Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança da Informação
Disponibilidade
Confidenciabilidade
Autenticidade
Integridade
Princípio em que as informações e dados serão guardados em sua forma original evitando possíveis
alterações realizadas por terceiros.
Auditoria
É a possibilidade de rastrear os diversos passos que o processo realizou ou que uma informação foi
submetida, identificando os participantes, locais e horários de cada etapa. Exame do histórico dos
eventos dentro de um sistema para determinar quando e onde ocorreu violação de segurança.
Privacidade
Capacidade de controlar quem viu certas informações e quem realizou determinado processo para
saber quem participou, o local e o horário.
Legalidade
WWW.DOMINACONCURSOS.COM.BR 1
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Não Repúdio
Não há como "dizer não" sobre um sistema que foi alterado ou sobre um dado recebido.
Ameaças
Uma ameaça acontece quando há uma ação sobre uma pessoa ou sobre um processo utilizando
uma determinada fraqueza e causa um problema ou consequência. Sendo assim, são caracterizados
como divulgação ruim, usurpação, decepção e rompimento. As ameaças podem ter origem natural,
quando surgem de eventos da natureza, como terremotos ou enchentes; podem ser involuntárias,
como falta de energia ou erros causados por pessoas desconhecidas; ou se tratam de ameaças
voluntárias em que hackers e bandidos acessam os computadores no intuito de disseminar vírus e
causar danos.
Tipos de Ameaça
Ameaça Inteligente: Situação em que seu adversário possui capacidade técnica e operacional para
fazer uso de algo vulnerável no sistema;
Ameaça de Análise: Após uma análise poderão descobrir as possíveis consequências da ameaça a
um sistema.
Ataques
Um ataque pode ser decorrente de um furto a um sistema de segurança no intuito de invadir sistemas
e serviços. Ele pode ser dividido em ativo, passivo e destrutivo;o ativo muda os dados, o passivo
libera os dados e o destrutivo proíbe qualquer acesso aos dados. Para que um ataque seja
considerado bem sucedido o sistema atacado deve estar vulnerável.
Tipos de Ataque
Cavalo de Troia
O cavalo de troia ou trojan horse, é um programa disfarçado que executa alguma tarefa maligna. Um
exemplo:o usuário roda um jogo que conseguiu na Internet. O jogo secretamente instala o cavalo de
troia, que abre uma porta TCP do micro para invasão. Alguns trojans populares são NetBus, Back
Orifice e SubSeven. Há também cavalo de troia dedicado a roubar senhas e outros dados sigilosos.
Quebra de Senha
O quebrador, ou cracker, de senha é um programa usado pelo hacker para descobrir uma senha do
sistema. O método mais comum consiste em testar sucessivamente as palavras de um dicionário até
encontrar a senha correta.
Ataque que consiste em sobrecarregar um servidor com uma quantidade excessiva de solicitações de
serviços. Há muitas variantes, como os ataques distribuídos de negação de serviço (DDoS). Nessa
variante, o agressor invade muitos computadores e instala neles um software zumbi, como o Tribal
Flood Network ou o Trinoo. Quando recebem a ordem para iniciar o ataque, os zumbis bombardeiam
o servidor-alvo, tirando-o do ar.
Mail Bomb
WWW.DOMINACONCURSOS.COM.BR 2
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Phreaking
É o uso indevido de linhas telefônicas, fixas ou celulares. Conforme as companhias telefônicas foram
reforçando a segurança, as técnicas tornaram-se mais complexas. Hoje, o phreaking é uma atividade
elaborada, que poucos hackers dominam.
Scanners de Portas
Os scanners de portas são programas que buscam portas TCP abertas por onde pode ser feita uma
invasão. Para que a varredura não seja percebida pela vítima, alguns scanners testam as portas de
um computador durante muitos dias, em horários aleatórios.
Smurf
O Smurf é outro tipo de ataque de negação de serviço. O agressor envia uma rápida seqüência de
solicitações de Ping (um teste para verificar se um servidor da Internet está acessível) para um
endereço de broadcast. Usando spoofing, o cracker faz com que o servidor de broadcast encaminhe
as respostas não para o seu endereço, mas para o da vítima. Assim, o computador-alvo é inundado
pelo Ping.
Sniffing
O sniffer é um programa ou dispositivo que analisa o tráfego da rede. Sniffers são úteis para
gerenciamento de redes. Mas nas mãos de hackers, permitem roubar senhas e outras informações
sigilosas.
Spoofing
É a técnica de se fazer passar por outro computador da rede para conseguir acesso a um sistema.
Há muitas variantes, como o spoofing de IP. Para executá-lo, o invasor usa um programa que altera o
cabeçalho dos pacotes IP de modo que pareçam estar vindo de outra máquina.
Scamming
Técnica que visa roubar senhas e números de contas de clientes bancários enviando um e-mail falso
oferecendo um serviço na página do banco.
Controles de Segurança
Autenticar e Autorizar
Autorizar um usuário é conceder ou negar acesso ao sistema utilizando controles de acesso no intuito
de criar perfis de acesso. Com esses perfis é possível definir que tarefa será realizada por
determinada pessoa. Autenticar é a comprovação de que uma pessoa que está acessando o sistema
é quem ela diz ser. Ela é importante, pois limita o controle de acesso e autoriza somente
determinadas pessoas o acesso a uma informação.
Processo de Autenticação
Identificação positiva: quando o usuário possui alguma informação em relação ao processo, como
acontece quando ele possui uma senha de acesso.
Identificação proprietária: o usuário tem algum material para utilizar durante a etapa de identificação
como um cartão.
Identificação Biométrica: casos em que o usuário se identifica utilizando alguma parte do corpo como
a mão ou impressão digital.
WWW.DOMINACONCURSOS.COM.BR 3
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Contas e Senhas
Elabore sempre uma senha que contenha pelo menos oito caracteres, compostos de letras, números
e símbolos e jamais utilize como senha seu nome, sobrenomes, números de documentos, placas de
carros, números de telefones, datas que possam ser relacionadas com você ou palavras que façam
parte de dicionários.
Utilize uma senha diferente para cada serviço e altere com frequência. Além disso, crie tantos
usuários com privilégios normais, quantas forem as pessoas que utilizam seu computador.
Vírus
• Configure o antivírus para verificar os arquivos obtidos pela Internet, discos rígidos (HDs) e
unidades removíveis, como CDs, DVDs e pen drives;
• Não execute ou abra arquivos recebidos por e-mail ou por outras fontes, mesmo que venham de
pessoas conhecidas. Caso seja necessário abrir o arquivo, certifique-se que ele foi analisado pelo
programa antivírus;
• Não utilize, no caso de arquivos comprimidos, o formato executável. Utilize o próprio formato
compactado, como por exemplo Zip ou Gzip.
• Aplique todas as correções de segurança (patches) disponibilizadas pelos fabricantes, para corrigir
eventuais vulnerabilidades existentes nos Softwares utilizados;
• Instale um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente
seja explorada ou que um worm ou bot se propague.
O incidente de segurança está relacionado a qualquer problema confirmado ou não e tem relação
com redes de computadoresou sistemas de computação. Pode ser caracterizado por tentativas de
acesso aos dados de um sistema, acessos não autorizados, mudanças no sistema sem prévia
autorização ou sem conhecimento da execução, etc.
O uso abusivo na rede é um conceito mais difícil de ser definido, mas possui características
específicas como envio de spams e correntes, distribuição de documentação protegida por direito
autoral, uso indevido da internet para ameaçar e difamar pessoas, ataques a outros computadores,
etc.
Os logs são registros de tarefas realizados com programas de computador e geralmente são
detectados por firewalls. Os logs podem ser acusados no momento em que uma pessoa tenta entrar
em um computador e é impedido pelo firewall. Verifique sempre os logs do firewall pessoal e de IDSs
WWW.DOMINACONCURSOS.COM.BR 4
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
que estejam instalados no computador e confira se não é um falso positivo, antes de notificar um
incidente.
Notificações de Incidentes
Muitas vezes um computador é atacado por um programa ou pessoa mal intencionada. Caso seja um
ataque proveniente de um computador, avise aos responsáveis pela máquina para que sejam
tomadas medidas necessárias. No entanto, caso esse ataque venha de uma pessoa que invadiu seu
sistema com um computador é importante avisá-lo de tal atitude para que tome as medidas cabíveis.
Incluia logs completos com data, horário, time tone (fuso horário), endereço IP de origem, portas
envolvidas, protocolo utilizado e qualquer outra informação que tenha feito parte da identificação do
incidente. Além disso, envie a notificação para os contatos da rede e para os grupos de segurança
das redes envolvidas; manter cert@cert.br na cópia das mensagens.
Conceitos de Segurança
Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de
segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da
situação de segurança existente. A segurança de uma determinada informação pode ser afetada por
fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a
cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal
informação.
WWW.DOMINACONCURSOS.COM.BR 5
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
• Disponibilidade – propriedade que garante que a informação esteja sempre disponível para o uso
legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
• Benefícios;
Mecanismos de Segurança
• Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a
infraestrutura (que garante a existência da informação) que a suporta.
• Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em
ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não
autorizada por elemento mal intencionado.
• Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos
mecanismos citados aqui
Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer
segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais,
filtros anti-spam, fuzzers, analisadores de código, etc.
WWW.DOMINACONCURSOS.COM.BR 6
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Ameaças à Segurança
• Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio
por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o
controle do proprietário (corporativo ou privado) da informação.
• Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem
necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa,
que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou
uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não
autorizada de pessoas com ou sem má intenção.
Invasões na Internet
Todo sistema de computação necessita de um sistema para proteção de arquivos. Este sistema é um
conjunto de regras que garantem que a informação não seja lida, ou modificada por quem não tem
permissão. A segurança é usada especificamente para referência do problema genérico do assunto,
já os mecanismos de proteção são usados para salvar as informações a serem protegidas. A
segurança é analisada de várias formas, sendo os principais problemas causados com a falta dela a
perda de dados e as invasões de intrusos. A perda de dados na maioria das vezes é causada por
algumas razões: fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de
causas naturais; Erros de hardware ou de software: falhas no processamento, erros de comunicação,
ou bugs em programas; Erros humanos: entrada de dados incorreta, montagem errada de disco ou
perda de um disco. Para evitar a perda destes dados é necessário manter um backup confiável,
guardado longe destes dados originais.
Exemplos de Invasões
O maior acontecimento causado por uma invasão foi em 1988, quando um estudante colocou na
internet um programa malicioso (worm), derrubando milhares de computadores pelo mundo. Sendo
identificado e removido logo após. Mas até hoje há controvérsias de que ele não foi completamente
removido da rede. Esse programa era feito em linguagem C, e não se sabe até hoje qual era o
objetivo, o que se sabe é que ele tentava descobrir todas as senhas que o usuário digitava. Mas esse
programa se auto-copiava em todos os computadores em que o estudante invadia. Essa “brincadeira”
não durou muito, pois o estudante foi descoberto pouco tempo depois, processado e condenado a
liberdade condicional, e teve que pagar uma alta multa.
Um dos casos mais recentes de invasão por meio de vírus foi o do Vírus Conficker (ou Downup,
Downadup e Kido) que tinha como objetivo afetar computadores dotados do sistema operacional
Microsoft Windows, e que foi primeiramente detectado em outubro de 2008. Uma versão anterior do
vírus propagou-se pela internet através de uma vulnerabilidade de um sistema de rede do Windows
2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 Beta e
do Windows Server 2008 R2 Beta, que tinha sido lançado anteriormente naquele mês. O vírus
bloqueia o acesso a websites destinados à venda, protegidos com sistemas de segurança e, portanto,
é possível a qualquer usuário de internet verificar se um computador está infectado ou não,
simplesmente por meio do acesso a websites destinados a venda de produtos dotados de sistemas
WWW.DOMINACONCURSOS.COM.BR 7
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
Através desses dados vemos que os anti-vírus devem estar cada vez mais atualizados, estão
surgindo novos vírus rapidamente, e com a mesma velocidade deve ser lançado atualizações para os
bancos de dados dos anti-vírus para que os mesmos sejam identificados e excluídos. Com a criação
da internet essa propagação de vírus é muito rápida e muito perigosa, pois se não houver a
atualização dos anti-virus o computador e usuário estão vulneráveis, pois com a criação da internet
várias empresas começarão a utilizar internet como exemplo empresas mais precisamente bancos,
mas como é muito vulnerável esse sistema, pois existem vírus que tem a capacidade de ler o teclado
(in/out), instruções privilegiadas como os keyloggers. Com esses vírus é possível ler a senha do
usuário que acessa sua conta no banco, com isso é mais indicado ir diretamente ao banco e não
acessar sua conta pela internet.
Nível de segurança
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a
estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível
de segurança devem ser quantificados os custos associados aos ataques e os associados à
implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um
ataque.
Segurança física
Segurança lógica
Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados,
violação de senhas, etc.
Políticas de segurança
De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num
conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma
organização.
WWW.DOMINACONCURSOS.COM.BR 8
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de
implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do
tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.
Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de
segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a
NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas
27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001,
foi publicada em 2005.
Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é
expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).
• A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar,
possa usar. Dados críticos devem estar disponíveis ininterruptamente.
• A Legalidade
• A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter
condições de analisar a identidade do sistema.
• A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou
ao grupo por ele liberado.
Políticas de Senhas
Recomenda-se a adoção das seguintes regras para minimizar o problema, mas a regra fundamental
é a conscientização dos colaboradores quanto ao uso e manutenção das senhas.
Adota-se um padrão definido onde a senha possui prazo de validade com 30 ou 45 dias,
obrigando o colaborador ou usuário a renovar sua senha.
• Inibir a repetição
Adota-se através de regras predefinidas que uma senha uma vez utilizada não poderá ter mais
que 60% dos caracteres repetidos, p. ex: senha anterior “123senha” nova senha deve ter 60%
dos caracteres diferentes como “456seuse”, neste caso foram repetidos somente os caracteres
“s” “e” os demais diferentes.
• Criar um conjunto com possíveis senhas que não podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de senhas e proíbir o seu uso, como por
exemplo o usuário chama-se Jose da Silva, logo sua senha não deve conter partes do nome
como 1221jose ou 1212silv etc, os formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4
WWW.DOMINACONCURSOS.COM.BR 9
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
• Recomenda-se ainda utilizar senhas com Case Sensitive e utilização de caracteres especiais
como: @ # $ % & *
Em 2006, as fraudes virtuais custaram ao Brasil cerca de 300 milhões de reais, de acordo com o
Instituto de Peritos em Tecnologias Digitais e Telecomunicações (IPDI). Muitas deles podem ter sido
ocasionadas com a falta de cuidados na criação de senhas. Gastos com TI subiram de 2003 para
2004 30%, e parte destes gastos são relativos a criação de mecanismos de segurança do sistema.
Em relação a gastos com Segurança em TI, observe os argumentos utilizados por um site de
consultoria em Segurança da Informação:
Um artigo interessante publicado no site da UFRGS – Universidade Federal do Rio Grande do Sul
incluía a explicação do professor Geraldo Fernando Xavier a respeito do funcionamento da memória.
WWW.DOMINACONCURSOS.COM.BR 10
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
“Temos uma estrutura neurológica de complexidade extremamente elevada e, por isso, conseguimos
arquivar as memórias”, afirma Geraldo Fernando Xavier, professor do Departamento de Fisiologia do
Instituto de Biociências. Uma experiência marcante faz conjuntos de células de o sistema nervoso
entrar em intensa atividade elétrica, o que pode desencadear reações bioquímicas e, assim, alterar a
conexão entre os neurônios. Isso ocorre em vários pontos do cérebro, criando circuitos relacionados
à representação da experiência original.
Existem muitas técnicas para treinar a memória. O primeiro a estudá-las foi o jesuíta italiano Mateo
Ricci no século XVI. Ele se imaginava andando por um palácio que conhecia muito bem e guardando
informações em lugares conhecidos, como gavetas e outros objetos. “A estratégia é manter as
informações num contexto conhecido e ensaiá-las por mais tempo”, revela Xavier. Essa é a base de
todos os métodos ditos modernos, métodos de associação.
Há vários “maus hábitos”, amplamente difundidos, que já foram identificados (Brown etal., 2004, Yan
et al., 2004). Tais maus hábitos incluem escrever as senhas em papel e armazená-los em locais
óbvios, como o monitor do computador ou sob o mouse pad, ou utilizar a mesma senha
repetidamente, ou ainda, escolher palavras simples ou nomes que são muito fáceis de adivinhar.
Maus hábitos no uso de senhas significam que políticas de segurança, que foram cuidadosamente
elaboradas, não estão sendo observadas. Na verdade, esses maus hábitos se materializam em
vulnerabilidades de sistemas de informação, tais como senhas fracas, senhas comuns ou senhas
visíveis. A seguir segue uma resumida lista de dicas para criação de senhas retirado do site da O
CESUP-RS que é um Centro Nacional de Supercomputação, localizado na Região Sul do Brasil, em
Porto Alegre, RS.
1) Tente memorizar sua senha e evite escrevê-la. Se necessitar escrever sua senha, lembre-se:
b. Não escreva, junto à ela, nome da conta (username) e/ou máquina que está cadastrada;
2) Invente um método privado de gerar senhas. Evite senhas que tenham algum significado como
datas comemorativas pessoais ou não, endereços, nomes, palavras que possam ser encontradas em
dicionário, etc.
4) Não passe sua conta/senha para outras pessoas. Se por alguma razão você precisar compartilhar
sua conta/senha nunca envie via e-mail, mesmo se criptografada, pois alguns algoritmos são capazes
de quebrar as senhas. Não use telefone celular.
5) Tenha a certeza de que ninguém esteja observando-o quando estiver digitando sua senha.
WWW.DOMINACONCURSOS.COM.BR 11
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
O estudo ainda encontrou suporte empírico para os maus hábitos mencionados acima. Quase todos
os entrevistados reusavam senhas e mais da metade deles mantinha uma cópia escrita de suas
senhas. O estudo de Brown e colegas corroboram achados de estudos anteriores, menos
abrangentes, mas que também detectaram alguns maus hábitos e onde apenas um pequeno
percentual de senhas foi criado de acordo com as diretrizes de segurança. Por exemplo, Carstens e
colaboradores (2004) encontraram que indivíduos com oito a onze senhas corriam maiores risco de
não conseguir lembrá-las. Com a proliferação de websites que requerem autenticação, e-mails
pessoais e profissionais, contas bancárias, etc., possuir múltiplas senhas não é incomum nos dias de
hoje. Entretanto, fora do mundo tecnológico, pouca atenção tem sido dada a problemas
especificamente relacionados ao uso de senhas.
RESUMO DA PESQUISA:
• guardar informações literais, ou detalhes superficiais como a exata ordem em que os caracteres
aparecem em uma senha, é uma coisa difícil (Reyna e Brainerd,1995);
• as pessoas tendem a ter facilidade de lembrar de coisas que têm significado (Tulving e Craik, 2000)
– o que geralmente não é o caso das senhas aleatórias ou geradas pelo sistema;
• com a falta de uso e a passagem do tempo, traços literais, como a estrutura da senha ou a fonte,
tendem a se perder;
WWW.DOMINACONCURSOS.COM.BR 12
CONCEITOS DE SEGURANÇA DA INFORMAÇÃO
seus esforços para tornar a autenticação por meio de senhas um mecanismo mais viável, poderia
considerar o vasto arcabouço de conhecimento que a Psicologia da memória possui.
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
_________________________________________________________________________________
WWW.DOMINACONCURSOS.COM.BR 13