Curso de Seguranca Da Informacao

28/05/2012
Curso de Preparatrio para Concursos Pblicos
Contedo desse Mdulo

Princpios da Segurana da Informao; Ameaas aos Sistemas de Informao; Recursos de Segurana; Backup; Criptografia; Assinatura Digital; Certificao Digital.
Tecnologia da Informao
Segurana da Informao
Prof. Marcelo www.professormarcelomoreira.com.br juris@professormarcelomoreira.com.br
Prof. Marcelo Moreira Curso Juris
SI CONCEITOS BEM PROTEGIDO INFORMAO PSI POLTICA DE SI
As informaes digitais esto sujeitas a uma srie de ameaas (intencionais ou no) que lhes conferem um situao de no confivel;
RISCOS AMBIENTE INSEGURO EX. INTERNET
AMEAAS VULNERABILIDADES
DANOS
RECURSOS
A segurana da informao trata justamente dos conceitos, tcnicas e recursos que conseguem diminuir essa fragilidade, dando nveis de confiabilidade altos s informaes digitais.
4
Princpios da Segurana

Confidencialidade: a garantia de que uma informao no ser acessada por pessoas no autorizadas (ser confidencial, ser sigiloso); Recursos que mascaram ou escondem a informao (como a criptografia) e que limitam acesso dos usurios (como senhas) cujo foco a confidencialidade.
So os pilares nos quais se apia segurana dos sistemas de informao;
Os princpios da segurana so prrequisitos para que se considere um sistema de informaes seguro. Bizu: sigla CIDA ou DICA;
28/05/2012
Integridade: a garantia de que uma informao no ser alterada sem autorizao durante seu trajeto ou seu armazenamento (manter-se ntegro); Recursos que permitem que se saiba se a informao foi, ou no, alterada, como a Funo Hash, (idia parecida com o dgito verificador do CPF).
Disponibilidade: a garantia de que um sistema de informaes estar sempre disponvel aos usurios quando requisitado; Esta meta pode ser atendida com os Backups das informaes, alm de outras recursos, como geradores sobressalentes, no-breaks, alguns tipos de RAID.
Autenticidade: a garantia de conhecer a identidade de um usurio ou sistema de informaes com quem se vai estabelecer comunicao (ser autntico, ser quem diz ser); Recursos como senhas (que, teoricamente, s o usurio conhece), biometria, assinatura digital e certificao digital so usados para essa finalidade.
Confiabilidade: este o objetivo maior da Segurana. Garantir que um sistema vai se comportar (vai realizar seu servio) segundo o esperado e projetado. (ser confivel, fazer bem seu papel); Para atingir uma alta segurana esse princpio deve ser alcanado com base em todos os outros.
10
Outros Princpios da Segurana

Outros Princpios da Segurana

No-Repdio: a garantia que uma pessoa no consiga negar um ato ou documento de sua autoria.
Privacidade: um princpio secundrio, determina que um usurio ter condies de decidir quais informaes estaro disponveis e quem ter o direito de acess-las (ser privado, ser publicado sob minha deciso).
uma condio validade jurdica transaes digitais da Autenticidade de
necessria para a de documentos e (conseguida atravs Integridade).
11
12
28/05/2012
Exerccios
Exerccios
2011 TJ/ES ANALISTA JUD. ADM CESPE Confidencialidade, disponibilidade e integridade da informao, que so conceitos importantes de segurana da informao em ambiente digital, devem estar presentes na gesto e no uso de sistemas de informao, em benefcio dos cidados e dos fornecedores de solues.
2008 CEF TEC. BANCRIO ACRE - CESGRANRIO
Qual dos princpios bsicos da segurana da informao enuncia a garantia de que uma informao no foi alterada durante seu percurso, da origem ao destino?
a) b) c) d) e)
No-repdio Integridade Autenticidade Disponibilidade Confidencialidade

13
14
Riscos
Ameaas aos Sistemas
Vulnerabilidades (Fragilidades): um ponto fraco do prprio sistema, um fator interno, ou seja, definida como uma falha no projeto, implementao ou configurao de um software ou do ambiente de TI como um todo, que pode ser explorada por um atacante; Ameaas: um fator externo, a explorao das vulnerabilidades de um sistema, realizadas por um agente, de forma espontnea ou proposital, para conseguir seu intento; ou ocasionados por acontecimentos externos.
15
Malware: programas criados com objetivos
nocivos, de prejudicar, comprometendo a segurana dos sistemas de informao.
brechas intencionais, no documentadas, em programas legtimos, que permitem o acesso ao sistema por parte de seus desenvolvedores ou mantenedores.
Backdoor:
16
Ameaas aos Sistemas

Ameaas aos Sistemas

SPAM: envio em massa de mensagens de e-
Hackers: usurios avanados em TI, que
possuem um exmio conhecimento em informtica, por muitas vezes melhoram os sistemas existentes.
mail no autorizadas pelos destinatrios, em resumo, um spam consiste numa mensagem de correio eletrnico com fins publicitrios.
Crackers: usurios que invadem sistemas de
Scam (Golpe): um conjunto de tcnicas para
segurana, quebram senha de programas. Os crackers trabalham de de forma legal e sem tica.
17
enganar os usurios de sistemas de informao no intuito de enviar-lhe um programa malfico ou simplesmente obter seus dados.
18
28/05/2012
Malware
Tipos Malware Vrus; Trojan; Spyware; Worm; Wabbit; Rootkits; Botnets; Sniffer;
Malware
Vrus de Computador: um programa (ou parte de um programa) que: Necessita de um hospedeiro para existir (um vrus se anexa ao contedo de um arquivo para viver); Capacidade de se replicar (ou copiar) sozinho para outros arquivos (hospedeiros); Um Vrus s entra em ao quando seu hospedeiro (e o prprio vrus) executado na memria RAM do micro infectado.
20
Adware;
Hijackers;
Port scanner;
Exploit;
Vermelho ficam no computador atacado. Preto ficam no computador do atacante.

19
Malware
Malware
Vrus de Boot: infectam o setor de inicializao do HD, denominado setor de boot, afetam o carregamento do Sistema Operacional. Vrus de Macro: infectam arquivos do Office (Word, Excel, Power Point), afetam os macros desses programas e so baseados em VBA (Visual Basic for Applications).
Cavalo de Tria (Trojan Horse): um programa
que apresenta-se como algo inofensivo (mensagem de solidariedade, de esperana, um jogo, um carto de Boas Festas, etc.)
A mensagem esconde objetivos maliciosos, como apagar dados, roubar informaes e, mais comumente, abrir portas de comunicao para que se possa invadir o computador que foi infectado.
22
21
Malware
Malware
Spyware (programa espio): um programa que monitora e registra os hbitos de navegao e acesso Internet do micro infectado e transmite essa informao a uma entidade externa na Internet, sem o seu conhecimento e o consentimento de vtima.
Um spyware pode conter keyloggers (capturadores de teclado) e screenloggers (capturadores de tela) para copiar as aes e informaes que o usurio est fazendo com o computador.
Worm: um programa que apenas usa a estrutura das redes para se copiar de micro em micro, degradando a velocidade da comunicao na estrutura infectada. No precisa de hospedeiro, ele prprio o arquivo que se replica. No precisa ser acionado pelo usurio, ele se utiliza de falhas nos protocolos e servios da rede para se espalhar.
24
23
28/05/2012
Malware
Malware
Adware: um programa que fica fazendo anncios de propaganda no micro infectado. Em alguns casos um programa lcito, acompanhando outros programas. Fica abrindo pginas ou mostrando imagens e links de cassinos, lojas, pornografia e outros.
Hijackers (seqestradores) so programas
ou scripts que "sequestram" navegadores de Internet, principalmente o IE. O hijacker altera a pgina inicial do browser e impede o usurio de mud-la, exibe propagandas em pop-ups ou janelas novas, instala barras de ferramentas no navegador e podem impedir acesso a determinados sites (como sites de software antivrus, por exemplo).
A idia vender os cliques que o usurio faz nessas pginas, o que gera lucro para o criador do hijacker.
26
25
Malware
Malware
Rootkit: so um tipo de malware cuja principal
inteno se camuflar, impedindo que seu cdigo seja encontrado por qualquer antivrus. Isto possvel por que estas aplicaes tm a capacidade de interceptar as solicitaes feitas ao sistema operacional, podendo alterar o seu resultado.
Wabbit: Um tipo de programa que se caracteriza pela eficincia em autoreplicarse, repetitivamente no computador, causando dano pelo consumo de recursos. No usam programas ou arquivos hospedeiros e no utilizam redes para distribuir suas cpias.
Um rootkit um programa com cdigo mal intencionado que busca se esconder de softwares de segurana e do usurio utilizando diversas tcnicas avanadas de programao.
27
28
Malware
Exerccios
2010 CONFEF Analista em TI - IESES
Botnets: so basicamente redes de computadores infectados por bots.

Bots: Este tipo de ameaa leva esse nome por se parecer com um rob, podendo ser programado para realizar tarefas especficas dentro do computador do usurio afetado capaz de se comunicar com os invasores que o colocaram em sua mquina. Da mesma forma que acontece com o Worm, o bot pode ser um programa independente, agindo e se propagando atravs do seu computador. Desta forma ele cria suas redes e se espalha.
29
30
28/05/2012
Malware
Funcionamento Sniffer
Sniffer: um programa que instalado na
mquina do atacante e serve para capturar os informaes da rede que chegam quela mquina, mesmo os que no esto direcionados a ela.
A placa de rede passa a operar em modo promscuo, no rejeitando nenhum mensagem que chega.
31
32
Malware
Malware
Port Scanner: um programa que vasculha
(verifica) um computador alvo procura de portas (servios) abertas para que, atravs delas, se possa promover uma invaso quele micro.
Exploit: um programa com o objetivo de tirar vantagem de alguma falha, ou vulnerabilidade, conhecida em um sistema de informao. Um hacker pode constru-lo para demonstrao das vulnerabilidades, a fim de que as falhas sejam corrigidas, ou j os crackers com a finalidade de ganhar acesso no autorizado aos sistemas. Muitos crackers no publicam seus exploits. Seu uso massificado deve-se aos script kiddies (amadores);
34
Port scanner envia sucessivos pacotes a vrias portas diferentes, esperando receber um pacote de resposta por uma delas e com isso identificar possveis formas de atacar.
33
Phishing
Phishing
Em computao, phishing uma forma de fraude eletrnica, caracterizada por tentativas de adquirir fotos e msicas e outros dados pessoais, ao se fazer passar como uma pessoa confivel ou uma empresa enviando uma comunicao eletrnica oficial. Tal fraude ocorre de vrias maneiras, destaca-se formulrios HTML falsos em emails, URLs falsas, dentre outros.
35
36
28/05/2012
Exerccios
Prova: FCC/2009 TCE-GO - Analista de Contr. Ext. TI
Nvel de Segurana
Depois de identificado o potencial de ataque, as organizaes tm que decidir o nvel de segurana a estabelecer para uma rede ou sistema os recursos fsicos e lgicos que necessitam de proteo. No nvel de segurana devem ser quantificados os custos associados aos ataques e os associados implementao de mecanismos de proteo para minimizar a probabilidade de ocorrncia de um ataque.
40
Considere a hiptese de recebimento de uma mensagem no solicitada de um site popular que induza o recebedor a acessar uma pgina fraudulenta projetada para o furto dos dados pessoais e financeiros dele. Trata-se de a) spam. b) phishing/scam. c) adware. d) keylogger. e) bluetooth.
39
Mecanismos de segurana
Mecanismos de segurana
Controles lgicos: so barreiras que impedem ou limitam o acesso informao, que est em ambiente computacional, exposto a cpia, alterao ou apagamento no autorizado por elemento mal intencionado, que pode estar distante da origem dos dados. Ex. anti-vrus, firewalls, filtros anti-spam, analisadores de cdigo, sistemas biomtricos, hashing, criptografia, assinatura digital, certificao digital, protocolos seguros.
Controles fsicos: so barreiras que limitam o contato ou acesso direto informao ou infraestrutura (que garante a existncia da informao) que a suporta. Ex. Portas, trancas, paredes, blindagem, guardas, cmeras, cercas eltricas, ces, etc.
41
42
Exerccios
Prova: 2012 CESPE Papiloscopista da PF
Recursos de Segurana
Antivrus: programas que protegem os sistemas de informao contra vrus de computador.
So ferramentas preventivas e corretivas, que detectam e removem vrus de computador e outros programas maliciosos (spywares, worms e cavalos de tria). Ex.: Norton Antivrus, McAfee, Avast, AVG Antivrus e outros.
44
27) As senhas, para serem seguras ou fortes, devem ser compostas de pelo menos oito caracteres e conter letras maisculas, minsculas, nmeros e sinais de pontuao. Alm disso, recomenda-se no utilizar como senha nomes, sobrenomes, nmeros de documentos, placas de carros, nmeros de telefones e datas especiais.
43
28/05/2012
Firewall
Firewall: programa que filtra o trfego de entrada e sada de dados em uma rede. O firewall deve ser previamente configurado para o que vai deixar passar e o que vai bloquear. Pode ser implementado tanto em software quanto em hardware.
45
46

Caractersticas Backup
freqente: deve ser realizado com muitas vezes, de preferncia, diariamente; cclico: realizado em ciclos, com incio e fim. Esses ciclos podem ter qualquer periodicidade; contemporneo: seu objetivo sempre manter os dados do backup to recentes quanto os dados originais do sistema a que se destina.
48
Backup: o ato deliberado de fazer cpia dos dados importantes da empresa para outro local (em mdias de armazenamento, como DVDs, CDs ou Fitas DAT). Backup um dos recursos de segurana, que objetiva manter a disponibilidade dos dados dos sistema.
47
Tipos de Backup
Tipo
Normal (Total)
Exerccios
Prova: 2012 CESPE Papiloscopista da PF
Arquivos
Todos os arquivos selecionados, Marca todos os arquivos.
Apenas os arquivos novos ou modificados desde Incremental o ltimo backup normal, Marca todos os arquivos. Diferencial Apenas os arquivos novos ou modificados desde o ltimo backup normal, No Marca todos os arquivos. Todos os arquivos selecionados, No Marca todos os arquivos. (ex: usado para uma emergncia) Criados ou alterados em data especfica No Marca todos os arquivos.
29) Uma caracterstica desejada para o sistema de backup que ele permita a restaurao rpida das informaes quando houver incidente de perda de dados. Assim, as mdias de backup devem ser mantidas o mais prximo possvel do sistema principal de armazenamento das informaes.
De cpia
Dirio
49
50
28/05/2012
Criptografia Exemplo

Criptografia: o processo matemtico usado para reescrever uma informao de forma embaralhada, de modo que no seja possvel entend-la, se ela for interceptada. A criptografia a base para outros recursos de segurana como a Assinatura Digital e a Certificao Digital. No importando se a criptografia simtrica ou assimtrica o objetivo garantir o sigilo (a confidencialidade) das informaes.
51
Funo Mc=Mo x C (algortimo); Mc= Mensagem cifrada; Mo= Mensagem Original; C = Chave criptogrfica.
ABCDEFGHIJKLMNOPQRSTUVWXYZ ABCDEFGHIJKLMNOPQRSTUVWXYZ Mo = VOU PASSAR NO CONCURSO

52


Funo Mc=Mo x C (algortimo); Mc= Mensagem cifrada; Mo= Mensagem Original; C = 1.
Funo Mc=Mo x C (algortimo); Mc= Mensagem cifrada; Mo= Mensagem Original; C = 3.
ABCDEFGHIJKLMNOPQRSTUVWXYZ ABCDEFGHIJKLMNOPQRSTUVWXYZ Mo= VOU PASSAR NO CONCURSO; Mc = WPV QBTTBS OP DPODVSTP

53
ABCDEFGHIJKLMNOPQRSTUVWXYZ ABCDEFGHIJKLMNOPQRSTUVWXYZ Mo= VOU PASSAR NO CONCURSO Mc = YRX SDVVDU QR FRQFXUVR

54
Criptografia Simtrica
Criptografia Assimtrica
55
56
28/05/2012
Saber para a prova Simtrica x Assimtrica

Simtrica Assimtrica(Chave Pblica)
Assinatura Digital: uma forma (meio) que permite associar, irrefutavelmente, uma mensagem a um autor, garantindo que se possa saber a origem da mensagem.
Chaves mais simples, fcil Chaves maiores, que exigem processamento, exige pouco hardware mais poderoso e mais poder computacional. tempo para processamento.
Usa apenas uma chave (chave privada). A chave tem que ser compartilhada entre os envolvidos, o que pode se tornar a vulnerabilidade. Pode ser usada nos dois sentidos (A B) e (B A), j que os dois usurios usam a mesma chave. Usa duas chaves. Apenas a chave de codificao compartilhada (Chave Pblica). A chave que decodifica continua segura (Chave Privada) S pode ser usada em um sentido (A B), usando as chaves de B ou no outro (B A), usando as chaves de A.
57
A assinatura digital usa chaves assimtricas (pblica e privada), s que de forma diferente da criptografia.
Usam-se os termos: assinar = cifrar; verificar a assinatura = decifrar.
58
Assinatura Digital
Objetivos da Assinatura Digital

No garante a confidencialidade (sigilo) da mensagem, porque a ela poder ser aberta por todos aqueles que tm a chave pblica do emissor. O foco da Assinatura Digital a Autenticidade (garantir o autor da mensagem); Por usar Hash, o processo de assinatura digital tambm garante a Integridade da mensagem; E, com estes dois princpios, a Assinatura o recurso que nos garante o No-Repdio.
60
59
Exerccios
2008 CEF TEC. BANCRIO ACRE - CESGRANRIO
Certificao Digital: recurso oferece nveis altos de

confiabilidade por meio da garantia prestada por empresas de certificao.
Quais princpios da segurana da informao so obtidos com o uso da assinatura digital?

a) b) c) d)
Autenticidade, confidencialidade e disponibilidade. Autenticidade, confidencialidade e integridade. Autenticidade, integridade e no-repdio. Autenticidade, confidencialidade, disponibilidade, integridade e no-repdio. Confidencialidade, repdio. disponibilidade, integridade e no-
Tais instituies, chamadas Autoridades de Certificao (AC) so responsveis por emitir, revogar e renovar os certificados digitais dos usurios do sistema. Certificado digital um documento (arquivo no computador) que garante a nossa identidade de forma irrefutvel, porque est assinado digitalmente por uma empresa que atesta isso (AC, parece cartrio virtual). O Certificado Digital a nossa chave pblica assinada pela AC.
62
e)
61
10
28/05/2012
Certificado Digital
Quais informaes encontradas em certificado digital? Nmero de srie; Data de validade;

so um
Assinatura da AC; Chave Pblica da Entidade CPF/CNPJ da Entidade; E outros.
63
64
Exerccios
Prova 2011 SEGER/ES Nvel Superior - CESPE Considerando que, em uma intranet, os servidores web estejam configurados para uso de certificados digitais, julgue os itens subsequentes. 39 - Entre as caractersticas de um certificado digital inclui-se a existncia de um emissor, do prazo de validade e de uma assinatura digital. 40 - O uso do protocolo https assegura que informaes trafegadas utilizem certificados digitais. as Prova 2011 FMS/PI Nvel Superior
Exerccios
De acordo com os conceitos de Segurana da Informao, assinale a alternativa INCORRETA: a) A diferena entre os tipos de backup realizados est, principalmente, no tipo de mdia utilizado. b) Devemos verificar se o endereo de alguns sites comeam com HTTPS, indicando uma conexo segura. Instituies bancrias e de comrcio eletrnico so exemplos de uso. c) Criptografia um mtodo de codificao de dados que visa garantir o sigilo de informaes. d) Cavalo de tria um tipo de software que vem embutido em um arquivo recebido por e-mail ou baixado da rede. Ao executar o arquivo, o usurio permite a abertura de portas, possibilitando a obteno de informaes no autorizadas. e) Um dos princpios de Segurana da Informao a Disponibilidade, propriedade que garante que a informao esteja sempre disponvel, no momento em que a mesma seja necessria.
66
65
Frase Final
Motivao a impulso para realizaes de sonhos Edjane Mendes
67
11

Curso de Seguranca Da Informacao

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Curso de Seguranca Da Informacao

Hochgeladen von

Copyright:

Verfügbare Formate

28/05/2012

Curso de Preparatrio para Concursos Pblicos

Contedo desse Mdulo

Prof. Marcelo www.professormarcelomoreira.com.br juris@professormarcelomoreira.com.br

Prof. Marcelo Moreira Curso Juris

RISCOS AMBIENTE INSEGURO EX. INTERNET

Prof. Marcelo Moreira Curso Juris

So os pilares nos quais se apia segurana dos sistemas de informao;

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Outros Princpios da Segurana

Outros Princpios da Segurana

uma condio validade jurdica transaes digitais da Autenticidade de

necessria para a de documentos e (conseguida atravs Integridade).

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

2008 CEF TEC. BANCRIO ACRE - CESGRANRIO

No-repdio Integridade Autenticidade Disponibilidade Confidencialidade

Prof. Marcelo Moreira Curso Juris

Ameaas aos Sistemas

Malware: programas criados com objetivos

nocivos, de prejudicar, comprometendo a segurana dos sistemas de informao.

Ameaas aos Sistemas

Ameaas aos Sistemas

Hackers: usurios avanados em TI, que

Crackers: usurios que invadem sistemas de

Scam (Golpe): um conjunto de tcnicas para

Vermelho ficam no computador atacado. Preto ficam no computador do atacante.

Cavalo de Tria (Trojan Horse): um programa

Prof. Marcelo Moreira Curso Juris

Hijackers (seqestradores) so programas

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Botnets: so basicamente redes de computadores infectados por bots.

Prof. Marcelo Moreira Curso Juris

Sniffer: um programa que instalado na

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Port Scanner: um programa que vasculha

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

ABCDEFGHIJKLMNOPQRSTUVWXYZ ABCDEFGHIJKLMNOPQRSTUVWXYZ Mo = VOU PASSAR NO CONCURSO

Funo Mc=Mo x C (algortimo); Mc= Mensagem cifrada; Mo= Mensagem Original; C = 1.

Funo Mc=Mo x C (algortimo); Mc= Mensagem cifrada; Mo= Mensagem Original; C = 3.

ABCDEFGHIJKLMNOPQRSTUVWXYZ ABCDEFGHIJKLMNOPQRSTUVWXYZ Mo= VOU PASSAR NO CONCURSO; Mc = WPV QBTTBS OP DPODVSTP

ABCDEFGHIJKLMNOPQRSTUVWXYZ ABCDEFGHIJKLMNOPQRSTUVWXYZ Mo= VOU PASSAR NO CONCURSO Mc = YRX SDVVDU QR FRQFXUVR

Prof. Marcelo Moreira Curso Juris

Prof. Marcelo Moreira Curso Juris

Saber para a prova Simtrica x Assimtrica

Prof. Marcelo Moreira Curso Juris

Objetivos da Assinatura Digital

Prof. Marcelo Moreira Curso Juris

2008 CEF TEC. BANCRIO ACRE - CESGRANRIO

Certificao Digital: recurso oferece nveis altos de

Quais princpios da segurana da informao so obtidos com o uso da assinatura digital?