Trabalho de Segurança e Auditoria de Sistemas

xxxxxxxxxx – FEUC / BSI – 7º Período / Manhã

Resumos

1. Fraudes de Políticas de Segurança

Fraude:

É um esquema ilícito ou de má fé criado para obter ganhos pessoais.

Golpes mais comuns da internet segundo a FTC:

Oportunidades de negócio;Venda de malas diretas;Correntes;Propostas para trabalho em casa;Golpes da dieta ou da melhoria de saúde;Esquemas para ganho de dinheiro fácil;Produtos gratuitos;Oportunidades de investimento;Kits para decodificação de sinal de TV a Cabo;Garantia de crédito e empréstimo facilitados;Recuperação de crédito;Promoções de viagens.

Hoax:

Histórias falsas e má intencionadas recebidas por e-mail cujo objetivo é aproveitar da falta de informação do usuário.

A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização.

Seus objetivos devem ser determinados a partir das seguintes determinantes:

Serviços oferecidos versus Segurança fornecida;Facilidade de uso versus Segurança;Custo da segurança versus o Risco da perda.

2. Problemas de privacidade no Acesso à Internet

Privacidade Digital:

É usada para a pessoa não expor e disponibilizar suas informações através de meios eletrônicos e internet.

Política de Privacidade:

Usada para que empresas sites entre outros não use e exponha as informações de seus usuários de maneira inadequada garantindo a integridade de ambos.

Leis de Proteção a privacidade:

Art. 5° - “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito a indenização pelo dano material ou moral decorrente de sua violação.”

Art. 220° - “A manifestação do pensamento, a criação, a expressão e a informação, sob qualquer forma, processo ou veículo não sofrerão qualquer restrição, observando o disposto nesta Constituição.”

Selos de Privacidade:

Verificam se os serviços (sites, vídeos etc) não violam a política de privacidade do usuário do serviço.

Exemplo de ataque:

Cavalo de Tróia - programa disfarçado que executa alguma tarefa maligna, como abrir portas TCP do computador por exemplo.

Como se Proteger na Internet:

Ao Usar navegadores Web seguros;Ao usar programas leitores de e-mails;Ao efetuar transações bancárias e acessar Sites de Internet Banking com certificado válido;Ao efetuar transações comerciais e acessar sites de comércio eletrônico com certificado válido.

3. Governança de TI e Segurança de Informação

Governança de TI pode se definir como o que tem valor,São usadas normas de segurança referentes a ISO 27001 e ISO 27002.

ISO 27001:

Anexo A – Normativo: Objetivos de Controles e Controles;Anexo C – Informativo: Correspondência com a ISO 9001 e ISSO 14001.

Termos e definições são:

Ativo, disponibilidade, confidencialidade:Disponibilidade: Conceito positivo;

Confidencialidade: Conceito negativo.

Requisitos Gerais:

A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta.

ISO 27002:

Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”.

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

Fontes de requisitos de si:

Analise/avaliação de riscos;Legislação e normas vigentes.

4. ISO 27001/IEC / ISO 27007 / NBR 15999

ISO/IEC 27001:

Foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

ISO 27007:

Fornece diretrizes sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI) e sobre como executar as auditorias e a competência de auditores de SGSI, em complementação as diretrizes descritas na ABNT NBR ISO 19011.

NBR 15999:

Serve como um guia para orientar as empresas na preparação de um plano alternativo em caso de algum incidente, com a adoção de melhores práticas em Gestão de Continuidades de Negócios e orientação de planos de respostas a incidentes.

5. Crimes Digitais e Legislação

Não são feitos somente por pessoas. Podem ser por máquinas, geralmente por máquinas zumbis. Sempre tem alguém por trás das máquinas

Crimes Analógicos:Feitos por dispositivos não digitais.

6. Segurança de Dados em Redes Cabeadas e Não Cabeadas

Os princípios básicos de segurança em sistemas são confiabilidade, integridade, disponibilidade e autenticidade.

Situações de insegurança:

Catástrofes - enchentes, alagamentos, terremotos, desabamentos;Problemas ambientais.

Situações de Insegurança:

Supressão de serviços - queda de luz, mal funcionamento da internet/rede, comportamento antissocial; acidentes variados, acão criminosa, contaminação eletrônica (vírus).

Segurança de Redes com Fio:

Algumas das principais ameaças são:

Destruição de informação e de outros recursos;Modificação ou deturpação da informação;Roubo, remoção ou perda da informação ou de outros recursos; Revelação de informações.

Os serviços de segurança em redes de computadores tem como função manter a confidencialidade e a integridade dos dados.

Os mecanismos de segurança são criptografia firewalls e controle de acesso.

Segurança de Redes sem Fio:

Os mecanismos de segurança usados são cifragem e autenticidade.

7. Perícia, Evidências Digitais e Computação

Objetivos:

Identificação de evidências encontrados em HD, pendrives ou qualquer mídia de armazenamento

digital.

Fases da Computação Forense:

Preservação:Com objetivo de encontrar informações de preservá-las evitando alteração.

Extração:Extrair as informações encontradas para um outro dispositivo protegido.

Análise:Analisar a informação para entender o que ela significa.

Vantagens:

Preservação da Prova;Agrupamento dos dados do processo;Ética.

Desvantagens:

Dados Variáveis;Informações invisíveis;Tecnologia sempre em atualização;

Alguns dos Desafios para essa área serão:

Cloud Computing (Computação em nuvem);Capacidade crescente de armazenamento em dispositivos;Inteligência artificial;Dispositivos móveis.

8. Auditoria de Sistemas

9. Plano de Contingência e Prevenção de Desastres

Impróprio:Utiliza o meio eletrônico para difamar alguém.

Próprio:Quando o próprio ambiente digital é a vítima.

10. Criptografia

Escrever uma mensagem que ninguém exceto o remetente e o destinatário, pode ler.

O objetivo é garantir a confidencialidade, privacidade, sigilo das informações, ou seja, garantir que uma mensagem não será lida por pessoas não autorizadas.

Esteganografia:

É a arte de ocultar a mensagem para que ninguém se quer saiba a sua existência.

Criptografia digital:

O tamanho da chave é medido em bits;A chave é gerada pelo computador através de programas específicos;Quanto maior a chave mais difícil de descobri-la.

Chave simétrica:

É a utilização de uma chave tanto para cifrar como decifrar uma informação. Chaves iguais para enviar e para ler.

Características:

Rápida e fácil;Algoritmo não muito complicado;Indicada para grande volume de dados;Chave compartilhada;Nível de segurança ligado ao tamanho da chave;DEE: 56 bits;3des: Triple DES;AES: 128 bits ou 256 bits (o mais usado atualmente).

Chaves assimétrica / Chave publica:

Tem uma chave privada (chave do dono) e tem a chave publica(chave que é distribuídas livremente). Uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua chave privada correspondente e vice-versa.

Características:

Segura, pesada (difícil de processar), só são usadas as chaves do destinatário,

Principal algoritmo:

RSA: admite chaves de 1024,2048 e até mesmo 4096 bits.Hash – garante a integridade dos dados compartilhados (CPF do arquivo) - garante que o arquivo é ele mesmo.

11. Assinatura / Certificado Digital

Documentos digitais que contém informações que identificam uma empresa ou pessoa, respectivamente.

Meios de utilização:Algoritmo assimétrico - chaves privadas ou publicas.