resumo: fraudes de políticas de segurança, problemas de privacidade no acesso à internet,...
TRANSCRIPT
Trabalho de Segurança e Auditoria de Sistemas
xxxxxxxxxx – FEUC / BSI – 7º Período / Manhã
Resumos
1. Fraudes de Políticas de Segurança
Fraude:
É um esquema ilícito ou de má fé criado para obter ganhos pessoais.
Golpes mais comuns da internet segundo a FTC:
Oportunidades de negócio;Venda de malas diretas;Correntes;Propostas para trabalho em casa;Golpes da dieta ou da melhoria de saúde;Esquemas para ganho de dinheiro fácil;Produtos gratuitos;Oportunidades de investimento;Kits para decodificação de sinal de TV a Cabo;Garantia de crédito e empréstimo facilitados;Recuperação de crédito;Promoções de viagens.
Hoax:
Histórias falsas e má intencionadas recebidas por e-mail cujo objetivo é aproveitar da falta de informação do usuário.
A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.
Seus objetivos devem ser determinados a partir das seguintes determinantes:
Serviços oferecidos versus Segurança fornecida;Facilidade de uso versus Segurança;Custo da segurança versus o Risco da perda.
2. Problemas de privacidade no Acesso à Internet
Privacidade Digital:
É usada para a pessoa não expor e disponibilizar suas informações através de meios eletrônicos e internet.
Política de Privacidade:
Usada para que empresas sites entre outros não use e exponha as informações de seus usuários de maneira inadequada garantindo a integridade de ambos.
Leis de Proteção a privacidade:
Art. 5° - “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito a indenização pelo dano material ou moral decorrente de sua violação.”
Art. 220° - “A manifestação do pensamento, a criação, a expressão e a informação, sob qualquer forma, processo ou veículo não sofrerão qualquer restrição, observando o disposto nesta Constituição.”
Selos de Privacidade:
Verificam se os serviços (sites, vídeos etc) não violam a política de privacidade do usuário do serviço.
Exemplo de ataque:
Cavalo de Tróia - programa disfarçado que executa alguma tarefa maligna, como abrir portas TCP do computador por exemplo.
Como se Proteger na Internet:
Ao Usar navegadores Web seguros;Ao usar programas leitores de e-mails;Ao efetuar transações bancárias e acessar Sites de Internet Banking com certificado válido;Ao efetuar transações comerciais e acessar sites de comércio eletrônico com certificado válido.
3. Governança de TI e Segurança de Informação
Governança de TI pode se definir como o que tem valor,São usadas normas de segurança referentes a ISO 27001 e ISO 27002.
ISO 27001:
Anexo A – Normativo: Objetivos de Controles e Controles;Anexo C – Informativo: Correspondência com a ISO 9001 e ISSO 14001.
Termos e definições são:
Ativo, disponibilidade, confidencialidade:Disponibilidade: Conceito positivo;
Confidencialidade: Conceito negativo.
Requisitos Gerais:
A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta.
ISO 27002:
Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.
Fontes de requisitos de si:
Analise/avaliação de riscos;Legislação e normas vigentes.
4. ISO 27001/IEC / ISO 27007 / NBR 15999
ISO/IEC 27001:
Foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
ISO 27007:
Fornece diretrizes sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI) e sobre como executar as auditorias e a competência de auditores de SGSI, em complementação as diretrizes descritas na ABNT NBR ISO 19011.
NBR 15999:
Serve como um guia para orientar as empresas na preparação de um plano alternativo em caso de algum incidente, com a adoção de melhores práticas em Gestão de Continuidades de Negócios e orientação de planos de respostas a incidentes.
5. Crimes Digitais e Legislação
Não são feitos somente por pessoas. Podem ser por máquinas, geralmente por máquinas zumbis. Sempre tem alguém por trás das máquinas
Crimes Analógicos:Feitos por dispositivos não digitais.
6. Segurança de Dados em Redes Cabeadas e Não Cabeadas
Os princípios básicos de segurança em sistemas são confiabilidade, integridade, disponibilidade e autenticidade.
Situações de insegurança:
Catástrofes - enchentes, alagamentos, terremotos, desabamentos;Problemas ambientais.
Situações de Insegurança:
Supressão de serviços - queda de luz, mal funcionamento da internet/rede, comportamento antissocial; acidentes variados, acão criminosa, contaminação eletrônica (vírus).
Segurança de Redes com Fio:
Algumas das principais ameaças são:
Destruição de informação e de outros recursos;Modificação ou deturpação da informação;Roubo, remoção ou perda da informação ou de outros recursos; Revelação de informações.
Os serviços de segurança em redes de computadores tem como função manter a confidencialidade e a integridade dos dados.
Os mecanismos de segurança são criptografia firewalls e controle de acesso.
Segurança de Redes sem Fio:
Os mecanismos de segurança usados são cifragem e autenticidade.
7. Perícia, Evidências Digitais e Computação
Objetivos:
Identificação de evidências encontrados em HD, pendrives ou qualquer mídia de armazenamento
digital.
Fases da Computação Forense:
Preservação:Com objetivo de encontrar informações de preservá-las evitando alteração.
Extração:Extrair as informações encontradas para um outro dispositivo protegido.
Análise:Analisar a informação para entender o que ela significa.
Vantagens:
Preservação da Prova;Agrupamento dos dados do processo;Ética.
Desvantagens:
Dados Variáveis;Informações invisíveis;Tecnologia sempre em atualização;
Alguns dos Desafios para essa área serão:
Cloud Computing (Computação em nuvem);Capacidade crescente de armazenamento em dispositivos;Inteligência artificial;Dispositivos móveis.
8. Auditoria de Sistemas
9. Plano de Contingência e Prevenção de Desastres
Impróprio:Utiliza o meio eletrônico para difamar alguém.
Próprio:Quando o próprio ambiente digital é a vítima.
10. Criptografia
Escrever uma mensagem que ninguém exceto o remetente e o destinatário, pode ler.
O objetivo é garantir a confidencialidade, privacidade, sigilo das informações, ou seja, garantir que uma mensagem não será lida por pessoas não autorizadas.
Esteganografia:
É a arte de ocultar a mensagem para que ninguém se quer saiba a sua existência.
Criptografia digital:
O tamanho da chave é medido em bits;A chave é gerada pelo computador através de programas específicos;Quanto maior a chave mais difícil de descobri-la.
Chave simétrica:
É a utilização de uma chave tanto para cifrar como decifrar uma informação. Chaves iguais para enviar e para ler.
Características:
Rápida e fácil;Algoritmo não muito complicado;Indicada para grande volume de dados;Chave compartilhada;Nível de segurança ligado ao tamanho da chave;DEE: 56 bits;3des: Triple DES;AES: 128 bits ou 256 bits (o mais usado atualmente).
Chaves assimétrica / Chave publica:
Tem uma chave privada (chave do dono) e tem a chave publica(chave que é distribuídas livremente). Uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua chave privada correspondente e vice-versa.
Características:
Segura, pesada (difícil de processar), só são usadas as chaves do destinatário,
Principal algoritmo:
RSA: admite chaves de 1024,2048 e até mesmo 4096 bits.Hash – garante a integridade dos dados compartilhados (CPF do arquivo) - garante que o arquivo é ele mesmo.
11. Assinatura / Certificado Digital
Documentos digitais que contém informações que identificam uma empresa ou pessoa, respectivamente.
Meios de utilização:Algoritmo assimétrico - chaves privadas ou publicas.