SEGURANÇA DIGITAL

Com Pedro Henrique Meira de Araújo

SUMÁRIO

SOBRE O CURSO 3

PROFESSOR DO CURSO 4

AULA 1, PARTE 1 5

AULA 1, PARTE 2 10

AULA 1, PARTE 3 13

AULA 2, PARTE 1 16

AULA 2, PARTE 2 18

AULA 2, PARTE 3 22

AULA 3, PARTE 1 26

AULA 3, PARTE 2 29

AULA 3, PARTE 3 32

2
 SOBRE O CURSO

O QUE SERÁ ABORDADO N AS AUL AS?

Introdução ao d ireito d igital. At a q u es e c r im es c ib er n ét ic o s . Pro t eç ã o de
dados pessoais. Ciberseguranç a c o r p o ra t iva . Va z a m en to de in f o r m a ções.
Análises d e vulnerabilidades.

O QUE CONSTA NESTE E BOOK?

Neste material, você tem uma lin h a do t em p o c o m o s p r in c ip a is
acontecimentos d as videoaulas , c o m o f ra s es im p a c t a n t es do s p ro fessores,
conceitos impor tantes do merc a do , in dic a ç õ es de f ilm es e livro s , en t re
outros.

3
 PROFESSOR DO CURSO

PEDRO HENRIQUE MEIRA DE ARAÚJO

ENGENHEIRO ELÉTRICO E MESTRE EM ENGENHARIA

DE SISTEMAS

Possui grad uação em E n g en h a r ia E lét r ic a - E let rô n ic a ( 2 0 1 4 ) pel a

Universidade d e Pernamb u c o ( UPE ). M es t re em E n g en h a r ia de Sistemas
(2017) pela UPE. Exerceu a f u n ç ã o de es t a g iá r io n í vel s u p er io r em
empresa de grande por t e n o ra m o de t elec o m u n ic a ç õ es , n o s etor de
implantação d e projetos d e t ra n s m is s ã o . At u a lm en t e é a lu n o de doutorado
em En genharia de Computa ç ã o n a Un iver s ida de de Per n a m b u c o . Exerceu
o cargo de professor contra t a do n o Cu r s o Bá s ic o de E n g en h a r ia d a Escol a
Politécnica d a Universid ade de Per n a m b u c o ( UPE ). At u a c o m o p es qui sador
nas áreas: mod elagem e s t a t í s t ic a , in t elig ên c ia a r t if ic ia l, p revis ões de
séries temporais, red es n eu ra is a r t if ic ia is e en erg ia s ren ovávei s.

4
 AULA 1, PARTE 1
Pedro Henrique Meira de Araújo

LGPD
A Lei Geral de Proteção d e Da do s Pes s o a is ( LGPD) es t a b elec e
diretrizes impor tantes e ob r ig a tó r ia s p a ra a c o let a , p ro c es s a m en to e
armazenamento d e d ados p es s o a is . E la f o i in s p ira da n a GDPR ( General
Data Protection Regulation), q u e en t ro u em vig ên c ia em 2 0 1 8 n a U ni ão
Europeia, trazendo grand es im p a c to s p a ra em p res a s e c o n s u m idores.

Hackers
Hackers são pessoas com u m c o n h ec im en to p ro f u n do de in f o r m á ti ca e
computação que trabalham des en vo lven do e m o dif ic a n do s o f t w a res e
hardwares d e computad ore s , n ã o n ec es s a r ia m en t e p a ra c o m et er al gum
crime. Eles também desen vo lvem n ova s f u n c io n a lida des n o q u e d i z
respeito a sistemas de info r m á t ic a .

Bitcoin
Bitcoin é uma criptomoed a livre e des c en t ra liz a da , u m din h eiro
eletrônico para transações f in a n c eira s p o n to a p o n to . Su rg iu em 2008
como uma resposta à crise f in a n c eira , c o m a ideia de s u b s t it u ir o
dinheiro físico que usamos e, p r in c ip a lm en t e, t ira r a n ec es s ida de de
intermed iação d os bancos n a s o p era ç õ es f in a n c eira s .

História 07:51

Bob Thomas era pesquisador de s eg u ra n ç a da em p res a BBN e rea lizou

um projeto para verificar a pos s ib ilida de de u m q u e u m p ro g ra m a de
computador se movimentasse a t ravés da rede, deix a n do u m leve ra s t ro

5
enquanto fizesse tal movimento . Co m is s o , Th o m a s des en vo lveu o
Creeper, em 1971, que se movi a p elo s is t em a T E N E X a t ravés da Ar p a net.
Este programa é consid erado o p r im eiro ví r u s de c o m p u t a do r da h is tóri a.
Apesar desse título, este worm f o i c r ia do c o m in t en s õ es des p ret en s iosas e
pacíficas.

Ray Tomlinson reescreveu uma ver s ã o o t im iz a da do w o r m , q u e p o s s ibi l i tava

que o ele se autorreplicasse, n o m eo u es t a ver s ã o de R ea p er ( Ceif a do r) e a
distribui pela Arpanet. Reaper c o m eç o u a a p a g a r a s c ó p ia s de c reep er que
encontrava, nascendo assim o p r im eiro m ec a n is m o a n t iví r u s e a p r imei ra
batalha digital.

A primeira patente d e ciberseg u ra n ç a s u rg iu n o s E s t a do s Un ido s , n o MIT

(Massachusetts Institute of Te c h n o lo g y) c o m u m m éto do de c o m u n ic ação
criptografada. Isso foi essenci a l p a ra o des en vo lvim en to de s is t em a s de
criptografia d e chave pública, o a lg o r it m o ( R SA).

Markus He sss hackeou um por t a l em Ber keley em 1 9 8 6 , in va diu c erc a de 400

computadores militares e teve a c es s o a diver s o s m a t er ia is do p en t á g ono.

Com o desenvolvimento da inter n et o s c r im es dig it a is p a s s a ra m a s e

desenvolver de maneira mais rá p ida . Devido a is to , a c iên c ia ju r í dic a se
voltou para a criação de leis esp ec í f ic a s p a ra p u n ir a a ç ã o do s c r im inosos
digitais.

Worm
O worm é um tipo de malwa re m a is p er ig o s o q u e u m ví r u s c o m u m,
pois sua propagação é rápida e o c o r re s em c o n t ro le da ví t im a . Assi m
que ele contamina um com p u t a do r, o p ro g ra m a m a lic io s o c r ia c ó pi as
de si mesmo em d iferentes lo c a is do s is t em a e s e es p a lh a p a ra o utras
máquinas, seja por meio de In t er n et , m en s a g en s , c o n exõ es lo c a is ,
dispositivos USB ou arquivo s . O o b jet ivo do g o lp e, em g era l, é ro u bar
dados do usuário ou de em p res a s .

Ele deixou de ser somente um worm aventureiro sozinho

passando pela rede, para ser vários. Cada vez que passava por
computadores ele se autoreplicava.

6
Ray Tomlinsom
(1941-2016)

Ray Tomlinson foi um progra m a do r do s E s t a do s Un ido s q u e im p lementou

um sistema de correio eletrô n ic o n a AR PAN E T, em 1 9 7 1 . R ay era um
funcionário d a Bolt Beranek a n d N ew m a n , em p res a c o n t ra t a da p elo
Depar tamento d e Defesa do s E s t a do s Un ido s em 1 9 6 8 p a ra im p la ntar a
ARPANE T.

Criptografia
A criptografia é um conjun to de t éc n ic a s p en s a da s p a ra p ro t eg er uma
informação que é trocad a n o a m b ien t e vir t u a l, p a ra q u e s o m en t e emi ssor
e receptor consigam entender. E s s e s is t em a ref o rç a a s eg u ra n ç a d e uma
mensagem ou arquivo “emb a ra lh a n do” s eu o c o n t eú do .

RSA
RSA é um d os primeiros sist em a s de c r ip to g ra f ia de c h ave p ú b lic a e é
amplamente utilizado para t ra n s m is s ã o s eg u ra de da do s . N es t e s i stema
de criptografia, a chave d e en c r ip t a ç ã o é p ú b lic a e é diferen t e da chave
de decriptação que é secret a . É c o n s idera do do s m a is s eg u ro s , já
que mand ou por terra tod a s a s t en t a t iva s de q u eb rá - lo . Fo i t a m b ém o
primeiro algoritmo a possib ilit a r c r ip to g ra f ia e a s s in a t u ra dig it a l, e uma
das grandes inovações em c r ip to g ra f ia de c h ave p ú b lic a .

Markus Hess
1960

Markus Hess é mais conhec ido p o r s eu s es f o rç o s c o m o h a c ker n o fi nal

dos anos 1980. Ao lad o dos c o leg a s h a c ker s Dir k Br zez in s ki e Pet e r Carl ,
Hess invad iu redes d e comp u t a do res m ilit a res e in du s t r ia is b a s eados
nos Estad os Unid os, Europa e L es t e As iá t ic o e ven deu a s in f o r m a ções
para a KGB soviética. Duran t e s eu t em p o t ra b a lh a n do p a ra a KGB,
estima-se que Hess tenha in va dido 4 0 0 c o m p u t a do res m ilit a res dos EUA.
O material hackeado incluía "t ec n o lo g ia s s en s í veis de s em ic o n du tores,
satélites, espaciais e aeron aves .

7
 Guerra fria
A Guerra Fria foi um conflito p o lí t ic o - ideo ló g ic o q u e f o i t rava do entre
Estados Unid os (EUA) e Uniã o Soviét ic a ( UR SS), en t re 1 9 4 7 e 1 9 9 1. O
conflito travad o entre esse s do is p a í s es f o i res p o n s ável p o r p o la r i zar
o mundo em dois grandes b lo c o s , u m a lin h a do a o c a p it a lis m o e o utro
alinhado ao comunismo.

KGB
KGB é a sigla em russo para Co m it ê de Seg u ra n ç a do E s t a do , o s er vi ço
secreto da antiga União da s R ep ú - b lic a s So c ia lis t a s Soviét ic a s ( URSS) .
Órgão ligad o ao Par tido Co m u n is t a , a KGB f o i c r ia da em 1 9 5 4 , s endo
um dos mais temid os e efi c ien t es s er viç o s s ec reto s do m u n do . Da sua
criação até 1991, ela foi res p o n s ável p ela es p io n a g em in t er n a c io nal
soviética e cuidou d a prote ç ã o do s lí deres do p a í s , da s u p er vis ã o de
tropas nas fronteiras e da vig ilâ n c ia da p o p u la ç ã o .

Pentágono
O Pentágono é a sed e d o Dep a r t a m en to de Defes a do s E s t a do s Uni dos,
localizado no condado de Ar lin g to n , V irg í n ia , a t ravés do r io Po to mac,
em Washington, DC. Como u m s í m b o lo da s Fo rç a s Ar m a da s do s EUA, o
Pentágono é frequentement e u t iliz a do m eto n im ic a m en t e p a ra s e referi r
ao Depar tamento d e Defes a .

Quando a gente fala do desenvolvimento da internet, a gente tá

dizendo que aquilo que ficava localizado, aquele creeper, aquele
reaper, que ficava somente em um lugar, com a internet ganha
dimensões gigantescas.

Crime digital x crime comum 51:39

Crimes digitais são crimes com et ido s p o r u m a p es s o a c o m in t er m édi o do

uso de computad ores e/ou disp o s it ivo s c o n ec t a do s a u m a rede de c onexão.
É considerad o um crime meio, o u s eja , q u a n do u m c r im e é m eio p a ra a

8
prática de outro d elito, é ele abs o r vido p o r a q u ele c r im e- f im , de m o do que o
agente responde apenas por es s a ú lt im a in f ra ç ã o p en a l.

Classes de crimes digitais segu n do M a rc elo Cres p o :

• Crimes digitais próprios ou p u ro s: c o n du t a s p ro ib ida s p o r lei, s u jeit as a

pena criminal e que se voltam c o n t ra o s s is t em a s in f o r m á t ic o s e o s dados.
São também chamados de d elito s de r is c o in f o r m á t ic o .

Exemplos: acesso não autoriza do ( h a c kin g ), a dis s em in a ç ã o de ví r u s e o

embaraçamento ao funcionamen to de s is t em a s .

• Crimes digitais impróprios o u mis to s: c o n du t a s p ro ib ida s p o r lei, s ujei tas

a pena criminal e que se volta m c o n t ra o s b en s ju r í dic o s q u e n ã o s e jam
tecnológicos já trad icionais e p ro t eg ido s p ela leg is la ç ã o c o m o a vida, a
liberdade, o patrimônio etc.

Exemplos: crimes contra a hon ra p ra t ic a do s n a in t er n et , c o n du t a s q u e

envolvam trocas ou armazenamen to de im a g en s c o m c o n t eú do de
pornografia infantil, estelionato et c .

Em resumo, crimes d igitais pró p r io s o u p u ro s s u rg em dep o is da c r ia ção

da internet. J á crimes digitais im p ró p r io s o u m is to s já ex is t ia m n o m undo
quando a internet surgiu.

9
 AULA 1, PARTE 2
Pedro Henrique Meira de Araújo

Crime digital x crime comum 00:05

No Brasil, até 2012 não havia a s in a liz a ç ã o do s c r im es dig it a is p ró p r ios no

ordenamento nacional. Desd e en t ã o f o ra m c r ia da s a s leis o rdin á r ia s :

• 12.735/2012 - Lei A zeredo, ti p if ic a c o n du t a s rea liz a da s m edia n t e o uso de

sistemas d igitais e eletrônicos .

• 23.737/2012 - Lei Carolina D iec km a n n , c r im in a liz a a in va s ã o de

computad ores e o ‘roubo’ d e s en h a s e a rq u ivo s .

Existem também algumas leis n o p a n o ra m a leg is la t ivo b ra s ileiro q u e

englobam crimes cometid os em m eio dig it a l, s ã o ela s :

• Ameaça (ar t. 147), calúnia (ar t . 1 3 8 ), dif a m a ç ã o ( a r t . 1 3 9 ), in jú r ia ( ar t.

140), falsa id entid ade (ar t. 30 7 ), vio la ç ã o direito a u to ra l ( a r t . 1 8 4 ),
estelionato (ar t. 171), pornog ra f ia in f a n t il ( a r t . 2 3 4 ), in va s ã o de dis posi ti vo
informação (ar t. 154-A e ar t 1 5 4 – B), in s erç ã o de da do s f a ls o s n o si stema
(ar t. 313-A), mod ificação/altera ç ã o n ã o a u to r iz a da de da do s n o s is tema
(ar t. 313-B).

• Lei 8.069/90 – Pornografia inf a n t il, o E s t a t u to da Cr ia n ç a e do Ado lescente

cita a questão d a pornografia in f a n t il n o s m eio s de c o m u n ic a ç ã o em geral ,
inclusive d igitais (ar t. 240, 24 1 , 2 4 1 – A, 2 4 1 – B, 2 4 1 - C, 2 4 1 - D, 2 4 1-E)

• Lei 9.609/98 – Proteção d a p ro p r ieda de in t elec t u a l de p ro g ra m a s de

computad or.

• Lei 9.296/96 – Interceptação de c o m u n ic a ç õ es t elef ô n ic a s .

• Lei 12.965/14 – “Marco Civil da In t er n et ” . R eg u la m en t a a s rela ç õ es no

ambiente online.

Nem sempre os casos práticos en c o n t ra m p revis ã o n a lei, é n a t u ra l q ue o

cenário evolua com o tempo em c o n ju n to c o m a s n ec es s ida des s o c iai s.

10
 Inteligência artificial
I A refe re-se a sistemas ou m á q u in a s q u e im it a m a in t elig ên c ia h u mana
para realizar tarefas e podem s e a p r im o ra r it era t iva m en t e c o m b ase nas
informações que coletam. É a c a p a c ida de da s m á q u in a s de p en s arem
como seres humanos: apre n der, p erc eb er e dec idir q u a is c a m in h o s
seguir, de forma racional, dia n t e de det er m in a da s s it u a ç õ es .

Transformação digital nas orga-

26:49
nizações
A segurança d a informação tem c o m o res p o n s a b ilida de g a ra n t ir :

• Integridade: garantir que a m en s a g em s eja t ra n s m it ida do em is s o r ao

receptor sem sofrer nenhuma a lt era ç ã o ;

• Confidencialidade: garantir qu e a m en s a g em s eja t ra n s m it ida do emi ssor

ao receptor sem ser intercep t a da p o r t erc eiro s ;

• Disponib ilidade: garantir que o em is s o r e o rec ep to r c o n s ig a m s e

comunicar sempre que necess á r io ;

• Autenticidade: garantir que a m en s a g em s eja a u t ên t ic a , o u s eja , q u e possa

ser autenticad a a id entid ade do em is s o r e rec ep to r.

LGPD 39:55

A Lei Geral d e Proteção d e Dad o s Pes s o a is ( 1 3 .7 0 9 /2 0 1 8 ), diz res p eito

ao ativo mais impor tante de um a em p res a , s eu s da do s . A lei p revê a
possibilidade d e multa de 2% d o f a t u ra m en to b r u to da em p res a , g r u p o ou
conglomerado, no limite d e 50 m ilh õ es , c a s o s eja in f r in g ida a lg u m a d as
normas.

Para se adequar à lei, a empres a p rec is a :

11
• Mapear o fluxo d e d ados pess o a is e es t a b elec er reg ra s p a ra s eu
tratamen to;

• Fazer diagnóstico e planejar s u a s a ç õ es . Adeq u a ç ã o de to da

documen tação e capacitação da s eq u ip es .

Os dados, se caírem em mãos erradas, podem até destruir uma

empresa.

Big data
Big data é a área d o conhec im en to q u e es t u da c o m o t ra t a r, a n a lisar e
obter informações a par tir de c o n ju n to s de da do s g ra n des dem a is para
serem analisad os por siste m a s t ra dic io n a is . Co m ela vo c ê p o de a nal i sar
uma grande quantia d e d ado s e t ra n s f o r m á - lo s em in f o r m a ç õ es p ara
estabelecer um plano d e açã o .

12
 AULA 1, PARTE 3
Pedro Henrique Meira de Araújo

LGPD (continuação) 00:05

O professor segue listando os it en s n ec es s á r io s p a ra u m a em p res a s e

adequar a LGPD:

• Guardar ad equadamente tod o s o s da do s im p o r t a n t es p a ra a em p resa, seus

clientes e parceiros;

• Buscar formas d e mitigação n ã o a p en a s p a ra r is c o s t éc n ic o s , m a s t ambém

jurídicos.

Alguns documentos que ajud am a m in im iz a r o s r is c o s ju r í dic o s s ã o :

• Contratos com fornecedor;

• Política de Privacid ade;

• Termos de Uso;

• Contratos com consumid or;

• Contratos com colaborad ores .

• É necessário sempre atualizar a Po lí t ic a de Seg u ra n ç a da In f o r m a ç ão, al ém

de investir na capacitação e s en s ib iliz a ç ã o da s eq u ip es .

A segurança desses dados deve existir para que a utilização

desses dados seja a menor possível.

13
 Limites de espaço no direito digital 21:11

Marc Rogers classifica e catego r iz a o s h a c ker s em diferen t es c a t eg o ri as:

• Newbie/tool kit (NT): hackers q u e p o s s u em t éc n ic a s lim it a da s . Ut ilizam de

programas prontos que estão dis p o n í veis n a in t er n et .

• Cyberpunks (CP): hackers qu e p o s s u em c o n h ec im en to ava n ç a do em

computação. Prod uzem seus p ró p r io s p ro g ra m a s .

• Internas (IT): empregados e ex - f u n c io n á r io s des c o n t en t es q u e a p rovei tam

de todo o conhecimento adquir ido p a ra a t a c a r a p ró p r ia em p res a .

A prevenção, conscientização e a im p la n t a ç ã o de m ec a n is m o s de c o ntrol e

à fraude são impor tantíssimas n a s em p res a s . Fa lt a de u t iliz a ç ã o de
mecanismos de controle e falt a de s u p er vis ã o da s ro t in a s do s c o la b oradores
caracterizam uma cultura instit u c io n a l f ra c a .

Marc Rogers
Marc Rogers é o Diretor Exec u t ivo de Cib er s eg u ra n ç a da O kt a . Co m uma
carreira d e mais d e vinte an o s , ele h a c keia des de o s a n o s 8 0 . An t e s da
Okta, Marc atuou como chefe de s eg u ra n ç a da Clo u df la re e p a s s o u uma
década gerenciand o a segu ra n ç a da o p era do ra b r it â n ic a Vo da f o n e. El e
era um CISO na Coreia d o Su l e c o - f u n do u u m a s t a r t u p dis r u p t iva da Bay
Area. Atuou como consulto r t éc n ic o em p a ra o s er ia do M r. R o b o t , onde
ajudou a criar hacks para o s h o w. Ta m b ém o rg a n iz a a m a io r c o n ferênci a
de hackers d o mund o: DEF CO N .

Criminologia
A criminologia é o conjunto de c o n h ec im en to s a res p eito do c r im e,
da criminalid ade e suas ca u s a s , da ví t im a , do c o n t ro le s o c ia l do ato
criminoso, bem como d a per s o n a lida de do c r im in o s o e da m a n eira de o
ressocializar.

14
 Uma cultura institucional fraca não faz com que o funcionário
entenda a cultura da empresa, e isso faz com que cada vez
mais ele se afaste do que realmente a empresa quer para seus
funcionários e ambiente de trabalho.

Ataques e crimes cibernéticos 40:35

Os crimes cibernéticos surgiram n a déc a da de 1 9 7 0 e c res c era m

exponencialmente conforme a in f o r m a t iz a ç ã o da s o c ieda de. Além disso,
outros fatores que colaboraram p a ra m u lt ip lic a ç ã o do s c r im es elet rô ni cos
foram:

• A circulação monetária em meio dig it a l;

• Os erros d e d esenvolvimento e c o n c ep ç ã o de p ro du to s e a p lic a ç õ es ;

• O uso de técnicas avançad as de en g en h a r ia s o c ia l;

• A monetização d a informação .

15
 AULA 2, PARTE 1
Pedro Henrique Meira de Araújo

Recapitulando 00:47

O professor faz um breve resum o do s t em a s a b o rda do s n a a u la a n t er ior e

relembra alguns conceitos apres en t a do s .

Técnicas de ataque 10:54

Existem diversas técnicas de at a q u es q u e vis a m diferen t es a lvo s c o mo:

1. Visam ataques a indivíduos, de f o r m a es p ec í f ic a o u em m a s s a ;

2. Meios tecnológicos para co m et im en to de o u t ro s c r im es ;

3. A governos;

4. Ao terrorismo.

Algumas d essas técnicas de at a q u e a o m u n do c o o r p o ra t ivo s ã o :

• Phishing: pescaria ou golpe d e p es c a r ia : u m do s m a io res veto res de

ataques e fraudes cibernética s . A ví t im a é a t ra í da o u en g a n a da p a ra que,
pensando se tratar de um con t eú do leg í t im o , c liq u e em u m lin k f a ls o.

• Email : um d os vetores mais c o n h ec ido s e p res en t es n a s f ra u des

empresariais. Esses ataques a in da o c o r rem em diver s o s m eio s c o mo
SMS, redes sociais, páginas da Web , a p lic a t ivo s m a lic io s o s , do c u m e ntos
digitais.

• Spear Phishing (pescaria com la n ç a ): o c r im in o s o t em o o b jet ivo de

atacar um funcionário especí f ic o , c o m a f in a lida de de a lc a n ç a r da dos
corporativos, instalar malwares .

• Malware: software malicioso. V is a m à s u b t ra ç ã o de in f o r m a ç õ es .

16
 Tem que se ter um cuidado com esses links, de olhar e verificar
se não é suspeito, e se for suspeito você evitar entrar.

Técnicas de malware 28:37

Existem duas principais técnic a s : Keylo g g er s ( g rava ç ã o de da do s dig i tados)

e Screenloggers (gravação d e in f o r m a ç õ es ).

São fontes de malware:

• Links e anexos de e-mails;

• Softwares piratas;

• Páginas da web comprometid a s ;

• Instalação de complementos;

• Acesso a uma página legítim a q u e t en h a s ido c o m p ro m et ida .

Ransomware 50:57

Ransomware pod e ser definid o c o m o s eq u es t ro do s da do s da s ví t im as.

Modalidad es d e Ransomware:

A máquina e os d ados do dispo s it ivo s ã o c r ip to g ra f a do s . Cr im in o s o pede um

resgate (geralmente a ser pag o p o r c r ip to m o eda s );

O criminoso envia os dados da ví t im a p a ra s er vido res rem o to s , p o dendo

ou não criptografar, exigindo o res g a t e p a ra n ã o revela r a s in f o r m a ç ões
sigilosas que a empresa possu a ;

Após a infecção, os criminosos c r ip to g ra f a m o s da do s c o m c h aves

criptográficas utilizando algor it m o s c o m p lexo s em s eg u ida , rea liz a o
apagamento seguro d os dados o r ig in a is , im p o s s ib ilit a n do o u dif ic u lt ando a
recuperação.

17
 AULA 2, PARTE 2
Pedro Henrique Meira de Araújo

O criminoso apaga o arquivo original e pede o resgate dos

arquivos que estão criptografados.

Ataques em comunicadores 03:03

instantâneos
A popularização de aplicativos de c o m u n ic a ç ã o in s t a n t â n ea n a s em p resas
possibilitou a implantação dess e t ip o de a t a q u e. Ao c o n s eg u ir en t ra r em
uma conta o criminoso pod e co n s eg u ir o a c es s o a in f o r m a ç õ es p r ivilegi adas
e até a valores financeiros da em p res a .

Algumas das técnicas utilizada s p elo s c r im in o s o s s ã o :

• Troca do SIMCard: transferênc ia de lin h a p a ra o SIM Ca rd do c r im in o so. O

usuário legítimo perd e o acess o a o Wh a t s a p p e a to do s o s s is t em a s de
identificação vinculad os ao s er viç o de SM S do s eu n ú m ero de t elef one;

• Obtenção do código de autent ic a ç ã o d o n ú me ro d o t ele f o n e: in s t a la ção do

aplicativo pelo criminoso, pedido do c ó dig o de a u t en t ic a ç ã o p o r t elefone;

• Ataques simples de imperson a t in g : c r im in o s o s e p a s s a p o r u m u s u ári o,

informan do à vítima que troco u de n ú m ero de t elef o n e;

18
 SIM CARD
O car tão SIM é responsável p ela c o m u n ic a ç ã o de dis p o s it ivo s u t il i zando
uma red e GSM, Global Syst em o f M o b ile Co m m u n ic a t io n s , o u Sis t ema
Global para Comunicações M óveis . É ele b a s ic a m en t e q u e p er m it e que
você se comunique na red e u t iliz a n do s eu dis p o s it ivo m o b ile.

Qualquer tipo de aplicativo que precise autenticar por SMS, a

pessoa perde o acesso.

Os aplicativos de comunicação instantânea devem ser incluídos

na parte de segurança da informação, porque são uma porta de
entrada.

Golpe do falso boleto 28:47

O golpe do falso boleto pode oc o r rer de do is m o do s :

• O criminoso pod e apenas env ia r u m b o leto q u e é a p a ren t em en t e leg íti mo,

de uma empresa que a vítima t en h a u m ví n c u lo e n ã o ven h a a s u s p ei tar.

• A máquina pode estar infecta da c o m u m m a lw a re q u e det ec t a b o letos

gerados em páginas d a web e em e- m a ils , q u e a lt era a lin h a dig it áve l e
o código de barras, assim a v í t im a rec eb e u m b o leto o r ig in a l q u e t em os
dados editados para que o favo rec ido s eja o c r im in o s o .

19
 Até o código de barras pode ser alterado, de modo que o cliente
pense que está pagando aquele boleto, que realmente saiu da
empresa, mas que foi alterado.

Furto por funcionários 39:51

O fur to por funcionários e terceir iz a do s de da do s q u e c o n t ém va lo r

econômico com o objetivo de rep a s s á - lo s p a ra c o n c o r ren t es . O s
responsáveis devem implemen t a r s is t em a s o u s er viç o s de Preven ç ã o de
Perda de Dad os com o objetivo de c o b r ir o va z a m en to e a c ó p ia de dados
para ambientes externos ao da em p res a e c o b r ir a c es s o in devido a o s dados.

Também ocorrem fur tos d e d ado s e ex to r s ã o n a vig ên c ia da LGPD, n e sse

caso a empresa d eve se preocu p a r c o m o va z a m en to da s in f o r m a ç õ es para
se precaver d o efeito punitivo da lei.

Botnets 46:24

São redes de computad ores que f o ra m p revia m en t e in va dido s e in fec tados

com malwares que permitem qu e es s es s eja m c o n t ro la do s rem o t a m ente.
Tem como finalidade a d issem in a ç ã o de m a lw a re, a m in era ç ã o de
criptomoedas e a realização de a t a q u es c o o rden a do s . O r is c o , a lém
vazamento d e d ados, é a possí vel res p o n s a b ilida de c ivil n o c a s o de a taques.

20
 DDoS 52:50

DDoS, que em por tuguês signif ic a a t a q u e dis t r ib u í do de g era ç ã o de s er vi ços,

tem o obje tivo d e gerar ind ispon ib ilida de de s er vido res g era n do m ilh ares
de acessos simultâneos a um s it e o u a q u a lq u er o u t ro s er viç o n a in t e rnet.
Uma medid a de mitigação é o b lo q u eio da s c o n exõ es n a b o rda ( p o n to
mais extre mo e próximo do ext er io r ), rea liz a do p o r u m s er viç o q u e f a ça a
intermediação entre a internet e a rede a lvo .

Empresas B2B e B2C

B2B é uma abreviação para b u s in es s - to - b u s in es s . O s ig n if ic a do dessa
expressão em inglês se refere a u m a in t era ç ã o c o m erc ia l en t re duas
empresas, que vão atuar co m o c lien t e e f o r n ec edo r. O o p o s to s er i a o
B2C (business-to-customer ), n o q u a l o c o n s u m ido r f in a l é u m a p essoa
física.

21
 AULA 2, PARTE 3
Pedro Henrique Meira de Araújo

Fraudes em forma de pagamento 01:13

Geralmente este tipo d e fraude é des c o b er t a a p en a s q u a n do o t it u la r recebe

a fatura ou um aviso d e compra em s eu c elu la r. É f a c ilit a do p o r f o r m ul ári os
web que, se d esenvolvido com f a lh a s , p er m it irã o m a n ip u la ç ã o do la do
do cliente, o invasor consegue ex p lo ra r a lg u m a f a lh a n o s s er vido res ou
ser viços instalados e instala o m a lw a re q u e va i c a p t u ra r da do s de c a r tões
de crédito d os clientes no momen to do c h ec ko u t .

Algumas med id as para evitar qu e es s e t ip o de f ra u de o c o r ra s ã o :

• Buscar empresas e recursos a n t if ra u de;

• Auditoria de segurança consta n t e n o s f o r m u lá r io s w eb ex is t en t e;

• Verificação d e notícias d e vu ln era b ilida de em s er viç o s exec u t a do s no

ser vidor.

JS Skimmer
Um skimmer J avaScript é um c ó dig o m a lic io s o in jet a do q u e s e in fi l tra no
POS (ponto de vend a) para s it es o n lin e e de c o m érc io elet rô n ic o .

A empresa precisa ter esse olhar para verificar se o servidor

continua bem, se tem alguma vulnerabilidade, porque caso
tenha ela precisa fazer essa troca.

22
 Acessos diretos e indevidos a base 13:34
de dados
Dados estão protegid os contra :

• Acessos indevidos;

• Consultas arbitrárias;

• Vazamentos d e d ados.

• Algumas medidas são tomad a s p a ra evit a r a c esso s in d evid o s:

• O log de acesso ao banco de da do s deve s er revis a do c o m f req u ên c ia e

qualquer acesso não justificável deve s er a p u ra do ;

• Colocar na aud itoria d e segura n ç a o s c r it ér io s de f o rç a de s en h a a p l i cávei s

às bases d e d ados;

• Restrição d a utilização d e aces s o direto s à s b a s es de da do s .

Existem essas regras para que a força da senha seja cada

vez maior, e assim fica mais difícil de ser descoberta e ter um
acesso indevido.

SQL Injection
É um tipo de ameaça d e se g u ra n ç a q u e s e a p roveit a de f a lh a s em
sistemas que interagem com b a s es de da do s a t ravés de c o m a n dos SQL,
em que o atacante consegu e in s er ir u m a in s t r u ç ã o SQ L p er s o n a lizada
e indevida dentro d e uma co n s u lt a ( SQ L q u er y) a t ravés da s en t ra d as de
dados de uma aplicação, c o m o f o r m u lá r io s o u UR L de u m a a p lic a ção.

Espionagem industrial e comercial

Ocorre muitas vezes devido a o s u b o r n o de f u n c io n á r io s , c o m o o bjeti vo
de obter informações class if ic a da s e q u e s o m en t e a s p es s o a s q ue
tenham legítimo interesse t en h a m a c es s o .

23
 Simulação empresarial 36:33

Ou técnica d e ataque é a simula ç ã o em p res a r ia l e a p roveit a m en to

parasitário, que se divid e em 3 m o da lida des :

1. Modalidad e: a fraude acont ec e n o m u n do rea l, m a s t em c o n s eq u ênci a no

mundo fí sico. Mudança, inclus ã o o u a c rés c im o de u m a let ra o u s ig la de um
domínio da empresa;

• Contato com a outra empresa ;

• Dados e documentos da emp res a q u e rea lm en t e ex is t em s ã o en via dos.

2. Modalidad e: um site fraudu len to é c o n s t r u í do e a em p res a ven de no si te

usando nome de outra empres a .

• Site fraudulento é construíd o ;

• Empresa vende no site usando n o m e de o u t ra em p res a ;

• O site fraudulento fica no ar a p en a s a lg u n s dia s .

3. Modalidad e: aproveitamento p a ra s it á r io de m a rc a ren o m a da .

• Produtos de marcas consagra da s ;

• Envio de produtos falsificad o s ;

• Não existe mais prod uto em es to q u e e o ferec e des c o n to em p ro du to de

marca distinta.

Geralmente são usad os links p a t ro c in a do s em b u s c a do res o u a n ú n c ios de

sites de grand e audiência.

Algumas med id as protetivas pa ra evit a r es s e t ip o de f ra u de s ã o a em presa

monitorar seus nomes comercia is e m a rc a s n a in t er n et e p rez a r p ela
proteção da imagem corporati va e n o m e c o m erc ia l.

24
Link patrocinado
Também conhecido como p ay- p er - c lic k, é u m f o r m a to de a n ú n c io
publicitário veiculad o na in t er n et , s en do u m a p u b lic ida de p a g a s ob a
forma d e uma hiperligação q u e é ex ib ida n o s res u lt a do s de p es q ui sa em
páginas. O termo é origina do da des ig n a ç ã o em in g lês Sp o n s o red Li nk.

É algo que a gente deve tomar cuidado porque tudo isso pode
trazer um grande prejuízo a essa empresa, pode trazer prejuízo
para a segurança da informação da empresa e também para a
sua imagem.

25
 AULA 3, PARTE 1
Pedro Henrique Meira de Araújo

Recapitulando 00:05

O professor faz um breve resu m o do s a s s u n to s a b o rda do s n a a u la a n teri or.

Vulnerabilidades em sistemas 09:02

O professor cita algumas med ida s de s eg u ra n ç a a s erem a do t a da s p ara

minimizar a vulnerabilid ade d o s s is t em a s de em p res a s

• Teste de segurança d as aplic a ç õ es ex p o s t a s n a in t er n et ;

• Manutenção de um inventário de s o f t w a res e h a rdw a res in s t a la do s da

empresa ou par ticulares;

• Boletins de segurança dos fab r ic a n t es e a p lic a do s o s p a t c h es ;

• Teste e aud itorias d e seguranç a .

Por isso que a manutenção é sempre bem-vinda e precisa

ser realizada, pois pode ser que com o tempo aquelas
configurações se tornem obsoletas para determinados tipos de
invasões.

26
 Hardware
Correspond e aos compone n t es f í s ic o s do c o m p u t a do r, o u s eja , s ão
as peças e aparatos eletrô n ic o s q u e, a o s e c o n ec t a rem , f a zem o
equipamento funcionar.

Software
É a par te referente aos sist em a s q u e exec u t a m a s a t ivida des , o u seja,
são os programas e aplica t ivo s q u e f a zem c o m a m á q u in a f u n c io ne.

Ataques ao DNS 20:59

DNS é um sistema que permite res o lu ç ã o de n o m es de do m í n io s p a ra

endereços IP, quando cer to d om í n io é exec u t a do in dic a m p a ra q u a l IP a
conexão deve seguir.

Alguns tipos d e ataques ao DN S s ã o :

• Direcionar usuários para site s f a ls o s ;

• Infecções;

• Capturar senhas e logins.

Poderá direcionar o usuário para a lg u m s it e ileg í t im o , m es m o q u e t enha

digitado o end ereço correto, por exem p lo : Us o de u m dis p o s it ivo USB
comprome tido; Instalação d e d is p o s it ivo s de c a p t u ra de t rá feg o de re de.

27
 Ataques por vetores físicos 30:08

O Shadow IT acontece quand o u m a p es s o a dec ide u s a r u m s er viç o b aseado

em Nuvem sem o conhecimento da em p res a . Po r exem p lo , c o m a p lic ati vos
de gerenciamento de tarefas, ag en da , p ro jeto s , en t re o u t ro s , q u e a ju d am
o profissional no d ia a d ia d o t ra b a lh o , m a s q u e n ã o f o ra m p revia m ente
ou formalmente aprovad os. E i s s o p o de g era r p ro b lem a s , p o is a b re a
companhia para riscos ind eseja do s o u n ã o p la n eja do s .

Outros tipos de ataques são int er r u p ç õ es do f u n c io n a m en to de c er to s

dispositivos, exploração d e vu ln era b ilida des p res en t es n o dis p o s it ivo não
autorizado, vazamento de d ado s .

Algumas med id as lógicas que p o dem s er to m a da s p a ra im p edir es s es

tipos de ataque são proibição da c o n ex ã o de dis p o s it ivo s n ã o a u to r iz ados
à rede da empresa (bloqueio de p o r t a s USB), u t iliz a r s o m en t e p ro du tos e
tecnologias que sejam amplam en t e t es t a do s , im p lem en t a r u m a c u lt u ra de
segurança nas empresas e ter f u n c io n á r io s de T I en vo lvido s em q u es tões de
segurança da informação.

Você não vai ter noção de que aquele ali é um endereço errado,
porque você colocou o endereço correto.

USB
É um pad rão d e ind ústria q u e es t a b elec e es p ec if ic a ç õ es p a ra c a b os,
conectores, e protocolos de c o m u n ic a ç ã o p a ra c o n ex ã o , c o m u n ic ação e
provimento d e energia entre c o m p u t a do res p es s o a is e s eu s dis p o si ti vos
periféricos. Lançad o em 19 9 6 , o p a drã o USB é a t u a lm en t e m a n t ido pel o
USB Implementers Forum.

28
 AULA 3, PARTE 2
Pedro Henrique Meira de Araújo

Proteção de dados no ciberespaço 00:28

O espaço d igital tem uma rápida c a p a c ida de de dis s em in a ç ã o . Um

vazamento d e d ados pode tom a r u m a g ra n de p ro p o rã o . Po r is to , ex is tem
algumas legislações específica s p a ra a p ro t eç ã o do s da do s p es s o a is:

Assegurar d ireitos d os titulares de da do s p es s o a is ;

• Apontar boas práticas e regra s c la ra s p a ra a s o rg a n iz a ç õ es .

• Cultura aplicada;

• Titulares de d ados;

• Organizações.

A implementação de boas prát ic a s n a u t iliz a ç ã o de da do s é u m p ro c e sso

gradual que d emand a tempo e in ves t im en to s , ex is t em m u it a s dif ic u ld ades
para ficar em conformid ade com reg ra s de p ro t eç ã o de da do s do s s eus
países pois muitas vezes uma o rg a n iz a ç ã o p o de a t u a r em diver s o s p aíses,
onde cada um tem sua própria leg is la ç ã o .

Tem-se como objetivo essa questão de assegurar todos os

direitos do titular dos dados e também apontar boas práticas
para as organizações.

O próprio tempo acaba sendo um investimento.

29
 Vazamento de informações 20:34

Como visto d esd e o início desta dis c ip lin a , s eg redo s de n eg ó c io s s ã o objeto

de ataque d esd e que o mund o é m u n do . Co m o s eu s u rg im en to , o vetor
tecnológico d e transformação ro m p eu o a s p ec to g eo g rá f ic o e a lt ero u a
sua relevância. A digitalização da s in f o r m a ç õ es e do s p ro c es s o s es t á em
crescimento exponencial.

Com a digitalização d e um amb ien t e t em o s a u x í lio n a to m a da de dec i sões,

porém com vetores d igitais em u m ec o s s is t em a de em p res a s e p es s oas com
alto grau de conectividade as ch a n c es de u m va z a m en to de da do s e fal has
de segurança aumentam expon en c ia lm en t e.

Interoperabilidade
É a capacid ade d e um sistem a de s e c o m u n ic a r de f o r m a t ra n s p a rente
com outro sistema. Para um s is t em a s er c o n s idera do in t ero p eráve l , é
muito impor tante que ele t ra b a lh e c o m p a drõ es a b er to s o u o n to lo gi as.

Gestão de riscos 37:21

Para uma gestão d e riscos eficien t e é es s en c ia l eq u ilib ra r a rela ç ã o e ntre

velocidade e risco, assegurar a s eg u ra n ç a do s s eg redo s de n eg ó c io ,
a confidencialid ade, integrid ade e dis p o n ib ilida de da s in f o r m a ç õ es .
Essas caraterísticas devem ser vo lt a da s a o s a t ivo s de in f o r m a ç ã o ,
ativos corporativos, físicos, tec n o ló g ic o s e h u m a n o s q u e c u s to dia m as
informações da empresa.

Segundo o 2020 Data Breach In ves t ig a t io n s R ep o r t by Ver izo n o s p r in ci pai s

fatores de ameaças são externo s , a c o m p a n h a do s p elo s in t er n o s e o s
parceiros d o negócio, seguindo a o rdem de rep res en t a t ivida de. O u t ra s
ameaças que devem ser levada s em c o n s idera ç ã o s ã o : h a c ker s , f o rç a bruta,
uso de credenciais roubad as o u p erdida s , en g en h a r ia s o c ia l e p rá t ic a do
phishing.

30
Dashboard
No contexto de TI, é um pa in el vis u a l q u e a p res en t a , de m a n eira
centralizada, um conjunto in f o r m a ç õ es : in dic a do res e s u a s m ét r icas.
Essas informações pod em s er t a n to in dic a do res da á rea de T I c o mo de
gestão empresarial. Em amb o s o s c a s o s , es s e rec u r s o a u x ilia n a tomada
de decisões. Dashboard s p o dem a p res en t a r a s a ú de da em p res a em uma
única tela para o gestor ou c o m p a r t ilh a do s c o m to da a s u a eq u ip e.

31
 AULA 3, PARTE 3
Pedro Henrique Meira de Araújo

Gestão de riscos (continuação) 00:05

Segredos e informações d e neg ó c io t êm a lto va lo r e s erã o a lvo s de a taques

cada vez mais inteligentes, cu s to m iz a do s e vo lu m o s o s .

Para uma estratégia d e gestão de r is c o s de s eg u ra n ç a da in f o r m a ç ã o

é necessário um sistema de pro t eç ã o do s n eg ó c io s q u e s eja c o n t í n u o,
dinâmico e ágil. Para que ocorra es t a p ro t eç ã o , ex is t e u m ó rg ã o c h a mado
NIST (National Institute of Sta n da rds a n d Tec h n o lo g y) q u e in dic a o s
seguintes passos na estratégia de g es t ã o de r is c o s :

• Identificar: Orientar a empres a n o en t en dim en to do s eu p ró p r io a m bi ente

de negócios e os riscos asso c ia do s de s eg u ra n ç a c ib er n ét ic a ;

• Proteger: Orientar a empresa n a s eleç ã o de a ç õ es m it ig a tó r ia s de r iscos

com o propósito de proteger a c o n f iden c ia lida de, a in t eg r ida de e a
disponibilidade d os ativos d e t ec n o lo g ia ;

• Detectar: Orientar a empresa n a det ec ç ã o da o c o r rên c ia de even to s em que

haja quebra de segurança da in f o r m a ç ã o n o m en o r t em p o p o s s í vel;

• Responder: Orientar a empres a n a rea ç ã o ef ic ien t e dia n t e da o c o r rênci a de

eventos nos quais haja quebra de s eg u ra n ç a da in f o r m a ç ã o ;

• Recuperar: Orientar a empresa n a s eleç ã o de a t ivida des q u e p ro m ovam

a resiliência operacional e a res t a u ra ç ã o de a t ivo s de t ec n o lo g ia , a t ivos
humanos e ativos de informaç ã o .

32
 O NIST diz que um dos pontos para fazer a sua estratégia de
risco e na gestão da segurança da informação é a própria
empresa saber onde está.

Danos 38:12

Danos de primeiro nível são pro du z ido s p ela a ç ã o b em - s u c edida de u ma

ameaça que compromete d ireta m en t e a c o n f iden c ia lida de, e q u e p o de
estender-se para o compromet im en to da in t eg r ida de e da dis p o n ib ilidade.
Pode ter origem na ativid ade ha c ker p ela a ç ã o da ex p lo ra ç ã o de
vulnerabilidades físicas, tecno ló g ic a s o u h u m a n a s .

A LGPD pode produzir efeito da n o s o q u a n do c a ra c t er iz a ç ã o de: im p r udênci a,

imperícia ou negligência, ad ver t ên c ia s , s u s p en s õ es , m u lt a s e ex p o s ição
pública.

Respostas a incidentes:

• Estabelecer um métod o que po s s a s er c o n s is t en t em en t e rep et ido , c apaz

de conter os d anos produzid o s p elo even to q u e o r ig in o u a q u eb ra de
segurança da informação;

• Minimizar a extensão d e seu da n o ;

• Aprimoramento para o sistema de g es t ã o c o r p o ra t iva de r is c o s da

informação.

Segundo o NIST:

1. Preparação;

2. Detecção e análise;

3. Contenção, errad icação e re c u p era ç ã o ;

4. Pós – incidente.

33
 Eu preciso estar sempre na dinamicidade do sistema de riscos
da informação, ou seja, eu preciso sempre estar aprimorando o
sistema de riscos.

Análise de vulnerabilidades 50:12

Vulnerabilidade é qualquer fraq u ez a em s is t em a s de in f o r m a ç ã o ,

procedimentos d e segurança e m s is t em a s , c o n t ro les in t er n o s o u
implementação que possa ser ex p lo ra da o u in ic ia da f o n t e de a m ea ç a . U ma
ameaça é qualquer evento ou c o n diç ã o q u e t en h a o p o t en c ia l de c a u sar
perda de ativos e consequência s in des eja da s o u im p a c to s devido a t ai s
perdas.

Considerações para contratação de t es t es de vu ln era b ilida des :

• Autorização;

• Escopo e dever d e aviso;

• Acesso a conteúdo;

• Danos, controle d e d anos e inden iz a ç ã o ;

• Equipe técnica;

• Território d os testes;

• Regulação Setorial;

• Produtos finais e cronograma do p ro jeto .

34