Академический Документы
Профессиональный Документы
Культура Документы
ESAF 2009
SEGURANA DA INFORMAO
Disciplina: Informtica
Facilitador: Alisson Cleiton
contato@alissoncleiton.com.br
Introduo
A segurana da informao busca reduzir os riscos de
vazamentos, fraudes, erros, uso indevido, sabotagens,
paralisaes, roubo de informaes ou qualquer outra
ameaa que possa prejudicar os sistemas de informao ou
equipamentos de um indivduo ou organizao.
Princpios
C onfidencialidade
I ntegridade
D isponibilidade
A utenticidade
Princpios
Confidencialidade
Significa proteger
informaes contra
sua revelao para
algum no
autorizado - interna
ou externamente.
Princpios
Confidencialidade
Consiste em proteger a informao contra leitura e/ou cpia por
algum que no tenha sido explicitamente autorizado pelo
proprietrio daquela informao. A informao deve ser
protegida qualquer que seja a mdia que a contenha, como por
exemplo, mdia impressa ou mdia digital.
Deve-se cuidar no apenas da proteo da informao como um
todo, mas tambm de partes da informao que podem ser
utilizadas para interferir sobre o todo. No caso da rede, isto
significa que os dados, enquanto em trnsito, no sero vistos,
alterados, ou extrados da rede por pessoas no autorizadas ou
capturados por dispositivos ilcitos.
Princpios
Integridade
Consiste em
proteger a
informao contra
modificao sem a
permisso explcita
do proprietrio
daquela
informao.
Princpios
Integridade
A modificao inclui aes como escrita, alterao de
contedo, alterao de status, remoo e criao de
informaes.
Deve-se considerar a proteo da informao nas suas
mais variadas formas, como por exemplo, armazenada
em discos ou fitas de backup. Integridade significa
garantir que se o dado est l, ento no foi
corrompido, encontra-se ntegro. Isto significa que aos
dados originais nada foi acrescentado, retirado ou
modificado.
Princpios
Disponibilidade
Consiste na
proteo dos
servios prestados
pelo sistema de
forma que eles no
sejam degradados
ou se tornem
indisponveis sem
autorizao.
Princpios
Disponibilidade
Tem que assegurar ao usurio o acesso aos dados
sempre que deles precisar. Isto pode ser chamado
tambm de continuidade dos servios.
Uma forma de manter a disponibilidade de um sistema
implantar estruturas de no-breaks, espelhamento de
disco e de servidores.
Ao acessar um site, se ele aparecer, ento est
disponvel! Caso no aparea, ou no for possvel
acess-lo, ento o princpio da disponibilidade foi
afetado.
Princpios
Autenticidade
Identificao
correta de um
usurio ou
computador.
Princpios
Autenticidade
O servio de autenticao em um sistema deve
assegurar ao receptor que a mensagem realmente
procedente da origem informada em seu contedo.
A verificao de autenticidade necessria aps todo
processo de identificao, seja de um usurio para um
sistema, de um sistema para o usurio ou de um
sistema para outro sistema. Ela a medida de
proteo de um servio/informao contra a
personificao por intrusos.
No-Repdio
No-Repdio
Autenticidade
Integridade
Exerccio:
O conceito de Segurana da Informao caracterizado pela
preservao de:
I que a garantia de que a informao acessvel somente
por pessoas autorizadas a terem acesso;
II que a salvaguarda da exatido e completeza da
informao e dos mtodos de processamento;
III que a garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes, sempre que
necessrio.
Preenchem correta e respectivamente as lacunas I,II e III:
a) disponibilidade integridade confidencialidade
b) confidencialidade integridade disponibilidade
c) integridade confidencialidade disponibilidade
d) confidencialidade disponibilidade integridade
e) disponibilidade confidencialidade integridade
Ameaas
Backdoors
Sniffers
Vrus Worms
Spyware e Adware
Exploit
Trojan
Keyloggers
DoS e DDoS
Port Scanners
Vrus
Vrus
Vrus de boot: afetam o setor de boot e o sistema
operacional. Normalmente se copiam para o MBR do
HD, apagando o seu contedo ou permanecendo l,
para serem carregados sempre que o sistema
operacional for executado;
Vrus de macro: afetam programas da Microsoft. As
instrues desses vrus so, na verdade, macros
existentes em arquivos .doc ou .xls, que, quando
executados, do origem a vrias operaes
inconvenientes no micro, podendo at apagar arquivos.
Exerccio:
Worms
Programa capaz de se propagar automaticamente
atravs de redes, enviando cpias de si mesmo de
computador para computador. Diferente do vrus, o
worm no necessita ser explicitamente executado para
se propagar.
Sua propagao se d atravs da explorao de
vulnerabilidades existentes ou falhas na configurao
de softwares instalados em computadores. Worms so
notadamente responsveis por consumir muitos
recursos.
Worms
Degradam sensivelmente o desempenho de redes e
podem lotar o disco rgido de computadores, devido
grande quantidade de cpias de si mesmo que
costumam propagar. Alm disso, podem gerar grandes
transtornos para aqueles que esto recebendo tais
cpias.
Os worms mais recentes exploram vulnerabilidades
dos servios ou programas instalados no servidor
para se infiltrar e fornecer acesso ao atacante.
Alm disso, uma vez instalados eles comeam a
procurar novos endereos vulnerveis para atacar.
Exploit
Sniffers
Port Scanners
Backdoors
Spyware
O Spyware basicamente programa, cuja funo a
de coletar suas informaes pessoais sem que voc
saiba o que est havendo. O spyware pode ser obtido
por download de websites, mensagens de e-mail,
mensagens instantneas e conexes diretas para o
compartilhamento de arquivos. Alm disso, um usurio
pode receber um spyware, sem saber, ao aceitar um
contrato de licena do usurio final de um programa de
software. Com freqncia, o intuito do spyware
permanecer despercebido, ocultando-se ativamente ou
simplesmente no se fazendo notar em um sistema
conhecido pelo usurio.
Adware
So programas, geralmente gratutos, que mostram
anncios, na forma de banners incorporados
interface do programa, ou mesmo janelas pop-up. As
propagandas so uma forma alternativa dos
desenvolvedores ganharem dinheiro com o programa.
Diferena:
Diferena Spyware um software espio e nada alm
disso. Adwares nem sempre so necessariamente
maliciosos. Em geral, spywares so softwares que
buscam monitorar qualquer uso do computador.
Porm, diferentemente dos adwares, muitos spywares
so annimos.
DoS
Denial of Service,
Service ou Negao de Servio, um ataque
onde o acesso a um sistema/aplicao interrompido
ou impedido, deixando de estar disponvel; ou uma
aplicao, cujo tempo de execuo crtico,
atrasada ou abortada. Esse tipo de ataque um dos
mais fceis de implementar e mais difceis de se evitar.
O objetivo incapacitar um servidor, uma estao ou
algum sistema de fornecer os seus servios para os
usurios legtimos. Normalmente, o ataque DoS no
permite o acesso ou modificao de dados.
Usualmente, o atacante somente quer inabilitar o uso
de um servio, no corromp-lo.
DDoS
Distributed Denial of Service,
Service um ataque DoS
ampliado, ou seja, que utiliza at milhares de
computadores para atacar uma determinada mquina.
Esse um dos tipos mais eficazes de ataques e j
prejudicou muitos sites conhecidos.
Para que os ataques do tipo DDoS sejam bemsucedidos, necessrio que se tenha um nmero
grande de computadores para fazerem parte do
ataque. Uma das melhores formas encontradas para
se ter tantas mquinas, foi inserir programas de ataque
DDoS em vrus ou em softwares maliciosos.
Ataque DDoS
Exerccio:
Keylogger
Engenharia Social
a aquisio de alguma informao ou privilgios de
acesso inapropriado por algum do lado de fora,
baseado na construo de relaes de confiana
inapropriadas com as pessoas de dentro de uma
organizao. Ou seja, a arte de manipular pessoas a
fazer aes que elas normalmente no fazem.
Engenharia Social
O objetivo da Engenharia Social, como tcnica de
ataque segurana, enganar alguma pessoa para
que ela diretamente fornea informaes, ou facilite o
acesso a essas informaes. Essa tcnica baseada
nas qualidades da natureza humana, como a vontade
de ajudar, a tendncia em confiar nas pessoas e o
medo de se meter em problemas. O resultado de
uma ao de Engenharia Social bem sucedida o
fornecimento de informaes ou acesso a invasores
sem deixar nenhuma suspeita do que eles esto
fazendo.
Mecanismos de Segurana
Ufa! Pensei que no ia acabar mais...
Essas ameaas so as mais conhecidas. Porm,
existem outros termos que podem ser utilizados.
Pesquise e conhea novos nomes!
Bem, uma vez conhecidas as principais ameaas e
tcnicas utilizadas contra a Segurana da Informao,
pode-se descrever as principais medidas e ferramentas
necessrias para eliminar essas ameaas e garantir a
proteo de um ambiente computacional.
Mecanismos de Segurana
So elas: Firewall
Backup
Criptografia
Anti-Vrus
IDS
Programas Anti-Vrus
Os antivrus so programas que detectam, anulam e
eliminam os vrus de computador. Atualmente, os
programas antivrus foram ganhando novas
funcionalidades e conseguem eliminar Cavalos de
Tria, barram programas hostis e verificam e-mails.
Alguns antivrus ainda verificam o funcionamento dos
programas de seu computador, avisando ao usurio,
caso algum programa comece a apresentar algum
comportamento suspeito. Algumas verses de antivrus
so gratuitas para uso pessoal e podem ser baixadas
pela Internet.
Programas Anti-Vrus
Identificar e eliminar uma boa quantidade de Vrus;
Analisar os arquivos que esto sendo baixados pela
Internet;
Verificar continuamente os discos rgidos e flexveis
de forma transparente ao usurio;
Procurar Vrus e Cavalos de Tria em arquivos
anexados aos e-mails;
Criar um disquete de verificao (disquete de boot)
que pode ser utilizado caso o Vrus seja mais esperto
e anule o antivrus que est instalado no computador;
Firewall
Parede de Fogo,
Fogo o firewall uma barreira inteligente
entre duas redes, geralmente a rede local e a Internet,
atravs da qual s passa trfego autorizado. Este
trfego examinado pelo firewall em tempo real e a
seleo feita de acordo com um conjunto de regras
de acesso.
Filtro de Pacotes
IDS
Criptografia
Criptografia
Alguns Conceitos
Algoritmos Criptogrficos:
Criptogrficos So funes matemticas
usadas para codificar os dados, garantindo segredo e
autenticao. Os algoritmos devem ser conhecidos e
testados, a segurana deve basear-se totalmente na
chave secreta, sendo que essa chave deve ter um
tamanho suficiente para evitar sua descoberta por
fora-bruta.
Chave criptogrfica:
criptogrfica o nmero que ser usado, em
conjunto com o algoritmo, que alterar a mensagem
original.
Criptografia
Tipos
Criptografia Simtrica
Tambm denominado algoritmo simtrico, criptografia
de chave simtrica ou criptografia convencional, um
sistema que utiliza apenas uma chave para encriptar e
decriptar a informao.
Criptografia Assimtrica
Tambm conhecido como algoritmo assimtrico, ou
criptografia de chave-pblica, um sistema que utiliza
duas chaves diferentes, uma chave denominada
secreta e outra denominada pblica.
Criptografia Simtrica
Mesma chave
Ei, vamos para a
grande aula do
maravilhoso Prof.
Alisson?
Fijap983rjqpono
Rqcm99r0u
90i58(**&$
%GV
Ana Hickman
Gisele Bundchen
Exerccio:
Criptografia Assimtrica
No perco por
nada desse
mundo...
Chave
pblica de
Gigi
Fijap983rjqpono
Rqcm99r0u
90i58(**&$
%GV
Chave
privada de
Gigi
No perco por
nada desse
mundo...
Gisele Bundchen
Ana Hickman
Criptografia Assimtrica
Tipos de Backup
1. Backup normal ou total Copia todo os arquivo
selecionados e marca cada arquivo como tendo sido
colocado em backup;
2. Backup de cpia Idntico o normal, com
diferena de que os arquivos no so marcados
como tendo sido copiados;
3. Backup dirio Copia todos os arquivos
selecionados que foram alterados no dia de
execuo do backup dirio;
Tipos de Backup
4. Backup incremental Copia somente os
arquivos criados ou alterados desde o ltimo backup
normal ou incremental;
Exerccio:
Julgue os itens que seguem sobre backup.
( E )(ESAF MTE Auditor Fiscal do Trabalho - 2006)
Um backup dirio aquele que copia somente os
arquivos alterados desde o ltimo backup incremental
e marca os arquivos como tendo sofrido backup.
( C ) (ESAF TRF 2006) Um backup incremental
copia somente os arquivos criados ou alterados
desde o ltimo backup normal ou incremental.
Exerccio:
(Tcnico - TRT CE 2004) Para executar o programa de
backup em uma instalao padro do Windows, a
seqncia correta
A) Iniciar / Programas / Ferramentas do Sistema / Backup.
B) Iniciar / Programas / Acessrios / Ferramentas do
Sistema / Backup.
C) Iniciar / Configuraes / Painel de Controle / Backup.
D) Iniciar / Programas / Acessrios / Ferramentas de
Multimdia / Backup.
E) Iniciar / Configuraes / Painel de Controle /
Ferramentas de Multimdia / Backup.
Exerccio:
(Tcnico Administrativo TRT 8 Regio) Para evitar a perda
irrecupervel das informaes gravadas em um computador e
proteg-las contra acesso no autorizado, necessrio que se
adote, respectivamente, as medidas inerentes s operaes de
A) backup dos arquivos do sistema operacional e
configurao de criptografia.
B) checkup dos arquivos do sistema operacional e
inicializao da rede executiva.
C) criptografia de dados e inicializao da rede
privativa.
D) backup de arquivos e uso de senha privativa.
E) uso de senha privativa e backup dos arquivos do
sistema operacional.
Assinatura Digital
A assinatura digital busca resolver dois problemas no
garantidos apenas com uso da criptografia para
codificar as informaes:
Autenticidade e Integridade.
Autenticidade porque, com a assinatura digital, garante
que quem enviou a mensagem quem diz ser. E
Integridade, porque tambm garante que quem enviou
mandou exatamente aquela mensagem.
Assinatura Digital
A assinatura digital se baseia em criptografia
assimtrica. A diferena entre a assinatura digital e a
criptografia assimtrica. a forma como as chaves so
usadas. Na assinatura digital, o remetente usar a
chave privada para encriptar a mensagem.
Por outro lado, o destinatrio usar a chave pblica do
remetente para confirmar que ela foi enviada por
aquela pessoa. Garantiremos, assim, que o remetente
no v dizer: Ei, no fui eu que mandei essa
mensagem!.
Assinatura Digital
Fonte: Informtica para concursos Joo Antnio
Assinatura Digital
Assinatura Digital
Hash
Hash um mtodo matemtico que garante a
integridade dos dados durante uma transferncia
qualquer. Quando o e-mail enviado, calculado o
hash (atravs de um programa) e enviado junto com a
mensagem. Quando a mensagem chega ao
destinatrio, ele calcula o hash e compara com o hash
enviado pelo remetente. Se os resultados forem iguais,
garante-se a integridade dos dados enviados.
Exerccio:
( C ) Criptografia consiste reescrever um dado
atravs de um processo matemtico complexo. O
processo de reescrita pode ser desfeito caso se
conhea um nmero, conhecido como chave, que
usado em conjunto com o processo decriptogrfico.
Exerccio:
( E ) O uso de No-breaks ao invs de
estabilizadores comuns recomendado para
aumentar os nveis de confidencialidade do sistema
de informao;
( C ) A assinatura digital um mtodo de garantir a
identidade do usurio ou entidade que envia uma
mensagem de correio ou emite um certificado, por
exemplo. A assinatura digital realizada por meio da
chave privada do signatrio e reconhecida, pelo
receptor, atravs do uso da chave pblica deste
signatrio.
Exerccio:
Exerccio:
MINISTRIO DA FAZENDA