Segurança na Internet

Prévia do material em texto

Segurança na Internet 
“Acessá-la é um risco” 
2017 
Segurança em redes de computadores 2 
Agenda 
• Introdução 
• Problemas 
• Políticas e mecanismos de segurança 
• (in)segurança na comunicação 
• Vírus de computador 
• Evitando problemas 
• Testes com antivírus 
• Literatura consultada 
Segurança em redes de computadores 3 
Introdução 
 
Segurança em redes de computadores 4 
Introdução 
 
Segurança em redes de computadores 5 
Introdução 
• Problemas: 
– Ameaças, ataques e Wireshark 
– Vírus de computador 
– Arquitetura da rede 
– IPs são públicos 
– Meio físico 
Segurança em redes de computadores 6 
Introdução 
• O que é segurança? 
– Minimizar a vulnerabilidade 
 
• O que é vulnerabilidade? 
– Segundo ISO: “é qualquer fraqueza que pode 
ser explorada para se violar um sistema ou as 
informações que ele contém.” 
Segurança em redes de computadores 7 
Ameaças 
• Ameaça: possível violação da segurança de 
um sistema 
 
• Principais tipos: 
– Destruição de informação 
– Modificação ou deturpação da informação 
– Roubo, remoção ou perda de informação / 
recursos 
– Interrupção de serviços 
Segurança em redes de computadores 8 
Ataques 
• Ataque: realização de uma ameaça de forma 
intencional 
 
• Alguns tipos: 
– Personificação (masquerade) 
– DDos 
– Replay 
– Modificação (da informação) 
– Engenharia social (telefone, email, carta, sms, im) 
– Recusa ou impedimento de serviço 
– Vírus, worms, trojans horses etc. 
Topologia 
 
Segurança em redes de computadores 9 
Topologia Estrela 
 
Segurança em redes de computadores 10 
Wireshark 
• www.wireshark.org 
 
• Antigo Ethereal 
 
• Programa de captura e análise do tráfego de 
redes 
 
• Se estiver em uma LAN, usando Wi-Fi, hub ou 
switch, outro usuário pode usá-lo para capturar 
todas as suas transmissões 
Segurança em redes de computadores 11 
Wireshark 
Segurança em redes de computadores 12 
Wireshark 
Segurança em redes de computadores 13 
Segurança em redes de computadores 14 
Política de segurança 
• Necessidade de proteção 
 
• Conjunto de leis, regras e práticas de gestão 
 
• Pode ser implementada com o uso de vários 
mecanismos 
Segurança em redes de computadores 15 
Mecanismos de Segurança 
• Criptografia 
– Com chave secreta 
– Com chave pública 
 
• Assinatura digital 
 
• Autenticação 
 
Segurança em redes de computadores 16 
Mecanismos de Segurança 
• Controle de acesso 
 
• Rótulos de segurança/permissões 
 
• Detecção e informe de eventos 
 
• Registro de eventos 
 
Segurança em redes de computadores 17 
Criptografia 
 
Segurança em redes de computadores 18 
Criptografia 
• Surgimento 
 
• Princípios básicos da criptografia: 
– Autenticidade 
– Integridade 
– Confidencialidade 
– Não-repúdio (irretratabilidade) 
Segurança em redes de computadores 19 
Criptografia 
• E se algum intruso descobrir o método de 
criptografia? 
 
• Surge um novo modelo 
– Introduz o conceito de chave de codificação 
Segurança em redes de computadores 20 
Criptografia 
• Deve ser impossível, ou pelo menos, muito 
difícil a recuperação das chaves 
 
• Sendo isso verdade, temos a 
Confidencialidade 
Segurança em redes de computadores 21 
Criptografia 
• Método atribuído a Julio Cesar: 
– Substituição de letras, de acordo com o alfabeto 
 
 U F C < texto puro 
 
 Z I F < texto criptografado, k=3 
 B K H < texto criptografado, k=5 
Segurança em redes de computadores 22 
Criptografia 
 
Segurança em redes de computadores 23 
Controle de acesso 
• Controle de acesso lógico: 
– Senhas 
– Tokens 
 
• Controle de acesso físico: 
– Chaves eletrônicas 
– Smart cards 
– Senhas 
 
• Controle de acesso biométrico: 
– Fingerprint 
– Íris 
– Voz 
Segurança em redes de computadores 24 
Acesso biométrico 
 
Segurança em redes de computadores 25 
Acesso biométrico 
 
Segurança em redes de computadores 26 
Acesso biométrico 
 
Segurança em redes de computadores 27 
Outros mecanismos 
• Enchimento de tráfego 
 
• Controle de roteamento 
 
• Rótulos de segurança 
 
• Detecção, informe e registro de eventos 
 
 
Segurança em redes de computadores 28 
(in)segurança na comunicação 
• Correio eletrônico 
• SSL 
• IPsec 
• VPN 
• SSH 
• Apache 
• Firewalls 
 
 
Segurança em redes de computadores 29 
Correio eletrônico 
• SMTP 
– Simple Mail Transfer Protocol: fraco! 
 
• S/MIME 
– Secure Multipurpose Internet Mail Extensions 
 
• PGP 
– Pretty Good Privacy: destinado a criptografia de 
e-mail pessoal 
 
Segurança em redes de computadores 30 
SSL 
• Secure Sockets Layer 
 
• Provêem comunicação segura na internet 
 
• Estabelece privacidade e a integridade de 
dados entre duas aplicações 
 
• Faz uso de autenticação e criptografia 
Segurança em redes de computadores 31 
IPsec 
• O TCP/IP não possui nível de 
confidencialidade ou autenticação 
 
• A proposta do IPsec é prover tais serviços... 
– ...de forma transparente ao usuário 
– ...com suporte ao IPsec obrigatório no IPv6 
Segurança em redes de computadores 32 
VPN 
• Virtual Private Network 
 
• Encapsula dados para o transporte: 
tunelamento 
 
• Podem fornecer comunicações seguras 
através de redes inseguras 
Segurança em redes de computadores 33 
Firewall 
 
Segurança em redes de computadores 34 
Firewall 
• Barreira de proteção 
 
• Todo tráfego de dentro para fora da rede, e 
vice-versa, passa pelo firewall 
 
• Existe na forma de software e hardware, ou 
na combinação de ambos 
Segurança em redes de computadores 35 
Firewall 
• Podem assumir funções de: 
– Filtro de pacotes 
– Proxy firewall 
– NAT 
– VPN 
Vírus de computador 
Segurança em redes de computadores 36 
 
Vírus de computador 
• Até 1995 - 5.000 vírus conhecidos; 
• Até 1999 - 20.500 vírus conhecidos; 
• Até 2000 - 49.000 vírus conhecidos; 
• Até 2001 - 58.000 vírus conhecidos; 
• Até 2005 – Aprox. 75.000 vírus conhecidos; 
• Até 2007 – Aprox. 200.000 vírus conhecidos; 
• Até Nov/2008 - + 530.000 vírus conhecidos. 
• Até Mar/2009 - + 630.000 vírus conhecidos. 
• Até Mar/2010 - + 950.000 vírus conhecidos 
Segurança em redes de computadores 37 
Evolução da quantidade de vírus 
 
Segurança em redes de computadores 38 
15000 20500 
49000 58000 
75000 
200000 
530000 
950000 
0
100000
200000
300000
400000
500000
600000
700000
800000
900000
1000000
1995 1999 2000 2001 2005 2007 2008 2010
Evolução nr. de vírus 
Quantidade
Evitando problemas 
Segurança em redes de computadores 39 
 
Evitando problemas 
• Evitar arquivos anexados a emails com 
extensões “.exe”, “.vbs”, “.bat” , “.pif’, 
“.com”, “.scr”... 
 
• Desconfie de nomes sugestivos: “surpresa”, “eu 
te amo”, “mulher semi-nua”, “fotos da BBB 
fulana”, “alguém enviou um cartão virtual”, “foto 
da festa”... 
 
• Não encaminhe nem responda e-mails de 
propagandas e correntes (spams e scams) 
Segurança em redes de computadores 40 
Evitando problemas 
• Faça backup de todos os seus arquivos e mantenha 
os discos atualizados 
 
• Troque a senha do internet banking periodicamente 
 
• Redes sociais... Fonte fervorosa de códigos 
maliciosos: não aceite arquivos de qualquer contato 
sem antes confirmar o envio 
 
• Não clicarem “veja esse boleto de pagamento” 
Segurança em redes de computadores 41 
Evitando problemas 
• Saia usando Logout, Sair ou equivalente 
 
• Crie senhas difíceis de serem descobertas 
 
• Mude a senha e limpe o cache do navegador 
periodicamente 
 
• Cuidado com cadastros “abusivos” 
Segurança em redes de computadores 42 
Evitando problemas 
em empresas 
• Implementar políticas de segurança 
 
• Usar proxy para bloqueio de sites e 
informações indevidas 
 
• Orientar empregados com itens básicos 
(anteriores) de proteção 
Segurança em redes de computadores 43 
Evitando problemas 
• Se SO Windows, usar bom antivírus 
 
• Utilizar esporadicamente AntiSpywares 
 
 
 
 
• Qual antivírus? 
Segurança em redes de computadores 44 
Testes com antivírus 
• www.av-comparatives.org/ 
 
– Taxa de acerto 
– Velocidade da busca 
– Falsos positivos 
 
• Dados de setembro de 2016 
 
 
 
 
Segurança em redes de computadores 45 
Testes com antivírus - acertos 
 
 
 
 
Segurança em redes de computadores 46 
Segurança 
 
 “A segurança do sistema depende 
muito mais do comportamento do 
usuário do que do sistema 
operacional em si.” 
Segurança em redes de computadores 47 
Segurança em redes de computadores 48 
Literatura consultada 
• Redes de Computadores 
 Andrew S. Tanenbaum (Third Edition) 
 4ª edição, 2003. 
 
• Redes de Computadores e a Internet: uma abordagem 
Top-Down 
 James F. Kurose, Keith W. Ross 
 5ª edição, 2010. 
 
• Networks Security, The complete reference. 
 Osborne, McGraw-Hill, 2004.