Ataques e Proteções Relativos A Sistemas de Informação e Comunicação

Conceitos essenciais de segurança da informação
O objetivo deste tópico é apresentar ao aluno a evolução tecnológica das corporações, bem como os principais
conceitos que permeiam o assunto Segurança da Informação.
NESTE TÓPICO
Introdução a segurança da informação
Informações corporativas e a segurança da informação
As corporações
Reações pessoais aos procedimentos de segurança
Referências
NESTE TÓPICO

As corporações
Referências
Marcar
tópico

O início da comunicação de dados é marcado pela conectividade. A Internet como a conhecemos não foi
projetada inicialmente para ter segurança e sim apenas manter as ligações e conexões necessárias. Com isso, a
conectividade era o aspecto principal e a segurança um aspecto inexistente. Além disso, as organizações
estavam limitadas apenas a sua posição geográfica o que facilitava o aspecto segurança. Hoje as empresas
podem ser acessadas e visualizadas por tudo mundo. A possibilidade de as empresas manipularem suas
informações de forma cada vez mais rápida e organizada fez com que nesses últimos anos houvesse um aumento
significativo na eficiência em seus processos. Com isso, aumentou-se o poder da tomada de decisão.
Quando a informação ainda não estava no meio digital, os mecanismos utilizados para protegê-la eram muitos
mais simples, pois bastava um armário com chaves e uma porta, e tudo já estava resolvido. Dessa forma, só teria
acesso à informação as pessoas que possuíssem a chave da porta e acesso físico ao armário. Atualmente, como a
maior parte das informações estão em meio digital, fica difícil aplicar todos os controles necessários para
protegê-la. A portabilidade que a informação conseguiu com o advento dos equipamentos móveis fez com que
as fronteiras das organizações ficassem muito além do limite físico.
Acesso sem fronteiras
Dentro de uma empresa existem milhares de informações. Estas são manipuladas diariamente pelos profissionais
para realizarem suas atividades fins. Torna-se uma tarefa árdua a de implementar controles que possam permitir
que as pessoas trabalhem com as informações necessárias de forma segura e ao mesmo tempo não causem
impactos nos objetivos corporativos. Neste intuito a segurança da informação foi criada para possibilitar a
continuidade do negócio mesmo com a ocorrência de algum incidente.
Quando um caminhoneiro sai para fazer uma viagem distante da sua base padrão, ele sempre observa alguns
itens prioritários para que sua viagem possa ser realizada de forma segura e tranquila. Em grandes organizações,
existem pessoas responsáveis por tomar conta da frota e deixar os equipamentos que serão utilizados pelos
motoristas em perfeitas condições. Para isso, fazem manutenções preventivas baseadas na execução
de checklists, verificando se os principais componentes estão em bom funcionamento. Cada caminhão passa por
uma série de verificações, como por exemplo: nível do combustível, pressão dos pneus, equipamentos de
emergência, nível do óleo, condição dos motores, acionamentos elétricos e mecânicos. Quando o motorista
recebe seu equipamento para realizar o transporte, mesmo sabendo que já foi feita previamente uma vistoria por
parte da equipe de apoio, ele verifica o seu freio, nível de gasolina, espelhos, cintos e outros itens que serão
utilizados por ele. Essas ações são chamadas de providência da segurança, onde são checados os principais itens
para que o utilizador do equipamento se sinta segura e consiga realizar sua atividade tranquilamente.
Com base nesse cenário, podemos verificar que a segurança muitas vezes é vista como um sentimento (isso
mesmo), as pessoas precisam se sentir seguras para que possam realizar suas atividades.
Da mesma forma como no exemplo anterior, a segurança da informação objetiva passar o sentimento de que
todas as informações necessárias para a realização das atividades dos diversos canais corporativos estão seguras
e que seus colaboradores possam fazer o bom uso das mesmas.
As corporações
Os procedimentos de segurança da informação se aplicam a qualquer tipo de organização que utilize meios
tecnológicos para gerenciar parcial ou totalmente suas atividades, podendo ser:
 Uma empresa simples com um ou alguns microcomputadores sem estarem conectados entre
si.
 Uma empresa de qualquer porte, com computadores interligados em rede e às vezes com
acesso à internet ou parceiros de negócios.
 Um ambiente corporativo em que vários departamentos se interligam entre si e com o mundo,

por meio de tecnologias e infraestrutura de redes.
 Um ambiente cooperativo onde a empresa interliga seus departamentos com seus parceiros
(fornecedores, clientes, logística, revendas etc.).
Com o passar dos anos, ocorreu uma profunda transformação na realidade da utilização dos computadores
dentro das organizações. No princípio, os computadores eram isolados e manipulavam os dados de forma
individual. Naquela época eram conhecidos como computadores de grande porte. O acesso a esses computadores
era segregado e somente a equipe técnica qualificada conseguia acessar aquelas gigantescas máquinas. Durante
esse período a necessidade de segurança era apenas manter os curiosos longe desses ambientes, de forma a não
causar nenhum problema físico ou manipulação indevida. Dessa forma, a necessidade de segurança resumia-se
apenas a colocar uma porta com chave e todo o problema estaria resolvido.
Com o desenvolvimento tecnológico, os computadores foram diminuindo de tamanho e a sua utilização passou a
ser feita por todas as pessoas. As empresas começaram a utilizá-lo em larga escala e em conjunto com os
computadores de grande porte (mainframes). Nesse cenário as necessidades de segurança aumentaram, pois,
além de proteger os dados que anteriormente estavam centralizados nos computadores de grande porte,
necessitavam agora proteger os dados e as informações que se encontravam dentro dos equipamentos dos
usuários. Essa proteção era voltada a evitar o uso indevido ou até mesmo a destruição.
Como em um passe de mágica, os computadores começaram a se conectar entre si, possibilitando que as
organizações pudessem compartilhar informações em tempo real e aumentando a capacidade produtiva e de
geração de negócios. Com toda essa evolução ocorreu a necessidade de segurança, não só dos equipamentos
envolvidos, mas do “negócio principal” da organização.
Neste cenário a informação precisaria estar disponível o tempo todo para todas as pessoas que tivessem tal
necessidade. Esta necessidade forma um dos pilares da segurança da informação, conhecido como
DISPONIBILIDADE.
O acesso a esses dados e informações deveria ser permitido apenas as pessoas autorizadas a este fim, e isto
possibilitou a criação de mais um pilar da segurança da informação, conhecido como CONFIDENCIALIDADE.
A autenticidade, conclamada por muitos como pilar de segurança, passa a ser observada como um item a ser
alcançado dentro do pilar da confidencialidade, pois sem saber que uma entidade é autêntica, não se pode
conceder acesso a esta.
As pessoas que dependem das informações também deveriam confiar que estas não sofreram nenhum tipo de
alteração não controlada. Com isso mais um pilar de segurança da informação foi formado: INTEGRIDADE.
Como a tecnologia evoluí a passos largos, novas ferramentas de comunicação, utilizando como meio de
comunicação a Internet, foram criadas. As empresas começaram então a mudar a forma de relacionamento com
seus clientes, fornecedores e colaboradores. Hoje os clientes, fornecedores e colaboradores realizam suas
atividades diárias remotamente, sem a necessidade de acesso físico às organizações. As redes sociais invadiram
as organizações trazendo com elas grandes preocupações para os profissionais de segurança, quanto a
confidencialidade das informações. Aliado ao desenvolvimento tecnológico ocorreu o barateamento dos
equipamentos, permitindo que as pessoas tivessem acesso a tecnologias antes inacessíveis a maioria delas. As
informações que antes estavam armazenadas em papéis e guardadas em armários de forma segura, agora estão
armazenadas em meios eletrônicos e distribuídas em várias partes da organização. As empresas estão cada vez
mais conectadas e o número de empresas não estão é cada vez menor.
Com a necessidade de acuracidade das informações, as organizações em conjunto com profissionais de
segurança da informação, começaram a mapear seus processos e a criarem procedimentos formais e seguros
para as operações relacionadas ao negócio. Estes procedimentos são vistos pela maioria dos colaboradores como
mecanismos que “engessam” as operações. O que antes ocorria de acordo com a demanda dos colaboradores,
agora precisaria passar por um rito formal.
Os controles por vezes, geram overhead de esforço em atividades antes vistas como rotineiras. Vejamos o
exemplo de uma pessoa que não necessitava de um portão elétrico na sua residência. Em razão de assaltos, foi
obrigada a utilizar tal mecanismo. Logo em seguida, colocou alarme residencial para permitir o acesso ao
segundo nível da sua residência somente após a sua desativação. E depois câmeras, sensores de presença e
outros mecanismos seguros. O morador perde determinado tempo para passar por todos esses controles até
chegar à sala da sua residência. Este é o impacto causado pela adoção de mecanismos de segurança. Mas o que é
mais inconveniente: chegar a sua casa e demorar alguns segundos a mais para adentrar à sala, ou encontrar com
um ladrão fazendo a festa nela?
A maioria das pessoas ficam impacientes ao esperar por aprovação para entrar ou fazer algo em um determinado
ambiente. Imagine isso quando uma pessoa tem que esperar para validar uma transação eletrônica. Talvez seja
por isso que a maioria das pessoas não gostam dos controles, fato que justifica a dificuldade que os profissionais
de segurança enfrentam para implantar (com sucesso), técnicas e procedimentos que protejam as informações
corporativas.
Conceitos essenciais de segurança da informação

O objetivo deste tópico é apresentar ao aluno a evolução tecnológica das corporações, bem como os principais
conceitos que permeiam o assunto Segurança da Informação.
NESTE TÓPICO
As corporações
Referências
NESTE TÓPICO

As corporações
Referências
Marcar
tópico

O início da comunicação de dados é marcado pela conectividade. A Internet como a conhecemos não foi
projetada inicialmente para ter segurança e sim apenas manter as ligações e conexões necessárias. Com isso, a
conectividade era o aspecto principal e a segurança um aspecto inexistente. Além disso, as organizações
estavam limitadas apenas a sua posição geográfica o que facilitava o aspecto segurança. Hoje as empresas
podem ser acessadas e visualizadas por tudo mundo. A possibilidade de as empresas manipularem suas
informações de forma cada vez mais rápida e organizada fez com que nesses últimos anos houvesse um aumento
significativo na eficiência em seus processos. Com isso, aumentou-se o poder da tomada de decisão.
Quando a informação ainda não estava no meio digital, os mecanismos utilizados para protegê-la eram muitos
mais simples, pois bastava um armário com chaves e uma porta, e tudo já estava resolvido. Dessa forma, só teria
acesso à informação as pessoas que possuíssem a chave da porta e acesso físico ao armário. Atualmente, como a
maior parte das informações estão em meio digital, fica difícil aplicar todos os controles necessários para
protegê-la. A portabilidade que a informação conseguiu com o advento dos equipamentos móveis fez com que
as fronteiras das organizações ficassem muito além do limite físico.
Acesso sem fronteiras
Dentro de uma empresa existem milhares de informações. Estas são manipuladas diariamente pelos profissionais
para realizarem suas atividades fins. Torna-se uma tarefa árdua a de implementar controles que possam permitir
que as pessoas trabalhem com as informações necessárias de forma segura e ao mesmo tempo não causem
impactos nos objetivos corporativos. Neste intuito a segurança da informação foi criada para possibilitar a
continuidade do negócio mesmo com a ocorrência de algum incidente.
Quando um caminhoneiro sai para fazer uma viagem distante da sua base padrão, ele sempre observa alguns
itens prioritários para que sua viagem possa ser realizada de forma segura e tranquila. Em grandes organizações,
existem pessoas responsáveis por tomar conta da frota e deixar os equipamentos que serão utilizados pelos
motoristas em perfeitas condições. Para isso, fazem manutenções preventivas baseadas na execução
de checklists, verificando se os principais componentes estão em bom funcionamento. Cada caminhão passa por
uma série de verificações, como por exemplo: nível do combustível, pressão dos pneus, equipamentos de
emergência, nível do óleo, condição dos motores, acionamentos elétricos e mecânicos. Quando o motorista
recebe seu equipamento para realizar o transporte, mesmo sabendo que já foi feita previamente uma vistoria por
parte da equipe de apoio, ele verifica o seu freio, nível de gasolina, espelhos, cintos e outros itens que serão
utilizados por ele. Essas ações são chamadas de providência da segurança, onde são checados os principais itens
para que o utilizador do equipamento se sinta segura e consiga realizar sua atividade tranquilamente.
Com base nesse cenário, podemos verificar que a segurança muitas vezes é vista como um sentimento (isso
mesmo), as pessoas precisam se sentir seguras para que possam realizar suas atividades.
Da mesma forma como no exemplo anterior, a segurança da informação objetiva passar o sentimento de que
todas as informações necessárias para a realização das atividades dos diversos canais corporativos estão seguras
e que seus colaboradores possam fazer o bom uso das mesmas.
As corporações
Os procedimentos de segurança da informação se aplicam a qualquer tipo de organização que utilize meios
tecnológicos para gerenciar parcial ou totalmente suas atividades, podendo ser:
 Uma empresa simples com um ou alguns microcomputadores sem estarem conectados entre
si.
 Uma empresa de qualquer porte, com computadores interligados em rede e às vezes com
acesso à internet ou parceiros de negócios.
 Um ambiente corporativo em que vários departamentos se interligam entre si e com o mundo,

por meio de tecnologias e infraestrutura de redes.
 Um ambiente cooperativo onde a empresa interliga seus departamentos com seus parceiros
(fornecedores, clientes, logística, revendas etc.).
Com o passar dos anos, ocorreu uma profunda transformação na realidade da utilização dos computadores
dentro das organizações. No princípio, os computadores eram isolados e manipulavam os dados de forma
individual. Naquela época eram conhecidos como computadores de grande porte. O acesso a esses computadores
era segregado e somente a equipe técnica qualificada conseguia acessar aquelas gigantescas máquinas. Durante
esse período a necessidade de segurança era apenas manter os curiosos longe desses ambientes, de forma a não
causar nenhum problema físico ou manipulação indevida. Dessa forma, a necessidade de segurança resumia-se
apenas a colocar uma porta com chave e todo o problema estaria resolvido.
Com o desenvolvimento tecnológico, os computadores foram diminuindo de tamanho e a sua utilização passou a
ser feita por todas as pessoas. As empresas começaram a utilizá-lo em larga escala e em conjunto com os
computadores de grande porte (mainframes). Nesse cenário as necessidades de segurança aumentaram, pois,
além de proteger os dados que anteriormente estavam centralizados nos computadores de grande porte,
necessitavam agora proteger os dados e as informações que se encontravam dentro dos equipamentos dos
usuários. Essa proteção era voltada a evitar o uso indevido ou até mesmo a destruição.
Como em um passe de mágica, os computadores começaram a se conectar entre si, possibilitando que as
organizações pudessem compartilhar informações em tempo real e aumentando a capacidade produtiva e de
geração de negócios. Com toda essa evolução ocorreu a necessidade de segurança, não só dos equipamentos
envolvidos, mas do “negócio principal” da organização.
Neste cenário a informação precisaria estar disponível o tempo todo para todas as pessoas que tivessem tal
necessidade. Esta necessidade forma um dos pilares da segurança da informação, conhecido como
DISPONIBILIDADE.
O acesso a esses dados e informações deveria ser permitido apenas as pessoas autorizadas a este fim, e isto
possibilitou a criação de mais um pilar da segurança da informação, conhecido como CONFIDENCIALIDADE.
A autenticidade, conclamada por muitos como pilar de segurança, passa a ser observada como um item a ser
alcançado dentro do pilar da confidencialidade, pois sem saber que uma entidade é autêntica, não se pode
conceder acesso a esta.
As pessoas que dependem das informações também deveriam confiar que estas não sofreram nenhum tipo de
alteração não controlada. Com isso mais um pilar de segurança da informação foi formado: INTEGRIDADE.
Como a tecnologia evoluí a passos largos, novas ferramentas de comunicação, utilizando como meio de
comunicação a Internet, foram criadas. As empresas começaram então a mudar a forma de relacionamento com
seus clientes, fornecedores e colaboradores. Hoje os clientes, fornecedores e colaboradores realizam suas
atividades diárias remotamente, sem a necessidade de acesso físico às organizações. As redes sociais invadiram
as organizações trazendo com elas grandes preocupações para os profissionais de segurança, quanto a
confidencialidade das informações. Aliado ao desenvolvimento tecnológico ocorreu o barateamento dos
equipamentos, permitindo que as pessoas tivessem acesso a tecnologias antes inacessíveis a maioria delas. As
informações que antes estavam armazenadas em papéis e guardadas em armários de forma segura, agora estão
armazenadas em meios eletrônicos e distribuídas em várias partes da organização. As empresas estão cada vez
mais conectadas e o número de empresas não estão é cada vez menor.
Com a necessidade de acuracidade das informações, as organizações em conjunto com profissionais de
segurança da informação, começaram a mapear seus processos e a criarem procedimentos formais e seguros
para as operações relacionadas ao negócio. Estes procedimentos são vistos pela maioria dos colaboradores como
mecanismos que “engessam” as operações. O que antes ocorria de acordo com a demanda dos colaboradores,
agora precisaria passar por um rito formal.
Os controles por vezes, geram overhead de esforço em atividades antes vistas como rotineiras. Vejamos o
exemplo de uma pessoa que não necessitava de um portão elétrico na sua residência. Em razão de assaltos, foi
obrigada a utilizar tal mecanismo. Logo em seguida, colocou alarme residencial para permitir o acesso ao
segundo nível da sua residência somente após a sua desativação. E depois câmeras, sensores de presença e
outros mecanismos seguros. O morador perde determinado tempo para passar por todos esses controles até
chegar à sala da sua residência. Este é o impacto causado pela adoção de mecanismos de segurança. Mas o que é
mais inconveniente: chegar a sua casa e demorar alguns segundos a mais para adentrar à sala, ou encontrar com
um ladrão fazendo a festa nela?
A maioria das pessoas ficam impacientes ao esperar por aprovação para entrar ou fazer algo em um determinado
ambiente. Imagine isso quando uma pessoa tem que esperar para validar uma transação eletrônica. Talvez seja
por isso que a maioria das pessoas não gostam dos controles, fato que justifica a dificuldade que os profissionais
de segurança enfrentam para implantar (com sucesso), técnicas e procedimentos que protejam as informações
corporativas.
Golpes na internet
O objetivo deste tópico é apresentar ao aluno os principais golpes praticados na Internet e auxilia-lo na
identificação dos mesmos.
NESTE TÓPICO
Introdução a golpes na Internet
Principais golpes praticados na Internet
Furto de identidade
Forma de ataque
Prevenção
Fraude de antecipação de recursos (Advance fee fraud)
Forma de ataque
Prevenção
Phishing
Forma de ataque
Prevenção
Pharming
Forma de ataque
Prevenção
Golpes de comércio eletrônico
Forma de ataque
Prevenção
Boato
Forma de ataque
Prevenção
Referências
NESTE TÓPICO

Furto de identidade
Forma de ataque
Prevenção
Forma de ataque
Prevenção
Phishing
Forma de ataque
Prevenção
Pharming
Forma de ataque
Prevenção
Forma de ataque
Prevenção
Boato
Forma de ataque
Prevenção
Referências
Marcar
tópico
Ao passo que a dificuldade em atacar empresas e corporações aumenta, os atacantes se voltam aos usuários
domésticos. Os golpistas (basicamente) agem da seguinte maneira:
 Obtenção da confiança da vítima.
 Convencimento de que a vítima precisa executar algo em seu computador.
 Golpe propriamente dito.
Uma vez que alcançam os dados das vítimas, os golpistas podem: efetuar transações financeiras, acessar sites,
enviar SPAM, abrir empresas fantasmas e criar contas bancárias ilegítimas. Muitos dos golpes aplicados na
Internet podem ser considerados crimes contra o patrimônio, tipificados como estelionato. Dessa forma, o
golpista pode ser considerado um estelionatário.
Furto de identidade
Forma de ataque
O furto de identidade, ou identity theft, é o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma
falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser
considerados como crime contra a fé pública, tipificados como falsa identidade. Geralmente o atacante usa os
dados roubados para abrir empresas fantasmas no nome do alvo. Há também a utilização de tais dados para a
abertura de contas bancárias. Como as informações são verdadeiras, fica muito difícil para as empresas
discernirem se os dados são legítimos ou não.
Nesse rompante, quanto mais informações você publica na Internet, mais informações você está compartilhando
com os golpistas. Isto ocorre, por que quanto mais informações o golpista tem, mais convincente sobre quem ele
diz ser ele se torna. Caso a sua identidade seja furtada, você poderá arcar com consequências como perdas
financeiras, perda de reputação e falta de crédito. O principal problema é que percebemos este ataque tarde
demais, quando alguém nos aciona por algum ato que não cometemos, podendo ser já irremediável.
Prevenção
A melhor forma de impedir que sua identidade seja furtada é evitar que o impostor tenha acesso aos seus dados
e às suas contas de usuário. Além disto, para evitar que suas senhas sejam obtidas e indevidamente usadas, é
muito importante que você seja cuidadoso, tanto ao usá-las quanto ao elaborá-las. É necessário também que
você fique atento a alguns indícios que podem demonstrar que sua identidade está sendo indevidamente usada
por golpistas, tais como:
 Problemas com órgãos de proteção ao crédito.
 Retorno de e-mails que não foram enviados por você.
 Notificações de acesso que a sua conta de e-mail.
 Transações que não foram realizadas por você no seu extrato.
 Recebimento de comunicações (e-mails, telefonemas) sobre assuntos que você nem ideia.
Hacker na Internet

Forma de ataque
A fraude de antecipação de recursos, ou advance fee fraud, é aquela na qual um golpista procura induzir uma
pessoa a fornecer informações confidenciais ou a realizar um pagamento adiantado, com a promessa de
futuramente receber algum tipo de benefício. Sabe aquele e-mail que você recebeu dizendo que o celular da
moda em lançamento pode ser comprado pela metade do preço, mediante a pagamento por depósito bancário ou
boleto? Pois é, acabou de receber este golpe. E o golpe não para nesta simples forma, podendo ter variações
absurdamente convincentes. Vejamos a variação conhecida como golpe da Nigéria.
Nesta, a pessoa recebe um e-mail de alguém ou de alguma empresa, se passando por nigeriano, solicitando que
você efetue o intermédio de uma transação financeira de alto valor. Neste caso, você recebe a promessa de uma
comissão caso a transação seja efetuada. Neste ponto, o golpista te pede que deposite um sinal para pagar os
encargos de tal transação de forma antecipada e que você será reembolsado posteriormente, em conjunto com
uma comissão bem maior do que o gasto efetuado por você. Você perde o dinheiro gasto, o reembolso e a
comissão.
Outras variações incluem, mas não se limitam a: loteria internacional, crédito fácil, doação de animais, oferta de
emprego, etc.
Prevenção
A melhor forma de se prevenir é identificar as mensagens contendo tentativas de golpes. Uma mensagem deste
tipo, geralmente, possui características como:
 Oferece quantias com valores altos (nem sempre).

 Solicita sigilo.
 Solicita urgência na resposta.
 Apresenta erros gramaticais e de ortografia (golpistas são astutos, mas geralmente não
empregam o idioma da maneira correta).
Além disto, adote uma postura preventiva, onde:
 Questione-se por que você.
 Desconfie de situações onde é necessário efetuar algum pagamento.
 Aplicar a sabedoria popular de ditados como "Quando a esmola é demais, o santo desconfia"
ou "Tudo que vem fácil, vai fácil", também pode ajudá-lo nesses casos.
Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para confirmar que o
seu endereço de e-mail é válido. Esta informação pode ser usada, por exemplo, para incluí-lo em listas de spam
ou de possíveis vítimas em outros tipos de golpes.
Roubo de Informações
Phishing
Forma de ataque
Este ataque é conhecido como phishing, phishing-scam ou phishing/scam. Neste tipo de fraude o golpista tenta
obter dados pessoais e financeiros de um usuário, por meio da utilização combinada de meios técnicos e
engenharia social. A forma geral do phishing envolve as seguintes técnicas:
 Tentar se passar por comunicação oficial de instituição conhecida.

 Procurar atrair a atenção do usuário, por curiosidade, caridade ou possibilidade de obtenção
de vantagem financeira.
 Informar que a não execução dos procedimentos descritos pode acarretar em sérias
consequências.
Tentar induzir o usuário a fornecer dados pessoais e financeiros.
Phishing
Para atrair a atenção do usuário as mensagens apresentam diferentes tópicos e temas, a saber:
Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail em nome da instituição.
Ao clicar no link é direcionado para uma página falsa, onde a fraude ocorre.
Páginas falsas de redes sociais ou de companhias aéreas: o mesmo que o anterior, porém em nome de rede
social ou companhia aérea.
Mensagens contendo formulários/recadastramento: você recebe uma mensagem para a atualização dos seus
dados financeiros. Ao enviar, você acabou de informar todas as suas informações financeiras ao atacante.
Mensagens contendo links para códigos maliciosos: muitas vezes a mensagem lhe indica alguma ferramenta
que aumente a sua velocidade da sua Internet ou que pode fazer aumentar a performance do seu computador. Na
verdade, contém um link ou código malicioso que permitirá ao fraudador acessar seu computador remotamente.
Prevenção
Observe com atenção as mensagens que recebe. Questione-se por que você foi o sortudo escolhido entre
milhares de pessoas. Pergunte-se como alguma instituição séria, que possui os seus dados, mandaria um e-mail
para uma página de atualização.
Desconfie de mensagens que apelem para a sua curiosidade ou caridade de forma demasiada. Vale ressaltar que
se você posicionar o ponteiro do mouse (sem clicar) sobre o remetente da mensagem é possível ver o domínio
de envio da mensagem. Geralmente, este domínio não tem relação com a instituição real.
Faça o uso de antimalware, firewall pessoal e filtros antiphishing. Verifique se a página utiliza conexão segura,
como por exemplo, certificados digitais. Sites de comércio eletrônico ou Internet Banking confiáveis sempre
utilizam conexões seguras quando dados sensíveis são solicitados.
Na dúvida, ignore o e-mail e entre em contato direto com a instituição que se diz ser para verificar os dados
presentes no e-mail. Importante, não confie no número telefônico apresentado no próprio e-mail. Procure em
uma lista de confiança.
Pharming
Forma de ataque
Pharming é um tipo específico de phishing que envolve o redirecionamento da navegação do usuário para sites
falsos, por meio de alterações no serviço de DNS (Domain Name System). Neste caso, quando você tenta acessar
um site legítimo, o seu navegador Web é redirecionado, de forma transparente, para uma página falsa. Este
redirecionamento pode ocorrer:
 Por meio do comprometimento do servidor de DNS do provedor que você utiliza.
 Pela ação de códigos maliciosos projetados para alterar o comportamento do serviço de DNS
do seu computador (alterando por exemplo, o arquivo hosts).
 Pela ação direta de um invasor, que venha a ter acesso às configurações do serviço de DNS
do seu computador ou modem de banda larga.
Prevenção
As seguintes ações podem auxilia-lo na prevenção ao ataque de pharming:
 Desconfiar ao entrar em uma URL e ser redirecionado a outra.
 Desconfiar caso o site de comércio ou Internet Banking não utilize comunicação segura.
 Verificar se o certificado digital apresentado no site corresponde ao site no qual está

navegando.

Forma de ataque
Os golpes que envolvem o comércio eletrônico, geralmente são baseados em uma destas vertentes: site de
comércio eletrônico fraudulento, sites de compras, site de leilão e venda de produtos coletivos.
Nestes tipos de ataques os sites fraudulentos apoiam-se em informações ilegítimas para ludibriar as pessoas,
oferecendo menores preços do que os praticados no mercado e super vantagens. Além disso, é comum nestes
ataques os fraudadores pedirem depósitos antecipados para o envio do produto, com pagamento do restante após
o recebimento ou correios a cobrar. Vale ressaltar que as empresas também podem sofrer roubo de identidade e
o fraudador se passar por legítimo.
Prevenção
Alguns procedimentos podem tornar seu ato de compra mais saudáveis na Internet, sendo eles:
 Desconfie de preços muito baixos.
 Verifique em sites de reclamações a ocorrência do site visitado.
 Verifique os dados da empresa no site da Receita Federal.

 Em site de compras, verifique a reputação do vendedor.
 Marque o recebimento do produto e o pagamento em mãos em locais públicos e com bastante

pessoas.
Boato
Forma de ataque
Um boato (hoax), é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem como
remetente, ou aponta como autora, alguma instituição, empresa importante ou órgão governamental. Um boato
pode causar diversos problemas, a saber:
 Disseminação de códigos maliciosos.
 Espalhar desinformação pela Internet.
 Comprometer a credibilidade e a reputação da entidade (empresa ou pessoa) referenciadas na

mensagem.
 Aumento da carga de trabalho dos servidores de e-mails.
Boatos (Hoax)
Prevenção
Normalmente os boatos se espalham, pois, mexem com o emocional das pessoas que o recebem. Um boato,
geralmente, apresenta pelo menos uma das seguintes características:
 Afirma não ser boato.
 Sugere consequências trágicas.
 Promete ganhos financeiros ou prêmios mediante a realização de alguma ação.
 Apresenta erros gramaticais e de ortografia.

 Apresenta informações contraditórias.
 Enfatiza que ele deve ser repassado rapidamente.
Além disto, muitas vezes, uma pesquisa na Internet pelo assunto da mensagem pode ser suficiente para localizar
relatos e denúncias já feitas. É importante ressaltar que você nunca deve repassar boatos pois, ao fazer isto,
estará endossando ou concordando com o seu conteúdo. Outras dicas gerais para se proteger de golpes aplicados
na Internet são:
 Notifique, caso identifique uma tentativa de golpe.
 Mantenha-se informado sobre os boatos repassados na Internet.
Malwares
O objetivo deste tópico é apresentar ao aluno os principais tipos de malwares existentes e como se prevenir
contra eles.
NESTE TÓPICO
Introdução
Principais tipos de Malwares
Vírus
Worm
Bot e botnet
Spyware
Backdoor
Cavalo de troia (Trojan)
Rootkit
Referências
NESTE TÓPICO
Introdução
Vírus
Worm
Bot e botnet
Spyware
Backdoor
Rootkit
Referências
Marcar
tópico
Introdução
Malwares são códigos maliciosos que objetivam executar ações danosas nos computadores infectados. Algumas
das principais formas de um malware infectar um computador são:
 Exploração de vulnerabilidades em programas instalados.
 Autoexecução de mídias removíveis (pen-drives, CD, DVD, outros).
 Acesso a páginas infectadas.
 Execução de arquivos previamente infectados (conhecidos como trojan horses, alusão ao

cavalo de Tróia).
Os principais motivos para a criação de malwares são: probabilidade de obtenção de dados financeiros, coleta
de informações confidenciais, autopromoção e vandalismo.
Vírus
Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga
inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Para que esta possa se
propagar ele depende da ação dos usuários, executando um arquivo infectado por exemplo. Os meios para a
disseminação de vírus são variados, podendo ocorrer por: disquetes (legado), e-mail, CD, DVD, pen-drives,
drives externos, ou qualquer outra mídia que permita a gravação do mesmo.
Quanto as formas de atuação existem diversas. Alguns procuram permanecer ocultos, outros ficam em “sono
profundo” até que determinada ação ocorra no computador e outros que passam a um período de atividade após
atingirem uma data específica. Alguns dos tipos de vírus mais comuns são:
Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conteúdo tenta induzir o
usuário a clicar sobre este arquivo, fazendo com que seja executado. Quando entra em ação, infecta arquivos e
programas e envia cópias de si mesmo para os e-mails encontrados nas listas de contatos gravadas no
computador.
Vírus de script: escrito em linguagem de script, como VBScript e JavaScript.
Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro, por exemplo, os que
compõe o Microsoft Office (Excel, Word e PowerPoint, entre outros).
Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de
mensagens MMS (Multimedia Message Service).
Vírus de Computador
Worm
Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de
computador para computador. Como este se replica numa velocidade grande, são conhecidos por consumir
muitos recursos computacionais, podendo ser percebidos pela degradação do meio onde instalados. O processo
de propagação e infecção dos worms ocorre da seguinte maneira:
Identificação dos computadores alvos: identificam o alvo e o infectam, tentando se auto copiar o maior
número de vezes possíveis. Para isso, o worm pode efetuar varredura na rede, aguardar que outros computadores
se conectem ao computador infectado ou usar listas de e-mails ou configurações contidas na máquina infectada.
Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e tenta enviá-las para estes
computadores, como parte da exploração de vulnerabilidades existentes em programas instalados no computador
alvo, anexados em e-mails, via canais de comunicação pré-estabelecidos, programas de troca de mensagens,
diretórios compartilhados, dentre outros.
Ativação das cópias: após realizado o envio da cópia, o worm necessita ser executado para que a infecção
ocorra, o que pode acontecer imediatamente após ter sido transmitido, diretamente pelo usuário ou pela
realização de uma ação específica do usuário.
Reinício do processo: após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a
partir de agora, o computador que antes era o alvo passa a ser também o computador originador dos ataques.
Worm de Computador
Bot e botnet
Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja
controlado remotamente. Possui processo de infecção e propagação similar ao do worm. Um computador
infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente,
sem o conhecimento do seu dono.
Botnet (já apresentado anteriormente) é uma rede formada por centenas ou milhares de computadores zumbis e
que permite potencializar as ações danosas executadas pelos bots. Algumas das ações maliciosas que costumam
ser executadas por intermédio de botnets são: ataques de negação de serviço (DDoS), propagação de códigos
maliciosos, coleta de informações, envio de spam e camuflagem da identidade do atacante.
O esquema apresentado a seguir exemplifica o funcionamento básico de uma botnet:
 Um atacante propaga um tipo específico de bot.
 Os zumbis ficam então à disposição do atacante.
 O atacante envia aos zumbis os comandos a serem executados.
 Os zumbis executam então os comandos recebidos.
 Quando a ação se encerra, os zumbis voltam a ficar à espera dos próximos comandos a serem
executados.
É um tipo de infecção bem difícil de ser detectada devido a característica de que os bots permanecem iníquos
até que sejam conclamados.
Botnet
Spyware
Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas
para terceiros. Pode ser usado tanto de forma legítima quanto maliciosa. Considera-se como uso legítimo,
quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste e malicioso
quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador.
Alguns tipos específicos de programas spyware são:
Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua
ativação, em muitos casos, é condicionada a uma ação prévia do usuário, como o acesso a um site específico de
comércio eletrônico ou de Internet Banking.
Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor,
nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado.
Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando
incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve
programas livres ou presta serviços gratuitos.
Backdoor
Backdoor é um programa que permite o retorno de um atacante a um computador comprometido. Pode ser
incluído por meio da ação de malwares que tenham infectado o computador anteriormente.
Um backdoor normalmente cria um novo serviço ou substitui um serviço existente na máquina infectada para
permitir o acesso remoto por parte do atacante. Podem também ser utilizados programas de administração
remota mal configurados, como por exemplo: BackOrifice, NetBus, SubSeven, VNC e Radmin.
Existem também casos em que fabricantes incluem deliberadamente backdoors nos computadores
comercializados por eles com a desculpa de necessidade de funções administrativas remotas. Isto é uma má
prática e compromete a privacidade do proprietário do equipamento.
O cavalo de Tróia ganhou este nome devido a mitologia grega, na qual é contada uma história de que um cavalo
dado como presente, fora utilizado pelo exército grego para obter acesso a cidade de Tróia, a qual possuía uma
muralha extremamente fortalecida. Em informática este termo representa um software malicioso que está
infectado propositalmente com outros malwares. Geralmente os cavalos de troia são programas que parecem
inofensivos, como protetores de tela, jogos, cartões virtuais, entre outros. Estes são classificados de acordo com
o tipo de ação que executam:
Trojan Downloader: instala outros códigos maliciosos, obtidos de sites na Internet.
Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio código do trojan.
Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador.
Trojan DoS: instala ferramentas de negação de serviço e as utiliza para desferir ataques.
Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco rígido e pode deixar o computador fora
de operação.
Trojan Clicker: redireciona a navegação do usuário para sites específicos, com o objetivo de aumentar a
quantidade de acessos a estes sites ou apresentar propagandas.
Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegação
anônima e para envio de spam.
Trojan Spy: instala programas spyware e os utiliza para coletar informações sensíveis, como senhas e números
de cartão de crédito, e enviá-las ao atacante.
Trojan Banker ou Bancos: coleta dados bancários do usuário.
Cavalo de Tróia
Rootkit
Rootkit é um conjunto de ferramentas preparadas para realizar a ocultação dos programas maliciosos instalados
pelo invasor. Ele pode ser usado para remover evidências em arquivos de log, instalar outros programas
maliciosos, ocultar atividades suspeitas no equipamento, varrer o equipamento em busca de vulnerabilidades
que podem ser exploradas pelo invasor, capturar informações da rede, entre outros. No entanto, os rootkits não
são utilizados para obter acesso ao perfil de administrador do equipamento e sim para mantê-lo.
Da mesma forma como ocorre com os backdoors, empresas andaram distribuindo suas propriedades intelectuais
infectadas com rootkits, sob alegação de necessidade de manter a propriedade intelectual destas. Isto coloca o
equipamento em risco pelo fato do rootkit poder ser reconfigurado para ocultar outros softwares maliciosos e
por colocar em risco a privacidade do usuário.
Técnicas de intrusão e proteção

O objetivo deste tópico é apresentar ao aluno as principais técnicas de intrusão e as principais técnicas de
proteções praticadas atualmente.
NESTE TÓPICO
Introdução
Vulnerabilidades
Scan de redes
E-mail spoofing
Sniffing de dados
Brute force
Defacement
Negação de serviço (DoS e DDoS)
Referências
NESTE TÓPICO
Introdução
Vulnerabilidades
Scan de redes
E-mail spoofing
Sniffing de dados
Brute force
Defacement
Referências
Marcar
tópico
Introdução
Os ataques cometidos por meio da Internet costumam possuir diversos objetivos, sobre diferentes alvos e
municiando-se de variadas técnicas. Quaisquer dispositivos computacionais que tenham acesso à Internet
tornam-se alvos potenciais para o ataque. Em alguns casos os atacantes comprometem estes dispositivos para
fazer deles membros de ataques a outros.
A motivação de ataque é variada, comumente sendo: por diversão, demonstração de poder, prestigio na
comunidade hacker, motivação financeira, motivação ideológica, motivações comerciais e outras. A seguir uma
breve explicação sobre cada tipo motivacional para ataques.
Diversão: o atacante simplesmente se diverte atacando alvos, muitas vezes aleatórios. Geralmente o atacante
ganha conhecimento técnico por meio de livros e revistas especializados ou até mesmo a Internet. Após obter
conhecimento, o atacante quer colocar em prática e divertir-se com isso.
Demonstração de poder: esta motivação já passa a ser uma mais séria e que impreterivelmente acarretará em
práticas criminosas. O motivador é demonstrar à alguma empresa que esta pode ter seus serviços
computacionais comprometidos e em algumas vezes, chantageá-la para que o ataque não ocorra novamente.
Prestígio: apresentar a sua comunidade que este pode entrar em domínios considerados seguros ou que são
comprovadamente difíceis de serem atacados. Algumas vezes os grupos de atacantes realizam competições para
verificar quem é o grupo que consegue comprometer o maior número de alvos no menor espaço de tempo.
Motivações financeiras: usar os artefatos conseguidos nos ataques para obter vantagens financeiras, aplicar
golpes e etc. (geralmente acarretando em práticas criminosas).
Motivações ideológicas: atacar domínios que possuem opinião divergentes às do grupo. Existem grupos
contumazes que atacam apenas por princípios ideológicos (isto não os torna mais nobres).
Motivações comerciais: atacar empresas concorrentes com intuito de sabotagem. Esta prática esta tornando-se
comum a medida que as empresas possuem grande parte da sua oferta de serviços apenas na Internet.
Para alcançar estes objetivos, os atacantes podem utilizar inúmeras técnicas para intrusão e sondagem de
segurança. A seguir, as técnicas mais utilizadas bem como, as formas de prevenção recomendadas.
Sondagem para a intrusão
Fonte: http://www.shutterstock.com/pic-222992434/stock-photo-thief-at-the-window.html?
src=k4c1XuJdoGOxEHRd0m_UMQ-1-17
Vulnerabilidades
Para entender o que será explorado, vamos primeiro entender o que é uma vulnerabilidade. Uma vulnerabilidade
é algo que enfraquece a segurança de um ativo. Imaginemos o clássico exemplo de fechar uma corrente por
completo, colocando em um dos elos, barbante. Obviamente que ao se deparar com o barbante, o atacante irá
preferir cortá-lo com uma tesoura do que cortar um dos elos de aço com um maçarico ou alicate. Estas
vulnerabilidades possuem as mais diversas origens, sendo as mais comuns: falhas no projeto, na implementação
ou na configuração de programas, serviços ou equipamentos de rede. Dizemos então que houve uma exploração
de vulnerabilidades, quando o atacante consegue por meio de uma das técnicas aqui mencionadas obter
informações confidenciais, ou acessar sistemas para os quais não está autorizado.
Para mitigar este cenário, a equipe de segurança deve aplicar os patchs de correções mais atuais,
aplicar baselines de segurança e monitorar constantemente o ambiente computacional em busca de perfis de
acesso anômalos ao padrão comportamental da organização.
Scan de redes
Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo
de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços
disponibilizados e programas instalados. [1]
Esta com certeza é a porta de entrada da intrusão, pois os atacantes precisam primeiro conhecer o alvo para
depois ataca-lo. Com as informações coletadas no scan, os atacantes descobrem quais serviços estão vulneráveis
e como estes podem ser atacados.
Estas varreduras e a exploração de vulnerabilidades podem ser usadas de forma:
Legítima: pessoas contratas pela empresa, ou funcionários próprios, buscando por vulnerabilidades, objetivando
mitigar potenciais ataques.
Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos serviços disponibilizados e nos
programas instalados para a execução de atividades maliciosas.
A forma mais eficaz para mitigar ataques do tipo de varredura de portas é manter o Firewall sempre atualizado
(regras) e aplicar baselines de segurança que desabilitam serviços desnecessários nos equipamentos.
E-mail spoofing
Falsificação de e-mail, ou e-mail spoofing, é uma técnica que consiste em alterar campos do cabeçalho de um e-
mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de
outra. [1]
Esta técnica se baseia no cenário onde o protocolo SMTP (Simple Mail Transfer Protocol) pode ter seu
cabeçalho alterado sem qualquer percepção por parte do serviço de e-mail. Costuma-se dizer que o “relay está
aberto”, quando não é necessário autenticar-se no serviço para que uma mensagem seja enviada. Neste tipo de
ataque, o agressor altera o cabeçalho da mensagem e coloca nos campos “ From”, “Reply To” e “Return Path”
endereços diferentes dos verdadeiros.
Ataques deste tipo são bastante usados para propagação de códigos maliciosos, envio de spam e em golpes
de phishing. [1]
A seguir, exemplos de ataques de e-mail spoofing:
 E-mail de conhecido solicitando que instale ou execute algum programa.
 De algum domínio no qual você se cadastrou pedindo que siga um link na própria mensagem.
 Do administrador do serviço de e-mail mandando executar algum procedimento.
 Do seu banco, pedindo atualizações cadastrais.
 Resposta a e-mails que você nunca enviou.
 E-mails enviados aparentemente por você mesmo.
Estes são alguns exemplos, mas muitas outras variações podem ocorrer. Para remediar este tipo de ataque adote
um serviço do tipo SMTPS (Simple Mail Transfer Protocol Secure) no qual o envio de mensagens deva obrigar
a autenticação. Dê preferência a utilização de assinaturas digitais para garantir a origem e a integridade das
mensagens recebidas. Na dúvida, ligue diretamente no canal oficial da instituição da qual recebeu o e-mail e
verifique a veracidade da mensagem antes de tomar qualquer ação.
Sniffing de dados
Interceptação de dados ou sniffing de dados é um ataque caracterizado pela sondagem ou observação dos dados
que trafegam em determinado meio físico, sendo este geralmente as redes de computadores. Os softwares que
executam tais procedimentos são conhecidos como sniffers. O objetivo dos atacantes é o de capturar dados
sensíveis que poderão a posteriori ser utilizados em outros ataques, sendo estes, nomes de usuários, senhas de
acesso entre outros. Não obstante a obtenção de credenciais de acesso, os atacantes também buscam por
informações confidenciais da empresa ou de terceiros que utilizam o meio físico da empresa para trafegar seus
dados. Imagine uma empresa que faz o roteamento de transações por cartão de crédito, agora imagine
um sniffer apontado em direção a rede que está transmitindo estes dados. Já percebeu o estrago que poderá ser
causado?
É uma boa pratica de segurança que a própria equipe de segurança da empresa faça periodicamente sniffing em
sua rede em conjunto com scan de vulnerabilidades a fim de encontrar potenciais vulnerabilidades e mitiga-las
assim que possível.
Para se defender deste tipo de ataque você deverá adotar alguma técnica para ofuscação dos dados. A mais
comum é a utilização de canais seguros duplamente autenticados, sendo o os protocolos mais recomendados o
IPSec e o TLS.
Brute force
O ataque de força bruta consiste em tentar todas as combinações possíveis para chaves criptográficas, nomes de
usuários e suas respectivas senhas. Obviamente, dependendo do sistema e da quantidade de senhas e chaves
criptográficas associadas, o atacante levará dezenas, centenas de anos até conseguir acesso ao sistema. Por outro
lado, quando a chave criptográfica ou a senha não possuem força mínima recomendada, a força bruta pode levar
apenas alguns segundos, minutos, não mais que horas. Fica óbvio que a melhor defesa é o ataque, ou seja,
deixar as chaves e senhas o mais forte possível. Uma variante do brute force e que diminuí bastante o tempo
necessário para alcançar o acesso não autorizado a um sistema, é chamado de ataque de dicionário. No ataque de
dicionário o atacante usa as palavras e senhas mais comuns para o idioma do alvo, diminuindo com sucesso o
tempo necessário para o ataque. Existe uma outra variação chamada de ataque híbrido. No ataque hibrido
primeiro se tenta o ataque por dicionário e posteriormente no caso de insucesso o ataque por força bruta.
Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e
senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos
privilégios deste usuário.
Qualquer computador, equipamento de rede ou serviço que seja acessível via Internet, com um nome de usuário
e uma senha, pode ser alvo de um ataque de força bruta. Dispositivos móveis, que estejam protegidos por senha,
além de poderem ser atacados pela rede, também podem ser alvo deste tipo de ataque caso o atacante tenha
acesso físico a eles. [1]
Segundo a cartilha do CERT, as tentativas de adivinhação costumam ser baseadas em:
 Dicionários de diferentes idiomas e que podem ser facilmente obtidos na Internet.
 Listas de palavras comumente usadas, como personagens de filmes e nomes de times de

futebol.
 Substituições óbvias de caracteres, como trocar "a" por "@" e "o" por "0"';
 Sequências numéricas e de teclado, como "123456", "qwert" e "1qaz2wsx";
 Informações pessoais, de conhecimento prévio do atacante ou coletadas na Internet em redes

sociais e blogs, como nome, sobrenome, datas e números de documentos.
Um ataque de força bruta, dependendo de como é realizado, pode resultar em um ataque de negação de serviço,
devido à sobrecarga produzida pela grande quantidade de tentativas realizadas em um pequeno período de
tempo. [1]
O que devemos fazer para impedir este ataque? Infelizmente, se existe chave criptográfica ou serviço baseado
na autenticação por usuário e senha, existe força bruta. Mas podemos mitigar o ataque da seguinte forma:
 Bloquear o usuário alvo do ataque após um número de tentativas de autenticação

malsucedidas, como por exemplo, 5 tentativas.
 Forçar por meio de políticas de senha, que o usuário forme senhas fortes.
 Forçar o usuário a trocar sua senha periodicamente.
 No caso de chaves criptográficas, troca-las periodicamente, de acordo com sua robustez.
Ataque por força bruta

Fonte: http://www.shutterstock.com/pic-170297399/stock-photo-burglar-in-disguise-to-open-an-industrial-door-with-
brute-force.html?src=pp-same_model-170297345-rQTYJQn7ww-cj6qa3QwR3g-1
Defacement
Este tipo de ataque resulta de uma intrusão bem-sucedida e gera uma série de constrangimentos para o dono do
site atacado. O defacement é caracterizado pela ação de alterar deliberadamente a página da empresa, muitas
vezes também é chamado de pichação eletrônica. As principais formas de intrusão que resulta
no defacement são:
 Erros na aplicação WEB.
 Exploração das vulnerabilidades dos servidores de hospedagem.
 Erros grosseiros na utilização da linguagem de programação adotada.

 Obtenção de usuário administrador do servidor de hospedagem.
Como a Internet é um organismo vivo, assim que o defacement ocorrer, muitas cópias que comprovarão o
ocorrido estarão presentes na grande rede. Isso pode afetar a credibilidade da empresa e expô-la como
vulnerável.
Para evitar este tipo de ataque se deve adotar as políticas de segurança apresentadas pelo consorcio OWASP
(apresentados em outros capítulos deste material), mantendo os servidores WEB em ambientes controlados e
seguros.
Qual a pior coisa que pode acontecer com uma empresa? Não poder abrir e não poder operar. A negação de
serviço faz isso com a versão digital das empresas, ou seja, impedem que os sites sejam acessados por seus
clientes. Mas como? A negação de serviço ocorre de forma a paralisar as operações de determinado recurso
computacional por meio da inundação de requisições. Quando este recurso recebe um número de requisições
superior à sua capacidade operacional este acaba por ser paralisado. O termo vem do inglês “ Denial of Service”
e é comumente referenciado pela sigla DoS. Uma variação do DoS é o DDoS. No DDoS ( Distributed Denial of
Service) o atacante monta uma rede bot (botnet) para fazer a inundação de solicitações ao servidor alvo do
ataque.
Observe a característica danosa deste tipo de ataque. Ele não possui a intenção de roubar informações, nem
tampouco obter acesso não autorizado. O único objetivo deste ataque é a de indisponibilidade. Relembrando dos
pilares de segurança, confidencialidade, integridade e disponibilidade, este age sobre o pilar disponibilidade.
O ataque de negação de serviço também pode ser feito diretamente nas redes de computadores, sem possuir um
alvo específico, como por exemplo, um servidor. Nesta variação de ataque, o agente agressor gera uma enorme
quantidade de dados que devem ser transportados pela rede, fazendo com que os devices de rede fiquem
sobrecarregados e passem a operar de forma deficitária. Com certeza você já fez parte de um ataque de DoS.
Nunca? Certeza? Sabe aquela vez que você estava assistindo a um vídeo com resolução em 4K na rede da sua
casa e que todos os seus familiares começaram a reclamar que a rede estava lenta? Foi um ataque, não
proposital, orquestrado por você. Agora imagine que você tenha apenas 1MB de conexão com a Internet e que
você more com outras 3 pessoas. Imagine agora as 4 pessoas assistindo filmes pela Internet com resolução em
4K. Ninguém conseguirá assistir de maneira fluída e o roteador com certeza apresentará dificuldades no seu
trabalho habitual. Viu como é fácil fazer um DoS ou DDoS?
Mas se o ataque pode ocorrer de forma proposital ou não, como poderemos mitiga-lo? Devemos tomar medidas
preventivas, mitigando a possibilidade de exploração deste tipo de ataque por meio da adoção de equipamentos
que fazem a inspeção de fluxo de dados, ou que traçam o perfil de acesso dos usuários da rede, evitando assim
que anomalias gerem o DoS. Além disso, a utilização de Firewall auto reconfiguráveis que possam identificar
ataques de DoS e DDoS e cortar a comunicação maliciosa, são fundamentais. Geralmente estes Firewall agem
em conjunto com sistemas de IPS (Intrusion Detection System).
Privacidade na internet
O objetivo deste tópico é apresentar ao aluno as principais formas de manter sua privacidade ao utilizar os
recursos computacionais.
NESTE TÓPICO
Introdução
Ao acessar o e-mail
Ao navegar na Internet
Ao divulgar informações
Ao compartilhar equipamentos
Ao acessar redes públicas
Conexões seguras
Referências
NESTE TÓPICO
Introdução
Ao acessar o e-mail
Conexões seguras
Referências
Marcar
tópico
Introdução
Comecemos com a definição de privacidade segundo o dicionário informal: “É a habilidade de uma pessoa em
controlar a exposição e a disponibilidade de informações acerca de si.” [2]
Segundo a definição anterior, privacidade controla o que eu quero eu não expor sobre mim para terceiros. Na
realidade digital que vivemos a exposição é gigantesca e muitas vezes não conseguimos evitar a exposição das
nossas opiniões ou da nossa vida privada. Privacidade é tão sensível que mesmo que você não tenha acesso à
Internet, informações sobre si podem estar lá sem seu conhecimento ou prévia autorização:
 Outras pessoas podem tê-lo exposto sem autorização.
 Alguém coletou suas informações (sniffing) sem seu conhecimento e as divulgou.
 Algum software malicioso que você instalou sem saber está agindo de forma deliberada,
vazando suas fotos, vídeos e informações pessoais.
 Alguém teve acesso ao seu e-mail sem seu conhecimento.
 Alguém teve acesso à uma conta sua em rede social (mesmo que já desabilitada).
 Seus hábitos e preferências foram capturados por sites que você visita frequentemente.
Ao acessar o e-mail
Sendo assim, devemos tomar cuidados especiais de acordo com as mídias que acessamos. Por exemplo, ao
acessar ou armazenar e-mails devemos:
 Desabilitar a opção de carregamento automático de imagens, pois as mesmas podem possuir

código malicioso nos seus interiores (esteganografia).
 Não deixar o navegador ou cliente de e-mail baixar imagens que não estejam diretamente no
corpo da mensagem.
 Dar preferência a clientes de e-mails que permitem assinatura digital e confidencialidade de

mensagens por meio de algoritmos criptográficos padrão.
 Armazene e-mails que possuem material sensível no formato cifrado.
 Acesse seus e-mails por meio de conexão segura (HTTPS, SMTPS, POPS, IMAPS, ect).
 Evitar a utilização de recursos computacionais de terceiros.
 No caso de WebMail, digitar a URL diretamente em um browser de sua confiança.
Acessando o e-mail
Ao navegar na Internet, tome as seguintes medidas com intuito de manter a privacidade dos seus dados:
 Use os recursos de cookies para armazenamento de dados de acesso de maneira consciente.

Frequentemente os cookies são utilizados para rastrear seus hábitos ou manter suas
preferências de navegação.
 Dê preferência ao modo de navegação anônima.
 Sempre que possível, utilize a opção “Do Not Track” para manter o sigilo quanto a
rastreabilidade de acessos feitos por você.
Ao divulgar informações na Internet, tome as seguintes medidas com intuito de manter a privacidade dos seus
dados:
 Avalie com cuidado o impacto que a informação a ser compartilhada pode trazer sobre si.
 Não divulgue informações pessoais como números de documentos, endereços ou bens

materiais em sua posse.
 Evite a divulgação de informações sobre familiares e amigos próximos.
 Sempre que algum site solicitar os dados pessoais, reflita se este site é confiável o bastante
para manter seus dados em sigilo.
 Ao receber ofertas pela Internet, verifique a veracidade da oferta por meio de um canal
secundário e seguro, antes de prosseguir com o acesso.
 Fique atento aos famosos e-mails e sites que prometem fazer a atualização cadastral em nome
de terceiros. Valide junto ao terceiro antes de prosseguir.
 Seja cuidadoso e seletivo ao divulgar informações em redes sociais. Lembre-se, o

arrependimento não faz parte da Internet, uma vez que muitos sites mantêm em seus caches
os dados postados por você.
Ao compartilhar equipamentos, tome as seguintes medidas com intuito de manter a privacidade dos seus dados:
 Extraia quaisquer contas de acesso a sites antes de compartilhar ou emprestar o equipamento.
 Exclua quaisquer contas de acesso a serviços.
 Exclua os dados considerados sensíveis.
 No caso de equipamento móveis, retire os cartões de memória que podem armazenar dados
confidenciais.

Ao acessar a Internet por meio de redes públicas ou não confiáveis, tome as seguintes medidas com intuito de
manter a privacidade dos seus dados:
 Não instale qualquer tipo de agente de acesso ao qual a rede solicitar.
 Nunca utilize acesse sua instituição financeira ou sites sigilosos por meio de redes não
confiáveis.
 Tenha certeza que seu equipamento está em dia com a aplicação de patches de correção antes
de adentrar a redes inseguras.
 Tenha certeza de que seu antivírus está atualizado.
 Nunca digite senhas, ou códigos de confirmação de uso pessoal, como por exemplo, códigos
de acesso gerados aleatoriamente pelos serviços que você frequentemente acessa.
 Nunca configure seu equipamento como visível pelos equipamentos vizinhos em redes
inseguras.
 Nunca compartilhe sua biblioteca de vídeos ou músicas, pois o compartilhamento pode ser
utilizado no ataque.
 Não compartilhe diretórios em redes não seguras.
Conexões seguras
Ao navegar na Internet, é muito provável que a grande maioria dos acessos que você realiza não envolva o
tráfego de informações sigilosas, como quando você acessa sites de pesquisa ou de notícias. Esses acessos são
geralmente realizados pelo protocolo HTTP, onde as informações trafegam em texto claro, ou seja, sem o uso de
criptografia. [3]
No entanto, existem circunstâncias na quais gostaríamos de impedir que os atacantes pudessem bisbilhotar
nossos dados. Para isso, devemos utilizar conexões seguras por meio de protocolos criptográficos. O protocolo
HTTPS faz o uso de certificados digitais para a autenticação das “pontas” presentes na comunicação. Também
utiliza métodos criptográficos e outros protocolos, como o SSL (Secure Sockets Layer) e o TLS (Transport
Layer Security), para assegurar a confidencialidade e a integridade das informações. [3]
Sempre que o acesso envolver algum tipo de transporte de informações sensíveis, faça por meio de conexões
seguras.
Uso de criptografia em comunicações de dados
As redes sociais e os perigos para a segurança

O objetivo deste tópico é apresentar ao aluno os principais riscos associados à utilização de redes sociais, bem
como, as ações necessárias para mitigá-los.
NESTE TÓPICO
Introdução
Principais riscos atrelados às redes sociais
Preservação da privacidade em meios digitais públicos
Referências
NESTE TÓPICO
Introdução
Referências
Marcar
tópico
Introdução
As redes sociais foram criadas com o objetivo de interconectar pessoas. Elas nos possibilitam compartilhar
informações e encontrar pessoas que tem interesses comuns aos nossos. Alguns exemplos de redes sociais são:
Facebook, Orkut, Twitter, Linkedin, Google+ e foursquare.
As redes sociais passaram a ser parte integrante da vida das pessoas. As pessoas utilizam as redes sociais como
fonte de informações, atualidades, acompanhar ídolos ou pessoas de interesse e para divulgar o que estão
pensando e/ou onde estão. Também são utilizadas para manter perfis profissionais e como fonte de busca de
profissionais por parte das empresas.
As principais características das redes sociais são:
 A velocidade com que a informação se propaga é muito rápida.
 A quantidade de pessoas nas quais as informações chegam é muito grande.
 A riqueza de informações pessoais sobre determinada pessoa.
 Alto grau de confiança que uma mensagem atinge dependendo da confiança da própria fonte
da informação.
 O número de pessoas mal-intencionadas utilizando da confiança da rede social para a prática

de golpes e atos ilegais.
Devido as características expostas devemos tomar uma série de cuidados para manter o nível de privacidade e
segurança adequados.
Privacidade
Fonte: http://www.shutterstock.com/pic-242756941/stock-photo-security-lock-on-computer-circuit-board-computer-
security-concept.html?src=FWd7k-6jaboK6v3yrXyF1Q-1-1

Alguns exemplos a seguir dos principais riscos relacionados ao uso cotidiano das redes sociais.
Pessoas mal-intencionadas estão o tempo todo buscando uma nova vítima. Elas podem criar perfis falsos com
intuito de trazer pessoas com afinidades. Podem passar por pessoas conhecidas as quais não vemos por longa
data e podem acessar nossa rede de contatos depois de aceitas. Uma boa prática antes de adicionar uma pessoa
na nossa rede de amizades é a de observar as postagens da mesma. Se ela é sua amiga, com certeza você saberá
se os dados publicados no perfil estão de acordo ou não. Mas não ache que esta prática é infalível. Alguém pode
ter roubado um perfil legítimo do seu amigo/amiga.
Do mesmo modo como alguém se passa por um amigo seu, também pode criar um perfil falso sobre você para
atrair os seus amigos. Sendo assim, sempre busque na rede social por perfis com o seu nome e verifique se não
existem perfis falsos com dados reais seus. Para evitar este tipo de golpe é aconselhável você adotar alguma
política restritiva de publicações de informações pessoais. Quanto menos informação pessoal você divulga,
menos dados os mal-intencionados têm para usar.
Também pode ocorrer a invasão de perfil. A invasão pode ocorrer por meio de ataques de força bruta, acesso a
páginas falsas ou o uso de computadores infectados com vírus de roubo de identidade digital.
O uso indevido de informações pode ser explorado por pessoas mal-intencionadas para a criação de perfis falsos
e para o uso de ataques de engenharia social (explicado mais adiante). Muito cuidado com a quantidade de
informações que você expõe.
A invasão de privacidade é um ponto crucial. Quanto maior sua rede de contatos, maior o número de pessoas
que visualizam o que você escreve e menores as garantias de privacidade sobre suas informações.
No mundo corporativo os riscos de exposição indevida são geralmente associados ao vazamento de informações
confidencias por meio de redes sociais. Imagine um funcionário que saiu de uma reunião onde ficou empolgado
com um novo serviço a ser lançado e divulgou na sua rede social: “Muito feliz! Produto X a caminho...”. Ele
acabou de passar um produto ainda não lançado para o grande público sem o devido acompanhamento do
departamento de comunicações institucionais e pode até mesmo naufragar o projeto. Percebe o poder de uma
pequena frase no lugar errado?
Numa conversa aparentemente normal, você pode divulgar de forma inesperada informações como: e-mail,
telefone, endereço, senhas, número do cartão de crédito, etc. As consequências podem ser desde o recebimento
de mensagens indesejáveis até a utilização do número de seu cartão de crédito para fazer compras em seu nome.
[1]
Além disso, pessoas de seu círculo de confiança podem enviar arquivos contendo vírus ou códigos maliciosos
com intuito de roubo de informações pessoais. Muitas vezes as pessoas que enviam os arquivos também estão
infectadas e não tem absoluto controle do repasse da mensagem maliciosa.
Pode ocorrer o acesso a conteúdo considerado impróprio por você. Como você não tem controle sobre o que as
pessoas estão postando, muitas vezes você acessa um conteúdo ofensivo sem ter pensado em fazê-lo. É comum
no caso de vazamento de imagens de acidentes e autópsias de famosos o vazamento de imagens consideradas
“fortes”. O racismo e a intolerância também são frequentes nestes tipos de mensagens.
Calúnias e difamações são comuns em redes sociais e se alastram como fogo em palha seca. Os danos causados
por determinadas mensagens difamatórias são tão grandes que algumas vezes as empresas têm que fazer
campanhas publicitárias apresentando “suas” verdades. Não obstante, calúnias disparadas para pessoas físicas
são tão danosas quanto as disparadas contra as empresas.
Os riscos relacionados aos metadados dos arquivos que você compartilha na Internet e em redes sociais devem
ser observados. As fotos e vídeos feitos contendo os metadados de geolocalização, datas e horários podem ser
utilizadas como meios para a prática de sequestros. Imagens cotidianas sobre seu trajeto, com posicionamento
global e datas geralmente são usadas para esta prática. Existe também o risco da exposição na divulgação de
bens, originando tentativas de roubo e furto. Aquelas mensagens postadas informando que estará em viagem
durante X dias... pode ser usada para o planejamento de um roubo domiciliar.
Os riscos são grandes e novos a cada dia. A seguir, alguns caminhos para que possamos mitiga-los.
A primeira coisa a perceber é que por mais bem configurada que esteja a sua rede social, ela está publicada num
meio digital público. Todos podem ver (e em alguns casos compartilhar) os dados que você publica diariamente.
Pense bem antes de divulgar algo, pois não há possibilidade de arrependimento. Uma frase ou imagem fora de
contexto pode ser mal interpretada e causar mal-entendidos. [1]
A Internet possui vários mecanismos de cache de dados e muito dificilmente (se não impossível) uma mensagem
será apagada de forma a não manter vestígios de sua existência. Antes de enviar uma mensagem ou postar algo
na rede social de sua preferência, reflita!
Use e abuse das configurações de privacidade das redes sociais, deixando as mensagens apenas visível por
pessoas autorizadas ao seu círculo de amizades. Por padrão, tudo é público. Considere alterá-los. Mantenha o
seu perfil e dados como privados. Deixe seu endereço de e-mail visível apenas para o núcleo de amizades que
está cultivando.
Antes de aceitar um contato, faça uma inspeção nos seus dados e validade sua veracidade e grau de interesse.
Aceite convites de pessoas que você realmente conheça e para quem contaria as informações que costuma
divulgar. Não acredite em tudo que está publicado nas redes sociais e seja seletivo ao repassar uma mensagem.
Seja cuidado ao participar de grupos e comunidades. Isto pode divulgar a terceiros seus preceitos, hábitos e
rotinas; servindo como base de ataque. Não faça checkings automáticos dizendo onde está. Isto pode ser usado
para antecipar suas ações.
Quanto ao uso e o compartilhamento de dados de terceiros, procure seguir estas recomendações [1]:
 Não divulgue, sem autorização, imagens em que outras pessoas apareçam.
 Não divulgue mensagens ou imagens copiadas do perfil de pessoas que restrinjam o acesso.
 Seja cuidadoso ao falar sobre as ações, hábitos e rotina de outras pessoas.
 Tente imaginar como a outra pessoa se sentiria ao saber que aquilo está se tornando público.
Quanto ao seu perfil e aos seus familiares, considere as seguintes proteções [1]:
 Seja cuidadoso ao usar e ao elaborar as suas senhas.
 Habilite, quando disponível, as notificações de login, pois assim fica mais fácil perceber se
outras pessoas estiverem utilizando indevidamente o seu perfil.
 Use sempre a opção de logout para não esquecer a sessão aberta.
 Denuncie casos de abusos, como imagens indevidas e perfis falsos ou invadidos.
 Não divulgue informações da sua vida profissional. As empresas geralmente possuem um

departamento de comunicações para tal. Procure seguir o código de condutas da sua empresa.
Não divulgue motivos de ausência ou cansaço, pois pode ser usado contra vocês por pessoas
que queiram te prejudicar.
 Organize seus círculos de amizades por assuntos em comum, poupando os demais que não
gostam de determinados temas de serem envolvidos.
 Proteja os dados dos entes queridos e próximos. Alerte-os sobre os ricos de uso de redes
sociais aqui descritos. Respeite os limites de idades impostos a assuntos e a imagens. Oriente
seus próximos a não se relacionarem com pessoas desconhecidas.
Engenharia social
Os principais objetivos deste tópico são os de apresentar ao aluno as técnicas mais utilizadas na engenharia
social e como esquivar-se delas.
NESTE TÓPICO
Introdução
O engenheiro social
Técnicas mais comuns de engenharia social
Formas de proteção contra engenharia social
Referências
NESTE TÓPICO
Introdução
O engenheiro social
Referências
Marcar
tópico
Introdução
A engenharia social é uma forma de ataque que utiliza a técnica da manipulação dos relacionamentos pessoais
para obter informações que concedam acesso a meios eletrônicos ou outros dispositivos físicos. Para isso, faz
uso do inconsciente das pessoas. Como a segurança é baseada na confiança, as informações conseguidas pelo
invasor são obtidas na maioria das vezes em virtude da ingenuidade e “falta de conhecimento” dos envolvidos.
O invasor faz uso de suas habilidades para obter informações ou acesso indevido a determinado ambiente ou
sistema, por meio da utilização de técnicas de persuasão que acabam na maioria das vezes resultando em
informações chave para os ataques. As informações coletadas pelo invasor geralmente são os nomes de
funcionários, estrutura de funcionamento da empresa, horário de entrada de pessoas e equipes de manutenção,
softwares adquiridos, equipes que estão realizando algum tipo de treinamento, versão dos sistemas operacionais,
entre outras.
O foco principal é obter informações que facilitarão seu acesso a organização alvo. A engenharia social é
considerada um dos meios mais utilizados para obtenção de informações sigilosas e importantes. Pelo fato das
empresas focarem seus esforços no negócio, elas investem em tecnologia de ponta objetivando a proteção contra
ataques de hackers e suas variantes. Muito dinheiro é despendido com intuito de encontrar o melhor software
de proteção, o melhor antivírus, o melhor firewall o melhor controle de acesso físico e lógico. No entanto, as
empresas falham ao considerar o fator humano, que corresponde ao ponto mais vulnerável da organização.
A principal ideia da engenharia social é persuadir as pessoas (funcionários, colaboradores) para fornecerem
informações não autorizadas sem necessidade de agressão ou recurso tecnológico avançado. Para isso, o
atacante poderá obter informações tidas como insignificantes, mas que combinadas, tornam-se um arsenal nas
mãos do engenheiro social. Uma lista com os nomes e cargos dos funcionários abandonada em uma lata de lixo,
pode servir como base para a exploração deste tipo de vulnerabilidade. Com base nessas informações o atacante
poderá convencer um vigia que se trata de um funcionário legítimo que trabalha num turno diferente e que
esqueceu seu crachá de acesso. Ao chamar o vigilante pelo nome, já passa a falsa impressão que existe uma
relação profissional entre eles, tornando o vigia menos rigoroso. Desta forma, o atacante pode ter acesso
indevido a empresa.
A engenharia social não demanda conhecimento técnico algum, sendo esta a ameaça mais difícil a ser mitigada.
Ataque de engenharia social
Fonte: http://www.shutterstock.com/pic-105928628/stock-photo-social-engineering-concept-horseshoe-magnet-
capturing-crowd-of-color-human-figures-isolated-on.html?src=_QFGaPSHBGDbNu12f2qq3A-1-13
O engenheiro social
Ao passo em que as organizações controlam seus meios digitais de forma mais precisa, o acesso digital indevido
se torna mais difícil, levando o atacante a tentar outros meios para consegui-lo. Dessa forma o meio mais fácil e
mais barato, implica em ludibriar as pessoas que pertencem a organização, de forma que estas forneçam
informações necessárias para que ele burle as principais medidas protetivas. Antes da Internet, o atacante
utilizava como ferramenta o telefone e o contato pessoal para obter informações necessárias que o ajudassem no
desferimento do ataque. Com a Internet, basta paciência para ler milhares de informações sobre a organização
alvo. Vejamos um exemplo de ataque baseado na engenharia social:
 O atacante pode buscar na Internet pelo nome de um chefe de departamento da organização

alvo. Após isso, o atacante verifica na Internet qual o telefone da recepção. De posse destas
duas informações, ele liga para a telefonista se passando pelo chefe de departamento
informando de que está fora da empresa, porém chegando, e que se alguém com o nome de
“Arlei” o procurar, para que ela forneça um crachá de visitante e que deixe seu convidado
entrar e esperar na sua sala. Após isso, o atacante se apresenta na portaria, pede para falar
com a recepcionista que lhe atendeu anteriormente e se apresenta: “Oi. Meu nome é Arlei.
Tenho uma reunião agendada com o diretor do departamento X. Ele pediu para que eu o
aguardasse, pois deve chegar em alguns minutos”. Neste ponto, a recepcionista deve estar
achando tudo normal. Afinal, foi um diretor que autorizou a entrada deste convidado. O
concede um crachá e pede para que ele se dirija a sala número X, e que aguarde a chegada do
diretor. A partir deste ponto deixo sua imaginação trabalhar!
Muitas organizações passaram por este tipo de ataque sem se dar conta. Informações confidencias foram
roubadas sem qualquer percepção por parte dos funcionários. Desta forma, o único remédio pé o treinamento
exaustivo e adoção de políticas restritivas. Os principais alvos dos engenheiros sociais são os funcionários
periféricos da organização, como: recepcionistas, vigiais, técnicos, entre outros.
A seguir, as principais técnicas utilizadas nos ataques de engenharia social:
 Contato telefônico: por meio de uma boa conversa, o atacante tenta ludibriar o envolvido de
forma que ele forneça as informações necessárias para o ataque.
 E-mails fraudulentos: o atacante tenta convencer o colaborador da empresa, para que este
forneça informações sigilosas ao invasor sem que perceba fazer isso.
 Execução de programa: o atacante força de forma não perceptível que o colaborador
execute um programa ou código malicioso na máquina alvo para que posteriormente seja
aberta uma porta de acesso remoto.
 Salas de bate papo: nesses ambientes o invasor aproveita para ganhar a confiança do
colaborador e obter informações necessárias para o seu ataque.
 Listas de discussão ou comunidades virtuais na Internet: o invasor utiliza suas habilidades
para convencer o colaborador a passar informações sensíveis da empresa.
 Lixo computacional: a análise do lixo pode trazer informações importantes para um ataque,
como os endereços e máquinas na rede, servidores, roteadores, equipamentos de access point,
marca de equipamentos, suas versões, informações que ajudarão o invasor a identificar qual a
melhor ferramenta para o seu ataque.
 Páginas falsas: por meio de um link encaminhado para o colaborador, tenta forçar o
colaborador a acessar uma página falsa de comércio eletrônico ou internet banking, fazendo-o
digitar senhas ou códigos que poderão ser capturados e utilizados futuramente.
 Erros de digitação: nesse tipo de técnica, o invasor se aproveita do fato de uma pessoa não
conhecer um determinado idioma ou de ela ter, por algum motivo, apertado as teclas do seu
teclado em uma sequência incorreta, o que acabou levando-a ao site falso. Esses sites falsos
(clones) são colocados em funcionamento e quando o colaborador pensa que navega no site
desejado, na realidade navega no site do invasor, o qual se aproveita para capturar os dados
do colaborador.
 Boa vontade ou boa-fé: situações normais inerentes ao ser humano, como a vontade de ser
útil, de procurar sempre agir de forma cortês ao próximo.
 Relacionamento: consiste na técnica de manipular o lado emocional da natureza humana e
suas necessidades básicas, como aceitação, reconhecimento e motivação.
Para evitar esse tipo de ataque, algumas medidas deverão ser tomadas por parte dos responsáveis pela
administração de segurança:
 A implementação de uma Política de Segurança na organização, bem como sua ampla

divulgação.
 A conscientização dos funcionários com relação as formas de ataques da engenharia social.
 A implementação de dispositivos perimetrais de segurança (controle de acesso e segregação

de acesso).
 Monitoração constante de visitantes às instalações da empresa, bem como acompanhamento

deles durante o desenvolvimento das suas atividades.
 Aplicação da política de mesa limpa e o descarte correto de informações de acordo com a

política de classificação de informação.
 Adoção de picotadora de papéis, visando eliminar de forma correta as informações sensíveis

em qualquer ambiente interno da empresa.
 Treinamento e orientação aos colaboradores da organização para não abrir e-mails de pessoas
que não fazem parte do seu convívio diário dentro e fora da organização, principalmente as
que solicitam a execução de uma ação potencialmente perigosa no seu computador.
 Monitoração das atividades dos estagiários e dos aprendizes. Por causa da pouca experiência
são alvos primários dos agentes agressores.
Além de tudo que foi exposto, existem ataques de engenharia social complicados e que demandam diversas
etapas, desde o planejamento até a efetiva manipulação da tecnologia envolvida. Por isso, a adoção de
procedimentos específicos aos ataques de engenharia social deve ser tida como ponto crucial, além do amplo
treinamento organizacional para mitigar este tipo de risco.
Segurança de computadores
O objetivo deste tópico é apresentar ao aluno os principais mecanismos de segurança aplicáveis aos
computadores.
NESTE TÓPICO
NESTE TÓPICO
Introdução
Como manter o computador seguro
Referências
Marcar
tópico
Introdução
Os computadores pessoais ao lado dos dispositivos móveis, são os principais repositórios de dados que
possuímos e, por meio deles, que nós acessamos e-mails, redes sociais e realizamos transações bancárias e
comerciais.
Sua proteção é essencial, para diminuir as chances do mesmo ser utilizado de maneira indevida ou para
atividades maliciosas, como ataques a terceiros ou disseminação de conteúdo malicioso.
Maior parte das vezes, os atacantes buscam por computadores infectados para formarem suas botnets de ataques,
isso, de forma independente das configurações que os alvos utilizam. Desta forma, acreditar que está livre dos
atacantes é o ponto de partida para se tornar o próximo alvo.
Sendo assim, devemos tomar uma série de cuidados para mitigar a chance de ser o próximo alvo. Vejamos
algumas.
Computadores
Como manter o computador seguro

Existem vários procedimentos (chamados baselines) que podemos utilizar para mitigar a possibilidade de
comprometimento do computador pessoal, dentre elas podemos citar:
Manter os programas instalados com as versões mais recentes: sempre que o fabricante comunicar uma nova
versão para o software que você adquiriu, verifique se na nova versão constam além de novos recursos,
correções de bugs e vulnerabilidades. Assim que a nova versão for lançada verifique a possibilidade de aplicar a
nova versão no seu computador. Isto ajuda a evitar a exploração de brechas já conhecidas e divulgadas.
Lembrando ainda que é comum no mercado de software o fabricante parar de dar manutenções para versões
antigas, deixando-as ainda mais expostas.
Fazer check list de software: remova programas que você não utiliza mais. Não costumamos lembrar de
atualizar programas fora de uso, acarretando em possíveis comprometimentos e no aumento de vulnerabilidades.
Remova as versões antigas. Existem programas que permitem que duas ou mais versões estejam instaladas ao
mesmo tempo (evite deixar mais de uma versão no mesmo habitat). Tenha o hábito de verificar a existência de
novas versões, por meio de opções disponibilizadas pelos próprios programas ou acessando diretamente os sites
dos fabricantes.
Aplicar todas as atualizações: existe um tipo de atualização chamado de patch. Um patch geralmente corrige
alguma vulnerabilidade que foi descoberta e que chegou a conhecimento público. Portanto, além de manter os
programas atualizados, devemos manter todas as correções (patches, hot fixes e service packs) aplicadas. Deixe
que os programas sejam atualizados automaticamente, agendando as atualizações para serem baixadas e
aplicadas em momentos em que seu computador esteja conectado na Internet. Dê preferência àqueles momentos
de menor uso, pois geralmente, necessitam de reinicialização do sistema para serem efetivamente aplicados. No
caso de o software não possuir o mecanismo de atualização automática, visite constantemente o site do
fabricante em busca de novas versões. Você também poderá utilizar softwares que busquem vulnerabilidades no
computador de forma automatizada. Isto o deixara sempre a par de como anda a segurança do seu sistema.
Usar apenas programas originais: quando utilizamos programas piratas ou crackeados, além de ser ato ilícito,
não temos certeza sobre a origem do software. Os problemas técnicos envolvidos com a não utilização de
software original são: impossibilidade de aplicação de atualização automática e a impossibilidade de aplicação
de correções. Os fabricantes geralmente (por motivos óbvios) não permitem que softwares piratas sejam
atualizados. Além disso, quem garante que a mesma pessoa que pirateou o software não instalou nada malicioso
no mesmo? Você passa a utilizar um software sem qualquer tipo de garantia.
Usar mecanismos de proteção: O uso de mecanismos de proteção, como programas antimalware e firewall
pessoal, pode contribuir para que seu computador não seja infectado/invadido e para que não participe de
atividades maliciosas. Mantenha seu antimalware atualizado, incluindo o arquivo de assinaturas. Assegure-se de
ter um firewall pessoal instalado e ativo em seu computador. Crie um disco de emergência e o utilize quando
desconfiar que o antimalware instalado está desabilitado/comprometido ou que o comportamento do computador
está estranho (mais lento, gravando ou lendo o disco rígido com muita frequência, etc.). Verifique
periodicamente os logs gerados pelo seu firewall pessoal, sistema operacional e antimalware (observe se há
registros que possam indicar algum problema de segurança). [1]
Usar as configurações de segurança: muitos programas vêm com as opções de segurança desabilitadas por
padrão. Configurar estas opções de maneira correta, agregam para a segurança do computador. Observe as
configurações de segurança e privacidade oferecidas pelos programas instalados em seu computador e altere-as
caso não estejam de acordo com as suas necessidades.
Ser cuidadoso ao manipular arquivos: os softwares antimawalres detectam ameaças já conhecidas, porém
falham com as que ainda não foram detectadas. Desta forma, devemos adotar uma postura defensiva para evitar
este tipo de exploração, tomado as seguintes medidas: ser cuidadoso ao clicar em links, independente da sua
origem; não considerar as mensagens vindas de conhecidos como sempre confiáveis; desabilitar a auto-execução
de arquivos anexos aos e-mails; desabilitar a auto-execução de mídias removíveis; não abrir arquivos sem antes
passá-los pelo antivírus e tomar cuidado com as extensões ocultas dos arquivos.
Tomar cuidados especiais ao manipular arquivos com macros: macros são automatizações que nos ajudam
nas atividades cotidianas. Antes de executar uma macro, verifique o grau de segurança (privilégio de acesso)
que ela necessite. Utilize macro somente quando necessário.
Proteger os dados: como o computador é de uso pessoal e armazenamos nos mesmos todas nossas informações,
devemos tomar uma série de cuidados para proteger os dados nele armazenados, como por exemplo: fazer
regularmente o backup dos dados e para isso podemos utilizar algum recurso de armazenamento de dados nas
nuvens. No caso de informações confidenciais, dê preferência no armazenamento criptografado.
Manter o computador com a data e a hora corretas: a data e a hora do computador são mais importantes do
que parece. No caso de incidentes a observação dos logs gerados pelo sistema operacional e pelos aplicativos
carecem da acuidade da hora e da data para que possamos fazer uma ideal correlação de eventos.
Criar um disco de recuperação: discos de recuperação são úteis em caso de emergência, como atualizações
malsucedidas ou desligamentos abruptos que tenham corrompido arquivos essenciais ao funcionamento do
sistema (causado geralmente por queda de energia). Além disso, também podem socorrer caso seu computador
seja infectado e o código malicioso tenha apagado arquivos essenciais. Podem ser criados por meio de opções
do sistema operacional ou de programas antimalware que ofereçam esta funcionalidade. [1]
Ser cuidadoso ao instalar aplicativos desenvolvidos por terceiros: antes de instalar plug-ins e complementos
para os browsers, procure checar em sites que julgue confiáveis as informações sobre os referidos componentes.
Ser cuidadoso ao enviar seu computador para serviços de manutenção: ao selecionar uma empresa,
verifique sua reputação; pesquise na Internet por vazamentos de informações pessoais relacionadas a empresa
que pretende contratar; não permita a instalação de softwares piratas; faça backup dos seus dados antes de
enviar seu computador para a manutenção; se possível peça para a manutenção seja efetuada na sua própria
residência.
Ser cuidadoso ao utilizar o computador em locais públicos: muitas vezes somos obrigados a utilizar o
computador em locais públicos. Nestas situações atente-se para: não ser furtado ou roubado; utilizar travas de
segurança caso possível; manter o computador bloqueado quando fora de uso; configurar o computador para
solicitar senha no logon e utilizar criptografia de disco para o caso de extravio do computador.
Segurança de dispositivos móveis
O objetivo deste tópico é apresentar ao aluno as melhores práticas de segurança voltadas aos dispositivos
móveis.
NESTE TÓPICO
Introdução
Cuidados ao adquirir um dispositivo móvel
Cuidados ao usar seu dispositivo móvel
Cuidados ao se desfazer do seu dispositivo móvel
Referências
NESTE TÓPICO
Introdução
Referências
Marcar
tópico
Introdução
Os dispositivos móveis já são em números absolutos mais utilizados do que os computadores. A medida que a
população tem acesso a este bem de consumo, os ataques aos mesmos tendem a aumentar. São considerados
dispositivos móveis, tablets, smartphones, celulares, PDAs e os recentes vestíveis. Tornam-se cada vez mais
populares e capazes de executar grande parte das ações realizadas em computadores pessoais, como navegação
Web, Internet Banking, acesso a e-mails e redes sociais. Infelizmente, as semelhanças não se restringem apenas
às funcionalidades apresentadas, elas também incluem os riscos de uso que podem representar. [1]
Bem como o computador, os dispositivos móveis podem ser utilizados na execução de práticas maliciosas, como
roubo de identidade, envio de mensagens indesejadas e propagação de vírus/malwares. Podem também ser parte
integrante de botnets. Suas características próprias os tornam mais interessantes para os atacantes, pois:
 Em geral possuem grande quantidade de informações pessoais armazenadas.
 Conteúdo próprio de mensagens no formato SMS.
 Histórico de chamadas.
 Fotos e vídeos.
 Números de cartão de crédito.
 Lista de contatos.
Outra caraterística interessante sobre os dispositivos móveis é que eles possuem valor alto de mercado e
tamanho diminuto, o que facilita o transporte em caso de roubo ou furto. Isto os torna atraentes para este tipo de
delito.
Existe também a grande oportunidade de baixar conteúdo de terceiros, como aplicações por exemplo. Entre elas
podem existir aplicações com erros de implementação, não confiáveis ou especificamente desenvolvidas para
execução de atividades maliciosas. [1]
A troca de modelo constante também pode levar ao comprometimento de dados sensíveis, pois muitas vezes
passamos ou vendemos o nosso modelo anterior para um terceiro sem as devidas precauções ou cuidado.
Sendo assim, devemos tomar uma série de cuidados para tornar o uso constante de dispositivos móveis mais
confiável e menos sujeito a ataques por parte de agentes agressores. Devemos assim, como os computadores,
mantê-los atualizados e com as recomendações de segurança aplicadas. Vejamos alguns procedimentos que
podem nos ajudar a manter a segurança com os nossos dispositivos móveis.
Dispositivos móveis

Ao adquirir um novo dispositivo móvel considere as seguintes informações:
 Verifique a lista de recursos voltados a segurança que o fabricante disponibiliza para o

modelo que pretende comprar.
 Caso vá comprar um equipamento usado, restaure as configurações originais do aparelho,

antes de começar a usá-lo efetivamente.
 Não compre, em hipótese alguma, equipamentos de procedência duvidosa.
 Evite a compra de equipamentos crackeados com os famosos jailbreaks ou cujas permissões

de acesso tenham sido deliberadamente alteradas. Esta prática, além de ser ilegal, pode violar
os termos de garantia e comprometer a segurança e o funcionamento do aparelho. [1]
Ao comprar

A seguir uma lista com as boas práticas na utilização do seu dispositivo móvel:
 Caso possível, instale “logo de cara” um software antivírus confiável.
 Mantenha o sistema operacional sempre atualizado e com todos patches de correção

aplicados.
 Fique atento às notícias na mídia sobre problemas com o seu equipamento.
 Cheque sempre a procedência dos aplicativos que deseja instalar. Mesmo os aplicativos
nas stores oficiais do fabricante podem possuir erros de programação ou problemas de
segurança. Faça uma verificação na Internet sobre os comentários positivos e/ou negativos da
aplicação que deseja instalar.
 Verifique as permissões necessárias para o funcionamento das aplicações e desconfie

daquelas que necessitam de um acesso muito irrestrito.
 Tenha cuidado a dar “checkings” com sua localização. Pode servir para ataques de outras
formas.
 Seja cuidadoso ao acessar redes Wi-Fi públicas.
 Mantenha as interfaces de comunicações fora de uso, desligadas.
 Mantenha o bluetooth do seu device como não rastreável, a menos que necessário.
 Mantenha as informações sensíveis criptografadas.
 Faça cópias de segurança das informações importantes.
 Mantenha forte contole de acesso físico ao seu dispositivo, mantendo-o sempre próximo a ti.
 Use preferencialmente conexões seguras.
 Configure o controle de acesso ao device com o maior requisito de segurança que o

dispositivo suportar, por exemplo, PIN de acesso ou biometria.
 Configure-o para que seja possível localizá-lo remotamente e bloqueá-lo remotamente em

caso de roubo, furto ou perda.
 Configure-o para ser apagado caso o número de tentativas de acesso malsucedidas ultrapasse
um valor.

Não somente quando compramos ou quando usamos nossos dispositivos móveis estamos sujeitos a práticas
maliciosas. Quando vamos nos desfazer de um dispositivo que não vamos usar mais, devemos tomar uma série
de medidas protetivas, a saber:
 Apague todas as informações nele contidas.
 Restaure a opções originais de fábrica. [1]
No caso de roubo, furto ou perda, realize os seguintes procedimentos:
 Informe sua operadora e solicite o bloqueio do seu número (chip).
 Altere as senhas que possam estar nele armazenadas (por exemplo, as de acesso ao seu e-mail
ou rede social).
 Bloqueie cartões de crédito cujo número esteja armazenado em seu dispositivo móvel.
 Se tiver configurado a localização remota, você pode ativá-la e, se achar necessário, apagar
remotamente todos os dados nele armazenados. [1]
Segurança de redes
Os objetivos deste tópico são apresentar aos alunos as principais técnicas para manter a segurança em redes de
computadores.
NESTE TÓPICO
Introdução
Recomendações gerais de segurança
Recomendações de segurança para redes Wi-Fi
Recomendações de segurança para redes Bluetooth
Recomendações de segurança para redes de banda larga fixa e banda larga móvel
Referências
NESTE TÓPICO
Introdução
Recomendações de segurança para redes de banda larga fixa e banda larga móvel
Referências
Marcar
tópico
Introdução
Num passado nem tão distante, os usuários se conectavam na Internet por meio de linhas discadas e
permaneciam conectados apenas o tempo necessário para realizar suas atividades essenciais. Com a evolução
tecnológica foi possível manter todos os usuários conectados na Internet durante todo o tempo. De maneira
análoga, a Internet não é oferecida apenas aos computadores pessoais e aos modems, mas também aos celulares,
TVs e quaisquer outros dispositivos que possuem uma interface de rede ativa. Isto possibilitou que a quantidade
de dispositivos possíveis na Internet aumentasse de maneira exponencial.
Independente à forma como estamos conectados, podemos sofrer os seguintes tipos de ataques mais conhecidos:
Furto de dados: informações pessoais e outros dados podem ser obtidos tanto pela interceptação de tráfego
como pela exploração de possíveis vulnerabilidades existentes em seu computador. [1]
Uso indevido de recursos: obtenção de acesso ilícito ao seu computador utilizando-o para práticas criminosas
e/ou maliciosas.
Varredura: utilização do seu equipamento para identificação de outros possíveis alvos na mesma rede.
Interceptação de tráfego: coletar dados não criptografados que estão trafegando entre seu computador e outros
computadores.
Exploração de vulnerabilidades: por meio da exploração de vulnerabilidades, um computador pode ser
infectado ou invadido e, sem que o dono saiba, participar de ataques, ter dados indevidamente coletados e ser
usado para a propagação de códigos maliciosos. Além disto, equipamentos de rede (como modems e roteadores)
vulneráveis também podem ser invadidos, terem as configurações alteradas e fazerem com que as conexões dos
usuários sejam redirecionadas para sites fraudulentos. [1]
Ataque de negação de serviço: utilização do seu equipamento para gerar inundação de acessos ilegítimos para
um computador alvo com intuito de fazê-lo parar de responder.
Ataque de força bruta: por meio da técnica de teste exaustivo tentar encontrar a senha de acesso ao
equipamento alvo do ataque.
Ataque de personificação: um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros
a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de senhas de acesso e informações
que por ele passem a trafegar. [1]
A seguir alguns cuidados que devemos tomar ao utilizar redes de computadores:
 Manter o computador sempre atualizado.
 Utilizar programas antimalwares.

 Utilizar firewalls pessoais.
 Elaborar senhas seguras.
 Utilizar conexões seguras ao manipular dados sensíveis.
 Desativar compartilhamento de recursos.

Wi-Fi (Wireless Fidelity) é um tipo de rede local que utiliza sinais de rádio para comunicação. Possui dois
modos básicos de operação: [1]
 Infraestrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access
Point - AP) ou um roteador wireless.
 Ponto a ponto (ad-hoc): permite que um pequeno grupo de máquinas se comunique
diretamente, sem a necessidade de um AP.
Este tipo de rede se tornou popular pela facilidade de configuração e uso, mas também trouxeram algumas
implicações que devemos levar em consideração:
 Não necessitam acesso físico ao equipamento, pois, os sinais são dispersos por meio de ondas
de rádio. Sendo assim, os sinais podem ser capturados. Por isso a necessidade de
configuração de criptografia.
 Pelo fato da configuração ser bastante simples, qualquer pessoa pode instalar um roteador
sem fio, sem tomar as precauções mínimas.
 Em redes públicas sem criptografia, seus dados podem ser facilmente interceptados.
 Redes abertas propositais podem ser disponibilizadas pelos atacantes para a obtenção de
dados de forma ilícita.
Para mitigar o cenário exposto anteriormente, podemos tomar as seguintes medidas:
 Utilizar o mecanismo de segurança WPA2 com uso de algoritmos criptográficos fortes.
 Habilitar a interface de rede somente quando for ser utilizada.
 Desabilitar o modo ad-hoc.
 Usar autenticação forte e criptografia.
 Evite conectar em redes públicas ou abertas.
 Use segurança nas aplicações, como PGP ou SSH.
 Evite o acesso a serviços que não utilizam TLS.
 Evite padrões criptográficos fracos, como WEP e WPA.
 Utilize sempre o WPA2.
Ao montar uma rede doméstica, além das recomendações anteriores, considere:
 Posicione o AP em uma região central da residência para melhorar o sinal em todos os

ambientes onde o acesso será feito.
 Configure a potência do sinal de forma a ficar restrito somente nos ambientes necessários.
 Altere os usuários e senhas que tenham vindo por padrão.

 Utilize senhas fortes.
 Altere o SSID (Server Set IDentifier) padrão. Não utilize dados pessoais na composição do
SSID.
 Desabilite, quando possível a opção broadcast do SSID.
 Desabilite o gerenciamento do AP via rede sem fio, de tal forma que, para acessar funções de
administração, seja necessário conectar-se diretamente a ele usando uma rede cabeada. Desta
maneira, um possível atacante externo (via rede sem fio) não será capaz de acessar o AP para
promover mudanças na configuração. [1]
 Desabilite a função WPS (Wi-Fi Protected Setup). Apesar de manter o acesso fácil, permite
que alguém configure um dispositivo para acesso à rede sem autorização.
 Apesar de cada vez mais difícil, desligue seu AP quando não usar sua rede.

Bluetooth é um padrão para tecnologia de comunicação de dados e voz, baseado em radiofrequência e destinado
à conexão de dispositivos em curtas distâncias, permitindo a formação de redes pessoais sem fio. Está
disponível em uma extensa variedade de equipamentos, como dispositivos móveis, videogames, mouses,
teclados, impressoras, sistemas de áudio, aparelhos de GPS e monitores de frequência cardíaca. A quantidade de
aplicações também é vasta, incluindo sincronismo de dados entre dispositivos, comunicação entre computadores
e periféricos e transferência de arquivos. [1]
Embora traga muitos benefícios, o uso desta tecnologia traz também riscos, visto que está sujeita às várias
ameaças que acompanham as redes em geral, como varredura, furto de dados, uso indevido de recursos, ataque
de negação de serviço, interceptação de tráfego e ataque de força bruta. [1]
Um agravante ao uso do bluetooth é que os fabricantes geralmente enviam seus produtos com o recurso
habilitado e com senhas padrão, como por exemplo, 8888, 9999 e 0000.
Para mitigar os riscos ao utilizar bluetooth, siga as seguintes recomendações:
 Manter o bluetooth desabilitado fora do uso.
 Manter a configuração de visualização desligada.
 Alterar o nome padrão do dispositivo.
 Alterar o PIN (senha) padrão.
 Evitar fazer pareamento do device em locais públicos.

 Colocar alertas para pareamento e quando algum aplicativo solicitar o PIN do bluetooth.
 Remover as relações de confiança quando perder um equipamento bluetooth.
Recomendações de segurança para redes de banda larga fixa
e banda larga móvel
A seguir alguns cuidados a serem tomados para redes de banda larga fixa:
 Alterar a senha padrão do modem.
 Desabilitar o gerenciamento do mesmo por meio da WAN.
 Habilitar o firewall do dispositivo.
 Alterar IP padrão do dispositivo.

 Desabilitar serviços desnecessários.
 No caso de dispositivos como smartphones desabilite a função de compartilhamento de sinal

caso não esteja em uso.
 Configure sempre senhas fortes.
 Habilite a configuração do equipamento apenas por meio de acesso físico ao mesmo.
Autenticação, autorização e gerenciamento de

senhas
O objetivo deste tópico é elucidar os conceitos que envolvem autenticação, autorização e senhas.
NESTE TÓPICO
NESTE TÓPICO
Introdução
Autenticação, autorização e registro de atividades (AAA)
Contas e senhas
Uso seguro de contas e senhas
Elaboração de senhas
Alteração de senhas
Gerenciamento de contas e senhas
Recuperação de senhas
Referências
Marcar
tópico
Introdução
No que tange a autenticação e a autorização de acessos, devemos nos familiarizar com os seguintes termos:
 Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.
 Autenticação: verificar se a entidade é realmente quem ela diz ser.
 Autorização: determinar as ações que a entidade pode executar.
 Integridade: proteger a informação contra alteração não autorizada.
 Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado.
 Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação.
 Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.
Autenticação, autorização e registro de atividades (AAA)
Para garantir que os termos mencionados anteriormente fossem empregados corretamente no âmbito
organizacional, o seguinte mecanismo foi criado: AAA ou Triple A. O AAA vem do inglês e significa
(Authentication Authorization and Accounting) e nos diz que todos os acessos aos sistemas devem passar pelo
processo de autenticação, autorização e registro de atividades. Na autenticação a identidade da entidade é
checada e validada. Na autorização, os acessos aos quais aquela entidade possui são concedidos e no registro de
atividades são armazenados os acessos que a entidade perfez. Muitas vezes o último tópico é chamado de trilha
de auditoria.
Isso não impede que falsos positivos ocorram no momento da autenticação ou que usuários mal-intencionados
utilizem do login e senha de terceiros. Para isso, devemos adotar meios de autenticação baseados em 2 ou mais
fatores de autenticação. O mais forte possível, envolve 3 fatores, escalonados da seguinte forma:
 Algo que eu sei (um usuário e uma senha, por exemplo).
 Algo que eu possuo (um cartão, token, por exemplo).
 Algo que eu sou (geralmente biometria).
Nos tópicos a seguir são apresentados mecanismos para o aumento da robustez da dupla usuário e senha na
organização.
Contas e senhas
Uma conta de usuário, também chamada de "nome de usuário", "nome de login" e username, corresponde à
identificação única de um usuário em um computador ou serviço. [2] Por meio de uma conta é possível
compartilhar serviços e acessos a dispositivos. A conta do usuário geralmente é formada pelo nome da pessoa
ou por uma sequência de caracteres que a torna única em um sistema. Para que se tenha certeza de quem esteja
fazendo o acesso ao sistema é utilizada a autenticação.
Relembrando, existem três grupos básicos de mecanismos de autenticação, que se utilizam de:
 Algo que eu sei (um usuário e uma senha, por exemplo).
 Algo que eu possuo (um cartão, token, por exemplo).
 Algo que eu sou (geralmente biometria).
Uma senha se encaixa no grupo do “algo que eu sei” sendo este o principal meio de autenticação disponibilizado
pelos mais diversos serviços, por conta da simplicidade de uso. No entanto, se um terceiro conhecer o seu nome
de usuário e a sua senha, poderá entrar no sistema se passando por você. Com isso, este terceiro mal-
intencionado pode:
 Acessar o seu e-mail.
 Acessar o seu computador.
 Utilizar o seu computador para esconder ilícitos.
 Acessar sites e alterar configurações feitas por você.
 Acessar seus aplicativos e redes sociais.

Devido a isso, devemos adotar formas seguras para a utilização da dupla usuário e senha.
Uso seguro de contas e senhas
Algumas das formas mais comuns para a descoberta de senhas são:
 Usa-las em computadores infectados.
 Usa-las em sites falsos.
 Tentativas de adivinhação.
 Captura-las enquanto são transmitidas em canal não seguro.
 Acesso ao database que armazena as senhas.
 Ataques de engenharia social.
 Por sondagem ou observação direta das teclas pressionadas.
Para os evitar, devemos tomar os seguintes cuidados:
 Não se deixe ser observado no momento da autenticação.
 Não forneça sua senha a terceiros.
 Feche sua sessão quando sair do equipamento.
 Elabore senhas fortes.
 Altere suas senhas periodicamente.
 Não utilize a mesma senha para todos os serviços.
 Não utilizar perguntas de segurança com respostas públicas sobre você.
 Utilize serviços criptografados.
 Procure manter sua privacidade.
 Mantenha seu computador seguro.
Elaboração de senhas
Este tópico aborda um assunto bem curioso. Uma senha boa é aquela que é lembrada facilmente e que
dificilmente pode ser descoberta. Isto é muito complicado, pois de forma geral, senhas fortes são aquelas que
possuem uma combinação de caracteres que inviabilizem ataques por força bruta.
A seguir, alguns elementos que você não deve usar na elaboração de suas senhas:
 Dados pessoais.
 Sequências de teclado.
 Palavras presentes em listas.
A seguir, alguns elementos que você deve usar na elaboração de suas senhas:
 Números aleatórios.
 Grande quantidade de caracteres.

 Combinações envolvendo caracteres minúsculos, caracteres maiúsculos, números e caracteres
especiais.
Para facilitar a confecção da senha, você poderá utilizar os seguintes artifícios:

 Selecione caracteres de uma frase: baseie-se em uma frase e selecione a primeira, a segunda
ou a última letra de cada palavra. Exemplo: com a frase "O Cravo brigou com a Rosa debaixo
de uma sacada" você pode gerar a senha "?OCbcaRddus" (o sinal de interrogação foi
colocado no início para acrescentar um símbolo à senha). [2]
 Utilize uma frase longa: escolha uma frase longa, que faça sentido para você, que seja fácil
de ser memorizada e que, se possível, tenha diferentes tipos de caracteres. Evite citações
comuns (como ditados populares) e frases que possam ser diretamente ligadas a você (como o
refrão de sua música preferida). Exemplo: se quando criança você sonhava em ser astronauta,
pode usar como senha "1 dia ainda verei os anéis de Saturno!!!". [2]
 Faça substituições de caracteres: invente um padrão de substituição baseado, por exemplo,
na semelhança visual ("w" e "vv") ou de fonética ("ca" e "k") entre os caracteres. Crie o seu
próprio padrão pois algumas trocas já são bastante óbvias. Exemplo: duplicando as letras "s"
e "r", substituindo "o" por "0" (número zero) e usando a frase "Sol, astro-rei do Sistema
Solar" você pode gerar a senha "SS0l, asstrr0-rrei d0 SSisstema SS0larr". [2]
Alteração de senhas
Quando você se deparar com alguma das situações elencadas a seguir, procure alterar a sua senha:
 Equipamento furtado ou perdido.
 Imaginar que a senha foi comprometida.
 Se usar a senha em mais de um serviço e um deles foi comprometido.
 Ao adquirir equipamentos novos, altere os padrões.
Além disso, torne a troca da sua senha em um procedimento com intervalos de tempos regulares. Lembrando
que se a sua nova senha tiver que ser anotada para ser lembrada, deve ser descartada.
Gerenciamento de contas e senhas
Memorizar muitas senhas se torna uma atividade inviável, por isso, mesmo ciente dos riscos, você poderá:
 Reutilizar as senhas, evitando isso para serviços confidencias e críticos.
 Senhas pessoais e profissionais diferentes.
 Usar opções como lembre de mim e continuar conectado (não recomendados). Não utilize em
computadores públicos, compartilhados e de terceiros.
 Salvar senhas no navegador WEB e sincroniza-las. Para isso, utilize uma senha mestra.
Para não ter que recorrer a estas técnicas ou correr o risco de esquecer suas contas/senhas ou, pior ainda, ter que
apelar para o uso de senhas fracas, você pode buscar o auxílio de algumas das formas de gerenciamento
disponíveis (software de gerenciamento de senhas, como por exemplo, KeePass). [2]
Você também poderá criar grupos de senhas, de acordo com o risco envolvido. Adicionalmente poderá gravar
em um arquivo criptografado em seu computador, as suas contas e senhas.
Recuperação de senhas
Mesmo que você tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de gerenciamento,
podem ocorrer casos, por inúmeros motivos, de você perdê-la. Para restabelecer o acesso perdido, alguns
sistemas disponibilizam recursos como:
 Permitir que você responda a uma pergunta de segurança previamente determinada por você.
 Enviar a senha, atual ou uma nova, para o e-mail de recuperação previamente definido por
você.
 Confirmar suas informações cadastrais, como data de aniversário, país de origem, nome da
mãe, números de documentos, etc.
 Apresentar uma dica de segurança previamente cadastrada por você.
Enviar por mensagem de texto para um número de celular previamente cadastrado por você. [2]
Segurança em conexões web

O objetivo deste tópico é apresentar aos alunos os principais conceitos que englobam a segurança nas conexões
Web.
NESTE TÓPICO
Introdução
Tipos de conexão
Verificando o certificado digital
Ações a serem tomadas no caso de alertas da conexão
Referências
NESTE TÓPICO
Introdução
Tipos de conexão
Referências
Marcar
tópico
Introdução
A conexão Web nos permite acessar inúmeros serviços disponíveis na Internet. Mas algumas preocupações
concernem aos acessos, como por exemplo:
 Este site é legitimo?
 Este site é confiável?
 Meus dados estão sendo transmitidos de forma segura?
 Qual tipo de segurança está comunicação está utilizando?
 Alguém conferiu a identidade do proprietário do site?
Estas e outras perguntas serão respondidas a seguir.

Tipos de conexão
Para facilitar a identificação do tipo de conexão em uso você pode buscar auxílio dos mecanismos gráficos
disponíveis nos navegadores mais usados atualmente. Estes mecanismos, apesar variarem de acordo com seu
fabricante, do sistema operacional e da versão em uso, servem como um forte indício do tipo de conexão
utilizada e podem orientá-lo a tomar decisões corretas. [1]
De maneira geral, você vai se deparar com os seguintes tipos de conexões:
Conexão padrão: é a usada na maioria dos acessos realizados. Não provê requisitos de segurança. Alguns
indicadores deste tipo de conexão, são:
 O endereço do site começa com a string "http://".
 Alguns navegadores podem omitir o “HTTP” da barra de endereços por ser o padrão.
 No logotipo apresentado na barra de endereços, se pode obter informações da identidade do

site ao passar o mouse sobre ele. [1]
Conexão segura: é a que deve ser utilizada quando dados sensíveis são transmitidos, geralmente usada para
acesso a sites de Internet Banking e de comércio eletrônico. Provê autenticação, integridade e confidencialidade,
como requisitos de segurança são:
 O endereço do site começa com "https://".
 Um desenho de cadeado fechado é exibido. Clicando no cadeado é possível ver detalhes da

conexão e do certificado usado.
 Um recorte colorido (branco ou azul) com o nome do domínio do site é mostrado ao lado da
barra de endereço (à esquerda ou à direita) e, ao passar o mouse ou clicar sobre ele, são
exibidos detalhes sobre conexão e certificado digital em uso. [1]
Conexão segura com EV SSL: provê os mesmos requisitos de segurança que a conexão segura anterior, porém
com maior grau de confiabilidade quanto à identidade do site e de seu dono, pois utiliza certificados EV SSL.
Além de apresentar indicadores similares aos apresentados na conexão segura sem o uso de EV SSL, também
introduz um indicador próprio, que é:
 A barra de endereço e/ou o recorte são apresentados na cor verde e no recorte é colocado o
nome da instituição dona do site. [1]
Outro nível de proteção de conexão usada na Internet envolve o uso de certificados auto assinados e/ou cuja
cadeia de certificação não foi reconhecida. Este tipo de conexão não pode ser caracterizado como sendo
totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e confidencialidade, não provê
autenticação, já que não há garantias relativas ao certificado em uso. Isto se deve ao fato de que o certificado
auto assinado não fora previamente assinado e autenticado por um terceiro confiável. Deve-se tomar muito
cuidado com certificados auto assinados pois podem ser facilmente gerados e podem passar a falsa sensação de
segurança. [1]
Quando você acessa um site utilizando o protocolo HTTPS, mas seu navegador não reconhece a cadeia de
certificação ele emite alguns avisos. Apesar disso, o usuário pode optar por continuar em uma conexão não
segura. Alguns indicadores deste tipo de conexão são:
 Um cadeado com um "X" vermelho é apresentado na barra de endereço.

 A identificação do protocolo "https" é apresentado em vermelho e riscado.
 A barra de endereço muda de cor, ficando totalmente vermelha.
 Um indicativo de erro do certificado é apresentado na barra de endereço.
 Um recorte colorido com o nome do domínio do site ou da instituição (dona do certificado) é

mostrado ao lado da barra de endereço e, ao passar o mouse sobre ele, é informado que uma
exceção foi adicionada. [1]
Certos sites fazem uso combinado, na mesma página Web, de conexão segura e não segura. Neste caso, pode ser
que o cadeado desapareça, que seja exibido um ícone modificado (por exemplo, um cadeado com triângulo
amarelo com símbolo de exclamação interno), que o recorte contendo informações sobre o site deixe de ser
exibido ou ainda haja mudança de cor na barra de endereço. [1]
Você poderá verificar o comportamento do browser quanto aos tipos de conexões em:
 Chrome - Como funcionam os indicadores de segurança do website (em
português) http://support.google.com/chrome/bin/answer.py?hl=pt-BR&answer=95617
 Mozilla Firefox - How do I tell if my connection to a website is secure? (em inglês)

http://support.mozilla.org/en-US/kb/Site Identity Button
 Internet Explorer - Dicas para fazer transações online seguras (em português)
http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secure-online-
transaction-in-Internet-Explorer-9
 Safari - Using encryption and secure connections (em inglês)
http://support.apple.com/kb/HT2573
Como a segurança da conexão invariavelmente passa pela adoção de um certificado digital, faz se necessário
conhecer como verificar se um certificado digital é confiável. Vejamos a seguir:
 Verifique se o certificado foi emitido por uma AC confiável (pertence a uma cadeia de
confiança reconhecida).
 Verifique se o certificado está dentro do prazo de validade.
 Verifique se o certificado não foi revogado pela AC emissora.
 Verifique se o dono do certificado confere com a entidade com a qual está se comunicando
(por exemplo: o nome do site). [1]
Quando você tenta acessar um site utilizando conexão segura, normalmente seu navegador já realiza todas estas
verificações. Caso alguma delas falhe, o navegador emite alertas semelhantes aos mostrados a seguir:
 O certificado está fora do prazo de validade.
 O navegador não identificou a cadeia de certificação (dentre as possibilidades, o certificado

pode pertencer a uma cadeia não reconhecida, ser auto assinado ou o navegador pode estar
desatualizado e não conter certificados mais recentes de ACs).
 O endereço do site não confere com o descrito no certificado.
 O certificado foi revogado.

A maioria dos navegadores não tomam ações unilaterais, ou seja, a maioria deles irá esperar por uma ação por
parte do usuário quando emitir um alerta de segurança para uma dada conexão. Abaixo as ações possíveis para o
navegador (isso pode variar de navegador para navegador). [1]
Desistir da navegação: dependendo do navegador, ao selecionar esta opção você será redirecionado para uma
página padrão ou a janela do navegador será fechada.
Solicitar detalhes sobre o problema: ao selecionar esta opção, detalhes técnicos serão mostrados e você pode
usá-los para compreender o motivo do alerta e decidir qual opção selecionar.
Aceitar os riscos: caso você, mesmo ciente dos riscos, selecione esta opção, a página desejada será apresentada
e, dependendo do navegador, você ainda terá a opção de visualizar o certificado antes de efetivamente aceitá-lo
e de adicionar uma exceção (permanente ou temporária).
Caso você opte por aceitar os riscos e adicionar uma exceção, é importante que, antes de enviar qualquer dado
confidencial, verifique o conteúdo do certificado e observe:
 Se o nome da instituição apresentado no certificado é realmente da instituição que você

deseja acessar. Caso não seja, este é um forte indício de certificado falso.
 Se as identificações de dono do certificado e da AC emissora são iguais. Caso sejam, este é

um forte indício de que se trata de um certificado auto assinado. Observe que instituições
financeiras e de comércio eletrônico sérias dificilmente usam certificados deste tipo.
 Se o certificado se encontra dentro do prazo de validade. Caso não esteja, provavelmente o

certificado está expirado ou a data do seu computador não está corretamente configurada.
De qualquer modo, caso você receba um certificado desconhecido ao acessar um site e tenha alguma dúvida ou
desconfiança, não envie qualquer informação para o site antes de entrar em contato com a instituição que o
mantém para esclarecer o ocorrido.
Segurança no comércio eletrônico e internet

banking
O objetivo deste tópico é apresentar ao alunos as boas práticas ao acessar comércio eletrônico e serviços
bancários na Internet.
NESTE TÓPICO
Introdução
Certificados digitais
Segurança ao efetuar transações bancárias
Segurança ao efetuar transações comerciais
Referências
NESTE TÓPICO
Introdução
Referências
Marcar
tópico
Introdução
As empresas são acessadas e visualizadas atualmente por todo mundo. A quantidade de ofertas de serviços na
Internet é gigantesca. Dentre os serviços que mais cresceram estão os de comercio eletrônico e os bancários. O
que esperávamos em filas para ser atendidos, fazemos agora em um site ou com a ponta dos nossos dedos por
meio dos dispositivos móveis.
Atualmente, como a maior parte das informações estão em meio digital, fica difícil aplicar todos os controles
necessários para proteger nossas informações. A portabilidade que a informação conseguiu com o advento dos
equipamentos móveis fez com que as fronteiras das organizações ficassem muito além do limite físico.
Sendo assim, devemos ficar atentos em como manipulamos nossas informações e como utilizamos dados
sigilosos, como contas bancárias e números de cartões de crédito.
Um dos maiores aliados no quesito segurança para conexões e comunicações de dados é sem dúvida alguma o
certificado digital. Neste, a chave púbica pode ser livremente divulgada. Entretanto, se não houver como
comprovar a quem ela pertence, pode ocorrer de você se comunicar, de forma cifrada, diretamente com um
impostor. [2]
Um impostor pode criar uma chave pública falsa para um amigo seu e enviá-la para você ou disponibilizá-la em
um repositório. Ao usá-la para codificar uma informação para o seu amigo, você estará, na verdade,
codificando-a para o impostor, que possui a chave privada correspondente e conseguirá decodificar. Uma das
formas de impedir que isto ocorra é pelo uso de certificados digitais. [2]
O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e
associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede
(por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e assinatura
digital. [2]
Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte, no
qual constam os dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade
responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado digital esta
entidade é uma Autoridade Certificadora (AC). [2]
Uma AC emissora é também responsável por publicar informações sobre certificados que não são mais
confiáveis. Sempre que a AC descobre ou é informada que um certificado não é mais confiável, ela o inclui em
uma "lista negra", chamada de "Lista de Certificados Revogados" (LCR) para que os usuários possam tomar
conhecimento. A LCR é um arquivo eletrônico publicado periodicamente pela AC, contendo o número de série
dos certificados que não são mais válidos e a data de revogação. Além da LCR, outra tecnologia que permite a
consulta de certificados revogados é chamada de OCSP (do inglês, Online Certificate Status Protocol). A
principal diferença entre a LCR e a OCSP é que a LCR é atualizada em intervalos de tempos periódicos
enquanto que a OCSP ocorre em tempo real. No caso da LCR, com prazo de atualização de 12 horas por
exemplo, pode ocorrer que no momento 00h01 após a última divulgação, caso ocorra a revogação de um
certificado digital, este só apareça na LCR após 11h59 (no momento da nova publicação da LCR). Isto
permitiria ao atacante utilizar a janela da LCR em 11h59 para falsificação de assinaturas digitais. No caso da
OCSP, assim que um certificado é revogado, já pode ser constatado de forma online. [2]
Os navegadores, no geral, apresentam os campos de um certificado digital de forma padronizada. No entanto, a
representação gráfica pode variar entre diferentes navegadores e sistemas operacionais. De forma geral, os
dados básicos que compõem um certificado digital são:
 Versão e número de série do certificado.
 Dados que identificam a AC que emitiu o certificado.
 Dados que identificam o dono do certificado (para quem ele foi emitido).
 Chave pública do dono do certificado.
 Validade do certificado (quando foi emitido e até quando é válido).
 Assinatura digital da AC emissora e dados para verificação da assinatura. [2]
O certificado digital de uma AC é emitido, geralmente, por outra AC, estabelecendo uma hierarquia conhecida
como "cadeia de certificados" ou "caminho de certificação". A AC raiz, primeira autoridade da cadeia, é a
âncora de confiança para toda a hierarquia e, por não existir outra AC acima dela, possui um certificado auto
assinado. Os certificados das ACs raízes publicamente reconhecidas já vêm inclusos, por padrão, em grande
parte dos sistemas operacionais e navegadores e são atualizados juntamente com os próprios sistemas. Alguns
exemplos de atualizações realizadas na base de certificados dos navegadores são: inclusão de novas ACs,
renovação de certificados vencidos e exclusão de ACs não mais confiáveis. [2]
No Brasil a entidade responsável pelo gerenciamento das cadeias de confiança e responsável pela
regulamentação pertinente, chama-se ICP-Brasil ou Infraestrutura de Chaves Públicas Brasileira.
Assim, como a veracidade do certificado digital apresentado pelo serviço que estamos acessando é importante,
algumas ações adicionais permitem que possamos usufruir dos serviços eletrônicos de maneira segura. A seguir,
uma lista com as boas práticas que auxiliam em uma melhor segurança ao acessar serviços bancários ao efetuar
transações:
 Certifique-se da procedência do site e da utilização de conexões seguras ao realizar transações

bancárias via Web.
 Somente acesse sites de instituições bancárias digitando o endereço diretamente no navegador

Web, nunca clicando em um link existente em uma página ou em uma mensagem.
 Não utilize um site de busca para acessar o site do seu banco (não há necessidade disto, já que
URLs deste tipo são, geralmente, bastante conhecidas).
 Ao acessar seu banco, forneça apenas uma posição do seu cartão de segurança (desconfie
caso, em um mesmo acesso, seja solicitada mais de uma posição).
 Não forneça senhas ou dados pessoais a terceiros, especialmente por telefone.
 Desconsidere mensagens de instituições bancárias com as quais você não tenha relação,
principalmente aquelas que solicitem dados pessoais ou a instalação de módulos de
segurança.
 Sempre que ficar em dúvida, entre em contato com a central de relacionamento do seu banco
ou diretamente com o seu gerente.
 Não realize transações bancárias por meio de computadores de terceiros ou redes Wi-Fi
públicas.
 Verifique periodicamente o extrato da sua conta bancária e do seu cartão de crédito e, caso
detecte algum lançamento suspeito, entre em contato imediatamente com o seu banco ou com
a operadora do seu cartão.
 Antes de instalar um módulo de segurança, de qualquer Internet Banking, certifique-se de que

o autor módulo é realmente a instituição em questão. [1]

A seguir, uma lista com as boas práticas que auxiliam em uma melhor segurança ao acessar serviços que
efetuem transações comerciais:
 Certifique-se da procedência do site e da utilização de conexões seguras ao realizar compras e

pagamentos via Web.
 Somente acesse sites de comércio eletrônico digitando o endereço diretamente no navegador

Web, nunca clicando em um link existente em uma página ou em uma mensagem.
 Não utilize um site de busca para acessar o site de comércio eletrônico que você costuma
acessar (não há necessidade disto, já que URLs deste tipo são, geralmente, bastante
conhecidas).
 Pesquise na Internet referências sobre o site antes de efetuar uma compra.
 Desconfie de preços muito abaixo dos praticados no mercado.
 Não realize compras ou pagamentos por meio de computadores de terceiros ou redes Wi-Fi
públicas.
 Sempre que ficar em dúvida, entre em contato com a central de relacionamento da empresa
onde está fazendo a compra.
 Verifique periodicamente o extrato da sua conta bancária e do seu cartão de crédito e, caso
detecte algum lançamento suspeito, entre em contato imediatamente com o seu banco ou com
a operadora do seu cartão de crédito.
 Ao efetuar o pagamento de uma compra, nunca forneça dados de cartão de crédito em sites
sem conexão segura ou em e-mails não criptografados.
 Dê preferência aos serviços que permitem fazer o pagamento por meio de boletos bancários,
pois isto evita que você forneça o número do seu cartão de crédito a muitos terceiros.
 Você também poderá utilizar serviços que permitam o cadastro do cartão de crédito de forma
segura e que estes façam o pagamento por você, sem a necessidade de divulgação do seu
cartão de crédito para terceiros.
Ataques e proteção em aplicações web

Este tópico tem o objetivo de apresentar os principais tipos de ataques e proteções em aplicações Web.
NESTE TÓPICO
Introdução
Ataques por meio de Cookies
Ataques por meio de códigos móveis
Ataques por meio de janelas pop-up
Ataques por meio de plug-ins, complementos e extensões
Ataques por meio de compartilhamento de recursos
Referências
NESTE TÓPICO
Introdução
Referências
Marcar
tópico
Introdução
Os navegadores Web tem tomado cada vez importância no cenário da conectividade. O que era feito por meio de
aplicações no formato desktop, vem sendo substituído avassaladoramente por aplicações Web. O acesso por
meio da Internet para as aplicações trouxe preocupações que antes não faziam sentido para muitas empresas e
pessoas.
Para atender a grande demanda, incorporar maior funcionalidade e melhorar a aparência das páginas Web,
novos recursos de navegação foram desenvolvidos e novos serviços foram disponibilizados. Estes novos
recursos e serviços, infelizmente, não passaram despercebidos por pessoas mal-intencionadas, que viram neles
novas possibilidades para coletar informações e aplicar golpes. [1]
Assim, o grande número de computadores na rede, aumentou a superfície de ataque, seja por meio do
compartilhamento de recursos dos usuários, seja por meio de programas dedicados ou por meio dos próprios
sistema operacionais que evoluíram para atender à crescente demanda de conectividade. Desta forma, novos
recursos trouxeram consigo novas preocupações.
Cookies são pequenos arquivos que são gravados em seu computador quando você acessa sites na Internet e que
são reenviados a estes mesmos sites quando novamente visitados. São usados para manter informações sobre
você, como carrinho de compras, lista de produtos e preferências de navegação. [1]
Um cookie pode ser temporário (de sessão) ou permanente (persistente), quando fica gravado no computador até
expirar ou ser apagado. Também pode ser primário (first-party), quando definido pelo domínio do site visitado,
ou de terceiros (third-party), quando pertencente a outro domínio. [1]
Dentre os riscos associados a utilização de cookies podemos citar:
 Compartilhamento de informações: os dados armazenados nos cookies podem ser
requisitados por outros sites e afetar a sua privacidade.
 Exploração de vulnerabilidades: os cookies conseguem manter uma lista com o hardware e
software instalados e isso pode ser utilizado para a obtenção de informações que serão
utilizadas nos ataques.
 Autenticação automática: ao usar um computador de terceiros ou públicos, o cookie pode
armazenar seus dados de autenticação e fazer uma autenticação posterior sem sua
confirmação ou conhecimento.
 Coleta de informações pessoais: dados pessoais podem ser coletados pelos cookies e os
atacantes podem utilizar este recurso para o roubo de dados pessoais.
 Coleta de hábitos de navegação: quando você acessa diferentes sites onde são usados
cookies de terceiros, pertencentes a uma mesma empresa de publicidade, é possível a esta
empresa determinar seus hábitos de navegação e, assim, comprometer a sua privacidade. [1]
De acordo com o exposto anteriormente, devemos tomar uma série de precauções para que a utilização de
cookies possa trazer os benefícios esperados e não agregar vulnerabilidades, sendo estas:
 Deixar o nível de permissão minimamente médio.
 Deixar a criação de cookies de forma a solicitar a autorização para sua criação.
 Utilizar os recursos de exceção para bloquear os sites que desejar.
 Configurar o navegador para apagar os cookies quando fechado.
 Configurar para não aceitar cookies de terceiros.
 Navegar preferencialmente de maneira anônima.

Os códigos móveis são utilizados para agregar mais recursos aos sistemas web, no entanto, podem representar
riscos, como os seguintes:
 Programas e applets Java: normalmente os navegadores contêm módulos específicos para
processar programas Java que, apesar de possuírem mecanismos de segurança, podem conter
falhas de implementação e permitir que um programa Java hostil viole a segurança do
computador.
 JavaScripts: assim como outros scripts Web, podem ser usados para causar violações de
segurança em computadores. Um exemplo de ataque envolvendo JavaScript consiste em
redirecionar usuários de um site legítimo para um site falso, para que instalem códigos
maliciosos ou forneçam informações pessoais.
 Componentes (ou controles) ActiveX: componentes que após verificados, permitem que
softwares sejam instalados e arquivos enviados.
Para prevenir riscos na utilização destes componentes, podemos:
 Configurar a execução de programas Java e Javascripts de maneira controlada, como por

exemplo, utilizando a extensão NoScript, disponível na maioria dos navegadores.
 Configurar para que componentes ActiveX sejam executados somente após serem
verificados.

Janelas de pop-up são aquelas que aparecem automaticamente e sem permissão, sobrepondo a janela do
navegador Web, após você acessar um site. Alguns riscos que podem representar são:
 Apresentar mensagens indesejadas, contendo propagandas ou conteúdo impróprio.
 Apresentar links, que podem redirecionar a navegação para uma página falsa ou induzi-lo a
instalar códigos maliciosos. [1]
Para prevenir este tipo de ataque, podemos tomar as seguintes medidas protetivas:
 Configurar o navegador Web para, por padrão, bloquear janelas de pop-up.
 Criar uma lista de exceções, contendo apenas sites conhecidos e confiáveis e onde forem
realmente necessárias. [1]

Plug-ins, complementos e extensões são programas geralmente desenvolvidos por terceiros e que você pode
instalar em seu navegador Web ou leitor de e-mails para prover funcionalidades extras. Esses programas, na
maioria das vezes, são disponibilizados em repositórios, onde podem ser baixados livremente ou comprados.
Apesar de grande parte destes programas serem confiáveis, há a chance de existir programas especificamente
criados para executar atividades maliciosas ou que, devido a erros de implementação, possam executar ações
danosas em seu computador. [1]
Algumas medidas protetivas podem ser tomadas para mitigar os riscos descritos, como a seguir:
 Assegurar-se de ter mecanismos de segurança instalados e atualizados.
 Manter os programas instalados sempre atualizados.
 Obter arquivos apenas de fontes confiáveis.
 Utilizar programas com grande quantidade de usuários.
 Verificar se as permissões necessárias para a instalação e execução são coerentes.
 Ser cuidadoso ao instalar programas que ainda estejam em processo de revisão. [1]

Alguns sistemas operacionais permitem que você compartilhe com outros usuários recursos do seu computador,
como diretórios, discos e impressoras. Ao fazer isto, você pode estar permitindo:
 Acesso não autorizado a recursos ou informações sensíveis.
 Que seus recursos sejam usados por atacantes caso não sejam definidas senhas para controle
de acesso ou sejam usadas senhas facilmente descobertas. [1]
Da mesma forma como seus recursos podem ser compartilhados, você poderá utilizar recursos de terceiros e isso
poderá trazer alguns riscos consigo. Para mitigar estes riscos podemos:
 Estabelecer senhas para os compartilhamentos.
 Estabelecer permissões de acesso adequadas.
 Compartilhar recursos pelo tempo mínimo necessário.
OWASP Top 10 - dez riscos de segurança mais

críticos em aplicações web
O objetivo deste tópico é apresentar ao aluno o Top 10 de riscos para aplicações web segundo o OWASP.
NESTE TÓPICO
Introdução
A1 – Injeção
A2 – Quebra de autenticação e gerenciamento de sessão
A3 – Cross-Site Scripting (XSS)
A4 – Referência insegura e direta a objetos
A5 – Configuração incorreta de segurança
A6 – Exposição de dados sensíveis
A7 – Falta de função para controle do nível de acesso
A8 – Cross-Site Request Forgery (CSRF)
A9 – Utilização de componentes vulneráveis conhecidos
A10 – Redirecionamentos e encaminhamentos inválidos
Referências
NESTE TÓPICO
Introdução
A1 – Injeção
Referências
Marcar
tópico
Introdução
O projeto “Open Web Application Security Project” (OWASP) é uma organização de nível mundial sem fins
lucrativos e focada em melhorar a segurança de aplicações Web. Sua missão é fazer com que a segurança das
aplicações possa ser visível para os desenvolvedores e empresas, para que estes tenham condições de tomar
decisões que envolvam o nível de risco aceitável para si. Todos são livres para participar do OWASP e todos os
materiais estão disponíveis sob uma licença de software livre e de código aberto. O OWASP também mantém
uma WIKI e um blog, nos quais a iteração entre os profissionais de segurança pode ser realizada. O OWASP
não endossa ou recomenda produtos ou serviços comerciais, permitindo que a comunidade utilize a sabedoria
coletiva para escolher qual produto lhe convém. [1]
O OWASP Top 10 de 2013 foi baseado em 8 conjuntos de dados de 7 empresas especialistas em segurança de
aplicações, incluindo 4 consultorias e 3 fornecedores de ferramentas. Seus dados abrangem mais de 500.000
vulnerabilidades em centenas de organizações e milhares de aplicações. Os itens Top 10 são selecionados e
priorizados de acordo com dados de prevalência, em combinação com estimativas do consenso da exploração,
detecção e impacto. [2]
A seguir, a lista completa com as Top 10 do OWASP.
A1 – Injeção
As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando
dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Os dados
manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita
o acesso a dados não autorizados. [2]
Para se prevenir, devemos adotar as seguintes medidas:
 Utilizar uma API segura que evite o uso do interpretador inteiramente ou forneça uma
interface parametrizada.
 Se uma API parametrizada não estiver disponível, você deve cuidadosamente filtrar os
caracteres especiais utilizando a sintaxe para esse interpretador. OWASP’s ESAPI fornece
muitas dessas rotinas de filtragem.
 Criar uma “Lista branca" ou validação de entrada positiva também é recomendada. [2]

Quando as funções da aplicação relacionadas com autenticação e gerenciamento de sessão são implementadas
de forma incorreta, podem permitir que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda,
explorem outra falha da implementação para assumir a identidade de outros usuários. [2]
 Cumprir todos os requisitos de autenticação e gerenciamento de sessão definidos no Padrão

de
 Verificação de Segurança da Aplicação do OWASP (ASVS), áreas V2 (Autenticação) e V3

(Gerenciamento de Sessão).
 Ter uma interface simples para os desenvolvedores. [2]

Falhas de XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem
validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem
“sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos. [2]
 Filtrar adequadamente todos os dados não-confiáveis com base no contexto HTML (corpo,
atributo, JavaScript, CSS ou URL) no qual os dados serão colocados.
 Criar uma “Lista branca" ou validação de entrada positiva também é recomendada.
 Para conteúdo rico considere bibliotecas de auto-sanitização
 Considere uma CSP para se defender contra XSS em todo o seu site. [2]

Uma referência insegura e direta a um objeto ocorre quando um programador expõe uma referência à
implementação interna de um objeto, como um arquivo, diretório, ou registro da base de dados. Sem a
verificação do controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar
dados não-autorizados. [2]
 Usar referências indiretas a objetos por usuário ou sessão. Isso impedirá que o atacante atinja
diretamente os recursos não autorizados.
 Verificar o acesso a cada utilização de uma referência direta a objeto de uma origem não
confiável e incluir uma verificação de controle de acesso para garantir que o usuário está
autorizado para o objeto requisitado.

Uma boa segurança exige a definição de uma configuração segura e implementada na aplicação, frameworks,
servidor de aplicação, servidor web, banco de dados e plataforma. Todas essas configurações devem ser
definidas, implementadas e mantidas, já que geralmente a configuração padrão é insegura. Adicionalmente, o
software deve ser mantido atualizado. [2]
 Adotar um processo de hardening recorrente que torne fácil e rápido de implantar outro
ambiente que está devidamente blindado.
 Adotar um processo para se manter a par e implantar todas as novas atualizações e correções
de software em tempo hábil e em para cada ambiente.
 Adotar uma arquitetura de aplicação forte que forneça a separação segura e eficaz entre os
componentes.
 Considerar executar varreduras e fazer auditorias periodicamente para ajudar a detectar erros
de configuração ou correções ausentes. [2]

Muitas aplicações web não protegem devidamente os dados sensíveis, tais como cartões de crédito, Ids fiscais e
credenciais de autenticação. Os atacantes podem roubar ou modificar esses dados desprotegidos com o propósito
de realizar fraudes de cartões de crédito, roubo de identidade, ou outros crimes. Os dados sensíveis merecem
proteção extra como criptografia no armazenamento ou em trânsito, bem como precauções especiais quando
trafegadas pelo navegador. [2]
 Proteger os dados de ameaças, criptografando os dados sensíveis em repouso e em trânsito de

uma forma que as iniba.
 Não armazenar dados sensíveis desnecessariamente. Descarte-os o mais rápido possível.

Dados que você não tem não podem ser roubados.
 Certificar-se que o nível utilizado nos algoritmos e chaves são fortes, e que o gerenciamento
de chaves está aplicado adequadamente. Considere utilizar os módulos criptográficos
validados do FIPS-140.
 Certificar-se que as senhas são armazenadas com um algoritmo projetado especialmente para
a proteção de senhas, como o bcrypt, PBKDF2 ou scrypt.
 Desabilitar o autocompletar em formulários de coleta de dados sensíveis e desabilitar o cache
em páginas que contenham dados sensíveis. [2]

A maioria das aplicações web verificam os direitos de acesso em nível de função antes de tornar essa
funcionalidade visível na interface do usuário. No entanto, as aplicações precisam executar as mesmas
verificações de controle de acesso no servidor quando cada função é invocada. Se estas requisições não forem
verificadas, os atacantes serão capazes de forjar as requisições, com o propósito de acessar a funcionalidade sem
autorização adequada. [2]
 Gerenciar os direitos e garantir que se possa atualizar e auditar facilmente. Não codificar
diretamente.
 Negar todo o acesso por padrão, exigindo direitos explícitos para papéis específicos no acesso
a todas as funções.
 Se a função está envolvida em um fluxo de trabalho, verificar, para ter certeza, se as

condições estão em estado adequado para permitir acesso. [2]

Um ataque CSRF força a vítima que possui uma sessão ativa em um navegador a enviar uma requisição HTTP
forjada, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão,
a uma aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições
que a aplicação vulnerável aceitará como requisições legítimas realizadas pela vítima. [2]
 Incluir um token único em um campo oculto. Isso faz com que o valor seja enviado no corpo
da requisição HTTP, evitando-se a sua inserção na URL, que é mais propensa a exposição.
 O token único pode ser incluído na própria URL, ou em parâmetros da URL. Contudo, tal
posicionamento corre um risco maior já que a URL será exposta ao atacante, comprometendo
assim o token secreto. [2]

Componentes, tais como bibliotecas, frameworks, e outros módulos de software quase sempre são executados
com privilégios elevados. Se um componente vulnerável é explorado, um ataque pode causar sérias perdas de
dados ou o comprometimento do servidor. As aplicações que utilizam componentes com vulnerabilidades
conhecidas podem minar as suas defesas e permitir uma gama de possíveis ataques e impactos. [2]
 Identificar todos os componentes e as versões que você está utilizando, incluindo todas as
dependências.
 Monitorar a segurança desses componentes em banco de dados públicos, listas de e-mail de

projetos e segurança, e mantê-los atualizados.
 Estabelecer políticas de segurança que definam o uso do componente, assim como exigir
certas práticas de desenvolvimento de software, passando em testes de segurança, e licenças
aceitáveis.
 Quando apropriado, considerar a adição de invólucros de segurança em torno dos
componentes para desabilitar funcionalidades não utilizadas e/ou proteger falhas ou aspectos
vulneráveis do componente.

Aplicações web frequentemente redirecionam e encaminham usuários para outras páginas e sites, e usam dados
não confiáveis para determinar as páginas de destino. Sem uma validação adequada, os atacantes podem
redirecionar as vítimas para sites de phishing ou malware, ou usar encaminhamentos para acessar páginas não
autorizadas. [2]
 Evitar utilizar tais mecanismos.
 Se forem usados, não envolva parâmetros do usuário no cálculo do destino. Normalmente,

isto pode ser feito.
 Se os parâmetros de destino não podem ser evitados, tenha certeza que o valor fornecido é
válido, e autorizado para o usuário. [2]

Ataques e Proteções Relativos A Sistemas de Informação e Comunicação

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Ataques e Proteções Relativos A Sistemas de Informação e Comunicação

Enviado por

Direitos autorais:

Formatos disponíveis

Conceitos essenciais de segurança da informação

Introdução a segurança da informação

Introdução a segurança da informação

 Um ambiente corporativo em que vários departamentos se interligam entre si e com o mundo,

Conceitos essenciais de segurança da informação

Introdução a segurança da informação

Introdução a segurança da informação

 Um ambiente corporativo em que vários departamentos se interligam entre si e com o mundo,

Introdução a golpes na Internet

 Obtenção da confiança da vítima.

 Convencimento de que a vítima precisa executar algo em seu computador.

 Golpe propriamente dito.

 Problemas com órgãos de proteção ao crédito.

 Retorno de e-mails que não foram enviados por você.

 Notificações de acesso que a sua conta de e-mail.

 Transações que não foram realizadas por você no seu extrato.

Fraude de antecipação de recursos (Advance fee fraud)

 Oferece quantias com valores altos (nem sempre).

 Solicita urgência na resposta.

Além disto, adote uma postura preventiva, onde:

 Questione-se por que você.

 Desconfie de situações onde é necessário efetuar algum pagamento.

 Tentar se passar por comunicação oficial de instituição conhecida.

Tentar induzir o usuário a fornecer dados pessoais e financeiros.

 Por meio do comprometimento do servidor de DNS do provedor que você utiliza.

 Desconfiar ao entrar em uma URL e ser redirecionado a outra.

 Verificar se o certificado digital apresentado no site corresponde ao site no qual está

Golpes de comércio eletrônico

 Desconfie de preços muito baixos.

 Verifique em sites de reclamações a ocorrência do site visitado.

 Verifique os dados da empresa no site da Receita Federal.

 Marque o recebimento do produto e o pagamento em mãos em locais públicos e com bastante

 Disseminação de códigos maliciosos.

 Espalhar desinformação pela Internet.

 Comprometer a credibilidade e a reputação da entidade (empresa ou pessoa) referenciadas na

 Aumento da carga de trabalho dos servidores de e-mails.

 Afirma não ser boato.

 Sugere consequências trágicas.

 Promete ganhos financeiros ou prêmios mediante a realização de alguma ação.

 Apresenta erros gramaticais e de ortografia.

 Enfatiza que ele deve ser repassado rapidamente.

 Notifique, caso identifique uma tentativa de golpe.

 Mantenha-se informado sobre os boatos repassados na Internet.

 Exploração de vulnerabilidades em programas instalados.

 Autoexecução de mídias removíveis (pen-drives, CD, DVD, outros).

 Acesso a páginas infectadas.

 Execução de arquivos previamente infectados (conhecidos como trojan horses, alusão ao

 Um atacante propaga um tipo específico de bot.

 Os zumbis ficam então à disposição do atacante.

 O atacante envia aos zumbis os comandos a serem executados.

 Os zumbis executam então os comandos recebidos.

Técnicas de intrusão e proteção

 E-mail de conhecido solicitando que instale ou execute algum programa.

 Do administrador do serviço de e-mail mandando executar algum procedimento.

 Do seu banco, pedindo atualizações cadastrais.

 Resposta a e-mails que você nunca enviou.

 E-mails enviados aparentemente por você mesmo.

 Dicionários de diferentes idiomas e que podem ser facilmente obtidos na Internet.

 Listas de palavras comumente usadas, como personagens de filmes e nomes de times de

 Sequências numéricas e de teclado, como "123456", "qwert" e "1qaz2wsx";

 Informações pessoais, de conhecimento prévio do atacante ou coletadas na Internet em redes

 Bloquear o usuário alvo do ataque após um número de tentativas de autenticação

 Forçar o usuário a trocar sua senha periodicamente.