03-auditoria-e-seguranc3a7a-em-si

Prévia do material em texto

24/02/2017 
1 
1 
Auditoria e Segurança da 
Informação e Redes 
Professora: Janaide Nogueira 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
2 
Tipos de ameaças 
 Ameaça Inteligente; 
 Ameaça; 
 Ameaça de análise; 
 Consequência de uma ameaça; 
 Naturais; 
 Involuntárias; 
 Voluntárias; 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
3 
Tipos de ameaças 
 Ameaça: Potencial violação de segurança; 
 Existe quando houver uma circunstância, 
potencialidade, ação ou evento que poderia romper 
a segurança e causar o dano; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
4 
Tipos de ameaças 
 Ameaça Inteligente: Circunstância onde um 
adversário tem a potencialidade técnica e 
operacional para detectar e explorar uma 
 vulnerabilidade de um sistema; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
5 
Tipos de ameaças 
 Ameaça de Análise: Uma análise da probabilidade 
das ocorrências e das conseqüências de ações 
prejudiciais a um sistema; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
6 
Tipos de ameaças 
 Conseqüências de uma ameaça: Uma violação 
de segurança resultado da ação de uma ameaça. 
Inclui: divulgação, usurpação, decepção e 
 rompimento; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
24/02/2017 
2 
7 
Tipos de ameaças 
 Naturais – Ameaças decorrentes de fenômenos da 
natureza, como incêndios naturais, enchentes, 
terremotos, tempestades, poluição, etc. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
8 
Tipos de ameaças 
 Involuntárias – Ameaças inconscientes, quase 
sempre causadas pelo desconhecimento. Podem ser 
causados por acidentes, erros, falta de energia, etc. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
9 
Tipos de ameaças 
 Voluntárias – Ameaças propositais causadas por 
agentes humanos como hackers, invasores, 
espiões, ladrões, criadores e disseminadores de 
vírus de computador, incendiários. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
10 
Ameaças aos sistemas de 
informação 
 Falha de hardware ou software; 
 Ações pessoais; 
 Invasão pelo terminal de acesso; 
 Roubo de dados, serviços, equipamentos; 
 Incêndio; 
 Problemas elétricos; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
11 
Ameaças aos sistemas de 
informação 
 Erros de usuários; 
 Mudanças no programa; 
 Problemas de telecomunicação; 
 Elas podem se originar de fatores técnicos, 
organizacionais e ambientais, agravados por más 
decisões administrativas. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
12 
Ataque 
 Ato de tentar desviar dos controles de segurança 
de um sistema de forma a quebrar os princípios 
citados anteriormente; 
 Um ataque pode ser: 
 - Ativo - tendo por resultado a alteração dos 
dados; 
 - Passivo - tendo por resultado a liberação dos 
dados; 
 - Destrutivo - visando à negação do acesso aos 
dados ou serviços. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
24/02/2017 
3 
13 
Formas de ataques em sistemas 
 Interceptação: O acesso a informações por 
entidades não autorizadas (violação da privacidade 
e confidencialidade das informações); 
 Interrupção: A interrupção do fluxo normal das 
mensagens ao destino; 
 Modificação: Modificação de mensagens por 
entidades não autorizadas, violação da integridade 
da mensagem; 
 Personificação: A entidade que acessa as 
informações ou transmite mensagem se passando 
por uma entidade autêntica, violação da 
autenticidade. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
14 
Considerações 
 O fato de um ataque estar acontecendo não 
significa necessariamente que ele terá sucesso; 
 O nível de sucesso depende da vulnerabilidade do 
 sistema ou da atividade e da eficácia de contra 
medidas existentes. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
15 
Medidas de Defesa 
 Para implementar mecanismos de segurança faz-se 
necessário classificar as formas possíveis de 
ataques em sistemas: 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
16 
Alguns tipos de ataques 
 DoS 
 DDoS 
 Personificação 
 Ping da Morte 
 Engenharia Social 
 Phishing 
 Spam 
 Malwares 
 Vírus 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
17 
Alguns tipos de ataques 
 Worm 
 Bomba Lógica 
 Backdoor 
 Cavalo de Tróia 
 Spyware 
 Keylogger 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
18 
Ataques 
 Ataque de negação de serviço também é um 
grande risco à disponibilidade dos dados; 
 Estes ataques são conhecidos por DoS – Denial of 
Service, ou Negação de Serviço. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
24/02/2017 
4 
19 
DoS – Como funciona? 
 Consistem em enviar a um servidor um número de 
solicitações muito maior do que ele é capaz de 
processar, causando a “queda” do servidor da rede; 
 Em outras palavras, o servidor fica “fora do ar” por 
algum tempo (às vezes um dia inteiro) fazendo 
com que haja indisponibilidade dos dados. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
20 
Ataque DoS 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
21 
Como evitar DoS ou o DDoS? 
 Para tentar evitar problemas de indisponibilidade 
relacionados à negação de serviço as empresas 
investem na redundância de seus servidores; 
Redundância de Servidores: Um ou mais servidores com o mesmo 
Conteúdo em endereços diferentes de redes diferentes e caso um deles 
Fique indisponível, imediatamente as solicitações são direcionadas ao 
outro servidor até que o primeiro seja ativado. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
22 
Qual a diferença entre DoS e 
DDoS? 
 DoS(Denial of Service) - "Ataques de Negação de 
Serviços", consistem em tentativas de fazer com que 
computadores - servidores Web, por exemplo - tenham 
dificuldade ou mesmo sejam impedidos de executar suas 
tarefas; 
 Para isso, em vez de "invadir" o computador ou mesmo 
infectá-lo com malwares, o autor do ataque faz com que a 
máquina receba tantas requisições que esta chega ao ponto 
de não conseguir dar conta delas; 
 Em outras palavras, o computador fica tão sobrecarregado 
que nega serviço. 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
23 
DoS 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
24 
Qual a diferença entre DoS e 
DDoS? 
 DDoS (Distributed Denial of Service) – É um tipo de 
ataque DoS de grandes dimensões, ou seja, que 
utiliza até milhares de computadores para atacar 
uma determinada máquina, distribuindo a ação 
entre elas; 
 Trata-se de uma forma que aparece constantemente 
no noticiário, já que é o tipo de ataque mais comum 
na internet. 
 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
24/02/2017 
5 
25 
Ataque DDoS 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
26 
DDoS 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
27 
Resumindo... 
 DoS: Basicamente DoS é feito com apenas 1 
computador; 
DDoS: DDoS é feito com vários computadores 
zumbis, por isso há mais chances de um servidor 
cair. 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
28 
Curiosidade... 
 Ataques DDoS são executados há tempos e já 
prejudicaram empresas bastante conhecidas. 
Historicamente, servidores da CNN, Amazon, Yahoo, 
Microsoft e eBay já foram "vítimas“; 
 Em dezembro de 2010, por exemplo, os sites da Visa, 
Mastercard e Paypal sofreram ataques DDoS de um 
grupo defendendo a não existência de "censura" na 
internet. Em fevereiro de 2012, ataques foram 
executados contra sites de bancosbrasileiros por 
motivos semelhantes. 
Fonte: http://www.infowester.com/ddos.php 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
29 
Como impedir um ataque DoS 
 Não existi nenhum meio que consiga impedir 
totalmente um ataque DoS; 
 É possível detectar a presença de ataques ou de 
computadores (zumbis) de uma rede que estão 
participando de um DDoS; 
 Como identificar? 
 - Observar o trafego na rede; 
 - Utilizar softwares de IDS (Intrusion Detection System 
Sistema de Identificação de Intrusos); 
 - Verificar as atualizações de segurança dos sistemas 
operacionais e softwares utilizados pelos computadores; 
 - Filtrar certos tipos de pacotes na rede e desativar serviços 
que não são usados. 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
30 
Tráfego na rede 
 Observar se está havendo mais tráfego do que o 
normal (principalmente em casos de sites, seja ele 
um menos conhecido, como o InfoWester, seja ele 
um muito utilizado, como o Google); 
 Se há pacotes TCP e UDP que não fazem parte da 
rede ou se há pacotes com tamanho acima do 
normal. 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
24/02/2017 
6 
31 
Softwares de IDS 
 IDS (Intrusion Detection System - Sistema de 
Identificação de Intrusos) para prevenção; 
 Uso de antivírus, muitos vírus aproveitam de 
vulnerabilidades para efetuar contaminações; 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
32 
Atualizações de segurança 
 Uma das melhores armas é verificar as atualizações 
de segurança dos sistemas operacionais e softwares 
utilizados pelos computadores. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
33 
Filtrar pacotes 
 Filtrar certos tipos de pacotes na rede e desativar 
serviços que não são usados. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
34 
Prevenção 
 Uma das melhores armas é verificar as atualizações 
de segurança dos sistemas operacionais e softwares 
utilizados pelos computadores; 
 Muitos vírus aproveitam de vulnerabilidades para 
efetuar contaminações; 
 Também é importante filtrar certos tipos de pacotes 
na rede e desativar serviços que não são usados. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
35 
Lembrando... 
Já falamos sobre vários serviços da segurança 
das informações: integridade, disponibilidade, 
confidencialidade, autenticidade e autorização, 
mas falta dois, o não-repúdio e a auditoria, 
vamos a eles. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
36 
Não-Repúdio 
 É um serviço que garante que, após um usuário enviar 
uma mensagem, este não poderá negar a autoria da 
mesma; 
 Por exemplo, se Edileusa enviar uma mensagem a 
Sebastião marcando um jantar e depois se arrepender, 
ela não terá meios de dizer que não foi ela que enviou a 
mensagem; 
 O Não repúdio é um serviço que vem em favor do 
destinatário da mensagem; 
 Onde são implementadas as técnicas de não-repúdio? 
 - Em assinaturas digitais, que garantem a autenticidade, a 
integridade e o não repúdio da mensagem. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
24/02/2017 
7 
37 
Auditoria 
 A auditoria é um serviço essencial à segurança da 
informação; 
 Qual a função da auditoria? 
 - Registrar todas as ações feitas na manipulação dos 
dados; 
 Com esse registro é possível verificar posteriormente 
que ação foi efetuada, quem fez e quando fez; 
 Esses registros são chamados de logs; 
 Caso haja algum problema, como um dado apagado, 
copiado, modificado, lido ou inserido irregularmente, 
à consulta aos logs de registro podem mostrar como a 
ação foi tomada e às vezes até reverter um quadro 
crítico e/ou tomar as providências cabíveis. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
38 
Criptografia 
 A criptografia remonta à época do império romano, 
no governo de Júlio César. 
 Nesta época os meios de comunicação eram muito 
arcaicos e a transmissão de informações entre os 
campos de batalha tinha que ser feita através de 
mensageiros que percorriam distâncias portando 
uma mensagem; 
 Por muitas vezes o mensageiro era capturado no 
meio do caminho pelos inimigos, a mensagem era 
interceptada e o inimigo tinha acesso a informações 
sigilosas do exército de Júlio César. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
39 
Criptografia 
 Para resolver a questão, Júlio Cesar criou uma forma 
de codificar as mensagens, chamada de Júlio Cypher 
(cifra de Júlio); 
 Ele criou um algoritmo que deslocava as letras da 
mensagem em três posições no alfabeto para a 
direita; 
 Assim uma mensagem do tipo: “O ATAQUE SERÁ 
LOGO APÓS O ANOITECER” seria escrita desta forma: 
“R AWATXH VHUD ORJR DSRV R DQRLWHFHU”; 
 Fica complicado entender a mensagem se a pessoa 
não souber que o segredo é deslocar três letras para 
a esquerda para voltar ao texto claro, ou seja, para 
decriptar a mensagem, a pessoa deve saber qual é a 
 chave, que no caso é 3. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
40 
Criptografia 
 A chave de uma mensagem criptografada é o 
segredo para decriptá-la, isso quando sabemos 
qual algoritmo criptográfico foi usado para 
encriptar; 
 Podemos usar o mesmo algoritmo Júlio Cypher 
para encriptar uma mensagem com outra chave, 
por exemplo, se mudarmos a chave de 3 para 1 o 
resultado da encriptação ficara diferente: “P 
BUBRVF TFSB MPHP BQPT P BOPJUFDFS”. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
41 
Exercícios 
 Cite os três estados da informação. 
 2. O que o usuário deve informar para efetuar 
o processo de identificação? 
 3. Quais os três principais objetivos da 
segurança das informações? 
 4. Por que a autenticação baseada apenas no 
que o usuário é, não é tão eficiente? 
 5. Dê 3 exemplos de senhas fracas. 
 6. Dê 3 exemplos de senhas seguras. 
 7. O que é um ataque de força bruta? 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
42 
Exercícios 
 8. Analise as senhas que você possui. Elas são 
seguras? 
 9. Cite as técnicas de biometria que você 
conhece pessoalmente. 
 10. Relacione: 
 ( 1 ) O que o usuário sabe. 
 ( 2 ) O que o usuário tem. 
 ( 3 ) O que o usuário é. 
 ( ) reconhecimento de retina. 
 ( ) senha. 
 ( ) smart card. 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
24/02/2017 
8 
 
Faculdade IEducare Auditoria e Segurança em 
Sistemas de Informação 
43