segurança & auditoria de sistemas aula 04 eduardo silvestri

27
Segurança & Segurança & Auditoria de Auditoria de Sistemas Sistemas AULA 04 AULA 04 Eduardo Silvestri www.eduardosilvestri.com .br

Upload: internet

Post on 22-Apr-2015

108 views

Category:

Documents


3 download

TRANSCRIPT

Page 1: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

Segurança & Segurança & Auditoria de Auditoria de

SistemasSistemas

AULA 04AULA 04

Segurança & Segurança & Auditoria de Auditoria de

SistemasSistemas

AULA 04AULA 04Eduardo Silvestriwww.eduardosilvestri.com.br

Page 2: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

A senha é o nível de identificação enormemente A senha é o nível de identificação enormemente utilizado em sistemas que lidam com utilizado em sistemas que lidam com informações particulares. Ela se torna muitas informações particulares. Ela se torna muitas vezes o único vínculo de segurança entre o vezes o único vínculo de segurança entre o usuário e o sistema. Por isso mesmo, é usuário e o sistema. Por isso mesmo, é indispensável pensar seriamente na escolha de indispensável pensar seriamente na escolha de suas senhas, o que muitas vezes impedirá que suas senhas, o que muitas vezes impedirá que pessoas mal intencionadas tragam pessoas mal intencionadas tragam conseqüências desagradáveis ao acessarem conseqüências desagradáveis ao acessarem dados que só você deveria possuir acesso.dados que só você deveria possuir acesso.

Page 3: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

Elaborar bem suas senhas, de forma que sejam Elaborar bem suas senhas, de forma que sejam simples de usar no dia a dia e ao mesmo tempo simples de usar no dia a dia e ao mesmo tempo difíceis de serem quebradas por alguém difíceis de serem quebradas por alguém interessado em fazê-lo, é a melhor maneira de interessado em fazê-lo, é a melhor maneira de reforçar o cadeado que você dispõe para reforçar o cadeado que você dispõe para proteger seus dados de mãos estranhas e proteger seus dados de mãos estranhas e objetivos nefastos. objetivos nefastos.

Page 4: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

Pensar previamente sobre o que digitar num Pensar previamente sobre o que digitar num campo de cadastro geralmente é uma boa idéia, campo de cadastro geralmente é uma boa idéia, pois lhe dará mais tempo para a utilização de pois lhe dará mais tempo para a utilização de técnicas na criação e memorização de suas técnicas na criação e memorização de suas senhas, algumas delas listadas nessa senhas, algumas delas listadas nessa apresentação.apresentação.

Page 5: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

Muitos truques podem ser utilizados na tarefa de Muitos truques podem ser utilizados na tarefa de criação do "password" perfeito. criação do "password" perfeito. Concomitantemente existem regras gerais e Concomitantemente existem regras gerais e condutas que devem ser sempre seguidas à condutas que devem ser sempre seguidas à risca. Uma delas, por exemplo, é nunca anotar risca. Uma delas, por exemplo, é nunca anotar nada referente à sua senha, sendo o processo de nada referente à sua senha, sendo o processo de memorização puramente mental. Uma vez que memorização puramente mental. Uma vez que senhas são "assinaturas" do usuário que as senhas são "assinaturas" do usuário que as utilizam, devem somente fazer parte dele, para utilizam, devem somente fazer parte dele, para que somente ele seja capaz de acessar suas que somente ele seja capaz de acessar suas informações.informações.

Page 6: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

O contexto onde ela será utilizada é algo O contexto onde ela será utilizada é algo igualmente importante, já que é muito provável igualmente importante, já que é muito provável que você tenha vários lugares onde é necessária que você tenha vários lugares onde é necessária a autenticação, e é muito difícil lembrar-se de a autenticação, e é muito difícil lembrar-se de todos eles. Uma bom truque é criar sua senha a todos eles. Uma bom truque é criar sua senha a partir de uma particularidade do lugar para onde partir de uma particularidade do lugar para onde ela foi escolhida junto de uma "assinatura" sua. ela foi escolhida junto de uma "assinatura" sua. Dessa forma, a senha se torna ao mesmo tempo Dessa forma, a senha se torna ao mesmo tempo algo pessoal e de simples memorização.algo pessoal e de simples memorização.

Page 7: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

Também é necessário medir a importância dos Também é necessário medir a importância dos lugares onde você se autentica. O acesso à sua lugares onde você se autentica. O acesso à sua conta no banco é bem mais delicado que o conta no banco é bem mais delicado que o acesso ao conteúdo personalizado de seu site de acesso ao conteúdo personalizado de seu site de notícias. A regra é que a dificuldade na notícias. A regra é que a dificuldade na descoberta de uma senha seja proporcional ao descoberta de uma senha seja proporcional ao controle e às informações fornecidas a quem controle e às informações fornecidas a quem consegue se autenticar. consegue se autenticar.

Page 8: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

No caso do site de notícias, talvez a única No caso do site de notícias, talvez a única possibilidade do usuário dentro do sistema seja possibilidade do usuário dentro do sistema seja cancelar o recebimento de notícias por e-mail, cancelar o recebimento de notícias por e-mail, enquanto que na conta de banco a história é enquanto que na conta de banco a história é diferente.diferente.

Page 9: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

O conceito de uma senha bem construída está O conceito de uma senha bem construída está diretamente ligada à facilidade de descobri-la, seja diretamente ligada à facilidade de descobri-la, seja utilizando recursos computacionais ou informações utilizando recursos computacionais ou informações pessoais do usuário. Na verdade, o primeiro pessoais do usuário. Na verdade, o primeiro pensamento que se deve ter, é quanto ao valor da pensamento que se deve ter, é quanto ao valor da informação que está sendo protegida pela senha. Fica informação que está sendo protegida pela senha. Fica evidente, que não será necessária uma senha evidente, que não será necessária uma senha complicadíssima para proteger o acesso à um complicadíssima para proteger o acesso à um computador que mantém apenas documentos escolares, computador que mantém apenas documentos escolares, contudo, passa a ser fundamental para proteger o contudo, passa a ser fundamental para proteger o acesso à sua conta bancária. acesso à sua conta bancária.

Page 10: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

A manutenção de senhas é algo simplesmente A manutenção de senhas é algo simplesmente indispensável. Impede o uso de força bruta(1) indispensável. Impede o uso de força bruta(1) por possíveis crackers e auxilia a mente na por possíveis crackers e auxilia a mente na tarefa de memorização, sempre mantendo-a em tarefa de memorização, sempre mantendo-a em processo de produção. Atente sempre para o processo de produção. Atente sempre para o nível de importância dos lugares em que nível de importância dos lugares em que pretende trocar de "password". Muitas vezes pretende trocar de "password". Muitas vezes pode não valer a pena, enquanto em outras pode pode não valer a pena, enquanto em outras pode impedir um ataque iminente.impedir um ataque iminente.

Page 11: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhas

Por fim, sempre ao definir uma nova senha, como Por fim, sempre ao definir uma nova senha, como prova final, tente adivinhá-la sabendo o que os prova final, tente adivinhá-la sabendo o que os outros sabem e podem saber a seu respeito. Se outros sabem e podem saber a seu respeito. Se não conseguir, poderá utilizá-la com não conseguir, poderá utilizá-la com tranqüilidade por algum tempo. Se, no entanto, tranqüilidade por algum tempo. Se, no entanto, admitir que pessoas realmente empenhadas admitir que pessoas realmente empenhadas poderão uma hora colocar em risco a poderão uma hora colocar em risco a privacidade de seus dados, comece de novo o privacidade de seus dados, comece de novo o processo de criação. Nunca é tarde para processo de criação. Nunca é tarde para aumentar a segurança de seus cadeados aumentar a segurança de seus cadeados pessoais.pessoais.

Page 12: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

O Difere uma boa senha de uma O Difere uma boa senha de uma ruimruimPrepare-se para mais uma chata explicação Prepare-se para mais uma chata explicação

técnica sobre invasão de sistemas. Vamos citar técnica sobre invasão de sistemas. Vamos citar o exemplo dos sistemas Unix: todo usuário o exemplo dos sistemas Unix: todo usuário deste sistema precisa de uma senha. Alguns deste sistema precisa de uma senha. Alguns usuários possuem níveis maiores, onde podem usuários possuem níveis maiores, onde podem fazer muitas coisas; outros, níveis menores, fazer muitas coisas; outros, níveis menores, onde não podem fazer quase nada.onde não podem fazer quase nada.

Page 13: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

O Difere uma boa senha de uma O Difere uma boa senha de uma ruimruimVocê sendo o responsável por um sistema desses,

jamais daria um tipo de acesso "liberal demais" para um irresponsável (que não tem responsabilidades para com o sistema), mas todos eles possuem acesso ao arquivo de senhas, que é um arquivo geral que contém as senhas de todos os usuários. Então, o fulano irresponsável que possui um nível baixo pode pegar uma cópia deste arquivo e tentar descobrir a senha de usuários com um nível maior.

Page 14: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

O Difere uma boa senha de uma O Difere uma boa senha de uma ruimruimA senha, evidentemente, é codificada e não pode ser lida

de forma alguma depois da codificação. Não existe maneira de se recuperar a senha original apenas com o resultado de sua codificação no arquivo de senhas. Então, como o sistema faz para saber se a senha que o usuário digitou está correta? Toda vez em que o usuário tentar entrar no sistema, a senha que ele digitar é codificada, e o resultado comparado com o que consta no arquivo de senhas. Se for igual (o cálculo de codificação é sempre o mesmo) então o acesso àquele usuário é liberado.

Page 15: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

O Difere uma boa senha de uma O Difere uma boa senha de uma ruimruimPiorou! Como é então que o fulano vai fazer para

descobrir as senhas de outros usuários? Simples: ele codifica uma palavra, se o resultado for igual ao código constante do seu arquivo de senhas, ele sabe, por referência, qual a palavra (senha) que deve ser utilizada. Então ele deve tentar várias palavras até encontrar alguma que se encaixe na codificação? Exatamente! E é aqui que entramos no mérito de "como escolher sua senha". Vejamos....

Page 16: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

O Difere uma boa senha de uma O Difere uma boa senha de uma ruimruimImagine se todas as senhas fossem numéricas, de

apenas 4 dígitos? Seria muito simples criar um arquivo que contivesse todas as combinações possíveis dos números em 4 posições diferentes. Pronto o arquivo, codifica-se cada uma delas, depois é só comparar para ver qual a senha de cada usuário e correr para o abraço.

Page 17: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

O Difere uma boa senha de uma O Difere uma boa senha de uma ruimruimAcontece que nenhum sistema sério utiliza regras

tão falhas para as senhas. Muitos, inclusive, proíbem até o uso de palavras que existam no dicionário. Assim se evita que algum fulano codifique um arquivo contendo palavras do dicionário e descubra as senhas. Agora, você já deve concordar conosco que, quanto maior em comprimento e mais variados forem os caracteres da senha, melhor. Não?

Page 18: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

O Difere uma boa senha de uma O Difere uma boa senha de uma ruimruimMas imagine só: o que é maior, um arquivo contendo a

combinação de todas as letras minúsculas formando palavras de no máximo 6 letras, ou um arquivo contendo a combinação de todas as letras minúsculas, maiúsculas (são diferentes), números, e símbolos (como vírgula, ponto, hífen, asterisco etc.) formando palavras de no máximo 8 letras? Assuma que cada letra deste arquivo ocupará 1 byte, que tamanho ele terá? Sem falar no tempo que se leva na criação, codificação e comparação com o arquivo de senhas. Todo o processo é automatizado, mas mesmo assim leva muito, muito tempo.

Page 19: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

O Difere uma boa senha de uma O Difere uma boa senha de uma ruimruimConclusão: sua senha deve ser absurdamente

complexa, JAMAIS igual ao seu login, NUNCA a placa do seu carro, NEM PENSAR em data de nascimento, ela não pode ser lembrada (pelos outros, claro!). Ela deve beirar o limite do absurdo. 

Page 20: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhasDICAS AUXILIARESDICAS AUXILIARES

Use senhas alfanuméricas - Isso irá dificultar o Use senhas alfanuméricas - Isso irá dificultar o uso de força bruta e outros processo uso de força bruta e outros processo semelhantes de quebra. Enquanto tentativas semelhantes de quebra. Enquanto tentativas alfabéticas e numéricas demandam cada uma alfabéticas e numéricas demandam cada uma alguns dias de trabalho, a mistura entre as duas alguns dias de trabalho, a mistura entre as duas pode fazer com que um cracker fique meses à pode fazer com que um cracker fique meses à espera de uma senha válida.espera de uma senha válida.

Page 21: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhasDICAS AUXILIARESDICAS AUXILIARES

Utilize as letras iniciais de uma frase que você Utilize as letras iniciais de uma frase que você gosta - Dessa forma a senha final pode se tornar gosta - Dessa forma a senha final pode se tornar simples a você e complicada ao resto do simples a você e complicada ao resto do mundo. Frases como "até que a morte os mundo. Frases como "até que a morte os separe" produziria a senha "aqamos". Para separe" produziria a senha "aqamos". Para digitá-la, você só precisa se lembrar da frase digitá-la, você só precisa se lembrar da frase que a originou. Utilize combinações com outras que a originou. Utilize combinações com outras técnicas.técnicas.

Page 22: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhasDICAS AUXILIARESDICAS AUXILIARES

Memorize assinaturas para utilizar em vários Memorize assinaturas para utilizar em vários lugares - As técnicas aglutinadas de assinatura e lugares - As técnicas aglutinadas de assinatura e particularidade do local torna sua senha pessoal particularidade do local torna sua senha pessoal e intransferível. Como exemplo, suponha que e intransferível. Como exemplo, suponha que você tivesse a assinatura "era46" e precisasse de você tivesse a assinatura "era46" e precisasse de uma senha para seu disco virtual. Uma boa uma senha para seu disco virtual. Uma boa escolha poderia ser "virtera46disc".escolha poderia ser "virtera46disc".

Page 23: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhasDICAS AUXILIARESDICAS AUXILIARES

Nunca utilize senhas idênticas em mais de um Nunca utilize senhas idênticas em mais de um lugar importante - Uma vez que exista alguém lugar importante - Uma vez que exista alguém interessado em quebrar a segurança de seus interessado em quebrar a segurança de seus dados, ela poderá trabalhar paralelamente em dados, ela poderá trabalhar paralelamente em todos os lugares onde você deve se autenticar todos os lugares onde você deve se autenticar para conseguir alguma pista da senha que para conseguir alguma pista da senha que realmente necessita. Não copiar senhas torna o realmente necessita. Não copiar senhas torna o trabalho dessa pessoa inútil.trabalho dessa pessoa inútil.

Page 24: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

SenhasSenhasGLOSSÁRIOGLOSSÁRIO

(1) força-bruta. Processo linear de quebra de (1) força-bruta. Processo linear de quebra de senhas que se caracteriza pela tentativa e erro. senhas que se caracteriza pela tentativa e erro. Devido ao tempo gasto nessa tarefa, senhas Devido ao tempo gasto nessa tarefa, senhas muito grandes tornam-se praticamente muito grandes tornam-se praticamente impossíveis de serem quebradas por esse impossíveis de serem quebradas por esse método.método.

Page 25: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

DúvidasDúvidas

Page 26: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

PerguntasPerguntas1- Qual a importância da senha em sistema de Segurança ?1- Qual a importância da senha em sistema de Segurança ?

2- Quais regras devem ser utilizadas na criação de Senhas?2- Quais regras devem ser utilizadas na criação de Senhas?

3- Crie 5 senhas seguras utilizando o processo ?3- Crie 5 senhas seguras utilizando o processo ?

PublicaçõesPublicações-Mapa Conceitual.Mapa Conceitual.

Page 27: Segurança & Auditoria de Sistemas AULA 04 Eduardo Silvestri

www.eduardosilvestri.com.brwww.eduardosilvestri.com.br

Eduardo SilvestriEduardo [email protected]@eduardosilvestri.com.br

DúvidasDúvidas