Gerenciamento de Tecnologia da Informação e ERP

Aula 3 – Segurança da Informação e Legislação FELIPE AUGUSTO PEREIRA

felipe.pereira@live.estacio.br | @felipeunu

Recife, 2012 1

• Segurança da Informação

• Principais Ameaças

• Meios de Proteção

• Legislação

2

Conteúdo

SEGURANÇA DA INFORMAÇÃO

3

Confidencialidade

Integridade

Disponibilidade

Segurança da

Informação

4

Segurança da Informação

Cibercrimes

• Prática que consiste em fraudar a segurança de computadores e redes empresariais ou utilizar meios eletrônicos para a realização de crimes

• Ex: SPAM, fraudes bancárias, violação de propriedade intelectual, pornografia, invasão de websites, etc.

5

• 1. Estados Unidos (23%)

• 2. China (9%)

• 3. Alemanha (6%)

• 4. Inglaterra (5%)

• 5. Brasil (4%)

• 6. Espanha (4%)

• 7. Itália (3%)

• 8. França (3%)

• 9. Turquia (3%)

• 10. Polônia (3%)

Fonte: BusinessWeek (2009) 6

Cibercrimes no Mundo

• Ranking de 2008 – Fração da atividade maliciosa no mundo: 4%

– Cibercrimes em geral: 5º lugar

– Códigos maliciosos: 16º lugar

– Zumbis para SPAM: 1º lugar

– Hospedagem de sites phishing : 16º lugar

– Bots (PCs controlados remotamente): 5º lugar

– Origem dos ataques: 9º lugar

Fonte: BusinessWeek (2009)

7

Cibercrimes no Brasil

8

Incidentes reportados ao CERT.br

Fonte: NIC.Br

• Inicialmente – Ação individual

– Status e reconhecimento

• Atualmente – Crime organizado

– Motivação financeira

– Ataques a usuários finais

9

Motivações para Cibercrimes

• Selecione uma empresa e apresente:

– Nome

– Produtos/serviços

– Relevância da segurança da informação para a empresa (justifique sua resposta)

10

Atividade 3.1 (em trio)

PRINCIPAIS AMEAÇAS

11

• Usuários

• Linhas de comunicação

• Servidores corporativos

• Sistemas corporativos

12

Fontes de Vulnerabilidade dos Sistemas

• Envio de e-mails não solicitados

• Problemas – Redução da produtividade

– Sobrecarga da infraestrutura de comunicação

– Porta para malwares e outras ameaças

– Inclusão do servidor em listas de bloqueio

13

SPAM

• Malicious Software = software malicioso

• Vírus, worms, backdoors, cavalos de tróia, spywares, keyloggers, screenlogers, bots, rootkits

• Software mal intencionado

• Normalmente disseminados através de websites, e-mails e pen drives

• Ações benignas x malignas

14

Malwares

• Varredura de redes de computadores à procura de vulnerabilidades

15

Scanning

• Indivíduos que pretendem obter acesso não autorizado a um sistema computacional

• Cracker, black hat, white hat

• Algumas ações – Invasão de sistemas

– Vandalismo

– Roubo de informações

16

Hackers

• Força Bruta

• Exploração de falhas conhecidas

• Suscetibilidade de computadores com banda larga (IP constante alta velocidade e longo tempo de conexão)

• Conexões sem fio

17

Invasão

• Golpe que normalmente objetiva vantagem financeira – Site de vendas ou leilão com preços muito abaixo do mercado, que

não serão entregues ou servirão para furto de dados financeiros

– E-mail recebido em nome de uma instituição financeira solicitando atuação como intermediário de uma transferência internacional mediante adiantamento

18

Scam

• “Disfarce” de pessoas ou programas através da falsificação de informações

• Empresas com material com copyright divulgam materiais distorcidos em redes de compartilhamento para desencorajar o uso

• E-mail spoofing – Alteração do remetente de e-mails

• Spoofing em ligações – Alteração de informações de quem está originando a ligação

19

Spoofing

• Modalidade de spoofing em que há a tentativa de obter informações importantes através de elementos mascarados como de instituições idôneas

• Modalidades – E-mails com falsas informações atraindo para links

– E-mails com manipulação de links

– E-mails com formulários

– Redirecionamento a websites falsos na digitação de endereços verdadeiros

– Phishing telefônico

– Utilização de popups solicitando informações no acesso a sites verdadeiros

20

Phishing

Tema Texto da mensagem

Cartões virtuais UOL, Voxcards, Musical Cards, etc.

SERASA e SPC Débitos e restrições

Governo CPF/CNPJ cancelados, problemas com imposto de renda ou eleições

Celebridades, fatos da mídia Fotos e vídeos

Relacionamentos Traição, convites para relacionamentos

Empresas de telefonia Débitos, bloqueio, serviços

Antivírus Atualizações

Lojas virtuais Pedidos, débitos

Negócios Solicitações de orçamentos, recibos

Promoções Vários

Programas Novidades, ofertas

21

Phishings Comuns

• Boatos com alarmes falsos enviados por e-mail

• Podem espalhar desinformação ou ter fins maliciosos

• Já houve casos de divulgação por meios de comunicação

• Exemplos – Envio de mensagem para n pessoas e obtenção de benefício

– Auxílio a pacientes de doenças graves através do envio de mensagens

– Produtos contaminados em empresas conhecidas

– Seringa com AIDS

– Roubo de órgãos

22

Hoaxes

• Utilização de identidades falsas em redes sociais e softwares de comunicação instantânea

• Identidades de famosos ou conhecidos

• Utilizado para acessar serviços sem se identificar ou se fazer passar por outros

23

Fakes

• Programa espião que monitora os dados transmitidos através de uma rede

• Permite acesso a arquivos, senhas ou conversações em tempo real

24

Sniffing

• Sobrecarga de servidor de rede ou web com falsas requisições

• Servidor sobrecarregado não consegue atender as solicitações

• Costuma usar bots

• Serviço atacado fica indisponível

• De 2% a 3% do tráfego de grandes backbones é ruído de DoS

25

Ataques DoS

• Exploração das vulnerabilidades das redes por terroristas, serviços de inteligência estrangeiros ou outros grupos para criar perturbações e prejuízos

• Acredita-se que vários países tenham ações de ataque e defesa em desenvolvimento para uma ciberguerra

• Preocupação de vários governos

26

Ciberterrorismo

• Ocorrências intencionais de funcionários

• Ocorrências intencionais de ex-funcionários

• Engenharia social

• Falhas na operação de sistemas

27

Funcionários

• Softwares comerciais apresentam falhas frequentes – Falhas descobertas são divulgadas e aproveitadas por indivíduos mal

intencionados

– Patches são lançados para resolver tais falhas

• Softwares online podem apresentar falhas através da manipulação de URL – Não proteção de arquivos em servidores online

– Acesso a funcionalidades por usuários não credenciados

28

Falhas de software

• Danos a equipamentos

• Invasão física

• Quedas e falta de energia

• Acidentes naturais

29

Falhas Físicas

• Dentre as ameaças abordadas (SPAM, malwares, scanning, hackers, invasão, scam, spoofing, phishing, hoaxes, fakes, sniffing, ataque DoS, ciberterrorismo, funcionários, falhas de software, falhas físicas), cite as 06 principais a que a empresa selecionada está sujeita e explique qual o impacto de cada uma delas.

30

Atividade 3.2 (em trio)

MEIOS DE PROTEÇÃO

31

• Normaliza, padroniza e estabelece critérios mínimos para garantir a integridade, confidencialidade e disponibilidade da informação no ambiente computacional

• Requer apoio da alta gestão e todos os funcionários

• É específica a cada organização

• Define regras de infraestrutura, utilização dos equipamentos, redes, e-mails corporativos, acesso à internet, senhas, etc

32

Política de Segurança

• Define ações a serem tomadas na ocorrência de grandes problemas

• Inclui ações para restauração dos serviços de computação e comunicação à normalidade

33

Plano de Contingência

• Conjunto de políticas e procedimentos utilizados pela empresa para evitar acesso indevido a informações

• Permissão – Definição das restrições de acesso

• Autenticação – Identificação da identidade de um usuário

– Senhas, cartões, tokens, biometria, etc.

34

Controle de Acesso

• Senhas longas

• Senhas com caracteres especiais (!@#$%&*?<>)

• Caracteres repetidos, sequências do teclado, palavras de quaisquer dicionários e dados pessoais devem ser evitados

• A senha deve ser alterada periodicamente (de 02 a 03 meses), com utilização de senhas diferentes das anteriores

35

Senhas

• O uso da mesma senha em diversos sistemas deve ser evitado

• Senhas não devem ser enviadas por telefone, e-mail ou software de comunicação instantânea

• Senhas não devem ser anotadas, exceto se houver dificuldade para decorar (nesse caso, a anotação deve ser mantida em local seguro)

36

Senhas

O que você acha dessas senhas?

• senha

• admsenha

• A3Dkiu0!

• felipe

• pereira

• 01081980

• Lionfish

• GAFANHOTO

• asdfg

• 1qaz2wsx

• 1234567890

• 87654321

• AcDaz90!

• amanda

37

• Pacotes com soluções antivírus, anti-SPAM e anti-spywares

• Verifica os sistemas em busca de arquivos e processos possivelmente infectados

• Devem ser atualizados diariamente

38

Suítes Anti-malwares

• Desativação recomendada – Abertura e execução automática de anexos

– Execução de JavaScript e Java

– Modo de visualização de e-mails HTML

• Atenção a anexos suspeitos ou de remetentes desconhecidos

• Atenção ao clicar em links em e-mails suspeitos (digitar o endereço diretamente no browser é preferível)

39

Segurança em E-mails

• SPAMs não devem ser respondidos (nem solicitação de descadastramento)

• A divulgação de e-mails na Internet deve ser feita com precaução

40

Segurança em E-mails

• Atenção à execução de programas Java, Activex e JavaScripts

• Popups devem ser bloqueados

• Procedência do site e uso de conexões seguras ao realizas transações devem ser conferidos – Cadeado

– Validade e propriedade do certificado

• Websites de entretenimento de natureza desconhecida são perigosos (ex: pornografia e jogos)

41

Segurança na Navegação na Internet

• Atenção com os cookies

• Atenção com o bluetooth

• Informações não devem ser desnecessariamente divulgadas online (inclusive em grupos e comunidades)

42

Privacidade

• Convites de desconhecidos não devem ser aceitados

• Atenção para a engenharia social

• Atenção para o recebimento de arquivos

43

Segurança na Comunicação Instantânea

• Atenção à configuração de softwares de compartilhamento de arquivos (Kazaa, BitTorrent, Emule, etc.)

• Compartilhamentos de pastas devem ser feitos com o uso de senhas

44

Segurança no Compartilhamento de Arquivos

• Alteração do SSID e senhas default dos equipamentos

• Utilização de protocolos de autenticação robustos (ex: WPA, criptografia AES)

• Criação de redes virtuais (VLANs) para visitantes

45

Segurança de Redes sem Fio

• Transformação de dados comuns em dados cifrados para que sejam conhecidos apenas pelo remetente e destinatário – Criptografia de dados armazenados

– Criptografia de dados trafegados

– Assinatura digital

– Certificado digital

• Criptografia de chave única x chave pública e privada

46

Criptografia

• Arquivo eletrônico com dados de uma pessoa (física ou jurídica)

• Armazenado no PC, token ou smart card

• Autoridade Certificadora = “cartório eletrônico”

47

Certificado Digital

• Sistemas que protegem redes privadas de acessos não autorizados

• Controle do fluxo de entrada e saída da rede

• Baseado em filtros de pacotes, regras e controles por endereço MAC, IP, etc.

• Hardware e/ou software

• Geração de logs

• Firewalls pessoais

48

Firewalls

• Alteração de portas

• Alteração de usuários e senhas de aplicações, redes, etc.

• Válido para softwares e hardwares

49

Mudanças de Padrões

• SPAMs: rede do remetente e mail-abuse@cert.br

• Scams e phishing: rede do remetente e cert@cert.br

• Invasões, tentativas, ataques DoS e outros incidentes: rede originária do incidente e cert@cert.br

50

Denúncias

• Aquisição

– Evitar pirataria

– Atualização constante dos patches

– Seleção de bons fornecedores

• Desenvolvimento

– Atualização das ferramentas e tecnologias de desenvolvimento

– Qualificação da equipe

– Atenção a boas práticas de engenharia de software

51

Segurança em Software

• Frequência depende da periodicidade de atualização dos dados, do risco e valor da perda

• Mídia a ser utilizada dever ser analisada

• Atenção ao local de armazenamento

52

Backups

• Espelhamento de discos

• Realização de backups

• No-breaks

• Segurança física dos ambientes (computadores e demais dispositivos)

53

Ações contra Danos Físicos

• Treinamento com usuários

• O uso de computadores desconhecidos deve ser moderado (dispositivos de armazenamento móvel e dados confidenciais)

• Configurações de segurança devem ser feitas bloqueando tudo e liberando apenas o necessário

• Tráfego de rede deve ser monitorado

54

Outras Ações

• http://cartilha.cert.br

55

Cartilha CERT

• Quais desses meios de proteção você identifica na empresa selecionada: política de segurança, plano de contingência, controle de acesso, senhas, suítes anti-malwares, privacidade, segurança em e-mails, navegação na Internet, comunicação instantânea, compartilhamento de arquivos, redes sem fio, criptografia, firewalls, mudanças de padrões, denúncias, segurança em software, backups e proteção contra danos físicos?

• Explique como cada um é implementado.

• Alguma das ameaças da atividade 3.2 não está sendo contemplada? O que fazer para evitá-la?

56

Atividade 3.3 (em trio)

LEGISLAÇÃO

57

Legislação

• Pirataria

• Prova da autoria de crimes eletrônicos

• Direito autoral e propriedade intelectual

• Questões trabalhistas

58

• Freeware – Uso gratuito

– Autor detém o copyright e pode impor restrições ao uso

– Software não pode ser alterado ou distribuído sem permissão

• Domínio público – Não tem copyright

– Pode ser alterado e distribuído sem permissão

– Normalmente, financiado por governo e criado por universidade e/ou instituições de pesquisa

59

Licenciamento

• Código aberto – Código fonte é disponibilizado

– Outros programadores podem alterar e redistribuir

• Shareware – Software comercial distribuído gratuitamente por um período

experimental

– Deve ser registrado para funcionar após o término do prazo

• Demo – Software comercial que apresenta limitação de funcionalidades para

testes

– Interessado deve adquirir versão completa

60

Licenciamento

61

Dúvidas