias dedicados a roubar senhas
e outros dados sigilosos.
– Quebra de Senha - O quebrador, ou cracker, de senha é
um programa usado pelo hacker para descobrir uma
senha do sistema. O método mais comum consiste em
testar sucessivamente as palavras de um dicionário até
encontrar a senha correta.

– Denial Of Service (DOS) - Ataque que consiste em
sobrecarregar um servidor com uma quantidade excessiva
de solicitações de serviços. Há muitas variantes, como os
ataques distribuídos de negação de serviço (DDoS), que
paralisaram sites como CNN, Yahoo! e ZD Net em
fevereiro deste ano. Nessa variante, o agressor invade
muitos computadores e instala neles um software zumbi,
como o Tribal Flood Network ou o Trinoo. Quando
recebem a ordem para iniciar o ataque, os zumbis
bombardeiam o servidor-alvo, tirando-o do ar.

– Mail Bomb - É a técnica de inundar um computador com
mensagens eletrônicas. Em geral, o agressor usa um
script para gerar um fluxo contínuo de mensagens e
abarrotar a caixa postal de alguém. A sobrecarga tende a
provocar negação de serviço no servidor de e-mail.
– Phreaking - É o uso indevido de linhas telefônicas, fixas
ou celulares. No passado, os phreakers empregavam
gravadores de fita e outros dispositivos para produzir
sinais de controle e enganar o sistema de telefonia.
Conforme as companhias telefônicas foram reforçando a
segurança, as técnicas tornaram-se mais complexas.
Hoje, o phreaking é uma atividade elaborada, que poucos
hackers dominam.

– Scanners de Portas - Os scanners de portas são
programas que buscam portas TCP abertas por onde pode
ser feita uma invasão. Para que a varredura não seja
percebida pela vítima, alguns scanners testam as portas
de um computador durante muitos dias, em horários
aleatórios.
– Smurf - é outro tipo de ataque de negação de serviço. O
agressor envia uma rápida seqüência de solicitações de
Ping (um teste para verificar se um servidor da Internet
está acessível) para um endereço de broadcast. Usando
spoofing, o cracker faz com que o servidor de broadcast
encaminhe as respostas não para o seu endereço, mas
para o da vítima. Assim, o computador-alvo é inundado
pelo Ping.
– Sniffing - O sniffer é um programa ou dispositivo que
analisa o tráfego da rede. Sniffers são úteis para
gerenciamento de redes. Mas nas mãos de hackers,
permitem roubar senhas e outras informações sigilosas.
– Spoofing - É a técnica de se fazer passar por outro
computador da rede para conseguir acesso a um sistema.
Há muitas variantes, como o spoofing de IP. Para
executá-lo, o invasor usa um programa que altera o
cabeçalho dos pacotes IP de modo que pareçam estar
vindo de outra máquina.
– Scamming - Técnica que visa roubar senhas e números
de contas de clientes bancários enviando um e-mail falso
oferecendo um serviço na página do banco. O Banrisul
não envia e-mails oferecendo nada, portanto qualquer e-
mail desta espécie é falso.

• Principais formas de ataques:
– Vírus de Computador:
• Consistem em pequenos programas criados para
causar algum dano ao computador infectado, seja
apagando dados, seja capturando informações, seja
alterando o funcionamento normal da máquina. Os
usuários dos sistemas operacionais Windows são
vítimas quase que exclusivas de vírus, já que os
sistemas da Microsoft são largamente usados no
mundo todo.
• Existem vírus para sistemas operacionais Mac e os
baseados em Unix, mas estes são extremamente raros
e costumam ser bastante limitados.

• Esses "programas maliciosos" receberam o nome vírus
porque possuem a característica de se multiplicar
facilmente, assim como ocorre com os vírus reais, ou
seja, os vírus biológicos. Eles se disseminam ou agem
por meio de falhas ou limitações de determinados
programas, se espalhando como em uma infecção. Um
exemplo disso, são os vírus que se espalham através
da lista de contatos do cliente de e-mail do usuário.
• Os primeiros vírus foram criados através de linguagens
como Assembly e C. Nos dias de hoje, os vírus podem
ser criados de maneira muito mais simples, podendo,
inclusive, serem desenvolvidos através de scripts e de
funções de macro de determinados programas.

• Para contaminarem os computadores, os vírus
antigamente usavam disquetes ou arquivos infectados.
Hoje, os vírus podem atingir em poucos minutos
milhares de computadores em todo mundo. Isso tudo
graças à Internet.
• O método de mais comum é o uso de e-mails, onde o
vírus usa um texto que tenta convencer o internauta a
clicar no arquivo em anexo. Nesse anexo que se
encontra o vírus. Os meios de convencimento são
muitos e costumam ser bastante criativos. Muitos
exploram assuntos eróticos ou abordam questões
atuais. Alguns vírus podem até usar um remetente
falso, fazendo o destinatário do e-mail acreditar que
trata-se de uma mensagem verdadeira. Muitos
internautas costumam identificar e-mails de vírus, mas
os criadores destas "pragas digitais" podem usar
artifícios inéditos que não poupam nem o usuário mais
experiente.
– Vírus de Computador(tipos):
– Atualmente temos 15 tipos de vírus:
• Arquivo - Vírus que anexa ou associa seu código a um
arquivo. Geralmente, esse tipo de praga adiciona o
código a um arquivo de programa normal ou
sobrescreve o arquivo. Ele costuma infectar arquivos
executáveis do Windows, especialmente .com e .exe, e
não age diretamente sobre arquivos de dados. Para
que seu poder destrutivo tenha efeito, é necessário
que os arquivos contaminados sejam executados;
• Encriptados - Tipo recente que, por estarem
codificados, dificultam a ação dos antivírus;
• Hoax (Vírus boato) - Mensagens que geralmente
chegam por e-mail alertando o usuário sobre um vírus
mirabolante, altamente destrutivo;

• Alarme falso - Não causa dano real ao computador,
mas consome tempo de conexão à Internet ao levar o
usuário a enviar o alarme para o maior número de
pessoas possível. Se enquadra na categoria de vírus-
boato e cartas-corrente;
• Backdoor - Como o próprio nome diz, é um vírus que
permitem que hackers controlem o micro infectado
pela "porta de trás". Normalmente, os backdoors vêm
embutidos em arquivos recebidos por e-mail ou
baixados da rede. Ao executar o arquivo, o usuário
libera o vírus, que abre uma porta da máquina para
que o autor do programa passe a controlar a máquina
de modo completo ou restrito;

• Boot - Vírus que se infecta na área de inicialização dos
disquetes e de discos rígidos. Essa área é onde se
encontram arquivos essenciais ao sistema. Os vírus de
boot costumam ter alto poder de destruição,
impedindo, inclusive, que o usuário entre no micro;
• Cavalo de Tróia ou Trojan - São programas
aparentemente inofensivos que trazem embutidos um
outro programa (o vírus) maligno;
• Macro - Tipo de vírus que infecta as macros (códigos
executáveis utilizados em processadores de texto e
planilhas de cálculo para automatizar tarefas) de
documentos, desabilitando funções como Salvar,
Fechar e Sair;

• Multipartite - Vírus que infecta registro mestre de
inicialização, trilhas de boot e arquivos;
• Mutante - Vírus programado para dificultar a detecção
por antivírus. Ele se altera a cada execução do arquivo
contaminado;
• Polimórfico - Variação mais inteligente do vírus
mutante. Ele tenta dificultar a ação dos antivírus ao
mudar sua estrutura interna ou suas técnicas de
codificação;
• Worm - é um vírus que se dissemina criando cópias
funcionais de si mesmo (ou de partes) em outros
sistemas. A propagação se dá por conexão de rede ou
anexos de e-mail. A detecção e a eliminação do worm
costuma ser fácil.
• Programa - Infectam somente arquivos executáveis,
impedindo, muitas vezes, que o usuário ligue o micro;
• Script - Vírus programado para executar comandos
sem a interação do usuário. Há duas categorias de
vírus script: a VB, baseada na linguagem de
programação, e a JS, baseada em JavaScript. O vírus
script pode vir embutido em imagens e em arquivos
com extensões estranhas, como .vbs.doc, vbs.xls ou
js.jpg;
• Stealth - Vírus "invisível" que usa uma ou mais ténicas
para evitar detecção. O stealth pode redirecionar
indicadores do sistema de modo a infectar um arquivo
sem necessariamente alterar o arquivo infectado;

– Engenharia Social
• O termo é utilizado para descrever um método de ataque,
onde alguém faz uso da persuasão, muitas vezes abusando
da ingenuidade ou confiança do usuário, para obter
informações que podem ser utilizadas para ter acesso não
autorizado a computadores ou informações.
• Exemplo: você recebe uma mensagem de e-mail, dizendo
que seu computador está infectado por um vírus. A
mensagem sugere que você instale uma ferramenta
disponível em um site da Internet, para eliminar o vírus de
seu computador. A real função desta ferramenta não é
eliminar um vírus, mas sim permitir que alguém tenha
acesso ao seu computador e a todos os dados nele
armazenados.
• Vírus e bate-papos.

– Códigos Maliciosos (Malware)
• Código malicioso ou Malware (Malicious Software) é um
termo genérico que abrange todos os tipos de programa
especificamente desenvolvidos para executar ações
maliciosas em um computador.
• Na literatura de segurança o termo malware também é
conhecido por “software malicioso”.
• Alguns exemplos de malware são:
• vírus;
• worms e bots;
• backdoors;
• cavalos de tróia;
• keyloggers e outros programas spyware;
• rootkits.
– Negação de Serviço (Denial of Service)
– Nos ataques de negação de serviço (DoS – Denial of Service) o
atacante utiliza um computador para tirar de operação um
serviço ou computador conectado à Internet. Exemplos deste
tipo de ataque são:
• gerar uma grande sobrecarga no processamento de dados de um
computador, de modo que o usuário não consiga utilizá-lo;
• gerar um grande tráfego de dados para uma rede, ocupando toda a
banda disponível, de modo que qualquer computador desta rede
fique indisponível;
• tirar serviços importantes de um provedor do ar, impossibilitando o
acesso dos usuários a suas caixas de correio no servidor de e-mail
ou ao servidor Web.

– DDoS (Distributed Denial of Service) constitui um ataque de
negação de serviço distribuído, ou seja, um conjunto de
computadores é utilizado para tirar de operação um ou mais
serviços ou computadores conectados à Internet.
Normalmente estes ataques procuram ocupar toda a banda
disponível para o acesso a um computador ou rede, causando
grande lentidão ou até mesmo indisponibilizando qualquer
comunicação com este computador ou rede.

– DDoS (Distributed Denial of Service)

– Se uma rede ou computador sofrer um DoS, isto
significa que houve uma invasão?
• Não. O objetivo de tais ataques é indisponibilizar o uso de
um ou mais computadores, e não invadí-los. É importante
notar que, principalmente em casos de DDoS, computadores
comprometidos podem ser utilizados para desferir os
ataques de negação de serviço.
• Um exemplo deste tipo de ataque ocorreu no início de 2000,
onde computadores de várias partes do mundo foram
utilizados para indisponibilizar o acesso aos sites de algumas
empresas de comércio eletrônico. Estas empresas não
tiveram seus computadores comprometidos, mas sim
ficaram impossibilitadas de vender seus produtos durante
um longo período.

• Como posso saber se os softwares instalados em
meu computador possuem alguma
vulnerabilidade?
– Existem sites na Internet que mantêm listas atualizadas
de vulnerabilidades em softwares e sistemas operacionais.
Alguns destes sites são: http://www.cert.org ,
http://cve.mitre.org e
http://www.us-cert.gov/cas/alerts/.
– Além disso, fabricantes também costumam manter
páginas na Internet com considerações a respeito de
possíveis vulnerabilidades em seus softwares.
– Portanto, a idéia é estar sempre atento aos sites
especializados em acompanhar vulnerabilidades, aos sites
dos fabricantes, às revistas especializadas e aos cadernos
de informática dos jornais, para verificar a existência de
vulnerabilidades no sistema operacional e nos softwares
instalados em seu computador.

• Criptografia:
– Criptografia é a ciência e arte de escrever mensagens em
forma cifrada ou em código. É parte de um campo de
estudos que trata das comunicações secretas, usadas,
dentre outras finalidades, para:
• autenticar a identidade de usuários;
• autenticar e proteger o sigilo de comunicações pessoais
e de transações comerciais e bancárias;
• proteger a integridade de transferências eletrônicas de
fundos.

• Criptografia:
– Criptografia de chave única
• utiliza a mesma chave tanto para codificar quanto para
decodificar mensagens. Apesar deste método ser
bastante eficiente em relação ao tempo de
processamento, ou seja, o tempo gasto para codificar e
decodificar mensagens, tem como principal
desvantagem a necessidade de utilização de um meio
seguro para que a chave possa ser compartilhada entre
pessoas ou entidades que desejem trocar informações
criptografadas.

• Criptografia:
– Criptografia de chave publica e privada
• A criptografia de chaves pública e privada utiliza duas
chaves distintas, uma para codificar e outra para
decodificar mensagens. Neste método cada pessoa ou
entidade mantém duas chaves: uma pública, que pode
ser divulgada livremente, e outra privada, que deve ser
mantida em segredo pelo seu dono. As mensagens
codificadas com a chave pública só podem ser
decodificadas com a chave privada correspondente.

• Criptografia:
– Criptografia de chave publica e privada
• Seja o exemplo, onde José e Maria querem se
comunicar de maneira sigilosa. Então, eles terão que
realizar os seguintes procedimentos:
2. José codifica uma mensagem utilizando a chave
pública de Maria, que está disponível para o uso de
qualquer pessoa;
3. Depois de criptografada, José envia a mensagem para
Maria, através da Internet;
4. Maria recebe e decodifica a mensagem, utilizando sua
chave privada, que é apenas de seu conhecimento;
5. Se Maria quiser responder a mensagem, deverá
realizar o mesmo procedimento, mas utilizando a
chave pública de José.

• Assinatura Digital:
– A assinatura digital consiste na criação de um código, através
da utilização de uma chave privada, de modo que a pessoa ou
entidade que receber uma mensagem contendo este código
possa verificar se o remetente é mesmo quem diz ser e
identificar qualquer mensagem que possa ter sido modificada.
– Desta forma, é utilizado o método de criptografia de chaves
pública e privada, mas em um processo inverso.
– Se José quiser enviar uma mensagem assinada para Maria, ele
codificará a mensagem com sua chave privada. Neste processo
será gerada uma assinatura digital, que será adicionada à
mensagem enviada para Maria. Ao receber a mensagem, Maria
utilizará a chave pública de José para decodificar a mensagem.
Neste processo será gerada uma segunda assinatura digital,
que será comparada à primeira. Se as assinaturas forem
idênticas, Maria terá certeza que o remetente da mensagem foi
o José e que a mensagem não foi modificada.

• Certificado Digital:
– O certificado digital é um arquivo eletrônico que contém
dados de uma pessoa ou instituição, utilizados para
comprovar sua identidade. Este arquivo pode estar
armazenado em um computador ou em outra mídia,
como um token ou smart card.
– Exemplos semelhantes a um certificado digital são o
CNPJ, RG, CPF e carteira de habilitação de uma pessoa.
Cada um deles contém um conjunto de informações que
identificam a instituição ou pessoa e a autoridade (para
estes exemplos, órgãos públicos) que garante sua
validade.

• Certificado Digital:
– Algumas das principais informações encontradas em um
certificado digital são:
• dados que identificam o dono (nome, número de
identificação, estado, etc);
• nome da Autoridade Certificadora (AC) que emitiu o
certificado;
• o número de série e o período de validade do
certificado;
• a assinatura digital da AC.
• O objetivo da assinatura digital no certificado é indicar
que uma outra entidade (a Autoridade Certificadora)
garante a veracidade das informações nele contidas.

• O que é a Autoridade Certificadora (AC)?

– Autoridade Certificadora (AC) é a entidade responsável
por emitir certificados digitais. Estes certificados podem
ser emitidos para diversos tipos de entidades, tais como:
pessoa, computador, departamento de uma instituição, a
instituição, etc. Os certificados digitais possuem uma
forma de assinatura eletrônica da AC que o emitiu.
Graças à sua idoneidade, a AC é normalmente
reconhecida por todos como confiável, fazendo o papel
de “Cartório Eletrônico”.

• Links de referência
– Módulo
(http://www.modulo.com.br/index.jsp)
- Hackers Expostos
(http://www.webhackingexposed.com)
- Invasão
(http://www.invasao.com.br)
- Cartilha de Segurança – Cert.br
(http://cartilha.cert.br)
- InfoGuerra
(http://www.infoguerra.com.br)

Segurança da Informação
• A importância da Informação
– Um dos bens mais valiosos do governo
Cidadão
– Informações de terceiros custodiadas
Empresas
– Imagem do governo
Papel
• Armazenada em diversos meios Eletrônico
• Transita por diversos meios
E-Mails
Arquivos
Conversas
Documentos
Apresentações

• Riscos com a informação
– Indisponibilidade
– Vazamento de informação
– Violação da integridade
– Fraude
– Acesso não autorizado
– Uso indevido
– Sabotagem
– Roubo de informações
– Ameaças programadas (vírus, worms, trojans)
– Espionagem

• Pilares da segurança
Confidencialidade
Integridade Disponibilidade

• Ações de segurança
Processos
Funcionários
Fornecedores
Clientes
Parceiros
Tecnologia Pessoas Consultorias
Cidadão

• Segurança Física
– Ambiente
• Sala dos servidores
• CPD
• Datacenter
– Equipamentos
• Microcomputadores
• Roteadores
• Switches

• Verificação da área a ser segura
1o) Terreno: muro, controle de acesso: guarita, seguranças
2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas
3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança
4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria
5o) Racks com chave, cameras

6o) Sala cofre
PRODESP

• Segurança de ambientes
– Recomendações
• Paredes sólidas
• Portas e janelas protegidas
• Alarme
• Mecanismos de controle de acesso
– Prever riscos como
• Fogo
• Inundação
• Explosão
• Manifestações
– Levar em conta riscos dos prédios vizinhos

• Segurança Lógica
LAN
Internet
WAN, MAN
• Proteger pontos de
rede
• Proteger
dispositivos de rede ACL
(switches, routers)
• Segmentar rede VPN
Firewall
VLAN´s
• Regras de controle de
acessos (quem, o que,
IPS/IDS
quando, como) Autenticação
• Auditoria: logs Criptografia
• Premissa: Tudo deve Certificado Digital
ser proibido a menos Informação Sistema Operacional
que seja
expressamente
permitido Izequiel Pereira de Norões - 2008
• Backups
– Deve-se definir uma política de backup
– As mídias devem ser:
• Controladas
• fisicamente protegidas contra roubo, furto e desastres
naturais (fogo, inundação)
• armazenadas em locais adequados (cofres, controle de
humidade)
– Os Data Centers podem ser utilizados para
espelhamento dos sistemas críticos

• Outros elementos a observar
– Manutenção preventiva e periódica
– Deve-se adotar uma política de aplicação das
correções de segurança dos sistema operacionais
e softwares
– Deve-se analisar as vulnerabilidades
– Deve-se utilizar softwares antivírus
– Recomenda-se a utilização de anti-spywares
– Deve-se ter cuidado com o descarte das
informações
– Atenção com fotocopiadoras, gravadores de CD,
FAX, filmadoras, câmeras em áreas críticas

• Observação e monitoramento
– Garantir a continuidade dos serviços
– Identificar anomalias e incidentes de segurança
– Acompanhar tendência de crescimento (capacity
planning)
– Outros: alimentação elétrica, climatização, no-
breaks, conectividade
Equipamentos Serviços
•Login (usuário, data e hora,
•Disco
terminal)
•Processamento
•Acessos ao sistema
•Memória
•Tentativas de acessos
•Segurança (patches, antivírus)
indevidos
•Conectividadade (rede local,
switches, roteadores, etc.)

• Hospedagem de sites
– Tenha cuidado ao contratar o serviço de hospedagem de
sites. No Brasil, infelizmente, existem muitas pessoas
revendendo Hospedagem de Sites, sendo na maioria,
pessoas físicas sem nenhum conhecimento técnico. Além
disso, poucas empresas oferecem o serviço de forma
idônea, sendo prestado por uma pessoa jurídica, legalmente
estabelecida no país sob atividade de provimento de
serviços em internet e dando as garantias legais que têm
direito.
– Sempre que possível, entre em contato telefônico, vá até a
empresa para conhecer o escritório e se o seu projeto for de
médio ou grande porte, faça questão de conhecer a infra-
estrutura tecnológica, isso é de grande importância para
que você tenha a certeza de estar contratando serviços de
uma empresa real e estabelecida no Brasil.
– Um critério a ser observado na escolha do seu provedor de
hospedagem de sites é qualidade do material disponível na
seção de FAQ e suporte técnico. Faça um teste de "tempo
de resposta", isto é, envie um e-mail solicitando alguma
informação ao suporte técnico e verifique o tempo que
demorou para receber resposta.
• Check-list de Segurança

Próxima aula...
• Novas tecnologias...

Introdução À Tecnologia Web - Módulo 7

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Introdução À Tecnologia Web - Módulo 7

Enviado por

Direitos autorais:

Formatos disponíveis

Izequiel Pereira de Norões

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

• Por que devo me preocupar com a segurança

Izequiel Pereira de Norões - 2008

• Você deixaria a porta de sua casa aberta?

• Você deixaria a porta de sua casa aberta?

Izequiel Pereira de Norões - 2008

• Você deixaria a porta de sua casa aberta?

• Você deixaria a porta de sua casa aberta?

Izequiel Pereira de Norões - 2008

• Você deixaria a porta de sua casa aberta?

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

• Que cuidados devo ter com o usuário e senha de

• Que cuidados devo ter com o usuário e senha de

Izequiel Pereira de Norões - 2008

• Que cuidados devo ter com o usuário e senha de

Izequiel Pereira de Norões - 2008

– Originário do inglês, o termo é usado em português

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

• O que é a Autoridade Certificadora (AC)?

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008

2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas

3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança

4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria

5o) Racks com chave, cameras

Izequiel Pereira de Norões - 2008

Izequiel Pereira de Norões - 2008