Exercício de Segurança e Auditoria

Prévia do material em texto

Chirland Almeida	
Lista de exercícios 31-03-2016
Conceitue disponibilidade, confidencialidade, integridade, autenticidade e não repudio.
Confidencialidade se caracteriza pela proteção da informação contra acessos não autorizados, ou seja, apenas para entidades autorizadas pelo proprietário ou dono da informação.
Disponibilidade garante que a informação esteja sempre disponível para uso quando usuários autorizados necessitarem.
Integridade está ligado a propriedade de manter a informação armazenada com todas as suas características originais estabelecidas pelo dono da informação.
Autenticidade garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo do processo.
Não repudio propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita.
Caracterize a equipe de auditoria ideal
Profissionais com alta capacidade técnica, em constante aperfeiçoamento, comprometidos com a organização e com a postura adequada.
Conhecimentos na área que atua com experiências anteriores,
Bom nível em sistemas computacionais para planejar, dirigir, supervisionar e revisar o trabalho executado.
Quanto mais complexos os elementos do ambiente computacional e o grau de profundidade esperado dos exames de auditoria, maior a necessidade de especialização da equipe e/ou do auditor.
Algumas vezes torna-se necessária contratação externa.
Normalmente os conhecimentos básicos englobam sistemas operacionais, software básico, bancos de dados, redes LAN/WAN, avançando até softwares de controle de acesso, planos de contingências e de recuperação e metodologias de desenvolvimento de sistemas.
Baseado no período de tempo diferencie o planejamento estratégico das atividades de auditoria.
Plano Estratégico de Longo Prazo: 
Normalmente para períodos de 3 a 5 anos;
Objetivos mais amplos atinge toda a organização e tem que ser aprovado pela gerência superior; 
Definem metas, forma de atuação, recursos necessários, necessidades de treinamento etc.
É aconselhável revisar a atualizar anualmente.
 Plano estratégico em médio prazo:
Traduz o plano de longo prazo para um programa de atividades para o ano que se inicia; 
Em geral, procura atender as demandas das auditorias genéricas por auditorias mais especializadas; 
Normalmente aprovada pela gerência intermediária, define os objetivos macros das auditorias a serem feitas em seguida; 
Deve ser flexível para aceitar as alterações necessárias.
Plano estratégico operacional: 
Baseia em auditorias individualizadas;
Contem detalhes exatos dos objetivos, áreas a serem auditados, recursos necessários, prazos, objetivos de controle e procedimentos de auditoria a serem seguidos. 
É o plano específico de uma determinada auditoria;
Será tratado a seguir (planejamento e execução).
A fase de planejamento identifica os instrumentos indispensáveis à sua realização. Estabelece, entre outras coisas:
 • Recursos necessários 
•Área de verificação 
• Metodologias
 • Objetivos de controle
 • Procedimentos a serem adotados
Descreva e conceitue a formação da área de verificação de auditoria.
É o conjunto formado pelo campo e âmbito de auditoria. A área delimita os tempos, em função da entidade a ser fiscalizada e da natureza de auditoria, especificando o período e o objeto, que por sua vez faz verificações nas subáreas como controles de acessos e backups.
Cite e conceitue as metodologias de auditoria.
As metodologias funcionam da seguinte maneira:
Entrevistas: apresentar o plano de auditoria, coletar dados, identificar falhas e apresentar os resultados de trabalho.
Uso de ferramentas de apoio CAATS: são técnicas de analise de dados: Os dados do auditado podem ser coletados e analisados com o auxílio de softwares de extração de dados, de amostragem, de análise de logs e módulos ou trilhas de auditoria embutidas nos próprios sistemas aplicativos da entidade, técnicas para verificação de controle de sistemas: Permite testar a efetividade dos controles dos sistemas do auditado. Pode-se analisar sua confiabilidade, e ainda determinar se estão operando corretamente a ponto de garantir a fidedignidade dos dados.
Existem ferramentas que não são necessariamente de apoio à auditoria, mas auxilia o auditor durante a execução da auditoria e na elaboração do relatório. Encontram-se nessa categoria: editores de textos, planilhas eletrônicas, banco de dados e softwares para apresentações.
Conceitue vulnerabilidade, ameaças e riscos.
Vulnerabilidade é a qualidade ou condição da informação ser vulnerável, determinada a partir da avaliação dos seguintes aspectos:
Disponibilidade: as informações, os serviços, os sistemas ou os programas podem causar prejuízos se não estiverem disponíveis no momento oportuno?
Confidencialidade: a informação pode causar prejuízos se for divulgada?
Integridade: a informação pode causar prejuízos se for modificada, estiver incorreta ou incompleta?
Ameaças: é a possibilidade de um agente interno ou externo, explorar acidentalmente ou propositalmente uma vulnerabilidade especifica. 
Riscos: nada mais é que a fonte de ameaça que explora uma vulnerabilidade, levando um impacto para o funcionamento de uma organização, como um mal funcionamento, roubo de informações entre outros impactos;
Diferencie ataques de interceptação, interrupção, modificação e fabricação.
Interrupção: caracteriza-se pela possibilidade de tornar-se um bem ou ativo indisponível, inutilizável. Um exemplo de interrupção pode ser a destruição de um servidor ou disco de armazenamento
Interceptação: caracteriza-se pela obtenção de informações por meio do acesso não autorizado de pessoa, sistema ou programa. A escuta de uma conversa telefônica é um exemplo desse tipo de ameaça.
Modificação: representa situações em que dados são
alterados por pessoa não autorizada. Um exemplo disso é a alteração do
conteúdo de mensagens transmitidas por meio de uma rede de interconexão
Fabricação: difere um pouco da modificação, por
representar situações em que dados falsos são produzidos e inseridos nos
ativos de uma organização. Você pode tomar como exemplo a situação em
que um cracker, após invadir um sistema de vendas pela Internet de uma
empresa, cria pedidos falsos.
O que é um método não intrusivo? 
É um método de ataque que não é um acesso forçado, por exemplo, se o DDOS (NEGAÇÃO DE SERVIÇO DISTRIBUIDO), quando um hacker tem um controle de varias maquinas, conhecidas como maquinas zumbis, ele manda um comando e centenas de maquinas infectadas controladas por ele, para atacarem o alvo e com tanta maquina tentando se conectar o servidor não dá conta.
O que é Dos e DDoS?
Denial of Service: consistem em tentativas de fazer com que servidores Web, por exemplo - tenham dificuldade ou até sejam impedidos de executar suas tarefas. Para isso, em vez de "invadir" o computador ou mesmo infectá-lo com malwares, o autor do ataque faz com que a máquina receba tantas requisições que esta chega ao ponto de não conseguir dar conta delas. Em outras palavras, o computador fica tão sobrecarregado que nega serviço.
Distributed Denial of Service, é um tipo de ataque DoS de grandes dimensões, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina, distribuindo a ação entre elas, para que ataques do tipo DDoS sejam bem sucedidos, é necessário que se tenha um número grande de computadores para que estes façam parte do "exército" que participará da ação. Uma das melhores formas encontradas para se ter tantas máquinas foi a de inserir programas de ataque DDoS em vírus ou em softwares maliciosos.
Liste técnicas de ocultação de rastros:
Invasor usa tenta evitar detecção da presença
Usa ferramentas do sistema para desabilitar auditoria
Toma cuidados para não deixar “buracos” nos logs – excessivo tempo de inatividade vai denunciar um ataque.
O que é uma Botnet?
Um Botnet é uma coleção de programas conectados à Internet que se comunica com outros programas similares, a fim de executar tarefas.Também é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente. O termo é geralmente associado com o uso de software malicioso, mas também pode se referir a uma rede de computadores, utilizando software de computação distribuída.
Diferencie vírus, Worms e cavalos de troia.
Worm de computador: é algo similar a um vírus, exceto pela capacidade se auto - copiar. Estes geralmente usam a rede como um diferencial para se propagarem pela LAN, podendo assim causar sérios danos a uma rede, enquanto um vírus só tem foco em um computador infectado.
Cavalo de Tróia é um malware que não está tentando se replicar, mas finge ser um software legítimo para que o próprio usuário possa instalá-lo em seu sistema como seu fosse um programa ou software comum.
Vírus de computador: é basicamente um programa que pode se reproduzir automaticamente e se espalhar de um computador para outro por diversas formas. Geralmente infectando um arquivo executável do computador e se espalhando por outros locais no sistema danificando arquivos do computador.
O que são Exploits e Metasploits?
Um Exploit (em português explorar, significando “usar algo para sua própria vantagem”) é um pedaço de software, um pedaço de dados ou uma sequência de comandos que tomam vantagem de um defeito, falha ou vulnerabilidade a fim de causar um comportamento acidental ou imprevisto a ocorrer no software ou hardware de um computador ou em algum eletrônico (normalmente computadorizado). Tal comportamento frequentemente inclui coisas como ganhar o controle de um sistema de computador, permitindo elevação de privilégio ou um ataque de negação de serviço.
Um Metasploit é uma ferramenta extremamente poderosa, voltada para testes de invasão, com ela é possível fazer desde um simples scan, até uma invasão completa, explorando vulnerabilidades. 
O que é engenharia social? Cite técnicas.
Engenharia social é um termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
Técnicas: não abrir e-mails com propagandas enganosas, exemplo e-mail se passando pelo seu banco e enviando aplicativos maliciosos para roubo de senhas, desconfiar de telefonemas de banco ou provedores de internet ou qualquer algo do tipo.
Cite técnicas para reduzir as vulnerabilidades provenientes das utilizações de senhas.
Não usar senhas sequenciais, por exemplo, 1234.
Não usar datas comemorativas como, aniversários de familiares.
Não gravar senhas em computadores.
Manter uma rotina de troca de senha em períodos.
Não emprestar senha a terceiros.
Usar sempre caracteres especiais e números, de forma que tenha mais dificuldade para discriptografar, caso um ataque.