Conselho Regional de Contabilidade do Estado de São Paulo

Segurança da Informação

Domingos Sávio Mota

Gerente de TI do CRC-SP
domingos@crcsp.org.br
 Tópicos Abordados

- Pragas Virtuais ““Malware”

Malware”

- Segurança de Per
Segurança ímetro
Perímetro

- Segurança Interna
Segurança
- Backup & Restore
Pragas Virtuais “Malware”

»
» V írus
Vírus »
» Trojan
»
» Worms »
» Keylogger
»
» Hacking Attacks »
» Password Attack
»
» Dialers »
» Spyware
»
» Phishing »
» Adware
»
» Spam
http://www.rnp.br/cais/fraudes.php
Extensões Mais Utilizadas: *.SCR / *.EXE / *.ZIP / *.RAR
Extensões Suspeitas: *.VBE / *.VBS / *.COM / *.OCX / *.JS / *.JSE

O que os Malwares procuram ?

- Senhas
- Numero da Conta Bancária
- Número de Cartão Débito ou de Crédito
- Código de Validação por Cartão
- Seu Telefone e Endereço

OBS: NEM SEMPRE TODOS AO MESMO TEMPO

Procedimentos gerais de prevenção
1. NÃO acesse e-mails suspeitos. Apague-os;
2. Notificações Jurídicas ou de Cobrança, são remetidas ao
interessado exclusivamente por Correio; Empresas Legítimas
não pedem informações pessoais por e-mail;
3. Em caso de dúvidas entre em contato com o Emissor;
4. E-mails falsos geralmente NÃO são personalizados;
5. NÃO execute programas sem antes executar o Anti-vírus;
6. NÃO forneça dados pessoais ou bancários On-Line se não
com quem está lidando;
Procedimentos em Sites Bancários
Minimize a página. Se o TECLADO VIRTUAL também
minimizar, está correto.
Sempre que entrar no site do banco, digite uma SENHA
ERRADA na 1ª vez. Somente o banco tem os dados
para validar sua senha.
Verifique SEMPRE no Rodapé da página, se aparece o
Ícone de um cadeado. Clicando no ícone deverá
aparecer informações de autenticidade do site.
Evite ao máximo acessar o site do banco em CiberCafé
ou Business Center do Hotel. Caso o faça, APAGUE as
cookies do navegador e encerre a seção no micro.
A cada dia surgem 1.500 novos tipos de Phishing. FONTE: WEBSENSE

De 3 a 3,5 MILHÕES de Diariamente 60% dos

computadores são SPAMS enviados, são
usados como ZUMBIS a feitos por computadores
cada dia. FONTE: SANS INSTITUTE ZUMBIS. FONTE: SOPHOS

A empresa WebRoot (fabricante SpySweeper) encontrou na

Web 527.136 sites com Arquivos Malignos. FONTE: INFO EXAME

Um computador conectado na Internet, SEM ANTI-VÍRUS e

SEM FIREWALL tem a chance de 50% de ser infectado em
apenas MEIA-HORA. FONTE: SOPHOS
Caso você tenha sido vítima de fraude
On-Line, o que fazer ?
1. Denuncie imediatamente às autoridades, isto é, Polícia
Federal, Câmara de Comércio e às principais instituições
de Crédito;
2. Bloqueie imediatamente todas as contas acessadas
ou abertas de forma fraudulenta;
3. Mude todas suas senhas de Internet IMEDIATAMENTE;
1.Procure manter o computador em uma área
comum da residência e observe quais são os
sites que a criança acessando e com quem ela
está conversando em salas de bate-papo e
mensageiros eletrônicos.

2.Conheça melhor as ferramentas utilizadas na

rede. Saiba como adicionar ou remover
contatos do MSN, analisar histórico de
navegação.

3.Fique atento para que a criança não marque

encontros com pessoas conhecidas na Internet
sem que você a autorize.

4.Instrua a criança para que ela informe o menor

número possível de dados pessoais, como
endereço residencial e telefones.
5. Saiba como chegaram até os endereços
eletrônicos e o que estão procurando. Se
detectar páginas suspeitas, explique aos seus
filhos os motivos pelos quais eles devem evitar
tais conteúdos.

6. Explique que existem sites que incitam a

violência, o racismo e que pessoas que
compartilham da idéia - participando destas
comunidades - correm o risco de responder
judicialmente pelo crime.

7. Evite colocar fotos da criança com biquínis ou

fantasias que deixam o corpo muito à mostra
em sites para que ela não seja veiculada entre
criminosos ou despertem o interesse deles.
Crawler Parental, CyberPatrol, CyberSitter, NetFilter:
Permite filtrar o conteúdo acessado pelo computador. É
possível restringir o uso de programas, limitar o tempo,
proibir a instalação de malwares e impedir a navegação por
sites falsos.

Desktop Mágico: Programa de restrição de conteúdo em seu

computador. Ele permite bloquear sites e monitorar as
atividades no PC. Possui um navegador desenvolvido para
crianças

Chat Controller, Msn Manager: Programa que estabelece

regras de utilização, monitorar o uso, permitir ou bloquear
contatos, envio e recebimento de arquivos e imagens.

Ti Monitor: Você pode acessar as conversar que usuários do

computador mantiveram pelo MSN e chats, ver os
downloads e sites visitados.

Web Blocker: Software permite controlar o conteúdo que

outras pessoas acessam no computador. Permite bloquear o
acesso a mensageiros instantâneos e sites impróprios.
Premissas da Segurança da Informação

DISPONIBILIDADE
Garantir que os usuários autorizados obtenham acesso à informação
sempre que necessário.

INTEGRIDADE

Confiabilidade (Exatidão e Completeza) nas informações disponibilizadas.

CONFIDENCIALIDADE

Garantir que a informação é acessível somente por pessoas autorizadas.

Segurança de Perímetro

• FIREWALL / IDS

• ANT Í-VIRUS / SPYWARE

ANTÍ-VIRUS

• ANTI -SPAM
ANTI-SPAM
Estrutura de Segurança
Procedimentos VITAIS à Segurança
de Perímetro
1. Utilize softwares ORIGINAIS e DEVIDAMENTE REGISTRADOS;
2. Sempre atualize o SISTEMA OPERACIONAL e NAVEGADOR;
3. Atualize o ANTI-VÍRUS e ANTI-SPAM constantemente;
4. Em um ambiente Corporativo, dê preferência á uma solução
Integrada de Segurança, com Gerenciamento Ativo;
5. Mantenha o FIREWALL bem configurado e atualizado;
6. Atualmente fornecedores disponibilizam soluções em
Hardware.
Segurança no Acesso Remoto

1. Hoje BLUETOOTH é a tecnologia de conexão sem fio

mais vulnerável nos dias de hoje, DESATIVE o
BLUETOOTH em locais públicos;
2. Ao se conectar um HotSpot (WiFi) mantenha o
Firewall do Notebook sempre ATIVADO.
3. Em redes WiFi/Wireless corporativas, configure
HotSpot para aceitar apenas os dispositivos
autorizados, baseado no endereço do Hardware
(MAC Address).
Segurança Interna

• CONTROLE DE ACESSO

• POL ÍTICA DE SEGURAN

POLÍTICA ÇA
SEGURANÇA

• TREINAMENTO E EDUCA ÇÃO

EDUCAÇÃO
 Conceito Geral

¾ Atualmente, INFORMAÇÃO constitui um bem de

vital importância para as organizações dos mais
variados segmentos;
¾ Muitas vezes a INFORMAÇÃO é um ativo mais
importante do que os computadores que a
armazenam;
¾ As INFORMAÇÕES da empresa pertencem à
empresa, e não devem ser divulgadas sem
autorização.
PRINCIPAIS AMEAÇAS À SEGURANÇA
INFORMAÇÃO
Vírus 66%

Funcioná
Funcionários insatisfeitos 53%

Divulgaç
Divulgação de senhas 51%
Acessos indevidos 49%

Vazamento de informaç
informações 47%
Fraudes, erros e acidentes 41%
Hackers 39%
Falhas na seguranç
segurança fí
física 37%
Uso de notebooks 31%
Fraudes em e-
e-mail 29%

PRINCIPAIS RESPONSÁVEIS
Hackers 32%
Causa desconhecida 26%
Funcioná
Funcionários 23%
Ex-
Ex-funcioná
funcionários 4%
Prestadores de serviç
serviço 4%
Concorrentes 1%
Outros 10%
 Controle de Acesso
Objetivos
¾ Identificar o Usuário
¾ Concessão de Permissões de Acesso a Informações e Aplicações
¾ Registro de Operações realizadas (Log)

Autenticação
¾ Baseadas em Conhecimento (Login e Senha) – Mais Utilizada
¾ Baseadas em Posse (Token, SmartCard) – Certificação Digital
¾ Baseadas em Biometria (Impressão Digital, Retina)
Senhas Fortes
Variação e Tempo de
Testes de Senhas
¾Grupos de Caracteres
Tamanho da Senha
Caracteres
¾Letras Maiúsculas [A,B,C,D...] 5 6 7 8
100
¾Letras Minúsculas [a,b,c,d....] 0-9
100 Mil
1 Seg
1 Milhão
10 Seg
10 Milhões
2 Min
Milhões
17 Min

¾Números [1,2,3,4...] 12 Milhões

309
8 Bilhões
209
A-Z 2 Min
Milhões
22 Horas
Bilhões
52 Min 24 Dias
¾Símbolos [!@#$%^&*...]
2,8
0-9 60 Milhões 2 Bilhões 78 Bilhões
Trilhões
A-Z 10 Min 6 Horas 9 Dias
327 Dias

380
¾ Pelo menos 7 Caracteres A-Z
a-z
Milhões
20 Bilhões
2,5 Dias
1 Trilhão
120 Dias
53 Trilhões
17 Anos
1 Hora

A-Z 916 3,5 219

57 Bilhões
a-z Milhões
6,5 Dias
Trilhões Trilhões
2,5 Horas 1 Ano 70 Anos
¾ Misturas caracteres de no mínimo 0-9
A-Z
03 Grupos de Caracteres a-z 7 Bilhões
690
Bilhões
65 Trilhões 6 Quatri.
0-9 20 Horas 20 Anos 1.932 Anos
80 Dias
Símbolos

Ataque de Forç
Força-Bruta com um Password-
Password-Craker que testa
100.000 senhas p/ segundo.
Principais Falhas
¾ 123456 / qwerty / abcedf (Facilidade no Método Dicionário)
¾ Senhas Fáceis (Nomes, Datas, Documentos)
¾ Compartilhar a senha (Arquivo Senhas.Doc)
¾ Anotar a senha sob o teclado ou mousepad

Boas Práticas
¾ Senhas Fortes Ex: p3rn@mbuc0 / M@1o2K6
¾ Utilize senhas fáceis de memorizar e difíceis de se adivinhar
Ex: Brasil Pentacampeão Mundial de Futebol 2002 (BpmF2@@2)

Não há Firewall ou qualquer outro software poderoso o suficiente para bloquear o acesso
às suas informações pessoais se VOCÊ resolver criar senhas que até sua MÃE
saberia quebrar. Módulo Security News - 24 Out 2006
Política de Segurança

¾ Controle de Senhas
¾Expiração automática de senhas, em um período pré-definido;
¾ Definição dos direitos de acesso
¾ Determinar quais aplicações e informações podem ser acessadas;
¾ Definir quais usuários podem copiar dados (Group Policies);
¾ Usuário não pode ter direitos de Administrador;
¾ Controle de Acesso à E-Mail
¾ Bloqueio de Extensões de Arquivos (Envio e Recebimento)
¾ Delimitação Tamanho de Mensagens (Envio e Recebimento)
¾ Auditoria de E-mails (Decisões Favoráveis TST/2005 e TRT/2004)
Política de Segurança

¾Controle de Acesso à Web

¾Restringir acesso a Sites (Criar lista de Sites Permitidos);
¾Processos do RH
¾Admissão, Demissão e Transferência de Funcionários;
¾ Descarte de Mídias
¾Fragmentação Cd/Dvd e FDisk (Hd);
¾ Segurança Física
¾Controle de acesso à Sala de Servidores e Monitoramento;
¾ Controle sobre Prestadores de serviços
¾Senhas, Acesso e Confidencialidade
Educação e Treinamento
1. Os investimentos em tecnologia nem sempre são suficientes
para garantir a segurança das informações, pois os usuários
são fundamentais para eficácia da segurança;

2. Conscientização dos usuários é essencial (Participação no

processo de segurança da informação);

3. O ideal é que todos se comprometam com a segurança e se

preocupem com isso nas situações do cotidiano.

4. Capacitação da Equipe Técnica é Fundamental (Surgimento

de novas ameaças exige atualização)
 SEQUESTRO VIRTUAL
“RansomWare”
O mais novo Malware
•COMO SE PROPAGA: Através de um Site de Empregos, o
interessado por uma vaga pedia mais informações e recebia a
resposta com o programa invasor.
•SEQUESTRO: O programa compacta pastas e documentos em
um arquivo .ZIP, que exige uma senha de 10 digitos para poder
acessá-los.
•RESGATE: O usuário recebe uma mensagem com instruções
para o PAGAMENTO para que se efetue o depósito em uma
conta corrente ou que se efetue uma compra com cartão de
crédito em um site indicado.
Backup & Restore

Gravador CD/DVD

Baixo Custo do Gravador e da Mídia

Limite de 800Mb (CD) – 4,3Gb (DVD)

HD Externo

Baixo Custo do HD e Gaveta Externa

Impossibilidade de Posições de Backup
Digital Linear Tape (DLT)

Alta capacidade de Armazenamento; A Maior Taxa

de Transferência;
Alto Custo do Equipamento e Mídia

Advanced Intelligent Tape (AIT)

Alta capacidade de Armazenamento; Alta Taxa de

Transferência; Alta Velocidade de Leitura.
Custo do Equipamento
Regras de Backup
1. Gerar posições Diárias, Mensais e Anuais;

2. Junto com o Backup de Dados SEMPRE deve ser copiada a

Aplicação (Sistema/Aplicativo) que processa este dado;

3. Faça RESTORE de uma posição de Backup (Aleatória),

REGULARMENTE para validar a integridade da informação;

4. Quando se efetuar a troca de Tecnologia da Solução de Backup,

ATUALIZAR também as Mídias de Backup históricas;

5. Armazenar Mídias de Backup em outro lugar físico,

preferencialmente em cofres à prova de fogo e água.
Considerações Finais
1. Da mesma forma que o computador, tanto a Internet e
o E-Mail, são ferramentas de trabalho da empresa ;

2. Cuidado ao navegar em sites desconhecidos;

3. Muito cuidado ao digitar senhas na Internet, tenha

certeza de que você está no site certo;

4. Não envie ou guarde e-mails particulares utilizando o

e-mail da empresa, tenha outro e-mail alternativo;

5. Caso você queira DIVERSÃO, tenha OUTRO computador.