oficina segurança e privacidade manual do...

Oficina Segurança e Privacidade

Manual do Oficineiro

1. Oficina Segurança e PrivacidadeMódulos:1. Conceitos de Ética2. Problemas de invasão e como se proteger3. Conceitos de Privacidade na Internet4. Projeto Futuro da Internet

2. DescriçãoPartindo de um analise da filosofia ‘hacker’, essa oficina explora os assuntos atuais e futuros de segurança e privacidade, netiquette – como se proteger e soluções para a criação de ambientes de trabalho mais seguros.

3. PrincípiosA oficina é baseada no princípio da experimentação, debate e pesquisa por parte do público, onde o mesmo irá tirar conclusões com base em suas pesquisas e seus interesses específicos, sobre o assunto de segurança e privacidade. Os resultados de suas pesquisas farão parte de um plano do futuro da Internet.

4. Público-alvoUsuários do Casa Brasil. A oficina é adequada para usuários que tenham interesse em se aprofundar e melhorar seu conhecimento de segurança e privacidade na Internet.

5. Carga horáriaA oficina terá uma duração média de 18 horas.A freqüência recomendada será de 4 horas semanais divididas em 2 dias na semana.

6. Objetivos educacionais- apresentar a filosofia da ética hacker;- apresentar os principais assuntos de segurança e privacidade;- abordar as plataformas de segurança e privacidade nos contextos de software livre e software proprietário;- conhecer cases de privacidade;- desenvolver um plano de segurança.

1



7. Habilidades e competências- conhecimento sobre assuntos de privacidade e segurança;- conhecimentos sobre o movimento hacker;- conhecimento sobre vírus, worm, trojans e invasões e anti-vírus software;- diferenciar entre as plataformas de segurança do Linux e Windows;- construção de um plano de segurança;- dinâmicas em grupo para a criação de soluções para ambientes seguros.

8. Materiais necessáriosPapel flip chart, pedaços de papel, canetas, durex, computadores com acesso a Internet.

9. AvaliaçãoA avaliação dos participantes se dará da seguinte forma:– eles irão construir um projeto de segurança e privacidade que desenvolve os seguintes temas;A questão de segurança em relação o Linux e Windows;Formas de proteção;Conceitos de privacidade;– através dos resultados obtidos nessa pesquisa, o participante irá selecionar:uma plataforma de segurança que tem relevância para suas necessidades e apresentá-lo num desenho que pode ser desenvolvido a mão ou em formato computacional à escolha do participante.

10. Atividades

Módulo 1 – Conceitos de ética na Internet

Ética Hacker – Hacker ou Cracker?– realizar a apresentação dos participantes e oficineiro;- realizar uma dinâmica de expectativas;- realizar um debate sobre a ética hacker.

Dinâmica: Expectativas e algo para contribuir

A dinâmica de expectativas encoraja os participantes a pensar sobre o que eles esperam aprender no curso.

2



- peça para os participantes refletirem sobre o motivo que os levaram a fazer a oficina, os assuntos que consideram interessantes que gostariam de explorar de forma mais aprofundada;- dar três cartões para cada aluno- peça para os participantes escreverem duas expectativas, uma em cada carta de mesma cor, e uma coisa que o participante poderia

contribuir na carta de cor diferente.-em grupo, peça para que eles unam as respostas semelhantes e dêem um título que represente tais agrupamentos; - abra uma conversa sobre as observações e peça para os participantes darem sugestões sobre como eles poderiam atingir os expectativas;-em relação a coisas a contribuir, se for relevante abre espaço no curso para essas contribuições;- algumas pistas:

• Esclarecer os objetivos do curso, especialmente se forem diferentes das expectativas apresentadas.

• Guardar essa atividade para ser utilizada posteriormente.

Dinâmica – Hacker - Dividir as pessoas em grupos de 3;- distribuir para cada grupo uma folha de papel para flip chart e canetas;- cada grupo deverá discutir as seguintes questões:

1. O que é um hacker?2. O hacker tem ética? 3. O que seria a ética de um hacker?4. Hackers fazem a World Wide Web funcionar. – Você concorda com esse frase? Sim ou Não – explica?5. Pessoas (adolescentes do sexo masculino, na maioria) que se divertem invadindo computadores e fraudando o sistema telefônico são hackers?6. Para se tornar um hacker o que você precisa fazer?7. Você gostaria ser um hacker?

- os grupos apresentarão os resultados para todos os participantes;

É Importante salientar a diferença entre hacker e cracker.

3



Texto de Apoio – Como se tornar um hacker (Eric Raymond)

Figura 1 – The Glider, A Emblema Universal do HackerTexto de Apoio - Como se Tornar um Hacker

http://catb.org/hacker-emblem/

Por que esse documento?Como editor do Jargon File, freqüentemente recebo pedidos por email

de entusiasmados iniciantes, perguntando (de fato) "como eu posso aprender a ser um grande hacker?". Estranhamente, parece que não existem FAQs ou documentos na Web que se refiram a essa importante questão, então aqui está o meu. Caso você esteja lendo um trecho deste documento off-line, a versão atual fica em http://www.ccil.org/~esr/faqs/hacker-howto.html.

O que é um hacker?O Jargon File contém um monte de definições do termo "hacker", a

maioria deles tendo a ver com aptidão técnica e um prazer em resolver problemas e superar limites. Se você quer saber como se tornar um hacker, entretanto, apenas duas são realmente relevantes. Existe uma comunidade, uma cultura compartilhada, de programadores experts e gurus de rede cuja história remonta a decadas atrás, desde os primeiros minicomputadores de tempo compartilhado e os primeiros experimentos na ARPAnet. Os membros dessa cultura deram origem ao termo "hacker". Hackers construíram a Internet. Hackers fizeram do sistema operacional Unix o que ele é hoje. Hackers mantém a Usenet. Hackers fazem a World Wide Web funcionar. Se você é parte desta cultura, se você contribuiu a ela e outras pessoas o chamam de hacker, você é um hacker.

A mentalidade hacker não é confinada a esta cultura do hacker-de-software. Há pessoas que aplicam a atitude hacker em outras coisas, como

4



eletrônica ou música -- na verdade, você pode encontrá-la nos níveis mais altos de qualquer ciência ou arte. Hackers de software reconhecem esses espíritos aparentados de outros lugares e podem chamá-los de "hackers" também -- e alguns alegam que a natureza hacker é realmente independente da mídia particular em que o hacker trabalha. Mas no restante deste documento, nos concentraremos nas habilidades e dos hackers de software, e nas tradições da cultura compartilhada que deu origem ao termo `hacker'.

Existe outro grupo de pessoas que se dizem hackers, mas não são. São pessoas (adolescentes do sexo masculino, na maioria) que se divertem invadindo computadores e fraudando o sistema telefônico. Hackers de verdade chamam essas pessoas de "crackers", e não tem nada a ver com eles. Hackers de verdade consideram os crackers preguiçosos, irresponsáveis, e não muito espertos, e alegam que ser capaz de quebrar sistemas de segurança torna alguém hacker tanto quanto fazer ligação direta em carros torna alguém um engenheiro automobilístico. Infelizmente, muitos jornalistas e escritores foram levados a usar, errôneamente, a palavra "hacker" para descrever crackers; isso é muito irritante para os hackers de verdade. A diferença básica é esta: hackers constróem coisas, crackes as destróem. Se você quer ser um hacker, continue lendo. Se você quer ser um cracker, vá ler o newsgroup alt.2600 e se prepare para se dar mal depois de descobrir que você não é tão esperto quanto pensa. E isso é tudo que eu digo sobre crackers.

A Atitude HackerHackers resolvem problemas e constróem coisas, e acreditam na

liberdade e na ajuda mútua voluntária. Para ser aceito como um hacker, você tem que se comportar de acordo com essa atitude. E para se comportar de acordo com essa atitude, você tem que realmente acreditar nessa atitude.

Figura 2 – Eric Raymond – Fonte: http://commons.wikimedia.org/wiki/Image:Esr.jpg

5

http://commons.wikimedia.org/wiki/Image:Esr.jpg



Mas se você acha que cultivar a atitude hacker é somente um meio para ganhar aceitação na cultura, está enganado. Tornar-se o tipo de pessoa que acredita nessas coisas é importante para você -- para ajudá-lo a aprender e manter-se motivado. Assim como em todas as artes criativas, o modo mais efetivo para se tornar um mestre é imitar a mentalidade dos mestres -- não só intelectualmente como emocionalmente também. Então, se você quer ser um hacker, repita as seguinte coisas até que você acredite nelas:

1. O mundo está repleto de problemas fascinantes esperando para serem resolvidos.

Ser hacker é muito divertido, mas é um tipo de diversão que necessita de muito esforço. Para haver esforço é necessário motivação. Atletas de sucesso retiram sua motivação de uma espécie de prazer físico em trabalhar seus corpos, em tentar ultrapassar seus próprios limites físicos. Analogamente, para ser um hacker você precisa ter uma emoção básica em resolver problemas, afiar suas habilidades e exercitar sua inteligência. Se você não é o tipo de pessoa que se sente assim naturalmente, você precisará se tornar uma para ser um hacker. Senão, você verá sua energia para "hackear" sendo esvaída por distrações como sexo, dinheiro e aprovação social.

6



(Você também tem que desenvolver uma espécie de fé na sua própria capacidade de aprendizado -- crer que, mesmo que você não saiba tudo o que precisa para resolver um problema, se souber uma parte e aprender a partir disso, conseguirá aprender o suficiente para resolver a próxima parte -- e assim por diante, até que você termine.)

2. Não se deve resolver o mesmo problema duas vezes. Mentes criativas são um recurso valioso e limitado. Não devem ser

desperdiçadas reinventando a roda quando há tantos problemas novos e fascinantes por aí.

Para se comportar como um hacker, você tem que acreditar que o tempo de pensamento dos outros hackers é precioso -- tanto que é quase um dever moral compartilhar informação, resolver problemas e depois dar as soluções, para que outros hackers possam resolver novos problemas ao invés de ter que se preocupar com os antigos indefinidamente. (Você não tem que acreditar que é obrigado a dar toda a sua produção criativa, ainda que hackers que o fazem sejam os mais respeitados pelos outros hackers. Não é inconsistente com os valores do hacker vender o suficiente da sua produção para mantê-lo alimentado e pagar o aluguel e computadores. Não é inconsistente usar suas habilidades de hacker para sustentar a família ou mesmo ficar rico, contanto que você não esqueça que é um hacker.)

3. Tédio e trabalho repetitivo são nocivos.Hackers (e pessoas criativas em geral) não podem ficar entediadas ou

ter que fazer trabalho repetitivo, porque quando isso acontece significa que eles não estão fazendo o que apenas eles podem fazer -- resolver novos problemas. Esse desperdício prejudica a todos. Portanto, tédio e trabalho repetitivo não são apenas desagradáveis, mas nocivos também. Para se comportar como um hacker, você tem que acreditar nisso de modo a automatizar as partes chatas tanto quanto possível, não apenas para você como para as outras pessoas (principalmente outros hackers). (Há uma exceção aparente a isso. Às vezes, hackers fazem coisas que podem parecer repetitivas ou tediosas para um observador, como um exercício de "limpeza mental", ou para adquirir uma habilidade ou ter uma espécie particular de experiência que não seria possível de outro modo. Mas isso é por opção -- ninguém que consiga pensar deve ser forçado ao tédio.

7



Figura 3 – Um GNU Hacker – Fonte: http://www.gnu.org/graphics/another-gnu-type.png

4. Liberdade é uma coisa boa.Hacker são naturalmente anti-autoritários. Qualquer pessoa que lhe dê

ordens pode impedi-lo de resolver qualquer que seja o problema pelo qual você está fascinado -- e, dado o modo em que a mente autoritária funciona, geralmente arranjará alguma desculpa espantosamente idiota isso. Então, a atitude autoritária deve ser combatida onde quer que você a encontre, para que não sufoque a você e a outros hackers. (Isso não é a mesma coisa que combater toda e qualquer autoridade. Crianças precisam ser orientadas, e criminosos, detidos. Um hacker pode aceitar alguns tipos de autoridade a fim de obter algo que ele quer mais que o tempo que ele gasta seguindo ordens. Mas isso é uma barganha restrita e consciente; não é o tipo de sujeição pessoal que os autoritários querem.) Pessoas autoritárias prosperam na censura e no segredo. E desconfiam de cooperação voluntária e compartilhamento de informação -- só gostam de "cooperação" que eles possam controlar. Então, para se comportar como um hacker, você tem que desenvolver uma hostilidade instintiva à censura, ao segredo, e ao uso da força ou mentira para compelir adultos responsáveis. E você tem que estar disposto a agir de acordo com esta crença.

5. Atitude não substitui competência.Para ser um hacker, você tem que desenvolver algumas dessas

atitudes. Mas apenas ter uma atitude não fará de você um hacker, assim como não o fará um atleta campeão ou uma estrela de rock. Para se tornar um hacker é necessário inteligência, prática, dedicação, e trabalho duro.

8

http://www.gnu.org/graphics/another-gnu-type.png



Portanto, você tem que aprender a desconfiar de atitude e respeitar todo tipo de competência. Hackers não deixam posers gastar seu tempo, mas eles idolatram competência -- especialmente competência em "hackear", mas competência em qualquer coisa é boa. A competência em habilidades que poucos conseguem dominar é especialmente boa, e competência em habilidades que involvem agudeza mental, perícia e concentração é a melhor.

Se você reverenciar competência, gostará de desenvolvê-la em si mesmo -- o trabalho duro e dedicação se tornará uma espécie de um intenso jogo, ao invés de trabalho repetitivo. E isso é vital para se tornar um hacker.

Habilidades básicas do hackerA atitude hacker é vital, mas habilidades são ainda mais vitais. Atitude

não substitui competência, e há uma certo conjunto de habilidades que você precisa ter antes que um hacker sonhe em lhe chamar de um. Esse conjunto muda lentamente com o tempo, de acordo com a criação de novas habilidades. Por exemplo, costumava incluir programação em linguagem de máquina, e até recentemente não incluía HTML. Mas agora é certo que inclui o seguinte:

1. Aprenda a programar.Essa é, claro, a habilidade básica do hacker. Em 1997, a linguagem que

você absolutamente precisa aprender é C (apesar de não ser a que você deve aprender primeiro). Mas você não é um hacker e nem mesmo um programador se você souber apenas uma linguagem -- você tem que aprender a pensar sobre problemas de programação de um modo geral, independentemente de qualquer linguagem. Para ser um hacker de verdade, você precisa ter chegado ao ponto de conseguir aprender uma nova linguagem em questão de dias, relacionando o que está no manual ao que você já sabe. Isso significa que você deve aprender várias linguagens bem diferentes.

Além de C, você também deve aprender pelo menos LISP e Perl (e Java está tentando pegar um lugar nessa lista). Além de serem as linguagens mais importantes para hackear, cada uma delas representa abordagens à programaçaão bem diferentes, e todas o educarão em pontos importantes.

9



Eu nao posso lhe dar instruções completas sobre como aprender a programar aqui -- é uma habilidade complexa. Mas eu posso lhe dizer que livros e cursos também não servirão (muitos, talvez a maioria dos melhores hacker são auto-didatas). O que servirá é (a) ler código e (b) escrever código.

Aprender a programar é como aprender a escrever bem em linguagem natural. A melhor maneira é ler um pouco dos mestres da forma, escrever algumas coisas, ler mais um monte, escrever mais um monte, ler mais um monte, escrever... e repetir até que seu estilo comece a desenvolver o tipo de força e economia que você vê em seus modelos.

Achar bom código para ler costumava ser difícil, porque havia poucos programas grandes disponíveis em código-fonte para que hackers novatos pudessem ler e mexer. Essa situação mudou dramaticamente; open-source software (software com código-fonte aberto), ferramentas de programação, e sistemas operacionais (todos feitos por hackers) estão amplamente disponíveis atualmente.

2. Pegue um dos Unixes livres e aprenda a mexer.Estou assumindo que você tem um computador pessoal ou tem acesso

a um (essas crianças de hoje em dia tem tão facilmente :-)). O passo mais importante que um novato deve dar para adquirir habilidades de hacker é pegar uma cópia do Linux ou de um dos BSD-Unixes, o instalar em um PC, e rodá-lo. Sim, há outros sistemas operacionais no mundo além do Unix. Porém, eles são distribuídos em forma binária -- você não consegue ler o código, e você não consegue modificá-lo. Tentar aprender a "hackear" em DOS, Windows ou MacOS é como tentar aprender a dançar com o corpo engessado.

Figura 4 – Tux, símbolo do Linux – Fonte: http://commons.wikimedia.org/wiki/Image:Tux.png

10

http://commons.wikimedia.org/wiki/Image:Tux.png



Além disso, Unix é o sistema operacional da Internet. Embora você possa aprender a usar a Internet sem conhecer Unix, você não pode ser um hacker sem entendê-lo. Por isso, a cultura hacker, atualmente, é fortemente centralizada no Unix. (Não foi sempre assim, e alguns hackers da velha guarda não gostam da situação atual, mas a simbiose entre o Unix e a Internet se tornou tão forte que até mesmo o músculo da Microsoft não parece ser capaz de ameacá-la seriamente.) Então, pegue um Unix -- eu gosto do Linux, mas existem outros caminhos. Aprenda. Rode. Mexa. Acesse a Internet através dele. Leia o código. Modifique o código. Você terá ferramentas de programação (incluindo C, Lisp e Perl) melhores do qualquer sistema operacional da Microsoft pode sonhar em ter, você se divertirá, e irá absorver mais conhecimento do que perceber, até que você olhará para trás como um mestre hacker.

3. Aprenda a usar a World Wide Web e escrever em HTML.A maioria das coisas que a cultura hacker tem construído funciona "invisivelmente", ajudando no funcionamento de fábricas, escritórios e universidades sem nenhum óbvio na vida dos não-hackers. A Web é a grande exceção, o enorme e brilhante brinquedo dos hackers que até mesmo políticos admitem que está mudando o mundo. Por esse motivo (e vários outros também) você precisa a aprender como trabalhar na Web.

Isso não significa apenas aprender a mexer em um browser (qualquer um faz isso), mas aprender a programar em HTML, a linguagem de markup da Web. Se você não sabe programar, escrever em HTML lhe ensinará alguns

11



hábitos mentais que o ajudarão. Então faça uma home page. Mas apenas ter uma home page não chega nem perto de torná-lo um hacker. A Web está repleta de home pages. A maioria delas é inútil, porcaria sem conteúdo -- porcaria muito bem apresentada, note bem, mas porcaria mesmo assim (mais sobre esse assunto em The HTML Hell Page).

Para valer a pena, sua página deve ter conteúdo -- deve ser interessante e/ou útil para outros hackers. E isso nos leva ao próximo assunto...

Status na Cultura HackerComo a maioria das culturas sem economia monetária, a do hacker se

baseia em reputação. Você está tentando resolver problemas interessantes, mas quão interessantes eles são, e se suas soluções são realmente boas, é algo que somente seus iguais ou superiores tecnicamente são normalmente capazes de julgar. Conseqüentemente, quando você joga o jogo do hacker, você aprende a marcar pontos principalmente pelo que outros hackers pensam da sua habilidade (por isso você não é hacker até que outros hackers lhe chamem assim). Esse fato é obscurecido pela imagem solitária que se faz do trabalho do hacker; e também por um tabu hacker-cultural que é contra admitir que o ego ou a aprovação externa estão envolvidas na motivação de alguém.

Especificamente, a cultura hacker é o que os antropologistas chamam de cultura de doação. Você ganha status e reputação não por dominar outras pessoas, nem por ser bonito, nem por ter coisas que as pessoas querem, mas sim por doar coisas. Especificamente, por doar seu tempo, sua criatividade, e os resultados de sua habilidade.

Há basicamente cinco tipos de coisas que você pode fazer para ser respeitado por hackers:

12



Figura 5 – Símbolo do Open Source – Fonte: http://opensource.org/trademarks/opensource/web/opensource-250x216.jpg

1. Escrever open-source software.O primeiro (o mais central e mais tradicional) é escrever programas

que outros hackers achem divertidos ou úteis, e dar o código-fonte para que toda a cultura hacker use. (Nós costumávamos chamar isto de "free software", mas isso confundia muitas pessoas que não sabiam ao certo o significado de "free". Agora, muitos de nós preferem o termo “open-source” software).[nota do tradutor: "free" significa tanto "livre" como "gratuito", daí a confusão. O significado que se pretende é "livre".] Os "semi-deuses" mais venerados da cultura hacker são pessoas que escreveram programas grandes, competentes, que encontraram uma grande demanda e os distribuíram para que todos pudessem usar.

2. Ajude a testar e depurar open-source softwareTambém estão servindo os que depuram open-source software. Neste

mundo imperfeito, inevitavelmente passamos a maior parte do tempo de desenvolvimento na fase de depuração. Por isso, qualquer autor de open-source software que pense lhe dirá que bons beta-testers (que saibam descrever sintomas claramente, localizar problemas, tolerar bugs em um lançamento apressado, e estejam dispostos a aplicar algumas rotinas de diagnóstico) valem seu peso em ouro. Até mesmo um desses beta-testers pode fazer a diferença entre uma fase de depuração virar um longo e cansativo pesadelo, ou ser apenas um aborrecimento saudável. Se você é um novato, tente achar um programa sob desenvolvimento em que você esteja interessado e seja um bom beta-tester. Há um progressão natural de ajudar

13

http://opensource.org/trademarks/opensource/web/opensource-250x216.jpg

http://opensource.org/trademarks/opensource/web/opensource-250x216.jpg



a testar programas para ajudar a depurar e depois ajudar a modificá-los. Você aprenderá muito assim, e criará um bom karma com pessoas que lhe ajudarão depois.

3. Publique informação útil.Outra boa coisa a se fazer é coletar e filtrar informações úteis e

interessantes em páginas da Web ou documentos como FAQs ("Frequently Asked Questions lists", ou listas de perguntas freqüentes), e torne-os disponíveis ao público. Mantenedores de grandes FAQs técnicos são quase tão respeitados quanto autores de open-source software.

4. Ajude a manter a infra-estrutura funcionando.A cultura hacker (e o desenvolvimento da Internet, quanto a isso) é

mantida por voluntários. Existe muito trabalho sem glamour que precisa ser feito para mantê-la viva -- administrar listas de email, moderar grupos de discussão, manter grandes sites que armazenam software, desenvolver RFCs e outros padrões técnicos. Pessoas que fazem bem esse tipo de coisa são muito respeitadas, porque todo mundo sabe que esses serviços tomam muito tempo e não são tão divertidos como mexer em código. Fazê-los mostra dedicação.

5. Sirva a cultura hacker em si.Finalmente, você pode servir e propagar a cultura em si (por exemplo,

escrevendo um apurado manual sobre como se tornar um hacker :-)). Você só terá condição de fazer isso depois de ter estado por aí por um certo tempo, e ter se tornado conhecido por uma das primeiras quatro coisas.

A cultura hacker não têm líderes, mas têm seus heróis culturais, "chefes tribais", historiadores e porta-vozes. Depois de ter passado tempo suficiente nas trincheiras, você pode ser tornar um desses. Cuidado: hackers desconfiam de egos espalhafatosos em seus "chefes tribais", então procurar visivelmente por esse tipo de fama é perigoso. Ao invés de se esforçar pela fama, você tem que de certo modo se posicionar de modo que ela "caia" em você, e então ser modesto e cortês sobre seu status.

6. A Conexão Hacker/Nerd

14



Contrariamente ao mito popular, você não tem que ser um nerd para ser um hacker. Ajuda, entretanto, e muitos hackers são de fato nerds. Ser um proscrito social o ajuda a se manter concentrado nas coisas realmente importantes, como pensar e "hackear".

Por isso, muitos hackers adotaram o rótulo "nerd", e até mesmo usam o termo (mais duro) "geek" como um símbolo de orgulho -- é um modo de declarar sua independência de expectativas sociais normais. Veja The Geek Page para discussão extensiva. Se você consegue se concentrar o suficiente em hackear para ser bom nisso, e ainda ter uma vida, está ótimo. Isso é bem mais fácil hoje do que quando era um novato nos anos 70; atualmente a cultura mainstream é muito mais receptiva a tecno-nerds. Há até mesmo um número crescente de pessoas que percebem que hackers são, freqüentemente, amantes e cônjuges de alta qualidade. Girl's Guide to Geek Guys.

Se hackear o atrai porque você não vive, tudo bem -- pelo menos você não terá problemas para se concentrar. Talvez você consiga uma vida normal depois.

Tradução de Rafael Caetano dos Santos. Fonte: Eric S. Raymond, How to be a Hacker, 2001http://gul.linux.ime.usp.br/~rcaetano/docs/hacker-howto-pt.html

Segurança – onde há mais? No Linux ou Microsoft Windows - examinar a questão de segurança nas plataformas de software livre e software proprietario;- entender a ligação entre a ética "hacker" e inclusão digital da sociedade

Dinâmica – Segurança – Linux ou Microsoft Windows-numa roda pergunte sobre:O tipo de software que os participantes usam? O que é software livre, o que e software proprietário? O que significa a palavra livre no nome software livre?O que é um sistema de proteção?Porque se proteger na Internet?Como posso ser agredido ou vitimado na Internet?

-divide os participantes em dois grupos;

15



-um grupo representa Linux e o outro representa Microsoft;-peça para os grupos realizarem uma pesquisa na Internet sobre segurança – a idéia é entender melhor qual plataforma oferece mais segurança e mais privacidade;-o grupo Linux pesquise sobre a plataforma Linux e o grupo de Microsoft pesquisa sobre a plataforma Microsoft;-num papel de flip chart os grupos apresentam os resultudos;- se existirem discordâncias, abra uma conversa com os participantes para esclarecer os pontos.

Dinâmica – Linux e Segurança- mostrar Figura 6 para os participantes e pergunte:O que a ética "hacker" tem a ver com a inclusão digital da sociedade?-abra uma conversa dialogo sobre o assunto. Se for necessário o texto de apoio pode ser utilizado como leitura de casa.

16



Figura 6 - Fonte: Horizonte, Rozane Suzarthttp://twiki.softwarelivre.org/bin/view/Arte/Cibernos?id=1&filename=horizonte.png#igp1

Texto de Apoio

O que a ética "hacker" tem a ver com a inclusão digital da sociedade?por Gabriella Ponte6º período - Jornalismo

Quando o termo "hacker" é utilizado hoje em dia, logo se liga aos cibercriminosos que possuem alto conhecimento sobre os computadores e as redes de comunicações para praticarem delitos, causando danos a

17

http://twiki.softwarelivre.org/bin/view/Arte/Cibernos?id=1&filename=horizonte.png#igp1



terceiros e/ou enriquecendo com essa prática. Mas, este termo está sendo usado incorretamente. Esta confusão poderia ser evitada se esses cibercriminosos não fossem denominados "hackers", mas sim "crackers". No entanto, se esses são os "crackers" quem são os "hackers", afinal?

Pekka Himanen, um estudante finlandês, doutorado aos 20 anos em Filosofia na Universidade de Helsínquia e que atualmente trabalha na Universidade de Berkeley, lançou um livro chamado “The Hacker Ethic and the Spirit of the Information Age” (A Ética Hacker e o Espírito da Era da Informação). Nele, explica que hacker é "uma pessoa que programa entusiasticamente e que acredita que compartilhar informação é um poderoso bem concreto e que seja um dever moral compartilhar a sua perícia escrevendo software livre e facilitando o acesso a informação e a recursos computacionais onde for possível", é alguém que "acha programar intrinsecamente interessante, empolgante e divertido". Em entrevista publicada no site Janela Web, ele diz que "quando usamos o termo de 'hacker', estamos a empregá-lo no sentido original, em que era referido no início dos anos 60 - ou seja, uma pessoa para quem programar é uma paixão. O termo nasceu com esse punhado de heróis do MIT que no princípio dos anos 60 se cognominaram de 'hackers'. Para os verdadeiros 'hackers' a designação é um título honorífico e nobre".

Ele lembra que importantes nomes do "hackerismo" como Vinton Cerf, Tim Berners-Lee, Steve Wozniak e Linus Torvalds foram os responsáveis por criar os fundamentos da Sociedade da Informação nos últimos 30 anos. É esse compromisso que os "hackers" têm com a informação, é essa paixão pela criatividade que se transformou na ética "hacker" e isso tem tudo a ver com a inclusão digital da sociedade. Himanen fala das maravilhosas contribuições que os "hackers" trouxeram à informatização: "Vint Cerf foi o 'pai' da Net e Berners-Lee da Web. Junte-lhe Wozniak, o criador do primeiro computador pessoal, o Apple I, ou os que criaram o Unix, como Bill Joy e mais tarde, Torvalds, o criador, em 1991, do Linux". Sem eles, com certeza, a Sociedade da Informação não seria possível.

De acordo com Himanen, a ética "hacker" é diferente da antiga ética de trabalho que ainda predomina na sociedade, que é o que Max Weber chamou de "Ética de Trabalho Protestante" em sua obra The Protestant Ethic and the Spirit of Capitalism (A Ética Protestante e o Espírito do Capitalismo / 1904-

18



1905), durante a Era Industrial. Neste tipo de pensamento, o trabalho é a coisa mais importante para o homem, é o que há de mais essencial em sua vida. Daí, vem a ascensão do capitalismo. Já a ética "hacker" propaga a idéia de paixão e prazer pelo trabalho. O dinheiro, para ele, não é visto como algo essencial.Sérgio Couto, no texto "O que pensar dos hackers?", expõe a sua idéia sobre o assunto: "um 'hacker' pode se satisfazer com menos riqueza material ao perceber que sua verdadeira paixão deu uma contribuição para os outros". Esses "outros" seriam aqueles que usariam o computador para se manterem informados, para exercer a cidadania, a fim de trabalhar.

Maurício F. Pinto em seu texto "Consciência na Era do Informacionalismo" mostra que a "ética do hackerismo não substitui ou anula a velha ética protestante, descrita por Weber como a disposição para a vida ascética, para a acumulação racional, para o lucro como fim último (dinheiro). Porém assistimos nesta Era do Informacionalismo uma nova disposição para a "vida livre de encargos"; uma vida livre, despojada, que almeja a experiência social, a liberdade de decidir sobre si mesmo, de ser autônomo. A velha ética do trabalho, que espera pelo domingo como o dia da redenção daquele que se esforça no seu sofrido labor semanal (...) é substituída pela ética hacker, que quer transformar todos os dias numa única e mesma experiência de libertação, de reencontro com seus próprios propósitos - o hacker quer viver num (...) meio para se alcançar a liberdade de se fazer o que quer (desafio, vida lúdica e diversão)".

Uma coisa é certa: essa ética "hacker" é interessante para os negócios. Himanen afirma: "a ética 'hacker' começa a ser apelativa para o mundo dos negócios. É uma vantagem competitiva, pois fomenta a criatividade, a inovação e perspectiva de longo prazo." Para ele, este tipo de pensamento deveria ser colocado em prática não só no trabalho, mas em todas as atividades do homem. É claro que a antiga ética de trabalho não deixará de existir, mas se as duas éticas coexistissem ajudando no desenvolvimento das tecnologias de informação, os homens começariam a se relacionar cooperando para a democratização do saber.

Fonte: Gabriella Ponte, O que a ética "hacker" tem a ver com a inclusão digital da sociedade?, Sete Pontos, http://www.comunicacao.pro.br/setepontos/7/etihack.htm

Modulo 2 - Problemas de invasão e como se proteger

19



Meu computador está doente! Está com vírus!!!- falar sobre o vírus de computador;- tirar as dúvidas .

Figura 7 – Numero de vírus conhecidos no período de 1990 – 2005Fonte: http://pt.wikipedia.org/wiki/V%C3%ADrus_inform%C3%A1tico

Dados estatísticos

20

http://pt.wikipedia.org/wiki/V?rus_inform?tico



• Até 1990 - 80 vírus conhecidos.

• Até 1995 - 5.000 vírus conhecidos.




• Até 2005 - 72.010 vírus conhecidos aproximadamente.

Dinâmica – Saber o que está dentro de seu computador-faça a seguinte pergunta para o grupo:O que o Michelangelo tem em comum com vermes, trojans e cavalos de troia?-solicite respostas e depois mostrar o vídeo no YouTube sobre a primeira reportagem sobre vírus de computador;-acessar o vídeo aqui: http://youtube.com/watch?v=tVAe9eSHBQQ-abra uma discussão sobre vírus de computador e solicite que os participante contem historias pessoais sobre experiências com vírus de computador;-há um outro vídeo, um desenho sobre vírus de computador, é engraçado e apropriado e pode servir como uma forma interessante de apresentar como o vírus funciona dentro do computador; url:http://www.youtube.com/watch?v=wWUaJFVwttI- peça para os participantes escrevem uma pergunta sobre algo que eles gostariam de saber de vírus de computador;– agrupar os assuntos de temas semelhantes ou próximos; – em circulo pede para os participantes responderem às perguntas;- para encerrar o oficineiro responde às perguntas que não foram respondidos, podem utilizar pesquisas na Internet para acessar os temas mais relevantes.

21

http://www.youtube.com/watch?v=wWUaJFVwttI

http://youtube.com/watch?v=tVAe9eSHBQQ



Texto de Apoio Q: Porque o nome vírus?

R: Os vírus de computador não têm esse nome por acaso. Eles agem como se fossem organismos que atacam seres vivos. Assim como um vírus da gripe, os vírus de computador são programas que se auto copiam, multiplicam-se dentro de um computador e, na primeira oportunidade, transmitem-se para o computador vizinho, copiando se e infectando-o da mesma forma. E, como não poderia deixar de ser, os vírus podem causar danos letais às suas informações.

Figura 8 – Vírus – fonte: http://commons.wikimedia.org/wiki/Image:Virus_ordinateur.jpg

Q: O que o vírus de computador faz?

R: Os vírus podem causar danos letais às suas informações. Esses programas podem se transmitir por meio de arquivos contaminados, armazenados em disquetes, CDs, enviados por e-mail ou residentes em algum site da Internet. Os vírus têm a característica peculiar de abrigar, entre as instruções que o compõem, o que chamamos de código malicioso. O código malicioso nada mais é do que instruções responsáveis pelo efeito danoso dos vírus.

22

http://commons.wikimedia.org/wiki/Image:Virus_ordinateur.jpg



Q: O que torna uma instrução mal intencionada? Que instruções caracterizam um programa como sendo um vírus?

R: Um programa é um vírus quando ele ordena que o computador:• multiplique-o, copiando a si mesmo para um ou vários lugares, ou

enviando a si mesmo pela Internet;• execute alguma ação destrutiva, como apagar ou corromper arquivos

de dados,sob certas condições. Qualquer programa que contenha essas duas instruções podeser considerado um vírus.

Q: Se nada sabemos de programação, como poderemos identificar se um arquivo é suspeito ou não? Se ele contém aquelas instruções tão maléficas?

R: O mais sensato é desconfiar de tudo que o computador possa interpretar como um programa. Isso inclui arquivos com a extensão .exe, que são a maioria absoluta dos programas que utilizamos no computador, mas que não são os únicos. Também arquivos com extensões como .bat, .vbs e .js são considerados programas e podem conter vírus. Mesmo arquivos que não são necessariamente programas, como os arquivos do Microsoft Office (.doc, .dot, .xls, .xlt, .ppt e outros) podem conter vírus se contiverem macros. Uma macro é um pequeno programa embutido dentro de um arquivo de dados.No caso do Office, as macros são úteis para automatizar tarefas. Mas freqüentemente são utilizadas de modo malicioso, no intuito de construir poderosos vírus.

Q: O que eu posso fazer quando um arquivo do Word é infectado por um vírus de macro?

R: Geralmente mesmo após o usuário identificar o vírus e o arquivo infectado é necessário limpar a máquina e, na maioria das vezes, reinstalar aplicativos como o Office da Microsoft, para que programas como o Word voltem a funcionar corretamente. Assim, o resultado da ação de um vírus de macro em um documento do Word é desastroso, especialmente se você não tiver cópias de seus arquivos em disquete, CD ou até mesmo papel e necessitar apresentar esse documento para um professor ou chefe, no diaseguinte!

23



Sempre faça cópias (backup) de seus principais arquivos, preferencialmente cópias fora do computador (disquetes, CDs, cópias impressas), pois se seu micro for atingido por um vírus, você mantém a integridade dos dados de seus documentos digitais.

Q: Onde os vírus se alojam?

R: Em diferentes lugares, inclusive em sites. É possível infectar a sua máquina ao navegar em uma determinada homepage. Navegadores têm a capacidade de interpretar HTML e alguma linguagem de script (linguagens de programação, como VBScript e JavaScript). Mediante as linguagens de script é que os navegadores podem mostrar animações mais elaboradas, interagir com o usuário ou simplesmente mostrar aqueles anúncios chatíssimos, que aparecem em uma janela à parte – as chamadas pop-ups. Uma linguagem de programação, portanto, pode ser usada para fazer coisas boas e outras não tão boas assim. Foi considerando a possibilidade de pessoas mal-intencionadas usarem linguagem de script para fazer os navegadores executarem instruções maliciosas – como apagar arquivos ou instalar vírus.

Q: Como é que um navegador pode ser infectado?

R: Cada instrução, antes de ser realizada, passa por um processo de crítica e não é executado caso não se encaixe em determinados parâmetros. Instruções que mexem com o disco rígido ou que abrem conexões com sites não nunca visitados, por exemplo, são proibidas. Esses mecanismos às vezes recebem o nome de caixas de areia. O conceito de caixa de areia é simples: é como se você colocasse um gatinho para brincar dentro de uma caixa de areia; ele pode fazer o que quiser dentro daquela caixa, mas não pode sair dela. É assim que os navegadores tratam os scripts que chegam via Internet ou, pelo menos, é assim que deveriam.

Fonte: Caderno Eletrônico – Segurança no Computador e na Internet, Programa Acessa São Paulo, www.cidec.futuro.usp.br/cadernos

Trabalhando com Segurança

24

http://www.cidec.futuro.usp.br/cadernos




-o tema deste encontro é de mostrar práticas e tendências no uso cotidiano da computação que podem auxiliar na manutenção da segurança e da privacidade da informação na Internet e no uso de computadores em geral.

Dinâmica – mini projeto

-unir as pessoas em 3 a 5 pessoas;-cada grupo realizará uma pesquisa e uma apresentação sobre conceito relacionado a segurança e privacidade da informação-grupo 1 apresentará sobre disponibilidade da informação. O que é? O que acontece? -grupo 2 apresentará sobre integridade da informação. O que é? O que acontece? -grupo 3 apresentará sobre confidencialidade. O que é? O que acontece? Maneiras de proteção?--grupo 4 apresentará sobre autenticidade? O que é? O que acontece? Maneiras de proteção? -as apresentações devem ser criativas. Os participantes podem utilizar formas de multimídia, desenho e formas de teatro para fazer as apresentações;

Texto de Apoio

Segurança de Informação está relacionada com a proteção existente ou necessária sobre dados que possuem valor para alguém ou uma organização. Possui aspectos básicos como confidencialidade, integridade e disponibilidade da informação que nos ajuda a entender as necessidades de sua proteção e que não se aplica ou está restrita à sistemas computacionais, nem a informações eletrônicas ou qualquer outra forma mecânica de armazenamento. Ela se aplica a todos os aspectos de proteção e armazenamento de informações e dados, em qualquer forma. O nível de segurança de um sistema operacional de computador pode ser tipificado pela configuração de seus componentes. Por exemplo, no sistema operacional LINUX a segurança pode ser melhorada pela configuração correta do daemon do Wrapper, chamado tcpd, executado pelo inetd.

25

http://pt.wikipedia.org/wiki/Armazenamento

http://pt.wikipedia.org/wiki/Armazenamento

http://pt.wikipedia.org/wiki/Sistema_computacional

http://pt.wikipedia.org/wiki/Informa??o

http://pt.wikipedia.org/wiki/Disponibilidade

http://pt.wikipedia.org/wiki/Disponibilidade

http://pt.wikipedia.org/wiki/Integridade

http://pt.wikipedia.org/wiki/Confidencialidade



Um dos padrões de segurança mais conhecidos é o BS7799, que estabele melhores práticas para implementação e na gestão da segurança da informação.

Figura 9 – Ladrões da informação

Conceito de SegurançaA Segurança da Informação refere-se à proteção existente sobre as in

formações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto as pessoais.Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição.

Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente.

A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tem o objetivo de furtar, destruir ou modificar a informação.

A tríade CIA (Confidentiality, Integrity and Availability) -- Confidencialidade, Integridade e Disponibilidade -- representa as principais propriedades que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja protejer.

26



Outras propriedades estão sendo apresentadas (legitimidade e autenticidade) na medida em que o uso de transações comerciais em todo o mundo, através de redes eletrônicas (públicas ou privadas) se desenvolve.

Os conceitos básicos podem ser explicados conforme abaixo:

• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).

• Disponibilidade - propriedade que garante que a informação esteja sempre disponívei para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

O nível de segurança desejado, pode se consubstanciar em uma "política de segurança" que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido.

Para a montagem desta política, tem que se ter em conta:

• Riscos associados à falta de segurança; • Benefícios; • Custos de implementação dos mecanismos

Mecanismos de Segurança

O suporte para as recomendações de segurança pode ser encontrado em:

• Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura (que garante a existência da informação)que a suporta.

Existem mecanismos de segurança que apóiam os controles físicos:

Portas / trancas / paredes / blindagem / guardas / etc ..

• Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico,

27



e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado.

Existem mecanismos de segurança que apóiam os controles lógicos:

• Mecanismos de encriptação. Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não encriptados, produzir uma sequência de dados encriptados. A operação inversa é a desencriptação.

• Assinatura digital. Um conjunto de dados encriptados, associados a um documento do qual são função, garantindo a integridade do documento associado, mas não a sua confidencialidade.

• Mecanismos de garantia da integridade da informação. Usando funções de "Hashing" ou de checagem, consistindo na adição.

• Mecanismos de controle de acesso. Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.

• Mecanismos de certificação. Atesta a validade de um documento. • Integridade. Medida em que um serviço/informação é genuino, isto é,

esta protegido contra a personificação por intrusos. • Honeypot: É o nome dado a um software, cuja função é detectar ou de

impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.

Ameaças a Segurança

As ameaças à segurança podem ser classificadas em três tipos:• Acesso não autorizado: descoberta da informação de um utilizador

por outro que o usa para aceder aos recursos do primeiro. • Acesso por imitação (Spoofing Attacks): um utilizador ou sistema

comporta-se como um outro, para obtenção de informação, recursos ou prejudicar o serviço.

• Replay Attacks: mensagens que circulam na rede são copiadas e repetidas para simular um utilizador autorizado: Negação de Serviço (Denial of Service, DoS): A forma mais conhecida de ataque que consiste na perturbação de um serviço, devido a danos físicos ou lógicos causados no sistema que o suportam. Para provocar um DoS, os atacantes disseminam vírus, geram grandes volumes de tráfego de forma artificial, ou muitos

28

http://pt.wikipedia.org/w/index.php?title=Denial_of_Service&action=edit

http://pt.wikipedia.org/wiki/IP_spoofing

http://pt.wikipedia.org/wiki/Firewall

http://pt.wikipedia.org/w/index.php?title=Sistema_biom?trico&action=edit

http://pt.wikipedia.org/w/index.php?title=Sistema_biom?trico&action=edit



pedidos aos servidores que causam subcarga e estes últimos ficam impedidos de processar os pedidos normais.

Quem ataca a rede/sistema são agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, tentam ajudar a encontrar possiveis falhas). Estas pessoas são motivadas para fazer esta ilegalidade por vários motivos. Os principais motivos são: notoriedade, auto-estima, vingança e o dinheiro. De acordo com pesquisa elaborada pelo Computer Security Institute , mais de 70% dos ataques partem de usuários legítimos de sistemas de informação (Insiders) -- o que motiva corporações a investir largamente em controles de segurança para seus ambientes corporativos (intranet).

Políticas de Segurança

Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

Os elementos da política de segurança devem ser considerados:

• A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.

• A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.

• A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.

• A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.

• A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.

Fonte: http://pt.wikipedia.org

Estimule os participantes da oficina a navegar e obter maiores informações na Cartilha de Segurança. Este material é muito útil e de fácil consulta, trazendo recomendações importantes sobre segurança e privacidade da informação.

29



Um site com muita informação sobre segurança e privacidade é:

Cartilha de Segurança para Internet 3.1 - http://cartilha.cert.br/

Modulo 3 - Conceitos de Privacidade na Internet

Guerreiros da internet

-apresentação do filme Guerreiros da internet

Dinâmica -faça uma pré-conversa sobre o filme:1. O termo Ameaça Virtual indica o que para vocês? 2. O que vai acontecer?3. Como lidar com o uso no dia-a-dia dos computadores?

-mostrar o filme Guerreiros da Internet

faça o download do filme aqui: http://www.youtube.com/watch?v=fmiC5lyc_X4

O que é uma boa senha?-aprender como criar uma senha difícil de deduzir-fazer uma pesquisa sobre Internet Banking e segurança

-peça que todos os participantes imaginarem que eles têm que criar uma senha para entrar na Internet;-em um pedaço de papel pedir aos participantes para escreverem essa senha – essa senha não deve ser verdadeiro, nem semelhante como a senha atual, mas deveria representar uma senha que o participante escolheria;-e pedir que eles realizarem uma pesquisa na Internet de informações e dicas sobre senhas boas e mais seguras;-solicite os resultados da pesquisa;-os participantes deveriam citar as seguintes informações:

30

http://www.warriorsofthe.net/movie.html

http://cartilha.cert.br/



NÃO FAZER• Nenhuma senha deveria ser formada por uma palavra ou, pelo menos,

não uma palavra inteligível do nosso dicionário. Pois são comuns os ataques por tentativas a sistemas de informação, em que cada uma das tentativas é automaticamente extraída de um dicionário do idioma utilizado pelo detentor do acesso. Senhas que são palavras do dicionário, portanto, são vulneráveis a esse tipo de ataque.

• Sobre os números, no entanto, é bom não sucumbir à tentação de utilizar datas de aniversário: isso torna a senha vulnerável.

FAZER

• Palavras escritas com erros ortográficos, associação de idéias,números que não signifiquem datas de aniversários e símbolos são bons recursos para se criar uma senha difícil de se deduzir.

• É importante que a senha, mesmo que seja algo extravagante, continue sendo uma palavra pronunciável. Pois o fato de podermos pronunciar a nossa senha, ainda que apenas mentalmente, é de grande ajuda no momento em que precisamos lembrar-nos dela. Isso faz com que a memória visual e auditiva trabalhem juntas. Esquecer uma senha é sempre um transtorno e pode ter conseqüências graves como a perda de dados.

• Uma boa técnica é também utilizar números e símbolos. O ideal é misturar números de várias origens, como, por exemplo, partes da data de aniversário de parentes, numa certa ordem, mas nunca a data de aniversário completa de alguém.

• Você deve trocar suas senhas regularmente, procurando evitar períodos muito longos. Uma sugestão é que você realize tais trocas a cada dois ou três meses.

-para encerrar questione se eles escolheram uma boa senha!!

Fonte: Caderno Eletrônico – Segurança no Computador e na Internet, Programa Acessa São Paulo, www.cidec.futuro.usp.br/cadernos

Dinâmica – Internet Banking

31




- em uma folha de papel flip chart pedir aos participantes para escreverem nomes de bancos que eles conhecem;- unir os participantes em duplas e pedir que eles pesquisem mais nomes de banco que possuem Sites em português para acrescentarem a lista;- distribuir entre as duplas nomes de alguns bancos para que eles realizem uma pesquisa na Internet, sobre “Segurança e privacidade” nas transações on-line em cada banco. Notar que geralmente no Site de cada instituição bancária há informações precisas sobre o assunto.- realize um conversa sobre as informações encontradas e questione os alunos se eles se sentem seguros sobre o uso da Internet para transações comerciais (uso de cartão de crédito, transferência de dinheiro, pagamento de contas etc.)- para finalizar questione se eles saberiam a quem recorrer caso tenham sido vítimas de algum crime eletrônico, caso não saibam, pedir que façam uma busca por órgãos competentes. Notar que a cidade de São Paulo possue delegacias específicas para tais crimes. Veja a delegacia eletrônica do Deic em: http://www.ssp.sp.gov.br/home/noticia.aspx?cod_noticia=3280 .

Texto de Apoio - Internet BankingOnline banking (ou Internet banking) são termos utilizados para caracterizar transações, pagamentos etc. pela Internet por meio de uma página segura de banco. Isto é bastante útil, especialmente para utilizar os serviços do banco fora do horário de atendimento ou de qualquer lugar onde haja acesso à Internet. Na maioria dos casos, um navegador como o Internet Explorer ou o Mozilla Firefox são utilizados e qualquer conexão à Internet é suficiente. Não é necessário nenhum software ou hardware adicional.

ConveniênciaO número de clientes que vem escolhendo o Internet banking como sua forma preferida de lidar com as finanças vem crescendo rapidamente. Muitas pessoas apreciam sua conveniência. O Internet banking usualmente oferece funções como pagamentos de contas eletrônicos e download de seus status da conta para um programa pessoal de finanças (como o MS Money ou o Kmymoney). Há um número crescente de bancos que operam exclusivamente online, porque isto tem um custo menor comparado aos custos dos bancos tradicionais, sendo assim eles podem oferecer melhores taxas de interesse.

Segurança

32

http://www.ssp.sp.gov.br/home/noticia.aspx?cod_noticia=3280



A proteção por autenticação de senha simples, como é o caso da segurança em muitas páginas de compra online, não é considerada segura o suficiente para aplicações bancárias na maior parte dos países. As interfaces de Internet banking são páginas seguras (em geral usando o protocolo https e o tráfego de toda a informação - incluindo a senha - é encriptado, tornando quase impossível uma terceira pessoa obter ou modificar a informação depois de enviada. Entretanto, a criptografia por si sõ não elimina a possibilidade de hackers ganharem acesso a computadores domésticos vulneráveis e interceptação de senhas enquanto estão sendo digitadas (keylogging). Há também o perigo de quebra de senhas e roubo destas quando escritas em papéis por usuários descuidados.Grande parte dos Internet banking impõem ainda uma segunda camada de segurança. As estratégias variam, mas um método comum é o uso de números de transação (ou TANs, TransAction Numbers), que são essencialmente senhas de uso único. Outra estratégia é o uso de duas senhas, apenas partes aleatórias do que é entrado no começo de cada sessão de Internet banking. Isto é, entretanto, menos seguro que a estratégia TAN e mais inconveniente para o usuário. Uma terceira opção que está se tornando popular é prover aos clientes leitores de cartões com chip capazes de gerar senhas únicas do cartão. Outra opção é usar certificados digitais, que digitalmente assinam ou autenticam as transações, enlaçando-as ao dispositivo físico (ex.: computador, celular etc). Nos Estados Unidos, entretanto muitos sites de banco ainda usam segurança por senha simples. No Brasil, alguns bancos, como o Bradesco têm feito uso de um cartão com diversas senhas impressas, onde no site o usuário entra uma delas, conforme solicitado.

FraudesAlguns clientes evitam o Internet banking porque supõem (na maior parte das vezes, erradamente) que este é muito vulnerável a fraudes. As medidas de segurança empregadas pelos bancos nunca serão 100% seguras, mas na prática o número de vítimas de fraude *devido a problemas do banco, e não do cliente* é muito pequeno. Na verdade, práticas do sistema bancário convencional tendem a ser mais fraudulentas do que o Internet banking. Fraudes de cartão de crédito, assinaturas falsas e roubo de identidade são crimes muito mais comuns do que fraudes eletrônicas. As transações bancárias são em geral rastreáveis e as penalidades criminais por estas fraudes são altas. O Internet banking pode ser mais inseguro se os usuários

33



são descuidados ou analfabetos digitais. Um crescente número de práticas criminosas é usar-se de phising para acessar a conta do usuário, o que consiste em persuadir o usuário para que este dê a sua senha ao cracker. Existem sites especializados no combate a fraudes, como o "Monitor das Fraudes" (http://www.fraudes.org), contendo informações completas sobre o assunto.

Fonte: Wikipedia http://pt.wikipedia.org/wiki/Internet_banking

Políticas de Privacidade- formar opiniões sobre assuntos de privacidade- fazer debates sobre privacidade

Dinâmica – debate sobre o projeto de lei para crimes de informática

-dividir as pessoas em grupos de 4;-peça aos participantes conversarem sobre o conceito de privacidade e como a privacidade tem mudado com a internet;-abre um dialogo para o grupo total e solicite as opiniões dos grupos;

Agora organize os participantes para entra num debate! No final de 2006, causou grande impacto a proposta de lei (projeto de lei para crimes de informática - N. 84-D,DE 1999). que previa, além de outras coisas, o rastreamento de internautas por meio de identificação prévia do usuário. Tal projeto causou grande repercussão na Internet, com vários grupos contra a nova lei.

Por outro lado, se lembra o vídeo de Cicarelli e com o namorado na Espanha? O efeito Cicarelli também nos faz pensar sobre o conteúdo na web 2.0. Quando você dá poder aos usuários, é difícil tirá-lo. Não adiantou os supostos moderadores do YouTube tirarem os primeiros vídeos postados porque dezenas de outros foram postados e vistos centenas (se não milhares) de vezes antes que o moderador pudesse barrar. Então qual é a solução?

Como estará esta situação hoje? Quais seriam os grupos contra tal medida e quais os grupos a favor? Qual seria a melhor maneira de

34



policiar os crimes cometidos na Internet? O que é crime? E o que não é?

-dividir os participantes em 2 grupos, sendo um a favor de medidas mais severas no que diz respeito ao controle dos usuários e outro grupo totalmente contra a qualquer tipo de medida que vise controlar o fluxo de informações na Internet.- peça aos grupos que façam pesquisas a respeito do tal projeto de lei e suas repercussões (talvez seja necessária que o oficineiro dê alguma instrução sobre “refinamento de buscas”);- diga ao grupo que eles deverão deixar de lado opiniões pessoais, defendendo a opinião do grupo do qual fazem parte;- dê a cada grupo cerca de 40 minutos para que eles levantem informações, e montem uma apresentação para defenderem suas opiniões e propostas em um debate;- enquanto os grupos se organizam, é necessário que o oficineiro caminhe entre os grupo para auxiliar no andamento da pesquisa e na montagem da apresentação para o debate;- quando cada grupo estiver pronto, eles escolherão um representante que deverá expor a opinião do grupo. O oficineiro deverá atuar como mediador, estipulando o tempo que cada pessoa tem para expor suas idéias. Lembrar aos grupos que quando uma pessoa estiver falando, esta não poderá ser interrompida sobre nenhum pretexto;- cabe ao oficineiro abrir o espaço para outras pessoas do grupo exporem seu ponto de vista, sempre intercalando os representantes da cada grupo;- se o debate ficar muito acalorado o oficineiro poderá estipular um tempo menor para cada pessoa que for se pronunciar, e poderá colocar um fim no debate, dizendo que os grupos têm 10 minutos para fazerem uma última apresentação, a qual não poderá ser comentada ou replicada pelo grupo adversário;- como finalização, reúna os participantes em círculo e solicite a eles comentários e impressões sobre a atividade.

Esse vídeo é interessante, mas a linguagem pode ser difícil a entender. TV Senado Plenário ao Vivo, Senedor Eduardo Azeredo, PSDB/ MG, Legislação na Internet, 7 de Novembro de 2006 - http://www.youtube.com/watch?v=NIz5n3g_UJE

35



Alguns textos interessantes para estimular debate!!!Ver texto: Projeto de controle do acesso à Internet é uma coleção de absurdos, Observatório da Imprensahttp://observatorio.ultimosegundo.ig.com.br/blogs/blogs.asp?ID={E8BC8296-7524-4A5D-B3BC-DCFF1B2EA172}&id_blog=2

Fonte: Agência Senado. Acesso em 12/11/2006 http://www.senado.gov.br/agencia/verNoticia.aspx?codNoticia=59435&codAplicativo=2

Fonte: Gilberto Ales Jr., O que o vídeo com Daniela Cicarelli tem a nos dizer,

http://webinsider.uol.com.br/index.php/2006/09/21/o-que-o-video-de-cicarelli-tem-a-nos-dizer/

Modulo 4 – Projeto de PesquisaPlanejamento do Projeto de Pesquisa-fazer pesquisa-montar um plano de segurança

O Plano de Segurança será apresentado no formato datashow.O plano incluirá 1. Os objetivos pessoais de segurança?2. As mudanças a serem feitos para atingir os objetivos?3. Como as mudanças serão realizadas?4. Uma descrição da visão do participante do futuro do Internet em relação a segurança e privacidade.5. Uma descrição sobre sua opinião de hackers 6. Entrevistas – realizar entrevistas com pessoas da Casa Brasil sobre suas opiniões em relação a segurança e privacidade e como estão se protegendo.7. Compartilha o que foi descoberta.

Apresentação dos Projetos e Avaliação

Hoje é o dia de encerramento de nossas atividades.Peça a cada participante da oficina para apresentar o resultado de seus projetos de pesquisa, deixe cada participante falar dos descobertas.

Dinâmica:– faça uma roda com os participantes;– peça para cada participante apresentar o resultado de seu projeto de

36



pesquisa para os demais;– encerre a atividade explicando que os problemas de segurança e privacidade é algo real, mas o mundo do Internet é um mundo de múltiplas possibilidades e está em nossas mãos para usa-lo para o bem.

Dinâmica – AvaliaçãoTeia de Comunicação (ou nesse caso a Teia de Segurança)

– Refletir na oficina como um grupo. Por ser uma atividade de fechamento é bom focar nos pontos positivos.

Materiais:-Uma grande bola de barbante

Instruções:-Formar um círculo-Fazer uma pergunta do tipo: “O que foi a coisa mais importante que você aprendeu nessa curso?” ou “Dentre as coisas que você aprendeu aqui, o que poderá ser aplicado em seu trabalho?”.-A pessoa com o barbante faz a pergunta e joga para alguém do outro lado do circulo, que terá de responder– (lembre-se de dizer a todos para que não soltem o barbante).-Continuar até que todos respondam a pergunta.-Mostrar que com o barbante as pessoas criaram uma teia/rede, e que juntos formamos uma rede de colaboração.

Fontes: 1. Caderno Eletrônico – Segurança no Computador e na Internet, Programa Acessa São Paulo, www.cidec.futuro.usp.br/cadernos2. Tradução de Rafael Caetano dos Santos. Eric S. Raymond, How to be a Hacker, 2001http://gul.linux.ime.usp.br/~rcaetano/docs/hacker-howto-pt.html3. http://pt.wikipedia.org/wiki/Internet_banking

37



Esta oficina está licenciada em Creative Commons Atribuição Não Comercial Compartilhamento Pela mesma Licença 2.5 Brasil, para conteúdos

Iguais ou Modificados .

38

http://creativecommons.org/licenses/by-nc-sa/2.5/br/




oficina segurança e privacidade manual do...

Documents