INFORMTICA

Segurana das Informaes

Princpios da Segurana...
So os pilares nos quais se apia a Segurana
dos sistemas de informao;
Os princpios da segurana so, simplesmente,
os pr-requisitos para que se considere um
sistema de informaes seguro;
Formam a sigla CIDA (ou DICA, se preferir);

Princpios da Segurana...
Confidencialidade: a garantia de que uma
informao no ser acessada por pessoas no
autorizadas (ser confidencial, ser sigiloso);
Recursos que encobrem ou escondem a
informao (como a criptografia) e que limitam
acesso dos usurios (como senhas) objetivam a
confidencialidade.

Princpios da Segurana...
Integridade: a garantia de que uma
informao no ser alterada sem autorizao
durante seu trajeto ou seu armazenamento, por
exemplo (manter-se ntegro);
Recursos que permitem que se saiba se a
informao foi, ou no, alterada, como o Hash,
so necessrios para que se oferea essa
garantia.

Princpios da Segurana...
Disponibilidade: a garantia de que um
sistema de informaes estar sempre
disponvel aos usurios quando requisitado (ser
disponvel, estar l sempre);
Recursos como geradores de energia,
computadores reserva e, claro, Backups das
informaes, so importantes para esse objetivo.

Princpios da Segurana...
Autenticidade: a garantia de conhecer a
identidade de um usurio ou sistema de
informaes com quem se vai estabelecer
comunicao (ser autntico, ser quem diz ser);
Recursos como senhas (que, supostamente, s
o usurio sabe), biometria, assinatura digital e
certificao digital so usados para esse fim.

Princpios da Segurana...
Confiabilidade: o objetivo-mor da Segurana
esse! Garantir que um sistema vai se comportar
(vai prestar seu servio) segundo o esperado e
projetado. (ser confivel, fazer seu papel);
Para atingir a perfeio, esse princpio deve ser
alcanado e, para ele, necessrio que se
respeitem todos os demais.

Princpios da Segurana...
Privacidade:
um
princpio
secundrio,
determina que um usurio ter condies de
decidir quais informaes estaro disponveis e
quem ter o direito de acess-las (ser privado,
ser publicado sob minha deciso);

Confidencialidade e a autenticidade
princpios importantes para a Privacidade.

so

Princpios da Segurana...
No Repdio (Irretratabilidade): a garantia
de que o autor de uma informao (como um email) no poder negar falsamente a autoria de
tal informao (no ser possvel retratar-se);
Autenticidade e Integridade juntas garantem o
No-Repdio;
Condio necessria validade jurdica das
informaes digitais.

Ameaas aos Sistemas...

Ameaas
so
todas
as
condies
(possibilidades) de dano aos sistemas de
informao,
maculando
as
garantias
associadas aos princpios vistos.
As ameaas podem ser convertidas em
sinistros (o dano em si, o acidente) por meio
de ataques (atos intencionais) ou falhas de
vrios tipos.

Ameaas aos Sistemas...

Falhas de Hardware: so impossveis de prever
e normalmente, impossveis de consertar!
s Backups constantes e regulares so
O
importantes para que a perda de informaes
causada pela falha em si no seja considervel;

ackup no evita a falha! Mas permite recuperar

B
os dados perdidos.

Ameaas aos Sistemas...

Vulnerabilidades dos Programas: falhas de
desenvolvimento dos softwares usados no
cotidiano permitem que os conhecedores de tais
defeitos possam explor-los para prejudicar o
sistema, invadi-lo procura de dados ou
simplesmente torn-lo instvel.
tualizar os programas com os patches
A
disponibilizados pelo fabricante minimiza os
riscos destas brechas.

Ameaas aos Sistemas...

Ataques: atos deliberados de usurios malintencionados para prejudicar um sistema de
informaes ou obter dados.
vrios tipos de ataques, que so
H
classificados por seus objetivos (o que fazer com
o alvo) ou por sua forma de execuo (como
realizar o ataque).

Ameaas aos Sistemas...

Malware: a designao genrica dos
programas desenvolvidos com a inteno de
causar danos a computadores ou usurios.
Backdoor:
Brechas
intencionais,
no
documentadas, em programas legtimos, que
permitem o acesso ao sistema por parte de seus
criadores ou mantenedores.

Ameaas aos Sistemas...

Hackers: usurios avanados, que possuem um
exmio conhecimento em informtica.
Crackers: usurios que quebram sistemas de
segurana de acesso a servidores. Os crackers
tambm burlam os sistemas anticpia e
antipirataria de alguns programas (criam
cracks).

Ameaas aos Sistemas...

SPAM: envio em massa de mensagens de email no autorizadas pelos destinatrios.
cam(Golpe): uma srie de tcnicas para
S
enganar os usurios de sistemas de informao
no intuito de enviar-lhe um programa malfico ou
simplesmente obter seus dados.

Malwares...

Vrus de Computador...
Um programa (ou parte de um programa)
que: Necessita de um hospedeiro para existir
(um vrus se anexa ao contedo de um arquivo
para viver);
onsegue se replicar (copiar) sozinho para
C
outros arquivos (hospedeiros);

Tipos de Vrus...
Vrus de Boot: afetam o setor de boot do HD
para serem carregados sempre que o Sistema
Operacional for carregado.
rus de Macro: afetam os programas da
V
Microsoft que so baseados em VBA (Visual
Basic for Applications), como os documentos do
Microsoft Office (.DOC, .XLS)

Tipos de Vrus...
Vrus de Executvel: afetam os arquivos
executveis, como os que tm extenso .EXE ou
.COM
rus Stealth: escondem-se do Antivrus (por
V
exemplo, como BAD BLOCKS falhas no
Disco).
rus Polimrficos: mudam de assinatura a
V
cada infeco para dificultar a sua deteco.

Cavalo de Tria (Trojan Horse)...

Um programa que apresenta-se como algo
inofensivo (um jogo, um carto de Natal etc.) e
que, na verdade, esconde objetivos maliciosos,
como apagar dados, roubar informaes e, mais
comumente, abrir portas de comunicao para
que se possa invadir o computador que o
executou.

Sniffer...
Um programa que instalado na mquina do
atacante e serve para capturar os quadros da
rede que chegam quela mquina, mesmo os
que no esto oficialmente direcionados a ela;
A placa de rede passa a operar em modo
promscuo, no rejeitando nenhum quadro que
chegou.

Spyware...
Um programa que monitora e registra os
hbitos de navegao e acesso Internet do
micro infectado.
m
U
spyware
pode
conter
keyloggers
(capturadores de teclado) e screenloggers
(capturadores de tela) para copiar o que o
usurio est fazendo no computador.

Adware...
Um programa que fica fazendo anncios de
propaganda no micro infectado.
ode ser um programa lcito, acompanhando
P
outros programas como o MSN Messenger e o
Emule.

ica abrindo pginas ou mostrando imagens e

F
links de cassinos, lojas etc.

Port Scanner...
Um programa que vasculha um computador alvo
procura de portas (servios) abertas para que,
atravs delas, se possa perpetrar uma invaso
quele micro.
m port scanner, na verdade, envia sucessivos
U
pacotes a vrias portas diferentes, esperando
receber um pacote de resposta por uma delas.

Exploit...
Um programa construdo para tirar vantagem de
alguma falha, ou vulnerabilidade, conhecida em
um sistema de informaes.
m Exploit construdo por uma hacker (ou
U
cracker) para permitir que usurios menos
conhecedores possam invadir ou prejudicar o
funcionamento de computadores. um
programa para script kiddies (amadores);

Worm...
Um programa que apenas usa a estrutura das
redes para se copiar de micro em micro,
degradando a velocidade da comunicao nesta
estrutura;
Um WORM no precisa de hospedeiro, pois ele
prprio o arquivo que se copia. O WORM no
precisa ser acionado pelo usurio, pois se utiliza
de falhas nos protocolos e servios da rede para
se espalhar;

Tcnicas e Ataques...
DoS (Denial of Service): no o nome de uma
tcnica de ataque, mas de uma srie delas.
odo ataque DoS tem como objetivo fazer o
T
computador vtima deixar de responder s
requisies verdadeiras, ou seja, atentar contra
a disponibilidade do sistema.
(Tirar o servidor da tomada um exemplo de
ataque de DoS)

Tcnicas e Ataques...
Phinshing: um golpe para pescar (obter)
dados de usurios, como senhas de banco,
nmero de Cartes de Crdito, etc.

Pharming: um golpe que consiste em alterar

os registros de Ips baseados em um servidor
DNS para que apontem para um determinado IP
que no o real.

Tcnicas e Ataques...
Engenharia Social (Hoax): uma tcnica que
consiste em enganar usurios usando tcnicas
de persuaso eficazes (ca, 171, malandragem).

travs deste recurso valioso, possvel ter

A
acesso a informaes importantes para a rede,
como senhas de usurios, horrios de realizao
de operaes especficas na rede...

Ferramentas de Segurana.
Abaixo segue uma lista das mais cobradas em
concursos pblicos:
Antivrus;
Firewall;
DMZ;
Backup;
Criptografia;
Assinatura Digital;
Certificado Digital;

Antivrus...
So programas que protegem os sistemas de
informao contra vrus de computador.
o ferramentas preventivas e corretivas, que
S
detectam (e, em muitos casos, removem) vrus
de computador e outros programas maliciosos
(como spywares e cavalos de tria).

Firewall...
Programa que filtra o trfego de entrada e sada
de dados em uma rede.
O firewall deve ser previamente configurado
para o que vai aceitar (deixar passar) e o que
vai bloquear.
Pode ser implementado tanto em software
quanto em hardware.

DMZ...
uma rede intermediria, semiprotegida, que se
localiza entre a rede segura (a rede interna) e a
rede que no segura (normalmente, a
internet).
A DMZ serve para hospedar aquelas mquinas
(servidores) que precisaro ser acessadas pela
Internet, sem expor as mquinas privadas da
rede.

DMZ...

Backup...
o ato deliberado de copiar os dados
importantes da empresa para outro local
(outrasmdias de armazenamento, como DVDs,
CDs ou Fitas).
objetivo ter como recuperar tais dados em
O
caso de perda dos mesmos (falha de hardware,
apagamentos).

Tipos de Backup...
Normal (Completo): Copia todos os arquivos
selecionados e depois disso, todos so
marcados como tendo passado por um backup,
ou seja, o atributo de arquivamento
desmarcado.
De Cpia: Assim como no backup normal, todos
os arquivos selecionados sero copiados. A
diferena consiste no fato dos arquivos no serem
marcados como tendo passado pelo backup ao
trmino do processo.

Tipos de Backup...
Incremental: Copia somente os arquivos criados
e alterados desde o ltimo backup normal ou
incremental e os marca como arquivos que
passaram por backup (o atributo de arquivo
desmarcado).
Diferencial: Assim como o backup incremental,
copia somente os arquivos criados e alterados
desde o ltimo backup normal ou incremental. No
entanto, no marca os arquivos como tendo
passado por backup, deixando-os intactos.

Tipos de Backup...
Dirio: Copia os arquivos que foram criados ou
modificados no dia, independente de possuir ou
no a marca que sofreu backup.

Criptografia...
conjunto de tcnicas matemticas para
reescrever uma mensagem (ou arquivo) de
forma incompreensvel por parte de pessoas
no autorizadas.
A criptografia deve ser possvel de reverter para
os usurios que possuam o cdigo especfico
para esse fim (a chave criptogrfica).

Tipos de Criptografia...
Criptografia Simtrica (ou de Chave Secreta):
utiliza apenas uma chave criptogrfica para o
processo de encriptar e para o processo de
decriptar (usa a mesma chave nos dois
processos!).

Se for usada em um processo de comunicao,

necessrio que a chave seja compartilhada
(todos os envolvidos devem conhec-la).

Tipos de Criptografia...

Tipos de Criptografia...

Tipos de Criptografia...

Tipos de Criptografia...
Criptografia Assimtrica (ou de Chave
Pblica): utiliza duas chaves diferentes, uma
somente para encriptar e a outra apenas para
decriptar.
A chave usada para encriptar distribuda
(publicada) e a chave usada para decriptar
mantida em segredo (pessoal e intransfervel);

Tipos de Criptografia...
A chave pblica (aquela que serve para
codificar, apenas) e a chave privada (a que s
decodifica) so criadas juntas, com base num
mesmo nmero escolhido aleatoriamente pelo
computador;

A chave de codificao poder (e dever) ser

distribuda para os demais usurios. A partir
dela, no possvel chegar chave privada.

Tipos de Criptografia...

Tipos de Criptografia...

Tipos de Criptografia...

Assinatura Digital...
recurso que permite associar, de forma
irrefutvel, uma mensagem a um autor,
garantindo que se possa saber de onde a
mensagem oriunda.
A assinatura digital tambm usa chaves
assimtricas (pblica e privada), s que as
utiliza de forma diferente da criptografia.

Certificado Digital...
um recurso oferece nveis altos de
confiabilidade por meio da garantia prestada por
empresas de certificao.
Essas instituies, chamadas Autoridades de
Certificao (ou AC) so responsveis por emitir,
revogar e renovar os certificados digitais dos
usurios do sistema.