ENGENHARIA CIVIL COMPUTAÇÃO APLICADA Aula 3 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com 1 Agenda Segurança da informação Sistemas de comunicação de dados: Redes de Computadores (Material auxiliar) 18/02/2013 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com 2 “Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e consequentemente necessita ser adequadamente protegida.” NBR ISO/IEC 27002:2005 • É determinado pelo valor que o usuário dá a ela. • Enquanto um usuário pode considerar um dado pouco interessante, outros podem dar um valor maior ao mesmo. • A área de negócio não pode existir sem informação • Em TI, a informação é considerada um fator de produção 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com • É qualquer componente para qual a organização atribui valor e está associado a alguma informação • Uma organização deve determinar quais ativos podem afetar a entrega de um produto ou serviço pela ausência ou deterioração, ou causar dano a organização através da perda de confidencialidade, integridade ou disponibilidade. • Deve-se definir qual é o valor de um ativo no caso de um incidente. 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Impressa ou escrita em papel Mostrada em vídeo Verbal Transmitida por correio eletrônico “A forma em que a informação se apresenta, vai definir as medidas necessárias a sua proteção” Armazenada eletronicamente 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Internas – informações que você não gostaria que a concorrência soubesse ou que impacte a área de negócio. De parceiros – informações que necessitam ser compartilhadas com outros parceiros comerciais. De clientes e fornecedores – informações que eles não gostariam que você divulgasse. 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com A informação pode ser: • Criada • Transmitida • Processada • Usada • Armazenada • Corrompida • Perdida • Destruída 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Segurança da Informação – é a proteção da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio. “ISO/IEC 27002:2005” A Segurança da informação é constituída por um conjunto de controles, políticas, processos, estrutura organizacionais e normas. Tem como objetivo a proteção da informação nos aspectos de confidencialidade, integridade e disponibilidade. 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Confidencialidade • Assegurar que a informação é acessível somente as pessoas autorizadas Integridade • Proteger a exatidão e a completeza da informação e dos métodos de processamento Disponibilidade • Assegurar que os usuários autorizados tenham acesso a informação e ativos associados, quando necessário 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Confidencialidade É o grau no qual o acesso à informação é restrito para determinados grupos de pessoas autorizados a ter este acesso. Confidencialidade também inclui medidas de proteção a privacidade. Exemplos de medidas de confidencialidade • Acesso a informação garantido somente onde necessário • Empregados tomam medidas para garantir que a informação não é encontrada por aqueles que dela não necessitam. • Gestão de acesso lógico garante que pessoas ou processos não autorizados não tenham acesso a sistemas automatizados, bases de dados ou programas. • Uma separação é criada entre o sistema de desenvolvimento da organização, os processos da organização e os usuários. Um desenvolvedor, por exemplo, não pode alterar salários. • Nos processos onde dados são utilizados, medidas são tomadas para garantir a privacidade das pessoas e terceiros. 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Integridade É o grau em que a informação á atualizada sem erros. As características da integridade são ela ser correta e completa. Exemplos de medidas de integridade • Mudança autorizadas de dados. Por exemplo: Alteração de um preço conforme definido pela administração. • As ações dos usuários são registradas e portanto pode-se determinar quem alterou determinada informação. • Uso de criptografia para impedir acesso a informação e assegurar sua proteção. 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Disponibilidade É o grau no qual a informação está disponível para o usuário e para o sistema de informação que está em operação no momento em que a organização a requer. Características de disponibilidade • Pontualidade: o sistema de informação está disponível quando necessário • Continuidade: a organização pode continuar trabalhando no caso de falha. • Robustez: existe capacidade suficiente, o que permite que toda organização trabalhe no sistema Exemplos de medidas de disponibilidade: • Gestão e armazenamento de dados – Ex: armazenados em rede, ao invés do HD • Procedimentos de backup - armazenado em locais físicos diferentes • Procedimento de emergência - garantia de que as atividades voltem a operar mais rápido possível. 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com A internet tem nos proporcionado diversas facilidades Fazer amizades Compras Ler notícias Diversão Transações bancárias 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Riscos relacionados ao uso da internet: Conteúdo impróprio e ofensivo Boatos (Hoax) Invasão de privacidade Phishing Golpes de comércio eletrônico 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Pharming Ataques relacionados a internet: • • • • • • • Exploração de vulnerabilidades Varredura de redes (scan) Falsificação de email (email-spoofing) Interceptação de tráfego (sniffing) Força bruta (brute force) Desfiguração de páginas (Defacement) Negação de serviço (Denial of service) Prevenção: • Quanto menor a quantidade de computadores vulneráveis e infectados, menos eficazes serão os ataques de negação de serviço. • Quanto mais consciente dos mecanismos de segurança você estiver, menores são as chances de sucesso do atacante. • Quanto melhores forem as suas senhas, menores são as chances de sucesso de ataques de força bruta • Quanto mais os usuários usarem criptografia para proteger os dados no computador ou internet, menores são as chances de tráfego de texto claro ser interceptados. 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Como se proteger? Ferramentas antimalware Política de segurança Contas e senhas Firewall Registro de eventos (Logs) Criptografia Cópias de segurança (backup) 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Política de segurança É a política que governa toda a abordagem da organização quanto ao gerenciamento de segurança da informação, deve cobrir todas as áreas de segurança, ser apropriada, estar disponível a todos os clientes, usuários e equipe de TI e atender às necessidades do negócio. Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca. Política de backup: define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução. Política de privacidade: define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários. Política de confidencialidade: define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros. Política de uso aceitável (PUA): define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Contas e senhas Identificação única de um usuário em um computador ou serviços 3 mecanismos básicos de autenticação: • Aquilo que você é. (impressão digital, voz, íris, etc) • Aquilo que você possui. (token gerador de senhas) • Aquilo que você sabe. (perguntas de segurança) 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Contas e senhas Cuidados a serem tomados ao usar suas contas e senhas: • Certifique-se de não estar sendo observado ao digitar as suas senhas. • Não forneça a sua senha para outra pessoa, em hipótese alguma. • Certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de senhas. (logout). • Elabore boas senhas • Altere as suas senhas sempre que julgar necessário • Não use a mesma senha para todos os serviços que acessa. • Ao usar perguntas de segurança para facilitar a recuperação de senhas, evite escolher questões cujas respostas possam ser facilmente adivinhadas. • Certifique-se de utilizar serviços criptografados quando o acesso a um site envolver o fornecimento de senha. • Procure manter sua privacidade, reduzindo a quantidade de informação que possam ser coletados sobre você • Seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprometidos 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Contas e senhas “Uma senha boa, bem elaborada, é aquela que é difícil de ser descoberta (forte) e fácil de ser lembrada.” Elaboração de senhas: • • • • • • Números aleatórios (135428907854) Grande quantidade de caracteres (quanto mais longa for a senha mais difícil será descobri-la) Diferentes tipos de caracteres (quanto mais “bagunçada” for a senha mais difícil será descobri-la) Selecione caracteres de uma frase Utilize uma frase longa (frase que faça sentido e seja fácil de memorizar) Faça substituição de caracteres (semelhança - w ou vv – fonética - ca ou k) 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Criptografia Tipos de criptografia: • • • • Criptografia de chave simétrica : utiliza uma mesma chave para codificar e descodificar. Criptografia de chaves assimétricas: utiliza duas chaves distintas, uma pública e uma privada. Assinatura digital: usa chave privada e chave pública, porém a codificação é feita no hash. Certificado digital: registro eletrônico composto por um conjunto de dados que destingue um entidade e associa a ela uma chave pública. Pode ser emitido por empresas, serviços, equipamentos. Por meio do uso da criptografia você pode: • Proteger os dados sigilosos armazenados no computador • Criar uma partição específica, onde as informações que forem gravadas serão automaticamente criptografadas • Proteger comunicações realizadas na internet 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Firewall “Utilizado para proteger o computador contra acessos não autorizados vindos da internet” O firewall é capaz de: • Registrar as tentativas de acesso aos serviços habilitados no seu computador • Bloquear o envio para terceiros de informações coletadas por invasores • Bloquear tentativas de invasão e exploração de vulnerabilidades • Analisar continuamente o conteúdo das conexões 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Ferramentas antimalware São aquelas que procuram detectar, anular e remover os códigos maliciosos de um computador. EX: Antivírus, antispyware, antirootkit, antitrojan, etc. Diferenças entre si: • • • • Método de detecção: assinatura (procura de padrões), heurística (características que um código possui), comportamento ( quando executado). Forma de obtenção: gratuitos, experimentais, pagos. Execução: podem ser instalados em computador ou executados sob demanda Funcionalidades apresentadas: além das funções básicas (detectar, anular e remover códigos maliciosos) podem apresentar outras funções integradas, como firewall pessoal, backup e recovery, etc. Cuidados a serem tomados: • Tenha um antimalware instalado em seu computador • Configure o antimalware para verificar toda e qualquer extensão de arquivo • Configure o antimalware para verificar automaticamente arquivos em e-mails ou da internet • Mantenha o antimalware sempre atualizado. • Evite executar mais de um antimalware ao mesmo tempo 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Registro de eventos (Logs) Logs é o registro de atividades gerado por programas e serviços de um computador. A partir da análise de logs você é capaz de: • • • • Detectar o uso indevido do seu computador, como um usuário tentando acessar arquivos de outro usuário, ou alterar arquivos de sistema. Detectar um ataque, como força bruta ou a exploração de alguma vulnerabilidade Rastrear as ações executados por um usuário no seu computador, como programas utilizados, comandos executados e tempo de uso do sistema. Detectar programas de hardware ou no programas e serviços instalados Logs são essenciais para notificação de incidentes, pois permitem que diversas informações importantes sejam detectadas. Ex: data e horário de uma atividade, endereço IP, portas envolvidas e protocolos de rede. 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com Cópias de segurança (backup) Backups são extremamente importantes, pois permitem: • • • Proteção dos dados: você pode preservar seus dados para que sejam recuperados em situações como falha de disco rígido, atualização mal sucedida, exclusão ou substituição acidental de arquivos. Recuperação de versões: você pode recuperar uma versão antiga de um arquivo alterado Arquivamento: você pode copiar ou mover dados que deseja ou que precisa guardar. Cuidados a serem tomados com seus backups: • • • • • Mantenha seus backups atualizados, de acordo com a frequência de alteração dos dados; Mantenha seus backups em locais seguros, bem condicionados e com acesso restrito; Configure para que seus backups sejam realizados automaticamente e certifique-se de que eles estejam realmente sendo feitos; Faça backup antes de efetuar grandes alterações no sistema; Armazene dados sensíveis em formato criptografado; 02/08/2011 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com BIBLIOGRAFIA BÁSICA 1 2 3 Bibliografia MANZANO, José Augusto N. G. Estudo Dirigido de Algorítmos. São Paulo: Érica, 1999. PEIXOTO, Mário César Pintaudi. Engenharia social e segurança da informação na gestão corporativa . Rio de Janeiro: Brasport, 2006. COMER, Douglas E. Interligação em rede com TCP/IP: projeto, implementação e detalhes internos. Tradução de Ana Maria Netto GUZ. 3. ed. Rio de Janeiro: Campus, 1999. v. 2. BIBLIOGRAFIA COMPLEMENTAR CANTU, Marco. Dominando o Delphi 5 "a Bíblia". São Paulo: Makron Books, 1 2000. TANENBAUM, Andrew S. Redes de computadores. Rio de Janeiro : Campus, 2 1994. MACHADO, Francis Berenger. Arquitetura de sistemas operacionais. Rio de 3 Janeiro : Livros Técnicos e Científicos, 2002. 3. ed. LOURENÇO, Antonio Carlos de. Circuitos digitais. São Paulo : Érica, 2005 4 5 NORTON, P., Introdução à Informática, 5ª edição, São Paulo, Printice Hall, 2004. 1997 15/08/2013 Professor Leomir J. Borba- [email protected] –http://professorleomir.wordpress.com 28