Escolar Documentos
Profissional Documentos
Cultura Documentos
e
Privacidade
E
o
que
voc
tem
a
ver
com
isso?
Felipe Ferraz
Roteiro
[Q1]
Denies
e
conceitos
Na
tecnologia
Nos
nossos
conceitos
Mo@vao econmica
Mo@vao pol@ca
Roteiro
[Q3]Um
momento
para
reexo
Quanto
de
sua
vida
esta
exposta
e
disponvel
na
Internet?
Orkut,
YouTube,
Skype;
Curriculum.com,
Catho
Online,
Vagas.com;
Blogs
pessoais,
Forums
de
discusso,
Grupos
de
e-mails
Lojas
online
como
Americanas.com,
Submarino.com,
...
Repositrios
estrangeiros:
FaceBook,
MySpace,
Friendster,
Twifer,
Monster.com
E
no
mundo
real?
Cmeras
de
circuito
interno
Novas
legislaes
Outros
repositrios:
Servios
de
entrega,
farmcias,
supermercados,
locadoras
Prdios
pblicos
e
privados
Roteiro
[Q4]E
o
que
fazer?
Consideraes
em
sua
A@tude
perante
a
privacidade
Dicas
para
comportamentos
necessrios
Felipe Ferraz
Apresentao
Denies
e
Conceitos
Privacidade
Segundo
o
Michaelis
(Pt-Br)
privacidade
pri.va.ci.da.de
sf
(ingl
privacy)
1
Vida
privada;
in0midade.
2
Priva@vidade.
Segundo o Merriam-Webster
(En-Us)
Denies
e
Conceitos
Anonimidade
Segundo
o
Michaelis
(Pt-Br)
anonimidade
a.no.ni.mi.da.de
sf
(annimo+i+dade)
V
anonmia.
anonmia
a.no.n.mia
sf
(gr
anonyma)
Qualidade
do
que
annimo;
anonimidade.
Segundo o Merriam-Webster
(En-Us)
Denies
e
Conceitos
Segundo
o
Michaelis
comportamento
com.por.ta.men.to
sm
(comportar+mento2)
1
Maneira
de
se
comportar;
procedimento.
2
Psicol
Em
sen@do
restrito,
designao
genrica
de
cada
modo
de
reao
em
face
de
um
es>mulo
presente;
em
sen@do
amplo,
qualquer
a@vidade,
fato
ou
experincia
mental,
passvel
de
observao
direta
ou
indireta.
C.
social,
Sociol:
todas
as
maneiras
de
agir
relacionadas
com
a
presena
ou
inuncia
de
outros.
Denies
e
Conceitos
Segundo
o
Michaelis
a0tude
a.@.tu.de
sf
(fr
aItude)
1
Modo
de
ter
o
corpo;
postura.
2
Norma
de
proceder
ou
ponto
de
vista,
em
certas
conjunturas.
3
Propsito
ou
signicao
de
um
propsito.
4
Psicol
Tendncia
a
responder,
de
forma
posi@va
ou
nega@va,
a
pessoas,
objetos
ou
situaes.
5
Sociol
Tendncia
de
agir
de
uma
maneira
coerente
com
referncia
a
certo
objeto.
6
Astronut
Posio
de
um
foguete,
mssil
ou
satlite
ar@cial,
determinada
pela
inclinao
do
seu
eixo
em
relao
a
algum
ponto
de
referncia.
Denies
e
Conceitos
Propriedade
(property)
Denies e Conceitos
Denies
e
Conceitos
E
quando
a
propriedade
a
informao?
Cameras
em
Londres
:
Em
1996
500
Em
2008
4.2
Mi
Cameras
em
NYC
:
Em
2002
1.000
Em
2008
3.000/
mi2
(
140
vezes
por
dia)
O
Big
Brother
O
contedo
de
quantas
cmeras
foi
u@lizado
no
julgamento
da
execuo
de
Jean
Charles
de
Menezes
pela
polcia
de
Londres?
O
trnsito
de
recife?
(
por
exemplo)
O
Google
GMail,
Google
Maps,
Orkut,
Double
Click,
Google
Health,
23
and
Me,
YouTube,
Froogle,
Google
Analy@cs
E
o
melhor
de
todos:
Google
Prole
Checagem
de
conscincia
vQuantos
usam
o
GMail?
vChecado,
catalogado
e
indexado
vQuantos
se
preocupam?
A^tude
Seus
dados
so
valiosos
no
os
deixe
entregues
ao
acaso
Limpeza
de
dados
pessoais
dos
navegadore
Cookies,
histricos
de
pginas
visitadas,
dados
o-line
de
sites
visitados
...
Comportamento
E
quando
for
necessrio
estar
annimo
Contedo Program@co
Parte
1:
A
Informao
Parte
2:
Conceitos
Parte
3:
Por
onde
comear?
Parte
4:
Repositrios
de
Informao
Parte
5:
Genealogia
de
um
Hacker
Parte
6:
Ameaas
Digitais
Parte
7:
Para
os
Script-kiddies
PARTE 1
A Informao
Informao
(Michaelis)
do
Lat.
informa^one
s.
f.,
Ato
ou
efeito
de
informar
ou
informar-se;
Comunicao;
Conjunto
de
conhecimentos
sobre
algum
ou
alguma
coisa;
Conhecimentos
ob@dos
por
algum;
Fato
ou
acontecimento
que
levado
ao
conhecimento
de
algum
ou
de
um
pblico
atravs
de
palavras,
sons
ou
imagens;
Elemento
de
conhecimento
suscepvel
de
ser
transmi@do
e
conservado
graas
a
um
suporte
e
um
cdigo.
Consideraes
(2005)
Segundo
a
Universidade
da
Califrnia
em
Berkeley:
Existe
aproximadamente
2.5
Bilhes
de
documentos
acessveis
na
WEB;
Este
nmero
cresce
em
cerca
de
700
mil
pginas
por
dia.
Velhos
jarges
O
segredo
a
alma
do
negcio;
Novas
tendncias
Mundo
Globalizado,
Ubiqidade,
Acesso
a
Informao.
Consideraes
(2008)
Segundo
o
ISC
Internet
Systems
Consor@um(2008):
Aproximadamente
600.000.000
de
domnios
registrados
e
a@vos.
PARTE 2
Conceitos
Axioma
de
Segurana
Uma
corrente
no
mais
forte
que
o
seu
elo
mais
fraco
Segurana
da
Informao
A
segurana
da
informao
um
conjunto
de
medidas
que
se
cons@tuem
basicamente
de
controles
e
pol^ca
de
segurana,
tendo
como
obje@vo
a
proteo
das
informaes
dos
clientes
e
da
empresa
(a^vos/bens),
controlando
o
risco
de
revelao
ou
alterao
por
pessoas
no
autorizadas.
Controles
de
Segurana
Disposi@vos
de
hardware,
aplicaes,
procedimentos,
pol@cas,
e
barreiras
sicas,
dispostas
estrategicamente
de
forma
a
garan@r
a
condencialidade,
integridade
e
disponibilidade
da
informao.
Pol@ca
de
Segurana
Trata-se
um
conjunto
de
diretrizes
(normas)
que
denem
formalmente
as
regras
e
os
direitos
dos
usurios,
visando
proteo
adequada
dos
a0vos
da
informao
A@vos
(Bens)
Dados
n
n
n
n
Servios
n
n
n
n
Nmero de
Cartes de Crdito
Planos de Marketing
Cdigos Fonte
Informaes de RH
Web sites
Acesso a Internet
Controladores
de Domnio
ERP
Comunicao
n
n
n
Logins
Transao Financeira
Correio Eletrnico
Denies
Ameaa
Evento
ou
a@tude
indesejvel
que
potencialmente
remove,
desabilita,
danica
ou
destri
um
recurso;
Vulnerabilidade
Caracters@ca
de
fraqueza
de
um
bem;
Caracters@cas
de
modicao
e
de
captao
de
que
podem
ser
alvos
os
bens,
a@vos,
ou
recursos
intangveis
de
inform@ca,
respec@vamente,
somware,
ou
programas
de
bancos
de
dados,
ou
informaes,
ou
ainda
a
imagem
corpora@va.
Conceitos
Bsicos
Risco
A
probabilidade
da
ocorrncia
de
uma
ameaa
em
par@cular
A
probabilidade
que
uma
ameaa
explore
uma
determinada
vulnerabilidade
de
um
recurso
Risco
Conceitos Fundamentais
Confidencialidade
Segurana
Integridade
Disponibilidade
(Availability)
CIA
Condencialidade
Propriedade
de
manter
a
informao
a
salvo
de
acesso
e
divulgao
no
autorizados;
Proteger
as
informaes
contra
acesso
de
qualquer
pessoa
no
devidamente
autorizada
pelo
dono
da
informao,
ou
seja,
as
informaes
e
processos
so
liberados
apenas
a
pessoas
autorizadas.
CIA
Integridade
Propriedade
de
manter
a
informao
acurada,
completa
e
atualizada
Princpio
de
segurana
da
informao
atravs
do
qual
garan@da
a
auten@cidade
da
informao
O
usurio
que
arquiva
dados
espera
que
o
contedo
de
seus
arquivos
no
seja
alterado
por
erros
de
sistema
no
suporte
sico
ou
lgico
Princpios
A
uxiliares
Mtodos
Autenticao
Identificao
Sigilo
Autorizao
Controle de Acesso
Auditoria
- DAC
- MAC
- RBAC
Vias
-O que Sou
-O que Sei
-O que Tenho
Controle
de
Acesso
Suporta
os
princpios
da
CIA
So
mecanismos
que
limitam
o
acesso
a
recursos,
baseando-se
na
idenBdade
do
usurio,
grupo
que
integra
e
funo
que
assume.
Em
segurana,
suportado
pela
trade
AAA
(denida
na
RFC
3127)
Auditoria
(Accountability)
a
capacidade
que
um
sistema
tem
de
determinar
as
aes
e
comportamentos
de
um
nico
indivduo
no
sistema,
e
de
iden@car
este
indivduo;
Trilha
de
auditoria,
tenta@vas
de
acesso,
problemas
e
erros
de
mquina,
e
outros
eventos
monitorados
ou
controlados.
Auten@cao
Propriedade
de
conrmar
a
iden@dade
de
uma
pessoa
ou
en@dade.
Meio
pelo
qual
a
iden@dade
de
um
usurio
conrmada,
e
garante
que
ele
realmente
quem
diz
ser
Autorizao
So
os
direitos
ou
permisses,
concedidos
a
um
indivduo
ou
processo,
que
permite
acesso
a
um
dado
recurso.
Aps
a
idenBcao
e
autenBcao
de
um
usurio
terem
sido
estabelecidas,
os
nveis
de
autorizao
iro
determinar
a
extenso
dos
direitos
que
este
usurio
pode
ter
em
um
dado
sistema.
Sigilo
Trata-se
do
nvel
de
condencialidade
e
garanBa
de
privacidade
de
um
usurio
no
sistema;
Ex.:
Garante
a
privacidade
dos
dados
de
um
usurio
em
relao
ao
operador
do
sistema.
Identificao
Meio pelo qual o usurio apresenta sua
identidade.
Mais frequentemente utilizado para controle de
acesso, necessrio para estabelecer Autenticao
e Autorizao.
PARTE 3
Onde Comear ?
Incidentes NBSO/NIC
2006
Estatstica de Incidentes Reportados em 2006 - Fonte: NBSO/NIC Brasil
Incidentes NBSO/NIC
2006
Estatstica de Incidentes Reportados em 2006 - Fonte: NBSO/NIC Brasil
Total Anualizado
A@vidade
Relatrio
de
2
pginas
Contendo
grco
(
algum
grco
).
Qualquer
Grco.
Informaes
da
Indstria
55%
dos
trabalhadores
trocam
mensagens
potencialmente
ofensivas
pelo
menos
uma
vez
por
ms
(PC
Week)
30-40%
da
navegao
na
web
no
est
relacionada
ao
negcio
da
empresa
(IDC)
Em
pesquisa
com
13.000
usurios
de
eMail,
90%
arma
receber
spam
pelo
menos
uma
vez
por
dia
(Gartner
Group)
Em
pesquisa
com
800
trabalhadores,
21-31%
admitem
enviar
informaes
condenciais
para
caixas
postais
externas
a
organizao
via
eMail
(PC
Week)
Responsabilidades
da
Empresa
Desde
que
uma
empresa
fornea
acesso
internet
a
seus
funcionrios,
esta
empresa
torna-se
responsvel
pelo
que
ele
faz,
a
menos
que
possa
provar
que
tomou
as
medidas
cabveis
para
evitar
problemas
Operacional
Ttico
Estratgico
Normas
Padres e
Procedimentos
Segurana
Ciclo
de
Segurana
Anlise
da
Segurana
(Risk
Assessment)
Denio
e
Atualizao
de
Regras
de
Segurana
(PolBca
de
Segurana)
Implementao
e
Divulgao
das
Regras
de
Segurana
(Implementao)
Administrao
de
Segurana
(Monitoramento,
Alertas
e
Respostas
a
Incidentes)
Auditorias
(Vericao
do
Cumprimento
da
PolBca)
Cer@caes
GIAC
-
Global
Informa@on
Assurance
Cer@ca@on
(Sans.Org)
PARTE 4
Repositrios
Sites teis
hfp://www.insecure.org
hfp://www.securityfocus.com
hfp://www.sans.org
hfp://www.digg.com
hfp://techrepublic.com
hfp://www.hackaday.com
hfp://slashdot.org
hfp://www.modulo.com.br
RSS
e
PodCasts
Agregadores:
Itunes
Democracy
Player
SongBird
Plugins
do
IE
e
Firefox
Mdias
udio
mp3/mp4/aac
Vdeo
DivX/A3C/Streaming
Alguns
PodCasts
Security
Now!
hfp://www.grc.com/securitynow.htm
SploitCast
hfp://www.sploitcast.com
Extreme
Tech
hfp://www.extremetech.com
Video
PodCasts
HAK.5
hfp://www.hak5.org
IronGeek
hfp://irongeek.com
Hacking
Illustrated
Revision3
hfp://www.revision3.com
Congressos
e
Eventos
HOPE
Hacker
on
Planet
Earth
hfp://www.hopenumbersix.net
DEFCon
hfp://www.defcon.org
Archives
BlackHat
hfp://www.blackhat.com
Archives
Filmes
Jogos
de
Guerra
(WarGames)
1983,
vrios
A
Senha
(Swordsh)
2001,
John
Travolta
Filmes
Ameaa
Virtual
(An@trust)
2001,
Ryan
Phillippe
A
Batalha
do
Atln@co
(U-571)
2000,
Mafhew
McConaughey
Filmes
Cdigos
de
Guerra
(Windtalkers)
Hackin
Democracy
2006,
Varios
Revolu@on OS
Enigma
(Enigma)
2001,
Vrios
Firewall
Filmes
Um
Plano
Brilhante
(Flawless)
PARTE 5
Genealogia de um Hacker
Hacker
Unauthorized
user
who
afempts
to
or
gains
access
to
an
informa@on
system.
www.tecrime.com/0gloss.htm
Trilha
Evolu@va
White
Hat
Black Hat
Hacker
Cracker
Script Kid
Geek
Lammer
Nerd
Usurio
PARTE 6
Ameaas Digitais
Ataques
Geralmente
divididos
nos
seguintes
@pos:
Ataques
ABvos
DoS,
DDoS,
buer
overow,
inundao
de
SYN
Ataques
Passvos
Pesquisa
de
vulnerabilidade,
sning,
...
Ataques
de
Senha
Fora
bruta,
Dicionrio,
hackish,
Rainbow
Tables
Ataques
A@vos
DoS/DDoS
Reduzir
a
qualidade
de
servio
a
nveis
intolerveis
Tanto
mais
dicil
quanto
maior
for
a
infra-estrutura
do
alvo
Enquanto
DoS
de
fcil
execuo
e
pode
ser
corrigido,
DDoS
de
dicil
e
no
pode
ser
evitado
Zombies
e
Mestres
(Masters),
ataque
smurf
BOTs
e
BOTNets,
ataques
massicados
por
banda
larga
Tipos
Consumo
de
Recursos
(largura
de
banda,
cpu,
RAM,
...)
Pacotes
malformados
(todas
as
ags
ligadas)
Ataques
SYN
Fragilidade
na@va
do
TCP/IP
Conexo
de
3-vias
(Syn,
Syn-Ack,
Ack)
Spoong
Se
fazer
passar
por
outro
a@vo
da
rede
MITM
(Man-In-The-Middle)
Dsniff
Engenharia social
Kevin
Mitnick
Normalmente
relevada
nos
esquemas
de
segurana
U@liza-se
do
orgulho
e
necessidade
de
auto-
reconhecimento,
intrnseco
do
ser
humano
MALicious
somWARE
No
apenas
Spyware
ou
Adware
Payload
Vrus
Auto
replicante
Interfere
com
hardware,
sistemas
operacionais
e
aplicaes
Desenvolvidos
para
se
replicar
e
iludir
deteco
Precisa
ser
executado
para
ser
a@vado
Bombas Lgicas
Rootkit
Coleo
de
ferramentas
que
possibilitam
a
criao
on-
demand
de
backdoors
Modicam
ro@nas
de
checagem
dos
sistemas
operacionais
comprome@dos
para
impedir
deteco
Iniciam
no
boot
junto
com
os
processos
do
sistema
Ataques
Passvos
Normalmente
uBlizado
antes
de
um
ataque
aBvo
Pesquisa
de
Vulnerabilidades
Pesquisa
por
Portas/Servios
hfp://www.insecure.org
Nmap
Escuta
(sning)
Extremamente
dicil
deteco
No
provoca
rudo
sensvel
Senhas
em
texto
claro,
comunicaes
no
encriptadas
Redes
compar@lhadas
Vs
comutadas
Switch
Vs
Hub
Fora Bruta
Ataques de Dicionrio
Rainbow Tables
A@vidade
Pesquisar
DUAS
ferramentas
que
executem
(
auxilie)
um
dos
mecanismos
passado.
Aprender
a
usar
a
ferramenta.
Preparar
uma
apresentao
falando
sobre
a
ferramenta.
Prepare-se
para
pelo
menos
30
minutos
de
apresentao.
Mostrar
RODANDO
a
ferramenta.
Mostrar
exemplos