(in)Segurança na Web

Abril de 2016
 (in)Segurança na Web

Ambiente Web, por que ter

cautela?

Quais os grandes perigos que

podemos encontrar?
 OWASP

OWASP - Open Web Application Security Project

Comunidade sem fins lucrativos que busca auxiliar no desenvolvimento, compra e
manutenção de Software que possam ser confiáveis para Organizações.

OWASP visa educar desenvolvedores, designers, arquitetos e donos de empresas

sobre os riscos associados as vulnerabilidades de segurança de aplicativo Web mais
comuns.

A organização publica uma lista Top Ten sobre as falhas de segurança de aplicativos
Web mais perigosas e fornece recomendações para lidar com essas falhas.
 Top 10 - OWASP

TOP 10 - OWASP
1)INJECTION – Injeção de dados;

2)Broken Authentication and Session Management – gerenciamento de sessão;

3)XSS (Cross-Site Scripting);

4)Insecure direct object references – referencias de problemas internos da APP;

5)Security misconfiguration – má configuração do Sistema;

6)… … … … ...
 CERT.br

CERT.br
“O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil é
mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil, e atende a qualquer rede
brasileira conectada à Internet.”

Objetivo de auxiliar o Administrador de redes na gerência e implementação de soluções

de segurança.
 Cartilha CERT.br

Cartilha CERT.br
A Cartilha de Segurança para Internet contém recomendações de como aumentar a
segurança no Ambiente Web.

Possui ao todo 14 capítulos, entre eles:

1. Segurança na Internet

2. Golpes na Internet
 Segurança na Internet

Capítulo 1: Segurança na Internet

A Internet pode facilitar e melhorar a sua vida, porém cuidados

devem ser tomados.

Alguns riscos podem ser encontrados:

• Acesso a conteúdos impróprios ou ofensivos;

• Contato com pessoas mal-intencionadas;

• Furto de identidade;

• Furto e perda de dados;

 Golpes na Internet

Capítulo 2: Golpes na Internet

Obtenção de dados de usuários a partir de Engenharia Social e

interação direta com a vitima.

Principais golpes utilizados:

• Furto de identidade;

• Fraude de antecipação de recursos;

• Phishing;

• Golpes de comércio eletrônico;

• HOAX
 Furto de Identidade

Capítulo 2: Golpes na Internet

2.1 – Furto de Identidade

Ato pelo qual uma pessoa tenta se passar por outra;

Como identificar possíveis golpes:

● você começa a ter problemas com órgãos de proteção de crédito;

● você recebe o retorno de e-mails que não foram enviados por você;

● você verifica nas notificações de acesso que a sua conta de e-mail ou seu perfil na rede social foi acessado em horários ou locais em
que você próprio não estava acessando;

● ao analisar o extrato da sua conta bancária ou do seu cartão de crédito você percebe transações que não foram realizadas por você;

● você recebe ligações telefônicas, correspondências e e-mails se referindo a assuntos sobre os quais você não sabe nada a respeito,
como uma conta bancária que não lhe pertence e uma compra não realizada por você.
 Fraude por antecipação de recursos

Capítulo 2: Golpes na Internet

2.2 – Fraude de antecipação de recursos

Ato pelo qual um golpista procura induzir uma pessoa a fornecer informações confidenciais, com
promessas de algum beneficio;
 Fraude por antecipação de recursos

Capítulo 2: Golpes na Internet

2.2 – Fraude de antecipação de recursos

Ato pelo qual um golpista procura induzir uma pessoa a fornecer informações confidenciais, com
promessas de algum beneficio;

Prevenção:
● oferece quantias astronômicas de dinheiro;

● solicita sigilo nas transações;

● solicita que você a responda rapidamente;

● apresenta palavras como "urgente" e "confidencial" no campo de assunto;

● apresenta erros gramaticais e de ortografia

 Facebook
Facebook
 Facebook?
Facebook???
Facebook?
 Phishing

Capítulo 2: Golpes na Internet

2.3 – Phishing

Ato pelo qual um golpista tenta obter dados pessoais e financeiros de um usuário.

Exemplos de phishing:

● Páginas falsas de comércio eletrônico ou Internet Banking;

● Páginas falsas de redes sociais ou de companhias aéreas;

● Mensagens contendo formulários;

● Mensagens contendo links para códigos maliciosos;

 Golpes de comercio eletrônico

Capítulo 2: Golpes na Internet

2.4 – Golpes de comercio eletrônico

Ato pelo qual um golpista explora a relação de confiança existente entre as partes envolvidas em uma
transação comercial.

● Golpe do site de comércio eletrônico fraudulento

● Golpe envolvendo sites de compras coletivas

● Golpe do site de leilão e venda de produtos

 HOAX

Capítulo 2: Golpes na Internet

2.4 – HOAX

Mensagem que possui conteúdo alarmante ou falso.

● conter códigos maliciosos;

● espalhar desinformação pela Internet;

● ocupar, desnecessariamente, espaço nas caixas de e-mails dos usuários;

● comprometer a credibilidade e a reputação de pessoas ou entidades referenciadas na mensagem;

● indicar, que algumas ações realizadas pelo usuário poderão danificar seu computador;
 Ataques na Internet

Capítulo 3: Ataques na Internet

“Qualquer serviço, computador ou rede que seja acessível via

Internet pode ser alvo de um ataque.”

Alguns motivos:

● Demonstração de poder;

● Prestígio;

● Motivações financeiras;

● Motivações Ideológicas;

● Motivações comerciais;
 Exploração de vulnerabilidades

Capítulo 3: Ataques na Internet

3.1 – Exploração de vulnerabilidades

Uma vulnerabilidade é definida como uma condição que, quando explorada por um atacante, pode resultar
em uma violação de segurança.
 Varredura de redes

Capítulo 3: Ataques na Internet

3.2 – Varredura em redes (Scan)

Consiste em efetuar buscas minuciosas em redes, com o objetivo de identificar computadores ativos e
coletar informações sobre eles.

Existem duas formas:

● Legitima;

● Maliciosa.
 Falsificação de email

Capítulo 3: Ataques na Internet

3.3 – Falsificação de e-mail (E-mail spoofing)

Técnica que consiste em alterar campos do cabeçalho de um e-mail.

Utilizado para propagação de códigos maliciosos (Malwares)

Métodos mais comuns:

● de alguém conhecido, solicitando que você clique em um link ou execute um arquivo anexo;

● do seu banco, solicitando que você siga um link fornecido na própria mensagem e informe dados da sua conta bancária;
 Interceptação de tráfego

Capítulo 3: Ataques na Internet

3.4 – Interceptação de tráfego (Sniffing)

Técnica que consiste em inspecionar os dados trafegados em redes de computadores

● Legítima

● Maliciosa
 Força Bruta

Capítulo 3: Ataques na Internet

3.5 – Força bruta (Brute force)

Técnica que consiste em adivinhar, por tentativa e erro, um nome de usuário e senha

As tentativas de adivinhação costumam ser baseadas em:

● dicionários de diferentes idiomas e que podem ser facilmente obtidos na Internet;

● listas de palavras comumente usadas, como personagens de filmes e nomes de times de futebol;

● substituições óbvias de caracteres, como trocar "a" por "@" e "o" por "0"';

● sequências numéricas e de teclado, como "123456", "qwert" e "1qaz2wsx";

● informações pessoais

Quão difícil é sua senha?

 Desfiguração de página

Capítulo 3: Ataques na Internet

3.6 – Desfiguração de página (Defacement)

Técnica que consiste em alterar o conteúdo da página Web de um site.

 Negação de Serviço

Capítulo 3: Ataques na Internet

3.7 – Negação de serviço (DoS e DDoS)

Técnica pela qual um atacante utiliza um computador para tirar de operação um serviço.

Ataques de negação de serviço podem ser realizados por diversos meios:

● Envio de grande quantidade de requisições para um serviço;

● Geração de grande tráfego de dados para uma rede;

● Exploração de vulnerabilidades existentes em programas

 Negação de Serviço

Malwares

Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações
danosas a um sistema.

● Vírus;

● Worms;

● Bot e Botnet;

● Spyware;

● Backdoor;

● Cavalo de Tróia;

● Rootkit.
 Prevenção

Prevenção – como prevenir de ataques

“Nem tudo que reluz é ouro.”

• Notifique;
• Desconfie de atividades diferentes;
• Mantenha-se informado;
LOD Rafael

(in)Segurança na Web
Abril de 2016