Escolar Documentos
Profissional Documentos
Cultura Documentos
Universidade La Salle
Envolvidos
Integridade
Deve-se garantir que os dados e arquivos que estão sendo lidos e manipulados estão
exatamente da forma como foram salvos (gravados).
Ex.: A nota de um aluno foi inserida no sistema, sendo essa 7,8, entretanto, por uma falha no processo, no
momento de gravar essa informação no banco de dados, foi registrada como 9,0.
Confidencialidade
Deve-se garantir que a informação, de acordo com a sua criticidade e sensibilidade, esteja
disponível somente às pessoas que possuem autorização para acessá-la.
Ex.: Um exame médico de um paciente sendo disponibilizado de forma pública em uma clínica.
Refinando o entendimento
Por que precisamos nos preocupar? (1)
A primeira ação necessária para se resolver um problema é entender e aceitar que ele
existe.
A maioria das pessoas não possui o conhecimento mínimo das ameaças existentes
no mundo virtual e, tampouco, sabe como se proteger dessas ameaças.
Desde crianças, construímos boas noções sobre o que é seguro, como por exemplo:
Alguns entendimentos podem nos limitar neste sentido, sendo muito comum alguns pensamentos
parecidos como os abaixo:
● Um hacker nunca vai se interessar no meu computador aqui em casa, não preciso de antivírus;
● Pagar pelo Windows é muito caro, vou conseguir uma cópia pirata com um conhecido, vai
funcionar do mesmo jeito;
● Minha empresa é pequena, “informática” é muito caro e “boas práticas” só é uma coisa boa no
papel. Vou fazer o mínimo necessário para que continue a emitir as faturas. O criminosos
virtuais só focam em grandes empresas.
Refinando o entendimento
Por que precisamos nos preocupar? (5)
Computadores são invadidos por criminosos virtuais basicamente pelos seguintes motivos:
São elementos de uma empresa que possuem valor. Tal valor pode ser tangível, como o
valor de um equipamento, ou pode ser intangível, como a boa reputação da marca frente ao
mercado.
Os ativos de uma empresa, no que tange à Segurança da Informação, podem ser divididos em
grupos, tais como: equipamentos, softwares, pessoas, ambientes, dados e processos.
Conceituando
Ameaças
São fragilidades associadas aos ativos que manipulam as informações e que, ao serem
exploradas por ameaças, permitem a ocorrência de um incidente de segurança. São também
elementos passivos, ou seja, por si só não provocam um incidente.
Sua principal motivação é desafiar seus próprios limites, investigando e procurando por
falhas em softwares ou no processo. É curioso por natureza, e busca reconhecimento pelos
seus feitos.
Conceituando
Engenheiro Social
Trata-se de uma pessoa extremamente detalhista, capaz de estudar suas vítimas por meses,
procurando por informações até conseguir um ponto a ser explorado para o ataque.
Conceituando
Cracker
Aplica-se a ele a mesma definição dada ao hacker, contudo, com uma grande diferenciação.
Esta, é sua motivação.
O cracker é motivado por obter vantagem para si ou para outros que o tenham contratado.
Botnet é o nome dado a um grupo composto de um número muito grande (milhares ou milhões)
de dispositivos, infectados por um código malicioso que é controlado de forma centralizada.
Esses dispositivos se transformam em dispositivos zumbis, que são aqueles que obedecem as
ordens de um criminoso virtual, e conduzem ataques de larga escala a um site ou sistema.
É a praga virtual mais comum que existe. Normalmente precisa da interação do usuário para
infectar um equipamento.
Ocorre quando a vítima instala em seu dispositivo softwares de origem duvidosa ou ilícita.
Embutido nesse software vem o vírus, que pode atuar de diversas formas que visam impedir o
funcionamento correto do equipamento, também como roubar dados e senhas, corromper e
destruir arquivos.
São softwares maliciosos mais complexos, que podem entrar em ação sem a intervenção do
usuário. Para tal, basta que o equipamento esteja vulnerável (desatualizado, mal configurado ou
com uma falha de segurança) e conectado a uma rede de computadores. Após infectar o
dispositivo, ele imitará o comportamento de um vírus, multiplicando-se em outros equipamentos
da rede.
Conceituando
Cookies
São informações que os sites que você acessa podem salvar em seu computador por meio do
navegador da internet. Tais informações representam o perfil de navegação do usuário naquele
site.
Com base nessas informações, é que propagandas são apresentadas dinamicamente para você.
Por exemplo, você pesquisa sobre um notebook em uma loja on-line. Após essa pesquisa,
propagandas de diversos notebooks continuarão a serem exibidas para você em outros sites, que
não necessariamente são de comércio eletrônico.
Conceituando
Spam
De uma forma simples, podemos entender que Spam são mensagens de e-mail indesejadas, não
solicitadas e de origens que não possuímos relação alguma.
O conteúdo dessas mensagens é diverso e pode variar desde boatos e mentiras, passando por
ofertas de produtos e serviços, propagandas e ações de marketing, e podendo chegar a golpes
de estelionato ou fishing.
Os anexos de um e-mail podem ser o meio pelo qual uma pessoa mal intencionada consegue
infectar um dispositivo (computador, notebook e etc.) com pragas virtuais.
O disparo dessas mensagens muitas vezes se origina de contas de e-mail válidas e lícitas e, que
por descuido, foram comprometidas (normalmente senha) e, a partir desse comprometimento,
são utilizadas para fins ilícitos, disparando centenas de milhares ou até milhões de mensagens.
Em outros casos, algo como um vírus pode infectar o dispositivo, acessar o catálogo de
endereços de e-mail de softwares como o Outlook, e utilizar desse catálogo para se propagar em
forma recursiva.
Conceituando
DoS (Deny of Service)
Negação de serviço, que é um dos ataques mais comuns e ocorre quando o atacante visa
sobrecarregar um recurso (servidor, firewall, link ou serviço) com um fluxo de requisições superior
a capacidade que esse recurso possui para atender a demanda. O objetivo é causar
indisponibilidade do recurso em si, ou, em alguns casos, forçar o escalonamento de acessos via
falhas e vulnerabilidades.
Esse ataque normalmente ocorre a partir de uma ou poucas origens. Estas origens podem ser
dispositivos na própria rede local da empresa, como na Internet.
Conceituando
DDoS (Distributed Deny of Service)
É a versão amplificada do ataque de negação de serviço. Neste caso, o atacante lança o ataque
a partir de dezenas ou centenas de milhares de equipamentos diferentes de forma coordenada.
Esses equipamentos normalmente fazem parte de redes zumbis, ou seja, que foram infectados
por vírus e outras espécies de pragas virtuais, ficando latentes e à espera do comando do
invasor, que fornecerá um alvo. Novamente o objetivo é causar indisponibilidade de recurso.
Conceituando
Backdoor
Software malicioso que, quando infecta um equipamento, abre portas de comunicação de rede,
permitindo o acesso remoto com poderes administrativos irrestritos.
Conceituando
Cavalo de Troia
O termo se baseia na história clássica da guerra entre Grécia e Troia, em que os Gregos
presentearam a cidade de Troia com um grande Cavalo de Madeira, contendo no seu interior
dezenas de soldados gregos para tomarem a cidade de maneira inesperada.
Software malicioso que, após instalado no dispositivo, registra tudo o que é digitado no teclado.
Os dados registrados podem ficar armazenados localmente no equipamento ou podem ser
enviados para o atacante. O objetivo é capturar senhas, número de cartões de crédito, conversas
e etc.
Conceituando
Mouselogger
Software malicioso que, após instalado no dispositivo, captura a tela ao redor do ponteiro do
mouse. Os dados registrados podem ficar armazenados localmente no equipamento ou podem
ser enviados para o atacante. O objetivo é capturar senhas, burlando os mecanismos de
segurança existentes nos sites, especialmente os de bancos.
Conceituando
Screenlogger
Software malicioso que, após instalado no dispositivo, captura todo o conteúdo exibido na tela de
um dispositivo. Os dados registrados podem ficar armazenados localmente no equipamento ou
podem ser enviados para o atacante. O objetivo é “fotografar” toda a atividade realizada pelo o
usuário.
Conceituando
Ransomware
Pode ser definido como o sequestro de dados. É a praga virtual mais usada atualmente. Após um
atacante obter acesso a um dispositivo, ele realiza a criptografia dos dados que estão nesse
dispositivo, impedindo,assim, que o proprietário tenha acesso a seus próprio dados. O atacante,
então, exige o pagamento de um resgate para descriptografar e devolver o acesso aos dados.
Ato de cifrar (embaralhar) dados de forma que eles não possam ser compreendidos por outras
pessoas a quem não são destinados, mesmo que venham a cair em mãos de terceiros.
Somente conseguirá ler e compreender esta mensagem a pessoa que possuir conhecimento de
qual técnica foi utilizada para realizar o embaralhamento dos dados.
Conceituando
Descriptografar
Ato de desembaralhar os dados que foram criptografados, permitindo, dessa maneira, a sua
leitura e entendimento.
Para ser possível realizar a descriptografia, é necessário conhecer a técnica utilizada na cifragem
dos dados.
Protegendo-se!
Protegendo-se!
Conscientização
Acreditamos que até esse momento as suas percepções quanto aos riscos do mundo
virtual tenham sido atualizadas. Nosso objetivo é, dadas as devidas proporções,
deixar você, leitor, com a pulga atrás da orelha e, de certa forma, até um pouco
assustado com a realidade aqui apresentada.
Para que o funcionamento do antivírus seja eficaz, ele deverá estar sempre
atualizado, isso significa receber constantemente informações de seu próprio
fabricante, instruindo como combater novas ameaças, que surgem diariamente.
Entretanto, existem alternativas compostas apenas por software, que podem ser instaladas nos
computadores, sendo que o próprio Microsoft Windows 10 disponibiliza uma versão de firewall
incorporada no próprio sistema operacional. O firewall serve também como complemento às
atualizações do sistema operacional e antivírus, garantido proteção a estes sistemas mesmo que
suas respectivas falhas ainda não tenham sido corrigidas.
Não compartilhe suas credenciais de acesso; elas são chaves que garantem a você o
acesso a recursos, assim como sistemas e informações, necessários para o
desenvolvimento de suas tarefas. Essas credenciais foram confiadas a você, utilize-as com
responsabilidade. Procure trocar de senha de tempos em tempos, isso garante a
manutenção do nível de segurança de suas credenciais de acesso.
Atenção!
A equipe de TI da Universidade La Salle nunca irá solicitar que você informe
a suas credenciais de acesso (usuário/senha), sob nenhuma hipótese. Caso
ocorra, por e-mail, presencialmente ou por telefone, entre em contato com a
equipe de suporte pelo e-mail suporte@unilasalle.edu.br e reporte o ocorrido.
Por mais que seja incômodo para o ser humano, senhas precisam, sim, serem complexas. Boas práticas
que devem ser tomadas para a criação de uma senha segura:
● Evitar utilizar dados pessoais (datas, nomes, locais, números de telefone ou placas de carro);
● Evitar utilizar sequências repetitivas ou lógicas (abcde, 1a2b3c4d, 987654);
● Evitar anotar a senha em post-it ou pedacinhos de papel, guardados na gaveta, ou colados abaixo do
teclado;
● Possuir caracteres diversos, contendo números, letras maiúsculas, letras minúsculas, e caracteres
especiais (caracteres especiais são: !,@,#,$,%,&,*,-...) e
● Possuir no mínimo 8 caracteres de extensão.
Do ponto de vista empresarial, a cópia de segurança é aplicada aos principais sistemas que
fazem o negócio funcionar, como banco de dados, documentos de texto, planilhas eletrônicas e
apresentações, o site da empresa dentre outros. O backup está profundamente relacionado com
a continuidade do negócio em caso de eventos desastrosos (tempestade, fogo, inundações,
terremotos, ataques de criminosos virtuais e etc.)
Sair da zona de conforto, observar regras e procedimentos, podem ser movimentos enfadonhos,
caso não se entenda o motivo pelo qual eles existem e porque são necessários.
Cada ser humano é único, possui sua própria índole, caráter, princípios e crenças. Tudo isso
influencia no comportamento do indivíduo e no meio em que ele está.
Na mesma linha, algumas pessoas são mais ingênuas que outras, não percebendo as más
intenções que existem por trás de palavras e ações.
Trata-se da ameaça mais difícil de conter, justamente porque aborda o comportamento humano e
as relações entre as pessoas.
Neste tipo de abordagem, o atacante visa obter informações, não somente através do e-mail, ou
métodos automatizados, e sim, com a conversa, que pode ser por telefone ou presencialmente.
Por trás desse atacante podem estar um concorrente, alguma pessoa com interesses pessoais
ou um fornecedor querendo oferecer um produto ou fechar um contrato.
Utiliza-se da boa fé e da vontade de querer ajudar da vítima, perguntando por informações que
podem parecer inofensivas, durante uma conversa. Pode ser o comercial de uma empresa, um
consultor, um formulário on-line, um e-mail urgente, uma ligação telefônica representando um
instituto de pesquisas, que deseja elaborar uma estatística à respeito de um determinado
assunto.
Protegendo-se!
Engenharia social (2)
Todos esses dispositivos possuem um sistema operacional (Window, IOs, Android, Linux e
etc.). O sistema operacional, por ser um software, infelizmente, mas naturalmente, irá
conter bugs e falhas em sua programação.
Protegendo-se!
Dispositivos móveis (2)
● Em caso de furto ou roubo, registre o boletim de ocorrência, e tão logo possível, informe seu
superior e também informe à equipe de TI. Também não esqueça de trocar a senha dos serviços
Google (especialmente válido quando se trata de um smartphone em que se possua vínculo
com a conta de e-mail)
● Desconfie de acessos WIFI públicos, que são liberados sem autenticação alguma;
● Desconfie de acessos WIFI públicos, em que a senha seja a mesma para todos os usuários;
● Procure não compartilhar acessos WIFI com vizinhos. Você não tem como saber quantas pessoas
podem utilizar essa mesma rede e quais são as suas intenções;
● Nos pontos de acesso WIFI que temos em casa, procure verificar se sua rede WIFI está configurada
para usar criptografía WPA/PSK2 (que é a criptografía mais atual);
● Ao ingressar em uma rede WIFI desconhecida, o tráfego de dados do seu equipamento poderá estar
sendo inspecionado por um terceiro, sem que você ou o dono do estabelecimento façam sequer ideia.
Na Universidade La Salle possuímos diversas topologias WIFI distintas, cada uma com seu
próprio objetivo e aplicação. Todas essas redes possuem mecanismos de identificação e
autenticação, necessários para a liberação do uso. O acesso está disponível somente para
colaboradores, alunos e convidados.
O acesso não é liberado ao público em geral, ou aqueles que não possuem vínculo com a
Instituição.
Protegendo-se!
Descarte de equipamentos
Todo dispositivo eletrônico possui um ciclo de vida operacional, normalmente contabilizado em 3
e 5 anos de utilização. Essa obsolescência, muitas vezes forçada pelos fabricantes, ocorre pela
evolução tecnológica, que exige, com o passar do tempo, dispositivos com maior capacidade de
processamento para rodar softwares cada vez mais complexos. Basta ter em mente de quanto
em quanto tempo trocamos nosso smartphone.
Ao encaminhar esses dispositivos defasados para o descarte de lixo eletrônico, devemos ter em
mente que eles contêm diversas informações privadas, que não devem ser obtidas por outras
pessoas. Um disco rígido de um computador de empresa ou a memória interna de um celular, por
exemplo, podem conter arquivos de contratos, informações financeiras, fichas de RH contendo
informações de funcionários, informações estratégicas de mercado e etc.
Notem que neste tipo de golpe, no corpo do e-mail sempre teremos a instrução para acesso
a um endereço, neste caso “https://www.bradescomultiplusfidelidade.com.br/resgate”. Ao
acessar este endereço serão solicitadas informações pessoais/bancárias ou a realização de
um cadastro.
Exemplificando
Fishing (3)
Clássica mensagem
indesejada, referente a
propaganda de algum
produto. Notem o link
“https://bit.ly/2yBCG70”. Ao
clicar, você será
redirecionado ao site deste
produto, podendo até ser
um golpe de phishing ou
tentativa de infecção do
equipamento.
Exemplificando
Spam (2)
Mais um exemplo
clássico de oferta de
alguma facilidade em
troca de um serviço,
nesse caso, a limpeza do
nome.
Referências
SILVA, Gilson Marques da. Segurança da Informação Para leigos. Como proteger seus
dados micro e familiares na internet. Rio de Janeiro: Editora Ciência Moderna. 2011.