Escolar Documentos
Profissional Documentos
Cultura Documentos
O objetivo deste tópico é apresentar ao aluno a evolução tecnológica das corporações, bem como os principais
conceitos que permeiam o assunto Segurança da Informação.
NESTE TÓPICO
Introdução a segurança da informação
Informações corporativas e a segurança da informação
As corporações
Reações pessoais aos procedimentos de segurança
Referências
NESTE TÓPICO
Dentro de uma empresa existem milhares de informações. Estas são manipuladas diariamente pelos profissionais
para realizarem suas atividades fins. Torna-se uma tarefa árdua a de implementar controles que possam permitir
que as pessoas trabalhem com as informações necessárias de forma segura e ao mesmo tempo não causem
impactos nos objetivos corporativos. Neste intuito a segurança da informação foi criada para possibilitar a
continuidade do negócio mesmo com a ocorrência de algum incidente.
Informações corporativas e a segurança da informação
Quando um caminhoneiro sai para fazer uma viagem distante da sua base padrão, ele sempre observa alguns
itens prioritários para que sua viagem possa ser realizada de forma segura e tranquila. Em grandes organizações,
existem pessoas responsáveis por tomar conta da frota e deixar os equipamentos que serão utilizados pelos
motoristas em perfeitas condições. Para isso, fazem manutenções preventivas baseadas na execução
de checklists, verificando se os principais componentes estão em bom funcionamento. Cada caminhão passa por
uma série de verificações, como por exemplo: nível do combustível, pressão dos pneus, equipamentos de
emergência, nível do óleo, condição dos motores, acionamentos elétricos e mecânicos. Quando o motorista
recebe seu equipamento para realizar o transporte, mesmo sabendo que já foi feita previamente uma vistoria por
parte da equipe de apoio, ele verifica o seu freio, nível de gasolina, espelhos, cintos e outros itens que serão
utilizados por ele. Essas ações são chamadas de providência da segurança, onde são checados os principais itens
para que o utilizador do equipamento se sinta segura e consiga realizar sua atividade tranquilamente.
Com base nesse cenário, podemos verificar que a segurança muitas vezes é vista como um sentimento (isso
mesmo), as pessoas precisam se sentir seguras para que possam realizar suas atividades.
Da mesma forma como no exemplo anterior, a segurança da informação objetiva passar o sentimento de que
todas as informações necessárias para a realização das atividades dos diversos canais corporativos estão seguras
e que seus colaboradores possam fazer o bom uso das mesmas.
As corporações
Os procedimentos de segurança da informação se aplicam a qualquer tipo de organização que utilize meios
tecnológicos para gerenciar parcial ou totalmente suas atividades, podendo ser:
Uma empresa simples com um ou alguns microcomputadores sem estarem conectados entre
si.
Uma empresa de qualquer porte, com computadores interligados em rede e às vezes com
acesso à internet ou parceiros de negócios.
Um ambiente cooperativo onde a empresa interliga seus departamentos com seus parceiros
(fornecedores, clientes, logística, revendas etc.).
Com o passar dos anos, ocorreu uma profunda transformação na realidade da utilização dos computadores
dentro das organizações. No princípio, os computadores eram isolados e manipulavam os dados de forma
individual. Naquela época eram conhecidos como computadores de grande porte. O acesso a esses computadores
era segregado e somente a equipe técnica qualificada conseguia acessar aquelas gigantescas máquinas. Durante
esse período a necessidade de segurança era apenas manter os curiosos longe desses ambientes, de forma a não
causar nenhum problema físico ou manipulação indevida. Dessa forma, a necessidade de segurança resumia-se
apenas a colocar uma porta com chave e todo o problema estaria resolvido.
Com o desenvolvimento tecnológico, os computadores foram diminuindo de tamanho e a sua utilização passou a
ser feita por todas as pessoas. As empresas começaram a utilizá-lo em larga escala e em conjunto com os
computadores de grande porte (mainframes). Nesse cenário as necessidades de segurança aumentaram, pois,
além de proteger os dados que anteriormente estavam centralizados nos computadores de grande porte,
necessitavam agora proteger os dados e as informações que se encontravam dentro dos equipamentos dos
usuários. Essa proteção era voltada a evitar o uso indevido ou até mesmo a destruição.
Como em um passe de mágica, os computadores começaram a se conectar entre si, possibilitando que as
organizações pudessem compartilhar informações em tempo real e aumentando a capacidade produtiva e de
geração de negócios. Com toda essa evolução ocorreu a necessidade de segurança, não só dos equipamentos
envolvidos, mas do “negócio principal” da organização.
Neste cenário a informação precisaria estar disponível o tempo todo para todas as pessoas que tivessem tal
necessidade. Esta necessidade forma um dos pilares da segurança da informação, conhecido como
DISPONIBILIDADE.
O acesso a esses dados e informações deveria ser permitido apenas as pessoas autorizadas a este fim, e isto
possibilitou a criação de mais um pilar da segurança da informação, conhecido como CONFIDENCIALIDADE.
A autenticidade, conclamada por muitos como pilar de segurança, passa a ser observada como um item a ser
alcançado dentro do pilar da confidencialidade, pois sem saber que uma entidade é autêntica, não se pode
conceder acesso a esta.
As pessoas que dependem das informações também deveriam confiar que estas não sofreram nenhum tipo de
alteração não controlada. Com isso mais um pilar de segurança da informação foi formado: INTEGRIDADE.
Como a tecnologia evoluí a passos largos, novas ferramentas de comunicação, utilizando como meio de
comunicação a Internet, foram criadas. As empresas começaram então a mudar a forma de relacionamento com
seus clientes, fornecedores e colaboradores. Hoje os clientes, fornecedores e colaboradores realizam suas
atividades diárias remotamente, sem a necessidade de acesso físico às organizações. As redes sociais invadiram
as organizações trazendo com elas grandes preocupações para os profissionais de segurança, quanto a
confidencialidade das informações. Aliado ao desenvolvimento tecnológico ocorreu o barateamento dos
equipamentos, permitindo que as pessoas tivessem acesso a tecnologias antes inacessíveis a maioria delas. As
informações que antes estavam armazenadas em papéis e guardadas em armários de forma segura, agora estão
armazenadas em meios eletrônicos e distribuídas em várias partes da organização. As empresas estão cada vez
mais conectadas e o número de empresas não estão é cada vez menor.
Reações pessoais aos procedimentos de segurança
Com a necessidade de acuracidade das informações, as organizações em conjunto com profissionais de
segurança da informação, começaram a mapear seus processos e a criarem procedimentos formais e seguros
para as operações relacionadas ao negócio. Estes procedimentos são vistos pela maioria dos colaboradores como
mecanismos que “engessam” as operações. O que antes ocorria de acordo com a demanda dos colaboradores,
agora precisaria passar por um rito formal.
Os controles por vezes, geram overhead de esforço em atividades antes vistas como rotineiras. Vejamos o
exemplo de uma pessoa que não necessitava de um portão elétrico na sua residência. Em razão de assaltos, foi
obrigada a utilizar tal mecanismo. Logo em seguida, colocou alarme residencial para permitir o acesso ao
segundo nível da sua residência somente após a sua desativação. E depois câmeras, sensores de presença e
outros mecanismos seguros. O morador perde determinado tempo para passar por todos esses controles até
chegar à sala da sua residência. Este é o impacto causado pela adoção de mecanismos de segurança. Mas o que é
mais inconveniente: chegar a sua casa e demorar alguns segundos a mais para adentrar à sala, ou encontrar com
um ladrão fazendo a festa nela?
A maioria das pessoas ficam impacientes ao esperar por aprovação para entrar ou fazer algo em um determinado
ambiente. Imagine isso quando uma pessoa tem que esperar para validar uma transação eletrônica. Talvez seja
por isso que a maioria das pessoas não gostam dos controles, fato que justifica a dificuldade que os profissionais
de segurança enfrentam para implantar (com sucesso), técnicas e procedimentos que protejam as informações
corporativas.
NESTE TÓPICO
Introdução a segurança da informação
Informações corporativas e a segurança da informação
As corporações
Reações pessoais aos procedimentos de segurança
Referências
NESTE TÓPICO
Dentro de uma empresa existem milhares de informações. Estas são manipuladas diariamente pelos profissionais
para realizarem suas atividades fins. Torna-se uma tarefa árdua a de implementar controles que possam permitir
que as pessoas trabalhem com as informações necessárias de forma segura e ao mesmo tempo não causem
impactos nos objetivos corporativos. Neste intuito a segurança da informação foi criada para possibilitar a
continuidade do negócio mesmo com a ocorrência de algum incidente.
Informações corporativas e a segurança da informação
Quando um caminhoneiro sai para fazer uma viagem distante da sua base padrão, ele sempre observa alguns
itens prioritários para que sua viagem possa ser realizada de forma segura e tranquila. Em grandes organizações,
existem pessoas responsáveis por tomar conta da frota e deixar os equipamentos que serão utilizados pelos
motoristas em perfeitas condições. Para isso, fazem manutenções preventivas baseadas na execução
de checklists, verificando se os principais componentes estão em bom funcionamento. Cada caminhão passa por
uma série de verificações, como por exemplo: nível do combustível, pressão dos pneus, equipamentos de
emergência, nível do óleo, condição dos motores, acionamentos elétricos e mecânicos. Quando o motorista
recebe seu equipamento para realizar o transporte, mesmo sabendo que já foi feita previamente uma vistoria por
parte da equipe de apoio, ele verifica o seu freio, nível de gasolina, espelhos, cintos e outros itens que serão
utilizados por ele. Essas ações são chamadas de providência da segurança, onde são checados os principais itens
para que o utilizador do equipamento se sinta segura e consiga realizar sua atividade tranquilamente.
Com base nesse cenário, podemos verificar que a segurança muitas vezes é vista como um sentimento (isso
mesmo), as pessoas precisam se sentir seguras para que possam realizar suas atividades.
Da mesma forma como no exemplo anterior, a segurança da informação objetiva passar o sentimento de que
todas as informações necessárias para a realização das atividades dos diversos canais corporativos estão seguras
e que seus colaboradores possam fazer o bom uso das mesmas.
As corporações
Os procedimentos de segurança da informação se aplicam a qualquer tipo de organização que utilize meios
tecnológicos para gerenciar parcial ou totalmente suas atividades, podendo ser:
Uma empresa simples com um ou alguns microcomputadores sem estarem conectados entre
si.
Uma empresa de qualquer porte, com computadores interligados em rede e às vezes com
acesso à internet ou parceiros de negócios.
Um ambiente cooperativo onde a empresa interliga seus departamentos com seus parceiros
(fornecedores, clientes, logística, revendas etc.).
Com o passar dos anos, ocorreu uma profunda transformação na realidade da utilização dos computadores
dentro das organizações. No princípio, os computadores eram isolados e manipulavam os dados de forma
individual. Naquela época eram conhecidos como computadores de grande porte. O acesso a esses computadores
era segregado e somente a equipe técnica qualificada conseguia acessar aquelas gigantescas máquinas. Durante
esse período a necessidade de segurança era apenas manter os curiosos longe desses ambientes, de forma a não
causar nenhum problema físico ou manipulação indevida. Dessa forma, a necessidade de segurança resumia-se
apenas a colocar uma porta com chave e todo o problema estaria resolvido.
Com o desenvolvimento tecnológico, os computadores foram diminuindo de tamanho e a sua utilização passou a
ser feita por todas as pessoas. As empresas começaram a utilizá-lo em larga escala e em conjunto com os
computadores de grande porte (mainframes). Nesse cenário as necessidades de segurança aumentaram, pois,
além de proteger os dados que anteriormente estavam centralizados nos computadores de grande porte,
necessitavam agora proteger os dados e as informações que se encontravam dentro dos equipamentos dos
usuários. Essa proteção era voltada a evitar o uso indevido ou até mesmo a destruição.
Como em um passe de mágica, os computadores começaram a se conectar entre si, possibilitando que as
organizações pudessem compartilhar informações em tempo real e aumentando a capacidade produtiva e de
geração de negócios. Com toda essa evolução ocorreu a necessidade de segurança, não só dos equipamentos
envolvidos, mas do “negócio principal” da organização.
Neste cenário a informação precisaria estar disponível o tempo todo para todas as pessoas que tivessem tal
necessidade. Esta necessidade forma um dos pilares da segurança da informação, conhecido como
DISPONIBILIDADE.
O acesso a esses dados e informações deveria ser permitido apenas as pessoas autorizadas a este fim, e isto
possibilitou a criação de mais um pilar da segurança da informação, conhecido como CONFIDENCIALIDADE.
A autenticidade, conclamada por muitos como pilar de segurança, passa a ser observada como um item a ser
alcançado dentro do pilar da confidencialidade, pois sem saber que uma entidade é autêntica, não se pode
conceder acesso a esta.
As pessoas que dependem das informações também deveriam confiar que estas não sofreram nenhum tipo de
alteração não controlada. Com isso mais um pilar de segurança da informação foi formado: INTEGRIDADE.
Como a tecnologia evoluí a passos largos, novas ferramentas de comunicação, utilizando como meio de
comunicação a Internet, foram criadas. As empresas começaram então a mudar a forma de relacionamento com
seus clientes, fornecedores e colaboradores. Hoje os clientes, fornecedores e colaboradores realizam suas
atividades diárias remotamente, sem a necessidade de acesso físico às organizações. As redes sociais invadiram
as organizações trazendo com elas grandes preocupações para os profissionais de segurança, quanto a
confidencialidade das informações. Aliado ao desenvolvimento tecnológico ocorreu o barateamento dos
equipamentos, permitindo que as pessoas tivessem acesso a tecnologias antes inacessíveis a maioria delas. As
informações que antes estavam armazenadas em papéis e guardadas em armários de forma segura, agora estão
armazenadas em meios eletrônicos e distribuídas em várias partes da organização. As empresas estão cada vez
mais conectadas e o número de empresas não estão é cada vez menor.
Reações pessoais aos procedimentos de segurança
Com a necessidade de acuracidade das informações, as organizações em conjunto com profissionais de
segurança da informação, começaram a mapear seus processos e a criarem procedimentos formais e seguros
para as operações relacionadas ao negócio. Estes procedimentos são vistos pela maioria dos colaboradores como
mecanismos que “engessam” as operações. O que antes ocorria de acordo com a demanda dos colaboradores,
agora precisaria passar por um rito formal.
Os controles por vezes, geram overhead de esforço em atividades antes vistas como rotineiras. Vejamos o
exemplo de uma pessoa que não necessitava de um portão elétrico na sua residência. Em razão de assaltos, foi
obrigada a utilizar tal mecanismo. Logo em seguida, colocou alarme residencial para permitir o acesso ao
segundo nível da sua residência somente após a sua desativação. E depois câmeras, sensores de presença e
outros mecanismos seguros. O morador perde determinado tempo para passar por todos esses controles até
chegar à sala da sua residência. Este é o impacto causado pela adoção de mecanismos de segurança. Mas o que é
mais inconveniente: chegar a sua casa e demorar alguns segundos a mais para adentrar à sala, ou encontrar com
um ladrão fazendo a festa nela?
A maioria das pessoas ficam impacientes ao esperar por aprovação para entrar ou fazer algo em um determinado
ambiente. Imagine isso quando uma pessoa tem que esperar para validar uma transação eletrônica. Talvez seja
por isso que a maioria das pessoas não gostam dos controles, fato que justifica a dificuldade que os profissionais
de segurança enfrentam para implantar (com sucesso), técnicas e procedimentos que protejam as informações
corporativas.
Golpes na internet
O objetivo deste tópico é apresentar ao aluno os principais golpes praticados na Internet e auxilia-lo na
identificação dos mesmos.
NESTE TÓPICO
Introdução a golpes na Internet
Principais golpes praticados na Internet
Furto de identidade
Forma de ataque
Prevenção
Fraude de antecipação de recursos (Advance fee fraud)
Forma de ataque
Prevenção
Phishing
Forma de ataque
Prevenção
Pharming
Forma de ataque
Prevenção
Golpes de comércio eletrônico
Forma de ataque
Prevenção
Boato
Forma de ataque
Prevenção
Referências
NESTE TÓPICO
Uma vez que alcançam os dados das vítimas, os golpistas podem: efetuar transações financeiras, acessar sites,
enviar SPAM, abrir empresas fantasmas e criar contas bancárias ilegítimas. Muitos dos golpes aplicados na
Internet podem ser considerados crimes contra o patrimônio, tipificados como estelionato. Dessa forma, o
golpista pode ser considerado um estelionatário.
Principais golpes praticados na Internet
Furto de identidade
Forma de ataque
O furto de identidade, ou identity theft, é o ato pelo qual uma pessoa tenta se passar por outra, atribuindo-se uma
falsa identidade, com o objetivo de obter vantagens indevidas. Alguns casos de furto de identidade podem ser
considerados como crime contra a fé pública, tipificados como falsa identidade. Geralmente o atacante usa os
dados roubados para abrir empresas fantasmas no nome do alvo. Há também a utilização de tais dados para a
abertura de contas bancárias. Como as informações são verdadeiras, fica muito difícil para as empresas
discernirem se os dados são legítimos ou não.
Nesse rompante, quanto mais informações você publica na Internet, mais informações você está compartilhando
com os golpistas. Isto ocorre, por que quanto mais informações o golpista tem, mais convincente sobre quem ele
diz ser ele se torna. Caso a sua identidade seja furtada, você poderá arcar com consequências como perdas
financeiras, perda de reputação e falta de crédito. O principal problema é que percebemos este ataque tarde
demais, quando alguém nos aciona por algum ato que não cometemos, podendo ser já irremediável.
Prevenção
A melhor forma de impedir que sua identidade seja furtada é evitar que o impostor tenha acesso aos seus dados
e às suas contas de usuário. Além disto, para evitar que suas senhas sejam obtidas e indevidamente usadas, é
muito importante que você seja cuidadoso, tanto ao usá-las quanto ao elaborá-las. É necessário também que
você fique atento a alguns indícios que podem demonstrar que sua identidade está sendo indevidamente usada
por golpistas, tais como:
Recebimento de comunicações (e-mails, telefonemas) sobre assuntos que você nem ideia.
Hacker na Internet
Apresenta erros gramaticais e de ortografia (golpistas são astutos, mas geralmente não
empregam o idioma da maneira correta).
Aplicar a sabedoria popular de ditados como "Quando a esmola é demais, o santo desconfia"
ou "Tudo que vem fácil, vai fácil", também pode ajudá-lo nesses casos.
Vale alertar que mensagens deste tipo nunca devem ser respondidas, pois isto pode servir para confirmar que o
seu endereço de e-mail é válido. Esta informação pode ser usada, por exemplo, para incluí-lo em listas de spam
ou de possíveis vítimas em outros tipos de golpes.
Roubo de Informações
Phishing
Forma de ataque
Este ataque é conhecido como phishing, phishing-scam ou phishing/scam. Neste tipo de fraude o golpista tenta
obter dados pessoais e financeiros de um usuário, por meio da utilização combinada de meios técnicos e
engenharia social. A forma geral do phishing envolve as seguintes técnicas:
Informar que a não execução dos procedimentos descritos pode acarretar em sérias
consequências.
Phishing
Para atrair a atenção do usuário as mensagens apresentam diferentes tópicos e temas, a saber:
Páginas falsas de comércio eletrônico ou Internet Banking: você recebe um e-mail em nome da instituição.
Ao clicar no link é direcionado para uma página falsa, onde a fraude ocorre.
Páginas falsas de redes sociais ou de companhias aéreas: o mesmo que o anterior, porém em nome de rede
social ou companhia aérea.
Mensagens contendo formulários/recadastramento: você recebe uma mensagem para a atualização dos seus
dados financeiros. Ao enviar, você acabou de informar todas as suas informações financeiras ao atacante.
Mensagens contendo links para códigos maliciosos: muitas vezes a mensagem lhe indica alguma ferramenta
que aumente a sua velocidade da sua Internet ou que pode fazer aumentar a performance do seu computador. Na
verdade, contém um link ou código malicioso que permitirá ao fraudador acessar seu computador remotamente.
Prevenção
Observe com atenção as mensagens que recebe. Questione-se por que você foi o sortudo escolhido entre
milhares de pessoas. Pergunte-se como alguma instituição séria, que possui os seus dados, mandaria um e-mail
para uma página de atualização.
Desconfie de mensagens que apelem para a sua curiosidade ou caridade de forma demasiada. Vale ressaltar que
se você posicionar o ponteiro do mouse (sem clicar) sobre o remetente da mensagem é possível ver o domínio
de envio da mensagem. Geralmente, este domínio não tem relação com a instituição real.
Faça o uso de antimalware, firewall pessoal e filtros antiphishing. Verifique se a página utiliza conexão segura,
como por exemplo, certificados digitais. Sites de comércio eletrônico ou Internet Banking confiáveis sempre
utilizam conexões seguras quando dados sensíveis são solicitados.
Na dúvida, ignore o e-mail e entre em contato direto com a instituição que se diz ser para verificar os dados
presentes no e-mail. Importante, não confie no número telefônico apresentado no próprio e-mail. Procure em
uma lista de confiança.
Pharming
Forma de ataque
Pharming é um tipo específico de phishing que envolve o redirecionamento da navegação do usuário para sites
falsos, por meio de alterações no serviço de DNS (Domain Name System). Neste caso, quando você tenta acessar
um site legítimo, o seu navegador Web é redirecionado, de forma transparente, para uma página falsa. Este
redirecionamento pode ocorrer:
Pela ação de códigos maliciosos projetados para alterar o comportamento do serviço de DNS
do seu computador (alterando por exemplo, o arquivo hosts).
Pela ação direta de um invasor, que venha a ter acesso às configurações do serviço de DNS
do seu computador ou modem de banda larga.
Prevenção
As seguintes ações podem auxilia-lo na prevenção ao ataque de pharming:
Desconfiar caso o site de comércio ou Internet Banking não utilize comunicação segura.
Boato
Forma de ataque
Um boato (hoax), é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem como
remetente, ou aponta como autora, alguma instituição, empresa importante ou órgão governamental. Um boato
pode causar diversos problemas, a saber:
Boatos (Hoax)
Prevenção
Normalmente os boatos se espalham, pois, mexem com o emocional das pessoas que o recebem. Um boato,
geralmente, apresenta pelo menos uma das seguintes características:
Além disto, muitas vezes, uma pesquisa na Internet pelo assunto da mensagem pode ser suficiente para localizar
relatos e denúncias já feitas. É importante ressaltar que você nunca deve repassar boatos pois, ao fazer isto,
estará endossando ou concordando com o seu conteúdo. Outras dicas gerais para se proteger de golpes aplicados
na Internet são:
Malwares
O objetivo deste tópico é apresentar ao aluno os principais tipos de malwares existentes e como se prevenir
contra eles.
NESTE TÓPICO
Introdução
Principais tipos de Malwares
Vírus
Worm
Bot e botnet
Spyware
Backdoor
Cavalo de troia (Trojan)
Rootkit
Referências
NESTE TÓPICO
Introdução
Principais tipos de Malwares
Vírus
Worm
Bot e botnet
Spyware
Backdoor
Cavalo de troia (Trojan)
Rootkit
Referências
Marcar
tópico
Introdução
Malwares são códigos maliciosos que objetivam executar ações danosas nos computadores infectados. Algumas
das principais formas de um malware infectar um computador são:
Worm
Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de
computador para computador. Como este se replica numa velocidade grande, são conhecidos por consumir
muitos recursos computacionais, podendo ser percebidos pela degradação do meio onde instalados. O processo
de propagação e infecção dos worms ocorre da seguinte maneira:
Identificação dos computadores alvos: identificam o alvo e o infectam, tentando se auto copiar o maior
número de vezes possíveis. Para isso, o worm pode efetuar varredura na rede, aguardar que outros computadores
se conectem ao computador infectado ou usar listas de e-mails ou configurações contidas na máquina infectada.
Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e tenta enviá-las para estes
computadores, como parte da exploração de vulnerabilidades existentes em programas instalados no computador
alvo, anexados em e-mails, via canais de comunicação pré-estabelecidos, programas de troca de mensagens,
diretórios compartilhados, dentre outros.
Ativação das cópias: após realizado o envio da cópia, o worm necessita ser executado para que a infecção
ocorra, o que pode acontecer imediatamente após ter sido transmitido, diretamente pelo usuário ou pela
realização de uma ação específica do usuário.
Reinício do processo: após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a
partir de agora, o computador que antes era o alvo passa a ser também o computador originador dos ataques.
Worm de Computador
Bot e botnet
Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja
controlado remotamente. Possui processo de infecção e propagação similar ao do worm. Um computador
infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente,
sem o conhecimento do seu dono.
Botnet (já apresentado anteriormente) é uma rede formada por centenas ou milhares de computadores zumbis e
que permite potencializar as ações danosas executadas pelos bots. Algumas das ações maliciosas que costumam
ser executadas por intermédio de botnets são: ataques de negação de serviço (DDoS), propagação de códigos
maliciosos, coleta de informações, envio de spam e camuflagem da identidade do atacante.
O esquema apresentado a seguir exemplifica o funcionamento básico de uma botnet:
Quando a ação se encerra, os zumbis voltam a ficar à espera dos próximos comandos a serem
executados.
É um tipo de infecção bem difícil de ser detectada devido a característica de que os bots permanecem iníquos
até que sejam conclamados.
Botnet
Spyware
Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas
para terceiros. Pode ser usado tanto de forma legítima quanto maliciosa. Considera-se como uso legítimo,
quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste e malicioso
quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador.
Alguns tipos específicos de programas spyware são:
Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua
ativação, em muitos casos, é condicionada a uma ação prévia do usuário, como o acesso a um site específico de
comércio eletrônico ou de Internet Banking.
Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor,
nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado.
Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando
incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve
programas livres ou presta serviços gratuitos.
Backdoor
Backdoor é um programa que permite o retorno de um atacante a um computador comprometido. Pode ser
incluído por meio da ação de malwares que tenham infectado o computador anteriormente.
Um backdoor normalmente cria um novo serviço ou substitui um serviço existente na máquina infectada para
permitir o acesso remoto por parte do atacante. Podem também ser utilizados programas de administração
remota mal configurados, como por exemplo: BackOrifice, NetBus, SubSeven, VNC e Radmin.
Existem também casos em que fabricantes incluem deliberadamente backdoors nos computadores
comercializados por eles com a desculpa de necessidade de funções administrativas remotas. Isto é uma má
prática e compromete a privacidade do proprietário do equipamento.
Cavalo de troia (Trojan)
O cavalo de Tróia ganhou este nome devido a mitologia grega, na qual é contada uma história de que um cavalo
dado como presente, fora utilizado pelo exército grego para obter acesso a cidade de Tróia, a qual possuía uma
muralha extremamente fortalecida. Em informática este termo representa um software malicioso que está
infectado propositalmente com outros malwares. Geralmente os cavalos de troia são programas que parecem
inofensivos, como protetores de tela, jogos, cartões virtuais, entre outros. Estes são classificados de acordo com
o tipo de ação que executam:
Trojan Downloader: instala outros códigos maliciosos, obtidos de sites na Internet.
Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio código do trojan.
Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador.
Trojan DoS: instala ferramentas de negação de serviço e as utiliza para desferir ataques.
Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco rígido e pode deixar o computador fora
de operação.
Trojan Clicker: redireciona a navegação do usuário para sites específicos, com o objetivo de aumentar a
quantidade de acessos a estes sites ou apresentar propagandas.
Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegação
anônima e para envio de spam.
Trojan Spy: instala programas spyware e os utiliza para coletar informações sensíveis, como senhas e números
de cartão de crédito, e enviá-las ao atacante.
Trojan Banker ou Bancos: coleta dados bancários do usuário.
Cavalo de Tróia
Rootkit
Rootkit é um conjunto de ferramentas preparadas para realizar a ocultação dos programas maliciosos instalados
pelo invasor. Ele pode ser usado para remover evidências em arquivos de log, instalar outros programas
maliciosos, ocultar atividades suspeitas no equipamento, varrer o equipamento em busca de vulnerabilidades
que podem ser exploradas pelo invasor, capturar informações da rede, entre outros. No entanto, os rootkits não
são utilizados para obter acesso ao perfil de administrador do equipamento e sim para mantê-lo.
Da mesma forma como ocorre com os backdoors, empresas andaram distribuindo suas propriedades intelectuais
infectadas com rootkits, sob alegação de necessidade de manter a propriedade intelectual destas. Isto coloca o
equipamento em risco pelo fato do rootkit poder ser reconfigurado para ocultar outros softwares maliciosos e
por colocar em risco a privacidade do usuário.
NESTE TÓPICO
Introdução
Vulnerabilidades
Scan de redes
E-mail spoofing
Sniffing de dados
Brute force
Defacement
Negação de serviço (DoS e DDoS)
Referências
NESTE TÓPICO
Introdução
Vulnerabilidades
Scan de redes
E-mail spoofing
Sniffing de dados
Brute force
Defacement
Negação de serviço (DoS e DDoS)
Referências
Marcar
tópico
Introdução
Os ataques cometidos por meio da Internet costumam possuir diversos objetivos, sobre diferentes alvos e
municiando-se de variadas técnicas. Quaisquer dispositivos computacionais que tenham acesso à Internet
tornam-se alvos potenciais para o ataque. Em alguns casos os atacantes comprometem estes dispositivos para
fazer deles membros de ataques a outros.
A motivação de ataque é variada, comumente sendo: por diversão, demonstração de poder, prestigio na
comunidade hacker, motivação financeira, motivação ideológica, motivações comerciais e outras. A seguir uma
breve explicação sobre cada tipo motivacional para ataques.
Diversão: o atacante simplesmente se diverte atacando alvos, muitas vezes aleatórios. Geralmente o atacante
ganha conhecimento técnico por meio de livros e revistas especializados ou até mesmo a Internet. Após obter
conhecimento, o atacante quer colocar em prática e divertir-se com isso.
Demonstração de poder: esta motivação já passa a ser uma mais séria e que impreterivelmente acarretará em
práticas criminosas. O motivador é demonstrar à alguma empresa que esta pode ter seus serviços
computacionais comprometidos e em algumas vezes, chantageá-la para que o ataque não ocorra novamente.
Prestígio: apresentar a sua comunidade que este pode entrar em domínios considerados seguros ou que são
comprovadamente difíceis de serem atacados. Algumas vezes os grupos de atacantes realizam competições para
verificar quem é o grupo que consegue comprometer o maior número de alvos no menor espaço de tempo.
Motivações financeiras: usar os artefatos conseguidos nos ataques para obter vantagens financeiras, aplicar
golpes e etc. (geralmente acarretando em práticas criminosas).
Motivações ideológicas: atacar domínios que possuem opinião divergentes às do grupo. Existem grupos
contumazes que atacam apenas por princípios ideológicos (isto não os torna mais nobres).
Motivações comerciais: atacar empresas concorrentes com intuito de sabotagem. Esta prática esta tornando-se
comum a medida que as empresas possuem grande parte da sua oferta de serviços apenas na Internet.
Para alcançar estes objetivos, os atacantes podem utilizar inúmeras técnicas para intrusão e sondagem de
segurança. A seguir, as técnicas mais utilizadas bem como, as formas de prevenção recomendadas.
Sondagem para a intrusão
Fonte: http://www.shutterstock.com/pic-222992434/stock-photo-thief-at-the-window.html?
src=k4c1XuJdoGOxEHRd0m_UMQ-1-17
Vulnerabilidades
Para entender o que será explorado, vamos primeiro entender o que é uma vulnerabilidade. Uma vulnerabilidade
é algo que enfraquece a segurança de um ativo. Imaginemos o clássico exemplo de fechar uma corrente por
completo, colocando em um dos elos, barbante. Obviamente que ao se deparar com o barbante, o atacante irá
preferir cortá-lo com uma tesoura do que cortar um dos elos de aço com um maçarico ou alicate. Estas
vulnerabilidades possuem as mais diversas origens, sendo as mais comuns: falhas no projeto, na implementação
ou na configuração de programas, serviços ou equipamentos de rede. Dizemos então que houve uma exploração
de vulnerabilidades, quando o atacante consegue por meio de uma das técnicas aqui mencionadas obter
informações confidenciais, ou acessar sistemas para os quais não está autorizado.
Para mitigar este cenário, a equipe de segurança deve aplicar os patchs de correções mais atuais,
aplicar baselines de segurança e monitorar constantemente o ambiente computacional em busca de perfis de
acesso anômalos ao padrão comportamental da organização.
Scan de redes
Varredura em redes, ou scan, é uma técnica que consiste em efetuar buscas minuciosas em redes, com o objetivo
de identificar computadores ativos e coletar informações sobre eles como, por exemplo, serviços
disponibilizados e programas instalados. [1]
Esta com certeza é a porta de entrada da intrusão, pois os atacantes precisam primeiro conhecer o alvo para
depois ataca-lo. Com as informações coletadas no scan, os atacantes descobrem quais serviços estão vulneráveis
e como estes podem ser atacados.
Estas varreduras e a exploração de vulnerabilidades podem ser usadas de forma:
Legítima: pessoas contratas pela empresa, ou funcionários próprios, buscando por vulnerabilidades, objetivando
mitigar potenciais ataques.
Maliciosa: por atacantes, para explorar as vulnerabilidades encontradas nos serviços disponibilizados e nos
programas instalados para a execução de atividades maliciosas.
A forma mais eficaz para mitigar ataques do tipo de varredura de portas é manter o Firewall sempre atualizado
(regras) e aplicar baselines de segurança que desabilitam serviços desnecessários nos equipamentos.
E-mail spoofing
Falsificação de e-mail, ou e-mail spoofing, é uma técnica que consiste em alterar campos do cabeçalho de um e-
mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de
outra. [1]
Esta técnica se baseia no cenário onde o protocolo SMTP (Simple Mail Transfer Protocol) pode ter seu
cabeçalho alterado sem qualquer percepção por parte do serviço de e-mail. Costuma-se dizer que o “relay está
aberto”, quando não é necessário autenticar-se no serviço para que uma mensagem seja enviada. Neste tipo de
ataque, o agressor altera o cabeçalho da mensagem e coloca nos campos “ From”, “Reply To” e “Return Path”
endereços diferentes dos verdadeiros.
Ataques deste tipo são bastante usados para propagação de códigos maliciosos, envio de spam e em golpes
de phishing. [1]
A seguir, exemplos de ataques de e-mail spoofing:
De algum domínio no qual você se cadastrou pedindo que siga um link na própria mensagem.
Estes são alguns exemplos, mas muitas outras variações podem ocorrer. Para remediar este tipo de ataque adote
um serviço do tipo SMTPS (Simple Mail Transfer Protocol Secure) no qual o envio de mensagens deva obrigar
a autenticação. Dê preferência a utilização de assinaturas digitais para garantir a origem e a integridade das
mensagens recebidas. Na dúvida, ligue diretamente no canal oficial da instituição da qual recebeu o e-mail e
verifique a veracidade da mensagem antes de tomar qualquer ação.
Sniffing de dados
Interceptação de dados ou sniffing de dados é um ataque caracterizado pela sondagem ou observação dos dados
que trafegam em determinado meio físico, sendo este geralmente as redes de computadores. Os softwares que
executam tais procedimentos são conhecidos como sniffers. O objetivo dos atacantes é o de capturar dados
sensíveis que poderão a posteriori ser utilizados em outros ataques, sendo estes, nomes de usuários, senhas de
acesso entre outros. Não obstante a obtenção de credenciais de acesso, os atacantes também buscam por
informações confidenciais da empresa ou de terceiros que utilizam o meio físico da empresa para trafegar seus
dados. Imagine uma empresa que faz o roteamento de transações por cartão de crédito, agora imagine
um sniffer apontado em direção a rede que está transmitindo estes dados. Já percebeu o estrago que poderá ser
causado?
É uma boa pratica de segurança que a própria equipe de segurança da empresa faça periodicamente sniffing em
sua rede em conjunto com scan de vulnerabilidades a fim de encontrar potenciais vulnerabilidades e mitiga-las
assim que possível.
Para se defender deste tipo de ataque você deverá adotar alguma técnica para ofuscação dos dados. A mais
comum é a utilização de canais seguros duplamente autenticados, sendo o os protocolos mais recomendados o
IPSec e o TLS.
Brute force
O ataque de força bruta consiste em tentar todas as combinações possíveis para chaves criptográficas, nomes de
usuários e suas respectivas senhas. Obviamente, dependendo do sistema e da quantidade de senhas e chaves
criptográficas associadas, o atacante levará dezenas, centenas de anos até conseguir acesso ao sistema. Por outro
lado, quando a chave criptográfica ou a senha não possuem força mínima recomendada, a força bruta pode levar
apenas alguns segundos, minutos, não mais que horas. Fica óbvio que a melhor defesa é o ataque, ou seja,
deixar as chaves e senhas o mais forte possível. Uma variante do brute force e que diminuí bastante o tempo
necessário para alcançar o acesso não autorizado a um sistema, é chamado de ataque de dicionário. No ataque de
dicionário o atacante usa as palavras e senhas mais comuns para o idioma do alvo, diminuindo com sucesso o
tempo necessário para o ataque. Existe uma outra variação chamada de ataque híbrido. No ataque hibrido
primeiro se tenta o ataque por dicionário e posteriormente no caso de insucesso o ataque por força bruta.
Um ataque de força bruta, ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e
senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos
privilégios deste usuário.
Qualquer computador, equipamento de rede ou serviço que seja acessível via Internet, com um nome de usuário
e uma senha, pode ser alvo de um ataque de força bruta. Dispositivos móveis, que estejam protegidos por senha,
além de poderem ser atacados pela rede, também podem ser alvo deste tipo de ataque caso o atacante tenha
acesso físico a eles. [1]
Segundo a cartilha do CERT, as tentativas de adivinhação costumam ser baseadas em:
Substituições óbvias de caracteres, como trocar "a" por "@" e "o" por "0"';
Um ataque de força bruta, dependendo de como é realizado, pode resultar em um ataque de negação de serviço,
devido à sobrecarga produzida pela grande quantidade de tentativas realizadas em um pequeno período de
tempo. [1]
O que devemos fazer para impedir este ataque? Infelizmente, se existe chave criptográfica ou serviço baseado
na autenticação por usuário e senha, existe força bruta. Mas podemos mitigar o ataque da seguinte forma:
Forçar por meio de políticas de senha, que o usuário forme senhas fortes.
Defacement
Este tipo de ataque resulta de uma intrusão bem-sucedida e gera uma série de constrangimentos para o dono do
site atacado. O defacement é caracterizado pela ação de alterar deliberadamente a página da empresa, muitas
vezes também é chamado de pichação eletrônica. As principais formas de intrusão que resulta
no defacement são:
Como a Internet é um organismo vivo, assim que o defacement ocorrer, muitas cópias que comprovarão o
ocorrido estarão presentes na grande rede. Isso pode afetar a credibilidade da empresa e expô-la como
vulnerável.
Para evitar este tipo de ataque se deve adotar as políticas de segurança apresentadas pelo consorcio OWASP
(apresentados em outros capítulos deste material), mantendo os servidores WEB em ambientes controlados e
seguros.
Negação de serviço (DoS e DDoS)
Qual a pior coisa que pode acontecer com uma empresa? Não poder abrir e não poder operar. A negação de
serviço faz isso com a versão digital das empresas, ou seja, impedem que os sites sejam acessados por seus
clientes. Mas como? A negação de serviço ocorre de forma a paralisar as operações de determinado recurso
computacional por meio da inundação de requisições. Quando este recurso recebe um número de requisições
superior à sua capacidade operacional este acaba por ser paralisado. O termo vem do inglês “ Denial of Service”
e é comumente referenciado pela sigla DoS. Uma variação do DoS é o DDoS. No DDoS ( Distributed Denial of
Service) o atacante monta uma rede bot (botnet) para fazer a inundação de solicitações ao servidor alvo do
ataque.
Observe a característica danosa deste tipo de ataque. Ele não possui a intenção de roubar informações, nem
tampouco obter acesso não autorizado. O único objetivo deste ataque é a de indisponibilidade. Relembrando dos
pilares de segurança, confidencialidade, integridade e disponibilidade, este age sobre o pilar disponibilidade.
O ataque de negação de serviço também pode ser feito diretamente nas redes de computadores, sem possuir um
alvo específico, como por exemplo, um servidor. Nesta variação de ataque, o agente agressor gera uma enorme
quantidade de dados que devem ser transportados pela rede, fazendo com que os devices de rede fiquem
sobrecarregados e passem a operar de forma deficitária. Com certeza você já fez parte de um ataque de DoS.
Nunca? Certeza? Sabe aquela vez que você estava assistindo a um vídeo com resolução em 4K na rede da sua
casa e que todos os seus familiares começaram a reclamar que a rede estava lenta? Foi um ataque, não
proposital, orquestrado por você. Agora imagine que você tenha apenas 1MB de conexão com a Internet e que
você more com outras 3 pessoas. Imagine agora as 4 pessoas assistindo filmes pela Internet com resolução em
4K. Ninguém conseguirá assistir de maneira fluída e o roteador com certeza apresentará dificuldades no seu
trabalho habitual. Viu como é fácil fazer um DoS ou DDoS?
Mas se o ataque pode ocorrer de forma proposital ou não, como poderemos mitiga-lo? Devemos tomar medidas
preventivas, mitigando a possibilidade de exploração deste tipo de ataque por meio da adoção de equipamentos
que fazem a inspeção de fluxo de dados, ou que traçam o perfil de acesso dos usuários da rede, evitando assim
que anomalias gerem o DoS. Além disso, a utilização de Firewall auto reconfiguráveis que possam identificar
ataques de DoS e DDoS e cortar a comunicação maliciosa, são fundamentais. Geralmente estes Firewall agem
em conjunto com sistemas de IPS (Intrusion Detection System).
Privacidade na internet
O objetivo deste tópico é apresentar ao aluno as principais formas de manter sua privacidade ao utilizar os
recursos computacionais.
NESTE TÓPICO
Introdução
Ao acessar o e-mail
Ao navegar na Internet
Ao divulgar informações
Ao compartilhar equipamentos
Ao acessar redes públicas
Conexões seguras
Referências
NESTE TÓPICO
Introdução
Ao acessar o e-mail
Ao navegar na Internet
Ao divulgar informações
Ao compartilhar equipamentos
Ao acessar redes públicas
Conexões seguras
Referências
Marcar
tópico
Introdução
Comecemos com a definição de privacidade segundo o dicionário informal: “É a habilidade de uma pessoa em
controlar a exposição e a disponibilidade de informações acerca de si.” [2]
Segundo a definição anterior, privacidade controla o que eu quero eu não expor sobre mim para terceiros. Na
realidade digital que vivemos a exposição é gigantesca e muitas vezes não conseguimos evitar a exposição das
nossas opiniões ou da nossa vida privada. Privacidade é tão sensível que mesmo que você não tenha acesso à
Internet, informações sobre si podem estar lá sem seu conhecimento ou prévia autorização:
Algum software malicioso que você instalou sem saber está agindo de forma deliberada,
vazando suas fotos, vídeos e informações pessoais.
Alguém teve acesso à uma conta sua em rede social (mesmo que já desabilitada).
Seus hábitos e preferências foram capturados por sites que você visita frequentemente.
Ao acessar o e-mail
Sendo assim, devemos tomar cuidados especiais de acordo com as mídias que acessamos. Por exemplo, ao
acessar ou armazenar e-mails devemos:
Não deixar o navegador ou cliente de e-mail baixar imagens que não estejam diretamente no
corpo da mensagem.
Acesse seus e-mails por meio de conexão segura (HTTPS, SMTPS, POPS, IMAPS, ect).
Acessando o e-mail
Ao navegar na Internet
Ao navegar na Internet, tome as seguintes medidas com intuito de manter a privacidade dos seus dados:
Sempre que possível, utilize a opção “Do Not Track” para manter o sigilo quanto a
rastreabilidade de acessos feitos por você.
Ao divulgar informações
Ao divulgar informações na Internet, tome as seguintes medidas com intuito de manter a privacidade dos seus
dados:
Avalie com cuidado o impacto que a informação a ser compartilhada pode trazer sobre si.
Sempre que algum site solicitar os dados pessoais, reflita se este site é confiável o bastante
para manter seus dados em sigilo.
Ao receber ofertas pela Internet, verifique a veracidade da oferta por meio de um canal
secundário e seguro, antes de prosseguir com o acesso.
Fique atento aos famosos e-mails e sites que prometem fazer a atualização cadastral em nome
de terceiros. Valide junto ao terceiro antes de prosseguir.
Ao compartilhar equipamentos
Ao compartilhar equipamentos, tome as seguintes medidas com intuito de manter a privacidade dos seus dados:
No caso de equipamento móveis, retire os cartões de memória que podem armazenar dados
confidenciais.
Nunca utilize acesse sua instituição financeira ou sites sigilosos por meio de redes não
confiáveis.
Tenha certeza que seu equipamento está em dia com a aplicação de patches de correção antes
de adentrar a redes inseguras.
Nunca digite senhas, ou códigos de confirmação de uso pessoal, como por exemplo, códigos
de acesso gerados aleatoriamente pelos serviços que você frequentemente acessa.
Nunca configure seu equipamento como visível pelos equipamentos vizinhos em redes
inseguras.
Nunca compartilhe sua biblioteca de vídeos ou músicas, pois o compartilhamento pode ser
utilizado no ataque.
Conexões seguras
Ao navegar na Internet, é muito provável que a grande maioria dos acessos que você realiza não envolva o
tráfego de informações sigilosas, como quando você acessa sites de pesquisa ou de notícias. Esses acessos são
geralmente realizados pelo protocolo HTTP, onde as informações trafegam em texto claro, ou seja, sem o uso de
criptografia. [3]
No entanto, existem circunstâncias na quais gostaríamos de impedir que os atacantes pudessem bisbilhotar
nossos dados. Para isso, devemos utilizar conexões seguras por meio de protocolos criptográficos. O protocolo
HTTPS faz o uso de certificados digitais para a autenticação das “pontas” presentes na comunicação. Também
utiliza métodos criptográficos e outros protocolos, como o SSL (Secure Sockets Layer) e o TLS (Transport
Layer Security), para assegurar a confidencialidade e a integridade das informações. [3]
Sempre que o acesso envolver algum tipo de transporte de informações sensíveis, faça por meio de conexões
seguras.
Introdução
Principais riscos atrelados às redes sociais
Preservação da privacidade em meios digitais públicos
Referências
Marcar
tópico
Introdução
As redes sociais foram criadas com o objetivo de interconectar pessoas. Elas nos possibilitam compartilhar
informações e encontrar pessoas que tem interesses comuns aos nossos. Alguns exemplos de redes sociais são:
Facebook, Orkut, Twitter, Linkedin, Google+ e foursquare.
As redes sociais passaram a ser parte integrante da vida das pessoas. As pessoas utilizam as redes sociais como
fonte de informações, atualidades, acompanhar ídolos ou pessoas de interesse e para divulgar o que estão
pensando e/ou onde estão. Também são utilizadas para manter perfis profissionais e como fonte de busca de
profissionais por parte das empresas.
As principais características das redes sociais são:
Alto grau de confiança que uma mensagem atinge dependendo da confiança da própria fonte
da informação.
Devido as características expostas devemos tomar uma série de cuidados para manter o nível de privacidade e
segurança adequados.
Privacidade
Fonte: http://www.shutterstock.com/pic-242756941/stock-photo-security-lock-on-computer-circuit-board-computer-
security-concept.html?src=FWd7k-6jaboK6v3yrXyF1Q-1-1
Não divulgue mensagens ou imagens copiadas do perfil de pessoas que restrinjam o acesso.
Tente imaginar como a outra pessoa se sentiria ao saber que aquilo está se tornando público.
Quanto ao seu perfil e aos seus familiares, considere as seguintes proteções [1]:
Habilite, quando disponível, as notificações de login, pois assim fica mais fácil perceber se
outras pessoas estiverem utilizando indevidamente o seu perfil.
Organize seus círculos de amizades por assuntos em comum, poupando os demais que não
gostam de determinados temas de serem envolvidos.
Proteja os dados dos entes queridos e próximos. Alerte-os sobre os ricos de uso de redes
sociais aqui descritos. Respeite os limites de idades impostos a assuntos e a imagens. Oriente
seus próximos a não se relacionarem com pessoas desconhecidas.
Engenharia social
Os principais objetivos deste tópico são os de apresentar ao aluno as técnicas mais utilizadas na engenharia
social e como esquivar-se delas.
NESTE TÓPICO
Introdução
O engenheiro social
Técnicas mais comuns de engenharia social
Formas de proteção contra engenharia social
Referências
NESTE TÓPICO
Introdução
O engenheiro social
Técnicas mais comuns de engenharia social
Formas de proteção contra engenharia social
Referências
Marcar
tópico
Introdução
A engenharia social é uma forma de ataque que utiliza a técnica da manipulação dos relacionamentos pessoais
para obter informações que concedam acesso a meios eletrônicos ou outros dispositivos físicos. Para isso, faz
uso do inconsciente das pessoas. Como a segurança é baseada na confiança, as informações conseguidas pelo
invasor são obtidas na maioria das vezes em virtude da ingenuidade e “falta de conhecimento” dos envolvidos.
O invasor faz uso de suas habilidades para obter informações ou acesso indevido a determinado ambiente ou
sistema, por meio da utilização de técnicas de persuasão que acabam na maioria das vezes resultando em
informações chave para os ataques. As informações coletadas pelo invasor geralmente são os nomes de
funcionários, estrutura de funcionamento da empresa, horário de entrada de pessoas e equipes de manutenção,
softwares adquiridos, equipes que estão realizando algum tipo de treinamento, versão dos sistemas operacionais,
entre outras.
O foco principal é obter informações que facilitarão seu acesso a organização alvo. A engenharia social é
considerada um dos meios mais utilizados para obtenção de informações sigilosas e importantes. Pelo fato das
empresas focarem seus esforços no negócio, elas investem em tecnologia de ponta objetivando a proteção contra
ataques de hackers e suas variantes. Muito dinheiro é despendido com intuito de encontrar o melhor software
de proteção, o melhor antivírus, o melhor firewall o melhor controle de acesso físico e lógico. No entanto, as
empresas falham ao considerar o fator humano, que corresponde ao ponto mais vulnerável da organização.
A principal ideia da engenharia social é persuadir as pessoas (funcionários, colaboradores) para fornecerem
informações não autorizadas sem necessidade de agressão ou recurso tecnológico avançado. Para isso, o
atacante poderá obter informações tidas como insignificantes, mas que combinadas, tornam-se um arsenal nas
mãos do engenheiro social. Uma lista com os nomes e cargos dos funcionários abandonada em uma lata de lixo,
pode servir como base para a exploração deste tipo de vulnerabilidade. Com base nessas informações o atacante
poderá convencer um vigia que se trata de um funcionário legítimo que trabalha num turno diferente e que
esqueceu seu crachá de acesso. Ao chamar o vigilante pelo nome, já passa a falsa impressão que existe uma
relação profissional entre eles, tornando o vigia menos rigoroso. Desta forma, o atacante pode ter acesso
indevido a empresa.
A engenharia social não demanda conhecimento técnico algum, sendo esta a ameaça mais difícil a ser mitigada.
Ataque de engenharia social
Fonte: http://www.shutterstock.com/pic-105928628/stock-photo-social-engineering-concept-horseshoe-magnet-
capturing-crowd-of-color-human-figures-isolated-on.html?src=_QFGaPSHBGDbNu12f2qq3A-1-13
O engenheiro social
Ao passo em que as organizações controlam seus meios digitais de forma mais precisa, o acesso digital indevido
se torna mais difícil, levando o atacante a tentar outros meios para consegui-lo. Dessa forma o meio mais fácil e
mais barato, implica em ludibriar as pessoas que pertencem a organização, de forma que estas forneçam
informações necessárias para que ele burle as principais medidas protetivas. Antes da Internet, o atacante
utilizava como ferramenta o telefone e o contato pessoal para obter informações necessárias que o ajudassem no
desferimento do ataque. Com a Internet, basta paciência para ler milhares de informações sobre a organização
alvo. Vejamos um exemplo de ataque baseado na engenharia social:
Monitoração das atividades dos estagiários e dos aprendizes. Por causa da pouca experiência
são alvos primários dos agentes agressores.
Além de tudo que foi exposto, existem ataques de engenharia social complicados e que demandam diversas
etapas, desde o planejamento até a efetiva manipulação da tecnologia envolvida. Por isso, a adoção de
procedimentos específicos aos ataques de engenharia social deve ser tida como ponto crucial, além do amplo
treinamento organizacional para mitigar este tipo de risco.
Segurança de computadores
O objetivo deste tópico é apresentar ao aluno os principais mecanismos de segurança aplicáveis aos
computadores.
NESTE TÓPICO
NESTE TÓPICO
Introdução
Como manter o computador seguro
Referências
Marcar
tópico
Introdução
Os computadores pessoais ao lado dos dispositivos móveis, são os principais repositórios de dados que
possuímos e, por meio deles, que nós acessamos e-mails, redes sociais e realizamos transações bancárias e
comerciais.
Sua proteção é essencial, para diminuir as chances do mesmo ser utilizado de maneira indevida ou para
atividades maliciosas, como ataques a terceiros ou disseminação de conteúdo malicioso.
Maior parte das vezes, os atacantes buscam por computadores infectados para formarem suas botnets de ataques,
isso, de forma independente das configurações que os alvos utilizam. Desta forma, acreditar que está livre dos
atacantes é o ponto de partida para se tornar o próximo alvo.
Sendo assim, devemos tomar uma série de cuidados para mitigar a chance de ser o próximo alvo. Vejamos
algumas.
Computadores
NESTE TÓPICO
Introdução
Cuidados ao adquirir um dispositivo móvel
Cuidados ao usar seu dispositivo móvel
Cuidados ao se desfazer do seu dispositivo móvel
Referências
NESTE TÓPICO
Introdução
Cuidados ao adquirir um dispositivo móvel
Cuidados ao usar seu dispositivo móvel
Cuidados ao se desfazer do seu dispositivo móvel
Referências
Marcar
tópico
Introdução
Os dispositivos móveis já são em números absolutos mais utilizados do que os computadores. A medida que a
população tem acesso a este bem de consumo, os ataques aos mesmos tendem a aumentar. São considerados
dispositivos móveis, tablets, smartphones, celulares, PDAs e os recentes vestíveis. Tornam-se cada vez mais
populares e capazes de executar grande parte das ações realizadas em computadores pessoais, como navegação
Web, Internet Banking, acesso a e-mails e redes sociais. Infelizmente, as semelhanças não se restringem apenas
às funcionalidades apresentadas, elas também incluem os riscos de uso que podem representar. [1]
Bem como o computador, os dispositivos móveis podem ser utilizados na execução de práticas maliciosas, como
roubo de identidade, envio de mensagens indesejadas e propagação de vírus/malwares. Podem também ser parte
integrante de botnets. Suas características próprias os tornam mais interessantes para os atacantes, pois:
Histórico de chamadas.
Fotos e vídeos.
Lista de contatos.
Outra caraterística interessante sobre os dispositivos móveis é que eles possuem valor alto de mercado e
tamanho diminuto, o que facilita o transporte em caso de roubo ou furto. Isto os torna atraentes para este tipo de
delito.
Existe também a grande oportunidade de baixar conteúdo de terceiros, como aplicações por exemplo. Entre elas
podem existir aplicações com erros de implementação, não confiáveis ou especificamente desenvolvidas para
execução de atividades maliciosas. [1]
A troca de modelo constante também pode levar ao comprometimento de dados sensíveis, pois muitas vezes
passamos ou vendemos o nosso modelo anterior para um terceiro sem as devidas precauções ou cuidado.
Sendo assim, devemos tomar uma série de cuidados para tornar o uso constante de dispositivos móveis mais
confiável e menos sujeito a ataques por parte de agentes agressores. Devemos assim, como os computadores,
mantê-los atualizados e com as recomendações de segurança aplicadas. Vejamos alguns procedimentos que
podem nos ajudar a manter a segurança com os nossos dispositivos móveis.
Dispositivos móveis
Cheque sempre a procedência dos aplicativos que deseja instalar. Mesmo os aplicativos
nas stores oficiais do fabricante podem possuir erros de programação ou problemas de
segurança. Faça uma verificação na Internet sobre os comentários positivos e/ou negativos da
aplicação que deseja instalar.
Tenha cuidado a dar “checkings” com sua localização. Pode servir para ataques de outras
formas.
Mantenha o bluetooth do seu device como não rastreável, a menos que necessário.
Mantenha as informações sensíveis criptografadas.
Mantenha forte contole de acesso físico ao seu dispositivo, mantendo-o sempre próximo a ti.
Configure-o para ser apagado caso o número de tentativas de acesso malsucedidas ultrapasse
um valor.
Altere as senhas que possam estar nele armazenadas (por exemplo, as de acesso ao seu e-mail
ou rede social).
Bloqueie cartões de crédito cujo número esteja armazenado em seu dispositivo móvel.
Se tiver configurado a localização remota, você pode ativá-la e, se achar necessário, apagar
remotamente todos os dados nele armazenados. [1]
Segurança de redes
Os objetivos deste tópico são apresentar aos alunos as principais técnicas para manter a segurança em redes de
computadores.
NESTE TÓPICO
Introdução
Recomendações gerais de segurança
Recomendações de segurança para redes Wi-Fi
Recomendações de segurança para redes Bluetooth
Recomendações de segurança para redes de banda larga fixa e banda larga móvel
Referências
NESTE TÓPICO
Introdução
Recomendações gerais de segurança
Recomendações de segurança para redes Wi-Fi
Recomendações de segurança para redes Bluetooth
Recomendações de segurança para redes de banda larga fixa e banda larga móvel
Referências
Marcar
tópico
Introdução
Num passado nem tão distante, os usuários se conectavam na Internet por meio de linhas discadas e
permaneciam conectados apenas o tempo necessário para realizar suas atividades essenciais. Com a evolução
tecnológica foi possível manter todos os usuários conectados na Internet durante todo o tempo. De maneira
análoga, a Internet não é oferecida apenas aos computadores pessoais e aos modems, mas também aos celulares,
TVs e quaisquer outros dispositivos que possuem uma interface de rede ativa. Isto possibilitou que a quantidade
de dispositivos possíveis na Internet aumentasse de maneira exponencial.
Independente à forma como estamos conectados, podemos sofrer os seguintes tipos de ataques mais conhecidos:
Furto de dados: informações pessoais e outros dados podem ser obtidos tanto pela interceptação de tráfego
como pela exploração de possíveis vulnerabilidades existentes em seu computador. [1]
Uso indevido de recursos: obtenção de acesso ilícito ao seu computador utilizando-o para práticas criminosas
e/ou maliciosas.
Varredura: utilização do seu equipamento para identificação de outros possíveis alvos na mesma rede.
Interceptação de tráfego: coletar dados não criptografados que estão trafegando entre seu computador e outros
computadores.
Exploração de vulnerabilidades: por meio da exploração de vulnerabilidades, um computador pode ser
infectado ou invadido e, sem que o dono saiba, participar de ataques, ter dados indevidamente coletados e ser
usado para a propagação de códigos maliciosos. Além disto, equipamentos de rede (como modems e roteadores)
vulneráveis também podem ser invadidos, terem as configurações alteradas e fazerem com que as conexões dos
usuários sejam redirecionadas para sites fraudulentos. [1]
Ataque de negação de serviço: utilização do seu equipamento para gerar inundação de acessos ilegítimos para
um computador alvo com intuito de fazê-lo parar de responder.
Ataque de força bruta: por meio da técnica de teste exaustivo tentar encontrar a senha de acesso ao
equipamento alvo do ataque.
Ataque de personificação: um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros
a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de senhas de acesso e informações
que por ele passem a trafegar. [1]
Recomendações gerais de segurança
A seguir alguns cuidados que devemos tomar ao utilizar redes de computadores:
Não necessitam acesso físico ao equipamento, pois, os sinais são dispersos por meio de ondas
de rádio. Sendo assim, os sinais podem ser capturados. Por isso a necessidade de
configuração de criptografia.
Pelo fato da configuração ser bastante simples, qualquer pessoa pode instalar um roteador
sem fio, sem tomar as precauções mínimas.
Em redes públicas sem criptografia, seus dados podem ser facilmente interceptados.
Redes abertas propositais podem ser disponibilizadas pelos atacantes para a obtenção de
dados de forma ilícita.
Configure a potência do sinal de forma a ficar restrito somente nos ambientes necessários.
Altere o SSID (Server Set IDentifier) padrão. Não utilize dados pessoais na composição do
SSID.
Desabilite o gerenciamento do AP via rede sem fio, de tal forma que, para acessar funções de
administração, seja necessário conectar-se diretamente a ele usando uma rede cabeada. Desta
maneira, um possível atacante externo (via rede sem fio) não será capaz de acessar o AP para
promover mudanças na configuração. [1]
Desabilite a função WPS (Wi-Fi Protected Setup). Apesar de manter o acesso fácil, permite
que alguém configure um dispositivo para acesso à rede sem autorização.
Apesar de cada vez mais difícil, desligue seu AP quando não usar sua rede.
NESTE TÓPICO
NESTE TÓPICO
Introdução
Autenticação, autorização e registro de atividades (AAA)
Contas e senhas
Uso seguro de contas e senhas
Elaboração de senhas
Alteração de senhas
Gerenciamento de contas e senhas
Recuperação de senhas
Referências
Marcar
tópico
Introdução
No que tange a autenticação e a autorização de acessos, devemos nos familiarizar com os seguintes termos:
Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.
Autenticação: verificar se a entidade é realmente quem ela diz ser.
Autorização: determinar as ações que a entidade pode executar.
Integridade: proteger a informação contra alteração não autorizada.
Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado.
Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação.
Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.
Autenticação, autorização e registro de atividades (AAA)
Para garantir que os termos mencionados anteriormente fossem empregados corretamente no âmbito
organizacional, o seguinte mecanismo foi criado: AAA ou Triple A. O AAA vem do inglês e significa
(Authentication Authorization and Accounting) e nos diz que todos os acessos aos sistemas devem passar pelo
processo de autenticação, autorização e registro de atividades. Na autenticação a identidade da entidade é
checada e validada. Na autorização, os acessos aos quais aquela entidade possui são concedidos e no registro de
atividades são armazenados os acessos que a entidade perfez. Muitas vezes o último tópico é chamado de trilha
de auditoria.
Isso não impede que falsos positivos ocorram no momento da autenticação ou que usuários mal-intencionados
utilizem do login e senha de terceiros. Para isso, devemos adotar meios de autenticação baseados em 2 ou mais
fatores de autenticação. O mais forte possível, envolve 3 fatores, escalonados da seguinte forma:
Nos tópicos a seguir são apresentados mecanismos para o aumento da robustez da dupla usuário e senha na
organização.
Contas e senhas
Uma conta de usuário, também chamada de "nome de usuário", "nome de login" e username, corresponde à
identificação única de um usuário em um computador ou serviço. [2] Por meio de uma conta é possível
compartilhar serviços e acessos a dispositivos. A conta do usuário geralmente é formada pelo nome da pessoa
ou por uma sequência de caracteres que a torna única em um sistema. Para que se tenha certeza de quem esteja
fazendo o acesso ao sistema é utilizada a autenticação.
Relembrando, existem três grupos básicos de mecanismos de autenticação, que se utilizam de:
Uma senha se encaixa no grupo do “algo que eu sei” sendo este o principal meio de autenticação disponibilizado
pelos mais diversos serviços, por conta da simplicidade de uso. No entanto, se um terceiro conhecer o seu nome
de usuário e a sua senha, poderá entrar no sistema se passando por você. Com isso, este terceiro mal-
intencionado pode:
Tentativas de adivinhação.
Elaboração de senhas
Este tópico aborda um assunto bem curioso. Uma senha boa é aquela que é lembrada facilmente e que
dificilmente pode ser descoberta. Isto é muito complicado, pois de forma geral, senhas fortes são aquelas que
possuem uma combinação de caracteres que inviabilizem ataques por força bruta.
A seguir, alguns elementos que você não deve usar na elaboração de suas senhas:
Dados pessoais.
Sequências de teclado.
A seguir, alguns elementos que você deve usar na elaboração de suas senhas:
Números aleatórios.
Além disso, torne a troca da sua senha em um procedimento com intervalos de tempos regulares. Lembrando
que se a sua nova senha tiver que ser anotada para ser lembrada, deve ser descartada.
Gerenciamento de contas e senhas
Memorizar muitas senhas se torna uma atividade inviável, por isso, mesmo ciente dos riscos, você poderá:
Usar opções como lembre de mim e continuar conectado (não recomendados). Não utilize em
computadores públicos, compartilhados e de terceiros.
Salvar senhas no navegador WEB e sincroniza-las. Para isso, utilize uma senha mestra.
Para não ter que recorrer a estas técnicas ou correr o risco de esquecer suas contas/senhas ou, pior ainda, ter que
apelar para o uso de senhas fracas, você pode buscar o auxílio de algumas das formas de gerenciamento
disponíveis (software de gerenciamento de senhas, como por exemplo, KeePass). [2]
Você também poderá criar grupos de senhas, de acordo com o risco envolvido. Adicionalmente poderá gravar
em um arquivo criptografado em seu computador, as suas contas e senhas.
Recuperação de senhas
Mesmo que você tenha tomado cuidados para elaborar a sua senha e utilizado mecanismos de gerenciamento,
podem ocorrer casos, por inúmeros motivos, de você perdê-la. Para restabelecer o acesso perdido, alguns
sistemas disponibilizam recursos como:
Permitir que você responda a uma pergunta de segurança previamente determinada por você.
Enviar a senha, atual ou uma nova, para o e-mail de recuperação previamente definido por
você.
Confirmar suas informações cadastrais, como data de aniversário, país de origem, nome da
mãe, números de documentos, etc.
Enviar por mensagem de texto para um número de celular previamente cadastrado por você. [2]
NESTE TÓPICO
Introdução
Tipos de conexão
Verificando o certificado digital
Ações a serem tomadas no caso de alertas da conexão
Referências
NESTE TÓPICO
Introdução
Tipos de conexão
Verificando o certificado digital
Ações a serem tomadas no caso de alertas da conexão
Referências
Marcar
tópico
Introdução
A conexão Web nos permite acessar inúmeros serviços disponíveis na Internet. Mas algumas preocupações
concernem aos acessos, como por exemplo:
Alguns navegadores podem omitir o “HTTP” da barra de endereços por ser o padrão.
Conexão segura: é a que deve ser utilizada quando dados sensíveis são transmitidos, geralmente usada para
acesso a sites de Internet Banking e de comércio eletrônico. Provê autenticação, integridade e confidencialidade,
como requisitos de segurança são:
Um recorte colorido (branco ou azul) com o nome do domínio do site é mostrado ao lado da
barra de endereço (à esquerda ou à direita) e, ao passar o mouse ou clicar sobre ele, são
exibidos detalhes sobre conexão e certificado digital em uso. [1]
Conexão segura com EV SSL: provê os mesmos requisitos de segurança que a conexão segura anterior, porém
com maior grau de confiabilidade quanto à identidade do site e de seu dono, pois utiliza certificados EV SSL.
Além de apresentar indicadores similares aos apresentados na conexão segura sem o uso de EV SSL, também
introduz um indicador próprio, que é:
A barra de endereço e/ou o recorte são apresentados na cor verde e no recorte é colocado o
nome da instituição dona do site. [1]
Outro nível de proteção de conexão usada na Internet envolve o uso de certificados auto assinados e/ou cuja
cadeia de certificação não foi reconhecida. Este tipo de conexão não pode ser caracterizado como sendo
totalmente seguro (e nem totalmente inseguro) pois, apesar de prover integridade e confidencialidade, não provê
autenticação, já que não há garantias relativas ao certificado em uso. Isto se deve ao fato de que o certificado
auto assinado não fora previamente assinado e autenticado por um terceiro confiável. Deve-se tomar muito
cuidado com certificados auto assinados pois podem ser facilmente gerados e podem passar a falsa sensação de
segurança. [1]
Quando você acessa um site utilizando o protocolo HTTPS, mas seu navegador não reconhece a cadeia de
certificação ele emite alguns avisos. Apesar disso, o usuário pode optar por continuar em uma conexão não
segura. Alguns indicadores deste tipo de conexão são:
Certos sites fazem uso combinado, na mesma página Web, de conexão segura e não segura. Neste caso, pode ser
que o cadeado desapareça, que seja exibido um ícone modificado (por exemplo, um cadeado com triângulo
amarelo com símbolo de exclamação interno), que o recorte contendo informações sobre o site deixe de ser
exibido ou ainda haja mudança de cor na barra de endereço. [1]
Você poderá verificar o comportamento do browser quanto aos tipos de conexões em:
Chrome - Como funcionam os indicadores de segurança do website (em
português) http://support.google.com/chrome/bin/answer.py?hl=pt-BR&answer=95617
Internet Explorer - Dicas para fazer transações online seguras (em português)
http://windows.microsoft.com/pt-BR/windows7/Tips-for-making-secure-online-
transaction-in-Internet-Explorer-9
Safari - Using encryption and secure connections (em inglês)
http://support.apple.com/kb/HT2573
Verificando o certificado digital
Como a segurança da conexão invariavelmente passa pela adoção de um certificado digital, faz se necessário
conhecer como verificar se um certificado digital é confiável. Vejamos a seguir:
Verifique se o certificado foi emitido por uma AC confiável (pertence a uma cadeia de
confiança reconhecida).
Verifique se o dono do certificado confere com a entidade com a qual está se comunicando
(por exemplo: o nome do site). [1]
Quando você tenta acessar um site utilizando conexão segura, normalmente seu navegador já realiza todas estas
verificações. Caso alguma delas falhe, o navegador emite alertas semelhantes aos mostrados a seguir:
De qualquer modo, caso você receba um certificado desconhecido ao acessar um site e tenha alguma dúvida ou
desconfiança, não envie qualquer informação para o site antes de entrar em contato com a instituição que o
mantém para esclarecer o ocorrido.
NESTE TÓPICO
Introdução
Certificados digitais
Segurança ao efetuar transações bancárias
Segurança ao efetuar transações comerciais
Referências
NESTE TÓPICO
Introdução
Certificados digitais
Segurança ao efetuar transações bancárias
Segurança ao efetuar transações comerciais
Referências
Marcar
tópico
Introdução
As empresas são acessadas e visualizadas atualmente por todo mundo. A quantidade de ofertas de serviços na
Internet é gigantesca. Dentre os serviços que mais cresceram estão os de comercio eletrônico e os bancários. O
que esperávamos em filas para ser atendidos, fazemos agora em um site ou com a ponta dos nossos dedos por
meio dos dispositivos móveis.
Atualmente, como a maior parte das informações estão em meio digital, fica difícil aplicar todos os controles
necessários para proteger nossas informações. A portabilidade que a informação conseguiu com o advento dos
equipamentos móveis fez com que as fronteiras das organizações ficassem muito além do limite físico.
Sendo assim, devemos ficar atentos em como manipulamos nossas informações e como utilizamos dados
sigilosos, como contas bancárias e números de cartões de crédito.
Certificados digitais
Um dos maiores aliados no quesito segurança para conexões e comunicações de dados é sem dúvida alguma o
certificado digital. Neste, a chave púbica pode ser livremente divulgada. Entretanto, se não houver como
comprovar a quem ela pertence, pode ocorrer de você se comunicar, de forma cifrada, diretamente com um
impostor. [2]
Um impostor pode criar uma chave pública falsa para um amigo seu e enviá-la para você ou disponibilizá-la em
um repositório. Ao usá-la para codificar uma informação para o seu amigo, você estará, na verdade,
codificando-a para o impostor, que possui a chave privada correspondente e conseguirá decodificar. Uma das
formas de impedir que isto ocorra é pelo uso de certificados digitais. [2]
O certificado digital é um registro eletrônico composto por um conjunto de dados que distingue uma entidade e
associa a ela uma chave pública. Ele pode ser emitido para pessoas, empresas, equipamentos ou serviços na rede
(por exemplo, um site Web) e pode ser homologado para diferentes usos, como confidencialidade e assinatura
digital. [2]
Um certificado digital pode ser comparado a um documento de identidade, por exemplo, o seu passaporte, no
qual constam os dados pessoais e a identificação de quem o emitiu. No caso do passaporte, a entidade
responsável pela emissão e pela veracidade dos dados é a Polícia Federal. No caso do certificado digital esta
entidade é uma Autoridade Certificadora (AC). [2]
Uma AC emissora é também responsável por publicar informações sobre certificados que não são mais
confiáveis. Sempre que a AC descobre ou é informada que um certificado não é mais confiável, ela o inclui em
uma "lista negra", chamada de "Lista de Certificados Revogados" (LCR) para que os usuários possam tomar
conhecimento. A LCR é um arquivo eletrônico publicado periodicamente pela AC, contendo o número de série
dos certificados que não são mais válidos e a data de revogação. Além da LCR, outra tecnologia que permite a
consulta de certificados revogados é chamada de OCSP (do inglês, Online Certificate Status Protocol). A
principal diferença entre a LCR e a OCSP é que a LCR é atualizada em intervalos de tempos periódicos
enquanto que a OCSP ocorre em tempo real. No caso da LCR, com prazo de atualização de 12 horas por
exemplo, pode ocorrer que no momento 00h01 após a última divulgação, caso ocorra a revogação de um
certificado digital, este só apareça na LCR após 11h59 (no momento da nova publicação da LCR). Isto
permitiria ao atacante utilizar a janela da LCR em 11h59 para falsificação de assinaturas digitais. No caso da
OCSP, assim que um certificado é revogado, já pode ser constatado de forma online. [2]
Os navegadores, no geral, apresentam os campos de um certificado digital de forma padronizada. No entanto, a
representação gráfica pode variar entre diferentes navegadores e sistemas operacionais. De forma geral, os
dados básicos que compõem um certificado digital são:
Dados que identificam o dono do certificado (para quem ele foi emitido).
O certificado digital de uma AC é emitido, geralmente, por outra AC, estabelecendo uma hierarquia conhecida
como "cadeia de certificados" ou "caminho de certificação". A AC raiz, primeira autoridade da cadeia, é a
âncora de confiança para toda a hierarquia e, por não existir outra AC acima dela, possui um certificado auto
assinado. Os certificados das ACs raízes publicamente reconhecidas já vêm inclusos, por padrão, em grande
parte dos sistemas operacionais e navegadores e são atualizados juntamente com os próprios sistemas. Alguns
exemplos de atualizações realizadas na base de certificados dos navegadores são: inclusão de novas ACs,
renovação de certificados vencidos e exclusão de ACs não mais confiáveis. [2]
No Brasil a entidade responsável pelo gerenciamento das cadeias de confiança e responsável pela
regulamentação pertinente, chama-se ICP-Brasil ou Infraestrutura de Chaves Públicas Brasileira.
Segurança ao efetuar transações bancárias
Assim, como a veracidade do certificado digital apresentado pelo serviço que estamos acessando é importante,
algumas ações adicionais permitem que possamos usufruir dos serviços eletrônicos de maneira segura. A seguir,
uma lista com as boas práticas que auxiliam em uma melhor segurança ao acessar serviços bancários ao efetuar
transações:
Não utilize um site de busca para acessar o site do seu banco (não há necessidade disto, já que
URLs deste tipo são, geralmente, bastante conhecidas).
Ao acessar seu banco, forneça apenas uma posição do seu cartão de segurança (desconfie
caso, em um mesmo acesso, seja solicitada mais de uma posição).
Desconsidere mensagens de instituições bancárias com as quais você não tenha relação,
principalmente aquelas que solicitem dados pessoais ou a instalação de módulos de
segurança.
Sempre que ficar em dúvida, entre em contato com a central de relacionamento do seu banco
ou diretamente com o seu gerente.
Não realize transações bancárias por meio de computadores de terceiros ou redes Wi-Fi
públicas.
Verifique periodicamente o extrato da sua conta bancária e do seu cartão de crédito e, caso
detecte algum lançamento suspeito, entre em contato imediatamente com o seu banco ou com
a operadora do seu cartão.
Não utilize um site de busca para acessar o site de comércio eletrônico que você costuma
acessar (não há necessidade disto, já que URLs deste tipo são, geralmente, bastante
conhecidas).
Não realize compras ou pagamentos por meio de computadores de terceiros ou redes Wi-Fi
públicas.
Sempre que ficar em dúvida, entre em contato com a central de relacionamento da empresa
onde está fazendo a compra.
Verifique periodicamente o extrato da sua conta bancária e do seu cartão de crédito e, caso
detecte algum lançamento suspeito, entre em contato imediatamente com o seu banco ou com
a operadora do seu cartão de crédito.
Ao efetuar o pagamento de uma compra, nunca forneça dados de cartão de crédito em sites
sem conexão segura ou em e-mails não criptografados.
Dê preferência aos serviços que permitem fazer o pagamento por meio de boletos bancários,
pois isto evita que você forneça o número do seu cartão de crédito a muitos terceiros.
Você também poderá utilizar serviços que permitam o cadastro do cartão de crédito de forma
segura e que estes façam o pagamento por você, sem a necessidade de divulgação do seu
cartão de crédito para terceiros.
NESTE TÓPICO
Introdução
Ataques por meio de Cookies
Ataques por meio de códigos móveis
Ataques por meio de janelas pop-up
Ataques por meio de plug-ins, complementos e extensões
Ataques por meio de compartilhamento de recursos
Referências
NESTE TÓPICO
Introdução
Ataques por meio de Cookies
Ataques por meio de códigos móveis
Ataques por meio de janelas pop-up
Ataques por meio de plug-ins, complementos e extensões
Ataques por meio de compartilhamento de recursos
Referências
Marcar
tópico
Introdução
Os navegadores Web tem tomado cada vez importância no cenário da conectividade. O que era feito por meio de
aplicações no formato desktop, vem sendo substituído avassaladoramente por aplicações Web. O acesso por
meio da Internet para as aplicações trouxe preocupações que antes não faziam sentido para muitas empresas e
pessoas.
Para atender a grande demanda, incorporar maior funcionalidade e melhorar a aparência das páginas Web,
novos recursos de navegação foram desenvolvidos e novos serviços foram disponibilizados. Estes novos
recursos e serviços, infelizmente, não passaram despercebidos por pessoas mal-intencionadas, que viram neles
novas possibilidades para coletar informações e aplicar golpes. [1]
Assim, o grande número de computadores na rede, aumentou a superfície de ataque, seja por meio do
compartilhamento de recursos dos usuários, seja por meio de programas dedicados ou por meio dos próprios
sistema operacionais que evoluíram para atender à crescente demanda de conectividade. Desta forma, novos
recursos trouxeram consigo novas preocupações.
Ataques por meio de Cookies
Cookies são pequenos arquivos que são gravados em seu computador quando você acessa sites na Internet e que
são reenviados a estes mesmos sites quando novamente visitados. São usados para manter informações sobre
você, como carrinho de compras, lista de produtos e preferências de navegação. [1]
Um cookie pode ser temporário (de sessão) ou permanente (persistente), quando fica gravado no computador até
expirar ou ser apagado. Também pode ser primário (first-party), quando definido pelo domínio do site visitado,
ou de terceiros (third-party), quando pertencente a outro domínio. [1]
Dentre os riscos associados a utilização de cookies podemos citar:
Compartilhamento de informações: os dados armazenados nos cookies podem ser
requisitados por outros sites e afetar a sua privacidade.
Exploração de vulnerabilidades: os cookies conseguem manter uma lista com o hardware e
software instalados e isso pode ser utilizado para a obtenção de informações que serão
utilizadas nos ataques.
Autenticação automática: ao usar um computador de terceiros ou públicos, o cookie pode
armazenar seus dados de autenticação e fazer uma autenticação posterior sem sua
confirmação ou conhecimento.
Coleta de informações pessoais: dados pessoais podem ser coletados pelos cookies e os
atacantes podem utilizar este recurso para o roubo de dados pessoais.
Coleta de hábitos de navegação: quando você acessa diferentes sites onde são usados
cookies de terceiros, pertencentes a uma mesma empresa de publicidade, é possível a esta
empresa determinar seus hábitos de navegação e, assim, comprometer a sua privacidade. [1]
De acordo com o exposto anteriormente, devemos tomar uma série de precauções para que a utilização de
cookies possa trazer os benefícios esperados e não agregar vulnerabilidades, sendo estas:
Configurar para que componentes ActiveX sejam executados somente após serem
verificados.
Apresentar links, que podem redirecionar a navegação para uma página falsa ou induzi-lo a
instalar códigos maliciosos. [1]
Para prevenir este tipo de ataque, podemos tomar as seguintes medidas protetivas:
Criar uma lista de exceções, contendo apenas sites conhecidos e confiáveis e onde forem
realmente necessárias. [1]
Ser cuidadoso ao instalar programas que ainda estejam em processo de revisão. [1]
Que seus recursos sejam usados por atacantes caso não sejam definidas senhas para controle
de acesso ou sejam usadas senhas facilmente descobertas. [1]
Da mesma forma como seus recursos podem ser compartilhados, você poderá utilizar recursos de terceiros e isso
poderá trazer alguns riscos consigo. Para mitigar estes riscos podemos:
Introdução
A1 – Injeção
A2 – Quebra de autenticação e gerenciamento de sessão
A3 – Cross-Site Scripting (XSS)
A4 – Referência insegura e direta a objetos
A5 – Configuração incorreta de segurança
A6 – Exposição de dados sensíveis
A7 – Falta de função para controle do nível de acesso
A8 – Cross-Site Request Forgery (CSRF)
A9 – Utilização de componentes vulneráveis conhecidos
A10 – Redirecionamentos e encaminhamentos inválidos
Referências
Marcar
tópico
Introdução
O projeto “Open Web Application Security Project” (OWASP) é uma organização de nível mundial sem fins
lucrativos e focada em melhorar a segurança de aplicações Web. Sua missão é fazer com que a segurança das
aplicações possa ser visível para os desenvolvedores e empresas, para que estes tenham condições de tomar
decisões que envolvam o nível de risco aceitável para si. Todos são livres para participar do OWASP e todos os
materiais estão disponíveis sob uma licença de software livre e de código aberto. O OWASP também mantém
uma WIKI e um blog, nos quais a iteração entre os profissionais de segurança pode ser realizada. O OWASP
não endossa ou recomenda produtos ou serviços comerciais, permitindo que a comunidade utilize a sabedoria
coletiva para escolher qual produto lhe convém. [1]
O OWASP Top 10 de 2013 foi baseado em 8 conjuntos de dados de 7 empresas especialistas em segurança de
aplicações, incluindo 4 consultorias e 3 fornecedores de ferramentas. Seus dados abrangem mais de 500.000
vulnerabilidades em centenas de organizações e milhares de aplicações. Os itens Top 10 são selecionados e
priorizados de acordo com dados de prevalência, em combinação com estimativas do consenso da exploração,
detecção e impacto. [2]
A seguir, a lista completa com as Top 10 do OWASP.
A1 – Injeção
As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando
dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Os dados
manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita
o acesso a dados não autorizados. [2]
Para se prevenir, devemos adotar as seguintes medidas:
Utilizar uma API segura que evite o uso do interpretador inteiramente ou forneça uma
interface parametrizada.
Se uma API parametrizada não estiver disponível, você deve cuidadosamente filtrar os
caracteres especiais utilizando a sintaxe para esse interpretador. OWASP’s ESAPI fornece
muitas dessas rotinas de filtragem.
Criar uma “Lista branca" ou validação de entrada positiva também é recomendada. [2]
Filtrar adequadamente todos os dados não-confiáveis com base no contexto HTML (corpo,
atributo, JavaScript, CSS ou URL) no qual os dados serão colocados.
Considere uma CSP para se defender contra XSS em todo o seu site. [2]
Usar referências indiretas a objetos por usuário ou sessão. Isso impedirá que o atacante atinja
diretamente os recursos não autorizados.
Verificar o acesso a cada utilização de uma referência direta a objeto de uma origem não
confiável e incluir uma verificação de controle de acesso para garantir que o usuário está
autorizado para o objeto requisitado.
Adotar um processo de hardening recorrente que torne fácil e rápido de implantar outro
ambiente que está devidamente blindado.
Adotar um processo para se manter a par e implantar todas as novas atualizações e correções
de software em tempo hábil e em para cada ambiente.
Adotar uma arquitetura de aplicação forte que forneça a separação segura e eficaz entre os
componentes.
Considerar executar varreduras e fazer auditorias periodicamente para ajudar a detectar erros
de configuração ou correções ausentes. [2]
Certificar-se que o nível utilizado nos algoritmos e chaves são fortes, e que o gerenciamento
de chaves está aplicado adequadamente. Considere utilizar os módulos criptográficos
validados do FIPS-140.
Certificar-se que as senhas são armazenadas com um algoritmo projetado especialmente para
a proteção de senhas, como o bcrypt, PBKDF2 ou scrypt.
Desabilitar o autocompletar em formulários de coleta de dados sensíveis e desabilitar o cache
em páginas que contenham dados sensíveis. [2]
Gerenciar os direitos e garantir que se possa atualizar e auditar facilmente. Não codificar
diretamente.
Negar todo o acesso por padrão, exigindo direitos explícitos para papéis específicos no acesso
a todas as funções.
Incluir um token único em um campo oculto. Isso faz com que o valor seja enviado no corpo
da requisição HTTP, evitando-se a sua inserção na URL, que é mais propensa a exposição.
O token único pode ser incluído na própria URL, ou em parâmetros da URL. Contudo, tal
posicionamento corre um risco maior já que a URL será exposta ao atacante, comprometendo
assim o token secreto. [2]
Identificar todos os componentes e as versões que você está utilizando, incluindo todas as
dependências.
Estabelecer políticas de segurança que definam o uso do componente, assim como exigir
certas práticas de desenvolvimento de software, passando em testes de segurança, e licenças
aceitáveis.
Quando apropriado, considerar a adição de invólucros de segurança em torno dos
componentes para desabilitar funcionalidades não utilizadas e/ou proteger falhas ou aspectos
vulneráveis do componente.
Se os parâmetros de destino não podem ser evitados, tenha certeza que o valor fornecido é
válido, e autorizado para o usuário. [2]