apresentação do powerpoint -...
TRANSCRIPT
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
1
SEGURANÇA WEB 2.0
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
2
O QUE É A WEB 2.0
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
3
Hacker: Ao contrário do que muitos pensam, é uma pessoa interessada em pesquisas computacionais, como:
o Sistemas Operacionais; o Segurança da WEB e demais sistemas em rede; o Busca por novos conhecimentos; o Compartilham informações; o Não causam destruição.
Cracker: Pessoa que invade ou viola de sistemas, com intenções de promover a destruição do mesmo ou o caos.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
4
Códigos Maliciosos: Programas de sistemas computacionais com comportamento maligno ou mal-intencionado, com a intenção de causar dano ou roubo de informações.
Vírus: Mais conhecido dos códigos maliciosos, popularizou-se a partir dos anos 80, com o crescimento dos PCs e a introdução do sistema operacional DOS.
o Objetivo: Sobreviver e se Reproduzir;
Cavalo de Tróia: Não são vírus por não replicarem, mas que apresentam funções maliciosas apresentando-se na forma de programas utilitários, como um antivírus, por exemplo.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
5
Engenharia Social: Método de ataque, onde se usa a persuasão, abusando da ingenuidade ou confiança do usuário, e obter informações que podem ser utilizadas para acesso não autorizado a computadores ou informações.
o Muito utilizados para se obter informações sigilosas e importantes.
o Para atingir seu objetivo o atacante geralmente se passar por outra pessoa, fingindo ser um profissional de determinada área da empresa, etc.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
6
Phishing Scam: É um tipo de fraude eletrônica, caracterizada por diversas tentativas em adquirir dados pessoais dos mais variados tipos: senhas, dados financeiros como número de cartões de crédito e outros.
o Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular.
o Podem ser enviadas através de: e-mail, mensagem instantânea, SMS, dentre outros.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
7
Ataque de Negação de Serviço (DoS Attack): Conhecido como um ataque de negação de serviço.
o Os alvos mais comuns são Servidores Web, onde o ataque tenta tornar as páginas hospedadas indisponíveis na WWW.
o Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas:
• Forçar o sistema em ataque a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço.
• Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
8
Ataques Distribuído de Navegação de Serviço (DDoS Attack): Semelhante ao ataque DoS, porém ocorrendo de forma distribuída.
o Um computador mestre ou “Master” pode ter sob seu comando até milhares de computadores "Zombies" ou zumbis, onde, as tarefas de ataque de negação de serviço são distribuídas a um "exército" de máquinas escravas.
o O ataque consiste em fazer com que os Zumbis (máquinas infectadas sob comando do mestre) se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
9
o Passada essa fase, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo tempo recursos do mesmo servidor.
o Como servidores web possuem um número limitado de usuários que podem atender simultaneamente, chamados de "slots", o grande e repentino número de requisições de acesso esgota esse número de slots, fazendo com que o servidor não seja capaz de atender a mais nenhum pedido.
o Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo travar.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
10
Não é possível exibir esta imagem no momento.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
11
SQL Injection
o É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL.
o A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
12
PASSWORDS - Autenticação de Usuário
Basicamente quatro técnicas principais podem ser utilizadas para autenticação de usuários: Onde você está; Algo que você conhece; Algo que você é; Algo que você tem.
Uma autenticação passa a ser considerada “robusta” quando une duas ou mais destas informações com números e símbolos.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
13
PASSWORDS - Autenticação de Usuário Algo que você sabe: Senha; PIN; “nome de solteira da mãe”; “1059”.
Algo único em você: Digitais; Voz; Retina; Íris.
Algo que você tem: Chave; Token; Cartão magnético; SmartCard.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
14
PASSWORDS - Autenticação de Usuário
Onde você está: Muitos sistemas se baseiam em um identificador de usuário e no endereço de rede do sistema para fazer a autenticação, onde, o autenticador assume a identidade da origem que poderá ser inferida com base no endereço de rede de onde os pacotes foram enviados.
Infelizmente este método é suscetível a falhas: Invasão de sistemas confiáveis; Falsificação de endereço IP.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
15
PASSWORDS - Formas de autenticação de Usuário
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
16
CRIPTOGRAFIA Temos dois tipos: Simétrica e Assimétrica, onde ambas podem ser de criptografia forte.
Se de alguma forma tivéssemos acesso a toda tecnologia computacional disponível para se tentar quebrar um código de criptografia forte, ou seja, se tivéssemos bilhões de computadores executando bilhões de leituras por segundo, não seria possível decifrar o resultado de uma criptografia forte, antes do fim do mundo ou quase isso.
A vulnerabilidade não está no tipo de criptografia, mas sim na forma de administrar a chave.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
17
CRIPTOGRAFIA SIMÉTRICA Vantagens: Extremamente rápida; Trabalha com chaves pequenas, uma chave de 128 bits é
considerada muito boa e quase impossível de ser quebrada.
Desvantagens:
A chave usada para encriptar é a mesma chave usada para decriptar, tornando a criptografia vulnerável, ou seja, ao enviarmos uma mensagem encriptada para uma pessoa, deveremos também enviar a chave, pois sem ela, o receptor não poderá ler a mensagem.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
18
CRIPTOGRAFIA ASSIMÉTRICA Veio atender ao problema de se ter as chaves de criptografia
dos polinômios simétricos, encriptar e decriptar, enviada na mensagem.
Cria um par de chaves distintas e complementares de forma que, aplicadas ao mesmo polinômio, uma seja usada para encriptar e a outra para decriptar.
A chave de encriptação recebe o nome de chave Pública, e é distribuída sem restrição.
Ao receber uma mensagem eu utilizo a minha chave Privada que só eu tenho acesso.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
19
CRIPTOGRAFIA ASSIMÉTRICA
Vantagens:
Está na chave: o A que encripta os dados é diferente da que decripta
estes mesmos dados.
Desvantagens:
São extremamente lentos quando comparados com a criptografia simétrica;
Utiliza chaves grandes.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
20
Com a apresentação do navegador Mosaic em 1993, a Web teve uma explosão de popularidade, e continuou a crescer durante toda a década de 1990, período que ficou conhecido como “Bolha ponto.com", explodindo em 2001.
O termo Web 2.0, criado por Dule Dougherty da O'Reilly® Media em 2003, foi para descrever essa tendência, tornou-se um dos principais termos de efeito da mídia, mas poucas pessoas realmente sabem seu significado.
O objetivo da Web 2.0 é fornecer aos navegantes mais criatividade, compartilhamento de informação e colaboração entre eles.
Visualmente, as páginas também mudaram bastante. Elas estão com elementos gráficos muito mais desenvolvidos, tratados e agradáveis.
Porém, essas mudanças não devem ser relacionadas diretamente com o conceito de Web 2.0. Essas melhorias gráficas foram aprimoramentos aplicados pelos desenvolvedores que coincidiram com a explosão do conteúdo dinâmico.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
21
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
22
Podemos dizer que a Internet antes estava na versão 01 ou Web 1.0 e agora está na versão 02 ou Web 2.0 onde as páginas passaram de um conteúdo estático para um conteúdo dinâmico.
Exemplos de páginas Web 2.0:
http://www.pt.wikipedia.org
http://www.youtube.com.br
http://www.uol.com.br
http://www.apontador.com.br/
https://docs.google.com/?tab=wo
http://www.orkut.com
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
23
São ferramentas complexas disponíveis na internet que oferecem vários serviços, como:
MECANISMOS DE BUSCA
Buscar informações, armazená-las e apresentá-las aos usuários;
E-mails e redes sociais;
Negócios: e-Business; e-Commerce.
Entretenimento: Vídeos; Filmes; Games; Imagens.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
24
• Robot – Programa que percorre a rede em busca de conexões através de um endereço que recebe. Ao localizar o endereço, o robot regista a tarefa encontrada e transmite os dados a uma central.
• Indexador – Sistema ou conjunto de sistemas encarregadas de processar os dados recolhidos pelos robots.
MECANISMOS DE BUSCA – Mais conhecidos
• Informações – Os dados organizados pelo indexador são armazenadas em um local chamado “Banco de Dados”.
• Programa de Busca – Permite ao usuário acessar o banco de dados e extrair dele o que necessita. A "chave" para abrir essa porta é chamado palavra-chave ou frase-chave, que não passa da palavra ou frase digitada para se fazer a busca.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
25
APIs (Applicution Programming Interfaces ou Interfaces para Programação de Aplicações) – Provêm aplicações com acesso a serviços e bancos de dados externos.
SERVIÇOS DE WEB – APIs / Mashups / WIDGETS E GADGETS
Uma API pode ser definido como um conjunto de mensagens de requisição e resposta HTTP (Hypertext Transfer Protocol), geralmente expressado nos formatos XML (eXtensible Markup Language).
No geral, um XML é uma recomendação da W3C para gerar linguagens de marcação para necessidades especiais.
W3C (World Wide Web Consortium) é um consórcio internacional com cerca de 300 membros, que agrega empresas, órgãos governamentais e organizações independentes, e que visa desenvolver padrões para a criação e a interpretação de conteúdos para a Web
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
26
Mashups – São mapas particularmente populares que combinam conteúdo ou funcionalidade de serviços Web existentes, sites Web e RSS feeds (armazena informações do usuário, mantendo uma "conexão aberta" com seus leitores) para servir a um novo propósito.
SERVIÇOS DE WEB – APIs / Mashups / WIDGETS E GADGETS
Widgets, também referenciado como Gadgets – São mini aplicações projetadas para serem executadas como aplicações individuais ou recursos add-on (adicionáveis) em páginas Web
Por exemplo, podem ser usados para exibir condições meteorológicas em tempo real, agregar RSS feeds, visualizar mapas, receber lembretes de eventos, prover fácil acesso a mecanismos de busca, entre outros.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
27
A XML (Linguagem de Marcação Extensível), desenvolvida em 1996 pela World Wide Web Consortium (W3C), é uma linguagem de marcação quer permite rotular os dados baseados no seu significado tanto para os humanos e quanto para os computadores
Esses documentos podem referenciar um Document Type Definitiou (DTD) ou um Schema, que definem a estrutura do documento, permitindo que suas informações sejam verificadas por analisadores de validação da sintaxe, certificando-se que nenhum elemento esteja faltando.
SERVIÇOS DE WEB – XML / VoIP / XHTML
Seus documentos são arquivos texto que usam uma extensão ".xml" e podendo ser escritos em editores de texto.
Por exemplo, o elemento de sobrenome em um documento que relaciona nomes completos e que os elementos ocorram na ordem adequada, tornando os dados XML mais confiáveis.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
28
Exemplo de código XML que descreve um Currículo <?xml version="1.0" encoding="UTF-8"?> <curriculo> <InformacaoPessoal> <DataNascimento>23-07-68</DataNascimento> <Nomecompleto>...</Nomecompleto> <Contatos> <Morada> <Rua>Rua Topázio</Rua> <Num>111</Num> <Cidade>Porto</Cidade> <Pais>Portugal</Pais> </Morada> <Telefone>9999-9999</Telefone> <CorreioEletronico>[email protected]</CorreioEletronico> </Contatos> <Nacionalidade>Portuguesa</Nacionalidade> <Sexo>M</Sexo> </InformacaoPessoal> <objetivo>Atuar na área de TI</objetivo>
<Experiencia> <Cargo>Suporte técnico</Cargo> <Empregador>Empresa, Cidade - Estado</Empregador> </Experiencia> <Formacao>Superior Completo</Formacao> </curriculo>
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
29
A XML também pode ser usada para criar linguagens de marcação personalizadas, como XHTML para conteúdo Web, CML para química, MathML para conteúdo e fórmulas matemáticas, e XBRL para dados financeiros.
Há vários serviços VoIP, como: Vonage, Packet8 ou Lingo; o Skype é o mais popular.
SERVIÇOS DE WEB – XML / VoIP / XHTML
Voice Over Internet Protocol (VoIP) – Tecnologia usada para fazer chamadas telefônicas gratuitas ou a preços baixos pela lnternet.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
30
SERVIÇOS DE WEB – XML / VoIP / XHTML
A codificação XHTML em sites Web define sua estrutura e layout, especificando:
Cores;
Fontes – Tamanho, uso de negrito e itálico;
Parágrafos;
Tabelas e assim por diante;
A codificação XHTML não especifica o significado dos dados na página.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
31
As empresas Web 2.0 usam "mineração de dados" para extrair o máximo
significado possível das páginas codificadas em XHTML.
SERVIÇOS DE WEB – XML / VoIP / XHTML
Quando se conseguir codificar em XML ou em tecnologias derivadas uma
parte ou todo o conteúdo da Web, daremos um grande salto em direção à
concretização da Web Semântica, considerado por muitas pessoas como a
próxima geração no desenvolvimento da Web.
Por exemplo, o programa de publicidade contextual AdSense do Google
realiza um trabalho memorável ao posicionar anúncios relevantes perto
de matérias que têm alguma relação com seu conteúdo codificado em
XHTML.
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
32
Aulas de Apoio Estarão disponibilizadas nos descritos a baixo para downloads os arquivos nos formatos: PowerPoints ou Word das aulas. Alguns estarão disponíveis para impressão, outros, somente para leitura, mas não para edição. Em alguns casos em que se fizer necessário a impressão, o professor estará liberando para um melhor desenvolvimento dos trabalhos a ser solicitados.
Sites do professor: www.aulasprof.6te.net www.profcelso.orgfree.com
Contato: [email protected]
Prof. Celso Candido
TECNOLOGIA WEB
ADS / REDES / ENGENHARIA
SEGURANÇA / WEB 2.0
33
FIM