Capítulos 1,2,3,4,5,6,7,8 - Curso CyberSegurança Cisco

Prévia do material em texto

Domínios de Segurança Cibernética
Muitos dos hackers originais do mundo tinham o computador como hobby, ou
eram programadores ou estudantes durante os anos 60. Originalmente, o termo
hacker descrevia indivíduos com qualificações profissionais avançadas de
programação. Os hackers usavam essas qualificações profissionais de
programação para testar os limites e os recursos dos primeiros sistemas. Esses
primeiros hackers também estiveram envolvidos no desenvolvimento dos primeiros
jogos de computador.
O capítulo explica como se tornar um especialista em segurança cibernética.
Esses especialistas em segurança cibernética ajudam a derrotar os criminosos
virtuais que ameaçam o mundo cibernético.
Domínios de dados. Exemplos: Facebook, Google, Linkedin. Empresas
detentoras de uma gigantesca capacidade de coleta e processamento de dados.
Trabalhadores dessas empresas podem ser considerados “Especialistas em
segurança cibernética”. Os especialistas em segurança cibernética têm que proteger
seus domínios, de acordo com as leis do seu país.
A Google criou, indiscutivelmente, a maior infraestrutura de coleta de dados
do mundo.
Os dados coletados no âmbito da Internet são consideravelmente mais do
que apenas os dados com os quais os usuários contribuem voluntariamente.
Criminosos da Segurança Cibernética
Nos primeiros anos do mundo da segurança cibernética, os típicos
criminosos virtuais eram adolescentes ou amadores com ataques limitados a
brincadeiras e vandalismo. Hoje, os invasores são indivíduos ou grupos que tentam
explorar vulnerabilidades para ganho pessoal ou financeiro. Os criminosos virtuais
estão interessados em tudo, de cartões de crédito a projetos de produtos e qualquer
coisa com valor.
Amadores, ou os hackers inexperientes, têm pouca ou nenhuma qualificação
profissional, muitas vezes usando ferramentas existentes ou instruções encontradas
na Internet para lançar ataques. Alguns são apenas curiosos, enquanto outros
tentam demonstrar suas qualificações profissionais e causar danos. Eles podem
estar usando ferramentas básicas, mas os resultados ainda podem ser
devastadores.-
Hackers. A intenção da invasão determina a classificação destes invasores
como hackers “do bem” (white hacker), suspeitos (gray hacker) ou “do mal” (black
hacker). Os invasores “do bem” invadem redes ou sistemas de computador para
descobrir fraquezas a fim de melhorar a segurança desses sistemas. Os
proprietários do sistema dão permissão para executar a invasão e recebem os
resultados do teste. Por outro lado, os invasores “do mal” aproveitam qualquer
vulnerabilidade para ganho pessoal, financeiro ou ganho político. Os invasores
suspeitos situam-se entre os invasores “do bem” e os invasores “do mal”. Os
invasores suspeitos podem encontrar uma vulnerabilidade e relatá-la para os
proprietários do sistema, se essa ação coincidir com sua agenda. Alguns hackers
gray hat (suspeitos) publicam os fatos sobre a vulnerabilidade na Internet, para que
outros invasores possam explorá-la.
Hackers organizados. Esses criminosos incluem empresas de hacktivistas,
criminosos virtuais, terroristas e hackers patrocinados pelo Estado. Os criminosos
virtuais geralmente são grupos de criminosos profissionais, focados em controle,
poder e riqueza. Os criminosos são altamente sofisticados e organizados e ainda
podem proporcionar o crime digital como um serviço. Os hacktivistas fazem
declarações políticas para sensibilizar para questões que são importantes para eles.
Os hacktivistas publicam publicamente informações embaraçosas sobre suas
vítimas. Os invasores patrocinados pelo estado reúnem informações ou cometem
sabotagem em nome de seu governo. Esses invasores são geralmente altamente
treinados e bem financiados. Seus ataques se concentram em objetivos específicos
que são benéficos para o seu governo. Alguns atacantes patrocinados pelo estado
são, até mesmo, membros das forças armadas de seus países.
Como impedir criminosos virtuais:
Criar bancos de dados abrangentes de vulnerabilidades (CVE) conhecidas
do sistema e assinaturas de ataques (um conjunto exclusivo de informações usadas
para identificar a tentativa de um invasor de explorar uma vulnerabilidade
conhecida). As empresas compartilham esses bancos de dados em todo o mundo
para ajudar a se preparar e a afastar muitos ataques comuns.
Estabelecer sensores de aviso precoce e redes de alertas. Devido ao
custo e à impossibilidade de monitoramento de todas as redes, as organizações
monitoram alvos de alto valor ou criam impostores que se pareçam com alvos de
alto valor. Como esses alvos de alto valor são mais propensos a serem atacados,
eles avisam os outros de possíveis ataques.
Compartilhar informações de inteligência cibernética. Empresas,
agências do governo e países agora colaboram para compartilhar informações
essenciais sobre ataques graves a alvos críticos, para evitar ataques semelhantes
em outros lugares. Muitos países estabeleceram agências de inteligência
cibernética para colaborar em todo o mundo na luta contra os grandes ataques
cibernéticos.
Estabelecer padrões de gerenciamento de segurança da informação
entre organizações nacionais e internacionais. O padrão ISO 27000 é um bom
exemplo dessas iniciativas internacionais.
Promulgar novas leis para desencorajar violações de dados e ataques
cibernéticos. Essas leis têm penalidades severas para punir criminosos virtuais
pegos durante ações ilegais.
Ameaças a serviços de internet
Existem muitos serviços técnicos essenciais necessários para uma rede e,
em última análise, para a Internet. Esses serviços incluem roteamento,
endereçamento, nomenclatura de domínio e gerenciamento de banco de
dados. Esses serviços também servem como alvos importantes de criminosos
virtuais.
Os criminosos usam ferramentas de sniffing de pacotes para capturar
streams de dados em uma rede. Isso significa que todos os dados confidenciais,
como nomes de usuário, senhas e números de cartão de crédito, estão em risco.
Analisadores de pacote funcionam monitorando e registrando todas as
informações que passam por uma rede. Os criminosos também podem usar
dispositivos não autorizados, como pontos de acesso WiFi inseguros. Se o
criminoso configura isso perto de um lugar público, como uma cafeteria, pessoas
inocentes podem entrar e o analisador de pacotes faz uma cópia de suas
informações pessoais.
Serviço de nome de domínio (DNS) converte um nome de domínio, como
www.facebook.com, em seu endereço IP numérico. Se um servidor DNS não sabe
o endereço IP, ele perguntará a outro servidor DNS. Com spoofing de DNS (ou
envenenamento de cache de DNS), o criminoso introduz dados falsos no cache
do resolvedor de DNS. Esses ataques de veneno exploram uma fraqueza no
software de DNS que faz com que os servidores DNS redirecionem o tráfego de
um domínio específico para o computador do criminoso, em vez de para o
proprietário legítimo do domínio.
Pacotes transportam dados por uma rede ou pela Internet. A falsificação de
pacotes (ou injeção de pacotes) interfere na comunicação de uma rede
estabelecida construindo pacotes para aparecer como se fossem parte de uma
comunicação. A falsificação de pacotes permite que um criminoso interrompa ou
intercepte pacotes. Esse processo permite que o criminoso sequestre uma
conexão autorizada ou negue a capacidade de um indivíduo de usar
determinados serviços de rede. Os profissionais da segurança cibernética chamam
isso de um ataque man in the middle.
Ameaças a setores importantes de indústrias
Uma smart grid usa informações para criar uma rede autorizada de distribuição
avançada de energia. O ataque Stuxnet, especificamente, foi direcionado ao sistema
SCADA (Supervisory Control and Data Acquisition, Controle de supervisão e aquisição de
dados) e foi usado para controlar e monitorar processos industriais.
BIG DATA
O big data é o resultado de conjuntos de dados grandes e complexos,
tornando os aplicativos de processamento de dados tradicionais inadequados. O big
data impõe desafios e oportunidades, com base em três dimensões:● O volume ou a quantidade de dados
● A velocidade ou a rapidez dos dados
● A variedade ou a gama de tipos e fontes de dados
Uso de armas avançadas
Um Advanced Persistent Threat (APT) é um hack de computador contínuo que não
aparece no radar, contra um objeto específico. Um APT ocorre durante um longo período,
com um alto grau de sigilo, usando malware sofisticado.
Ataques de algoritmo podem rastrear dados de geração automática de relatório do
sistema, como quanta energia um computador está usando e usar essas informações
para disparar alertas falsos. Os ataques algorítmicos também podem desativar um
computador, forçando-o a usar memória ou a sobrecarregar sua unidade central de
processamento. Ataques algorítmicos são mais desonestos, pois exploram os designs
usados para melhorar a economia de energia, reduzir as falhas do sistema e melhorar as
eficiências.
Finalmente, a nova geração de ataques envolve a seleção inteligente de vítimas.
No passado, os ataques selecionariam o fruto mais baixo da árvore ou as vítimas mais
vulneráveis. No entanto, com maior atenção à detecção e isolamento de ataques
cibernéticos, os criminosos virtuais devem ser mais cuidadosos. Não podem arriscar a
detecção precoce ou os especialistas em segurança cibernética fecharão os portões do
castelo. Como resultado, muitos dos ataques mais sofisticados só serão lançados se o
invasor puder corresponder à assinatura do objeto ao qual o ataque é direcionado.
Escopo mais amplo e efeito cascata
O gerenciamento de identidades federadas refere-se a várias empresas que
permitem que seus usuários usem as mesmas credenciais de identificação para obter
acesso às redes de todas as empresas do grupo. Isso amplia o escopo e aumenta a
probabilidade de um efeito em cascata, se ocorrer um ataque. Uma identidade federada
vincula a identidade eletrônica de um sujeito em vários sistemas de gerenciamento de
identidade separados. Por exemplo, um sujeito pode conseguir fazer logon no Yahoo! com
credenciais do Google ou do Facebook. Isso é um exemplo de login social. O objetivo do
gerenciamento de identidades federadas é compartilhar informações de identidade
automaticamente entre fronteiras.
Na perspectiva do usuário individual, isso significa um início de sessão universal na
Web. É imprescindível que as empresas examinem as informações de identificação
compartilhadas com parceiros. Endereços, nomes e números de seguridade social podem
permitir a ladrões de identidade a oportunidade de roubar essas informações de um
parceiro para perpetrar fraude. A forma mais comum de proteger identidades federadas é
vincular a habilidade de login a um dispositivo autorizado.
Implicações de segurança
Um ataque TDoS (Telephone denial of service, negação de serviço por telefone)
usa telefonemas contra uma rede de telefone, ocupando o sistema alvo e impedindo que
ligações legítimas sejam completadas. Os centros de chamada de emergência de última
geração são vulneráveis porque eles usam sistemas de VoIP (Voice-over-IP, Voz sobre
IP), em vez de linhas fixas tradicionais.
Além de ataques TDoS, esses centros de chamada também podem estar expostos
ao risco de ataques DDoS (Distributed-denial-of-service, Negação de serviço distribuída)
que usam muitos sistemas para inundar os recursos do alvo, indisponibilizando o alvo
para usuários legítimos.
Como abordar a falta de especialistas em segurança
cibernética
Nos EUA, o Instituto Nacional de Padrões e Tecnologia (NIST) criou uma estrutura para
empresas e organizações que precisam de profissionais de segurança cibernética. A
estrutura permite às empresas identificar os principais tipos de responsabilidades, cargos
e habilidades necessários para a força de trabalho. A National Cybersecurity Workforce
Framework categoriza e descreve o trabalho de segurança cibernética. A estrutura ajuda
a definir os requisitos profissionais em segurança cibernética.
National Cybersecurity Workforce Framework
A estrutura de força de trabalho categoriza o trabalho da segurança cibernética em
sete categorias.
Operar e manter inclui proporcionar o suporte, a administração e a manutenção
necessários para garantir a segurança e o desempenho do sistema de TI.
Proteger e defender inclui a identificação, a análise e a mitigação de ameaças a
sistemas internos e a redes.
Investigar inclui a investigação de evento e/ou crimes digitais que envolvem
recursos de TI.
Coletar e operar inclui as operações de negação e fraude especializadas e a coleta
de informações de segurança cibernética.
Analisar Provisionar de forma segura inclui a conceitualização, o projeto e a
construção de sistemas de TI seguros.
Supervisão e desenvolvimento proporciona liderança, gestão e orientação para
realizar o trabalho de segurança cibernética de forma eficaz.
Provisionar de forma segura inclui a conceitualização, o projeto e a construções
de sistemas de TI seguros.
Organizações profissionais
Certificações do setor
CompTIA Security+
Security+ é um programa de teste patrocinado pela CompTIA que certifica a
competência dos administradores de TI em garantir informações. O teste Security+
abrange os princípios mais importantes para proteger uma rede e gerenciar os
riscos, incluindo as preocupações associadas à computação em nuvem.
Hacker ético certificado pelo EC-Council (CEH)
Essa certificação de nível intermediário afirma que os especialistas em segurança
cibernética que detêm essa credencial têm as qualificações profissionais e o
conhecimento para várias práticas de hackers. Esses especialistas em segurança
cibernética usam as mesmas qualificações profissionais e técnicas usadas pelos
criminosos virtuais para identificar as vulnerabilidades do sistema e acessar pontos
nos sistemas.
SANS GIAC Security Essentials (GSEC)
A certificação GSEC é uma boa escolha para uma credencial de nível inicial para
especialistas em segurança cibernética que podem demonstrar que compreendem
conceitos e terminologia de segurança e que têm as habilidades profissionais e os
conhecimentos necessários para exercer funções práticas na segurança. O
programa SANS GIAC oferece várias certificações adicionais nos campos de
administração de segurança, computação forense e auditoria.
(ISC)^2 Profissional certificado de segurança de sistemas da informação
(CISSP)
A Certificação CISSP é uma certificação independente de fornecedor para os
especialistas de segurança cibernética com grande experiência técnica e gerencial.
Também é formalmente aprovada pelo Departamento de defesa (DoD) dos EUA e é
uma certificação mundialmente reconhecida no setor, na área de segurança.
ISACA Certified Information Security Manager (CISM)
Heróis cibernéticos responsáveis pelo gerenciamento, desenvolvimento e
supervisão dos sistemas de segurança da informação em nível corporativo ou
aqueles que desenvolvem melhores práticas de segurança podem se qualificar para
CISM. Detentores de credenciais detêm qualificações profissionais avançadas em
gerenciamento de riscos de segurança.
Cisco Certified Network Associate Security (CCNA Security)
A certificação CCNA Security valida que um especialista em segurança cibernética
tem os conhecimentos e as qualificações profissionais necessárias para proteger as
redes Cisco.
CAPITULO 2 - CUBO
Os profissionais de segurança cibernética são mais bem descritos como
especialistas encarregados da proteção do espaço cibernético. John McCumber é um
dos primeiros especialistas em segurança cibernética, desenvolvendo uma estrutura
comumente usada chamada Cubo McCumber ou o cubo de segurança cibernética. Esse
cubo é usado como ferramenta, ao gerenciar a proteção de redes, domínios e da Internet. O
cubo de
segurança cibernética parece um pouco como um cubo de Rubik.
A primeira dimensão do cubo de segurança cibernética inclui os três princípios de
segurança da informação. Os profissionais de segurança cibernética referem-se aos
três princípios como a Tríade CIA. A segunda dimensão identifica os três estados das
informações ou dos dados. A terceira dimensão do cubo identificao conhecimento
necessário para proporcionar proteção. Essas dimensões são geralmente chamadas de
três categorias de proteções da segurança cibernética.
A primeira dimensão do cubo de segurança cibernética identifica os objetivos
para proteger o espaço cibernético METAS. Os objetivos identificados na primeira
dimensão são os princípios fundamentais. Esses três princípios são confidencialidade,
integridade e disponibilidade(CIA).
● A Confidencialidade impede a divulgação de informações para pessoas,
recursos ou processos não autorizados.
● A Integridade refere-se à precisão, consistência e confiabilidade dos
dados.
● A Disponibilidade garante que as informações estejam acessíveis para
usuários autorizados quando necessário.
O espaço cibernético é um domínio que contém uma quantidade considerável de
dados essencialmente importantes e, portanto, os especialistas em segurança cibernética
se concentram na proteção dos dados. A segunda dimensão do cubo de segurança
cibernética se concentra no problema da proteção a todos os estados dos dados no
espaço cibernético. Os dados têm três possíveis estados:
● Dados em trânsito
● Dados inativos ou em armazenamento
● Dados em processamento
A terceira dimensão do cubo de segurança cibernética define as qualificações
profissionais e a disciplina que um profissional de segurança cibernética pode usar
para proteger o espaço cibernético. Eles devem fazer isso mantendo-se no “lado correto”
da lei. O cubo de segurança cibernética identifica os três tipos de qualificações
profissionais e disciplinas usadas para proporcionar proteção.
● A primeira qualificação profissional inclui as tecnologias, os dispositivos
e os produtos disponíveis para proteger os sistemas de informação e se
defender de criminosos virtuais. Os profissionais de segurança cibernética
têm uma reputação de dominar as ferramentas tecnológicas à sua
disposição.
● Os profissionais de segurança cibernética também devem construir uma
defesa com o estabelecimento de políticas, procedimentos e diretrizes
que permitam que os usuários do espaço cibernético fiquem seguros e
sigam as boas práticas.
● Os usuários do espaço cibernético devem se esforçar para ter mais
conhecimento sobre as ameaças do espaço cibernético e estabelecer uma
cultura de aprendizagem e reconhecimento.
O princípio da confidencialidade
A confidencialidade impede a divulgação de informações para pessoas,
recursos ou processos não autorizados. Um outro termo para confidencialidade é
privacidade. Os métodos usados para garantir a confidencialidade incluem criptografia,
autenticação e controle de acesso aos dados.
As empresas coletam uma grande quantidade de dados. Muitos desses dados
não são confidenciais, pois estão publicamente disponíveis, como nomes e números
de telefones. Outros dados coletados, no entanto, são confidenciais. As informações
confidenciais são dados protegidos contra acessos não autorizados para proteger um
indivíduo ou uma organização. Há três tipos de informações confidenciais:
● Informações pessoais são informações de identificação pessoal (PII) de um
determinado indivíduo. Ex: Número de Previdência Social, registros médicos,
número do cartão de crédito, registros financeiros.
● Informações comerciais são informações que incluem qualquer coisa que possa
representar um risco para a empresa, se descoberta pelo público ou por um
concorrente. Ex: Segredos comerciais, planos de aquisição, dados financeiros,
informações de clientes.
● Informações confidenciais são informações pertencentes a um órgão do governo,
classificadas pelo seu nível de sensibilidade. Ex: Ultrasecreto, Segredo,
Confidencial, Restrito.
Controle de acesso
O controle do acesso define vários esquemas de proteção que impedem o
acesso não autorizado a um computador, a uma rede, a um banco de dados ou a outros
recursos de dados. Os conceitos de AAA envolvem três serviços de segurança:
autenticação, autorização e accounting. Esses serviços proporcionam a estrutura
principal para controlar o acesso.
O primeiro "A" no AAA representa a autenticação. Autenticação verifica a
identidade de um usuário para evitar acesso não autorizado. Os usuários provam sua
identidade com um nome de usuário ou um ID. Além disso, os usuários precisam verificar
sua identidade proporcionando uma das opções a seguir:
● Algo que saibam (como uma senha)
● Algo que tenham (como um token ou cartão)
● Algo que sejam (como uma impressão digital)
Por exemplo, se você vai a um caixa eletrônico tirar dinheiro, precisa do cartão
do banco (algo que você tem) e precisa saber a senha. Isso também é um exemplo de
autenticação multifatorial. A autenticação multifatorial requer mais de um tipo de
autenticação. A forma mais popular de autenticação é o uso de senhas.
Serviços de autorização determinam quais recursos os usuários podem
acessar, juntamente com as operações que os usuários podem executar, conforme
mostrado na Figura 2.
Alguns sistemas fazem isso usando uma lista de controle de acesso, ou uma
ACL. Uma ACL determina se um usuário tem certos privilégios de acesso depois de se
autenticar. Só porque você pode fazer logon na rede corporativa não significa que você
tem permissão para usar a impressora colorida de alta velocidade. A autorização
também pode controlar quando um usuário tem acesso a um recurso específico. Por
exemplo, os funcionários podem ter acesso a um banco de dados de vendas durante o
horário comercial, mas o sistema os bloqueia, depois de horas.
Accounting mantém controle sobre o que os usuários fazem, incluindo o que
acessam, a quantidade de tempo que acessam os recursos e as alterações feitas. Por
exemplo, um banco mantém o controle da conta de cada cliente. Uma auditoria do
sistema pode revelar o tempo e o valor de todas as transações e o funcionário ou o
sistema que executou as transações. Serviços de accounting de segurança cibernética
funcionam da mesma maneira. O sistema controla cada transação de dados e fornece
os resultados da auditoria. Um administrador pode configurar políticas de
computador. Ex: Windows Policies(Bye Windows Update e Defender), para permitir a
auditoria do sistema.
O conceito de AAA é semelhante ao uso de um cartão de crédito. O cartão de crédito
identifica quem pode usá-lo, determina quanto o usuário pode gastar e contabiliza os
itens ou serviços que o usuário comprou.
Leis e responsabilidade
A confidencialidade e a privacidade parecem intercambiáveis, mas do ponto de
vista legal, elas significam coisas diferentes. A maioria dos dados de privacidade é
confidencial, mas nem todos dados confidenciais são privados.
O acesso a informações confidenciais ocorre depois da confirmação da
autorização adequada. Instituições financeiras, hospitais, profissionais da área
médica, escritórios de advocacia e empresas em geral processam informações
confidenciais. As informações confidenciais têm um status não público. A
manutenção da confidencialidade é mais que um dever ético.
A privacidade é o uso adequado dos dados. Quando as organizações coletam
informações fornecidas pelos clientes ou funcionários, elas devem usar esses dados
apenas para a finalidade a que se destinam. A maioria das empresas exigirá que o
cliente ou o funcionário assine um formulário de liberação, dando à empresa
permissão para usar os dados.
Todas as leis listadas na figura incluem uma provisão para lidar com a privacidade,
começando com as leis dos Estados Unidos.
A próxima figura lista uma amostragem dos esforços internacionais. A maioria
dessas leis é uma resposta ao enorme crescimento da coleta de dados.
O número crescente de estatutos relacionados à privacidade cria um enorme
fardo para empresas que coletam e analisam dados. As políticas são o melhor
caminho para uma empresa ficar em conformidade com o número crescente de leis
relacionadas à privacidade. As políticas permitem que as empresas apliquem regras,
procedimentos e processos específicos ao coletar, armazenar e compartilhar dados.
Princípio da integridade de dados
A integridade é a precisão,a consistência e a confiabilidade dos dados durante todo o
seu ciclo de vida. Um outro termo para integridade é qualidade. Os dados passam por
várias operações, como captura, armazenamento, recuperação, atualização e
transferência. Os dados devem permanecer inalterados durante todas essas operações
por entidades não autorizadas.
Os métodos usados para garantir a integridade de dados incluem hashing, verificações de
validação de dados, verificações de consistência dos dados e controles de acesso.
Sistemas de integridade de dados podem incluir um ou mais dos métodos listados
acima.
Necessidade de integridade de dados
A integridade de dados é um componente fundamental da segurança da
informação. A necessidade de integridade de dados varia, com base em como a
organização usa os dados. Por exemplo, o Facebook não verifica os dados que um
usuário publica em um perfil. Um banco ou organização financeira atribui uma
importância mais alta à integridade de dados do que o Facebook. As transações e as
contas de clientes devem ser precisas. Em uma empresa de serviços de saúde, a
integridade de dados pode ser uma questão de vida ou morte. As informações de
prescrição devem ser precisas.
A proteção da integridade de dados é um desafio constante para a maioria das
empresas. A perda da integridade de dados pode tornar recursos de dados inteiros
não confiáveis ou inutilizáveis.
Níveis de necessidade de integridade de dados:
Verificações de integridade
Uma verificação de integridade é uma forma de medir a consistência de uma
coleta de dados (um arquivo, uma foto ou um registro). A verificação de integridade
realiza um processo chamado de função hash para tirar um retrato de dados em um
momento específico. A verificação de integridade usa o snapshot para garantir que os
dados permaneçam inalterados.
Uma soma de verificação é um exemplo de uma função hash. Uma soma de
verificação verifica a integridade de arquivos, ou de strings de caracteres, antes e
depois de serem transferidos de um dispositivo para outro por uma rede local ou pela
Internet. As somas de verificação simplesmente convertem cada conjunto de
informações para um valor e soma o total. Para testar a integridade de dados, um
sistema de recebimento apenas repete o processo. Se as duas somas forem iguais, os
dados são válidos:
Se não forem iguais, uma mudança ocorreu em algum lugar ao longo da linha :
Funções hash comuns incluem MD5, SHA-1, SHA-256 e SHA-512. Essas funções
hash usam algoritmos matemáticos complexos. O valor de hash está simplesmente ali
para comparação.
As empresas usam controle de versão para evitar alterações acidentais por
usuários autorizados. Dois usuários não podem atualizar o mesmo objeto. Os objetos
podem ser arquivos, registros de banco de dados ou transações. Por exemplo, o primeiro
usuário a abrir um documento tem a permissão para alterar esse documento. A segunda
pessoa tem uma versão somente leitura.
Backups precisos ajudam a manter a integridade de dados, se os dados forem
corrompidos. Uma empresa precisa verificar o seu processo de backup para garantir a
integridade do backup, antes que ocorra perda de dados.
A autorização determina quem tem acesso aos recursos da empresa, de acordo
com a necessidade de cada um. Por exemplo, controles de acesso de usuário e
permissões de arquivo garantem que apenas determinados usuários possam modificar
os dados. Um administrador pode definir as permissões de um arquivo como somente
leitura. Como resultado, um usuário que acessa esse arquivo não pode fazer nenhuma
alteração.
O princípio da disponibilidade
A disponibilidade dos dados é o princípio usado para descrever a necessidade
de manter a disponibilidade dos sistemas e serviços de informação o tempo todo.
Ataques cibernéticos e falhas do sistema podem impedir o acesso a sistemas e
serviços de informação. Por exemplo, a interrupção da disponibilidade do site de um
concorrente por causa de um ataque pode proporcionar uma vantagem para seu rival.
Ataques DoS (Denial-of-service, Negação de serviço) ameaçam a disponibilidade do
sistema e impedem que usuários legítimos acessem e usem os sistemas de
informações, quando necessário.
Os métodos usados para garantir a disponibilidade incluem a redundância do
sistema, backups do sistema, maior resiliência do sistema, manutenção de
equipamentos, sistemas operacionais, software atualizados e planos para
recuperação rápida de desastres não previstos.
Os cinco noves
As pessoas usam vários sistemas de informação em suas vidas diariamente.
Computadores e sistemas de informação controlam a comunicação, o transporte e a
fabricação de produtos. A disponibilidade contínua dos sistemas de informação é
fundamental para a vida moderna. O termo “alta disponibilidade” descreve sistemas
concebidos para evitar períodos de inatividade. A alta disponibilidade garante um nível
de desempenho por um período maior que o período normal. Sistemas de alta
disponibilidade normalmente são projetados para incluírem três princípios (Figura 1):
● Eliminar pontos únicos de falha
● Proporcionar transição confiável
● Detectar falhas à medida que ocorrem
O objetivo é a capacidade de continuar a operar em condições extremas, como
durante um ataque. Dentre as práticas mais populares de alta disponibilidade estão “os
cinco noves”. Os cinco noves referem-se a 99,999%. Isso significa que o período de
inatividade é menos de 5,26 minutos por ano. As figuras a seguir proporcionam três
abordagens para os cinco noves.
NAS se refere a um dispositivo de armazenamento conectado a uma rede que
permite o armazenamento e a recuperação de dados de um local centralizado por
usuários de rede autorizados.
Assegurando a disponibilidade
As empresas podem garantir a disponibilidade implementando o seguinte:
● Manutenção de equipamentos
● Atualizações do sistema e do SO
● Teste de backup
● Planejamento contra desastres
● Implementações de novas tecnologias
● Monitoramento de atividades incomuns
● Teste de disponibilidade
Tipos de armazenamento de dados
Dados armazenados são dados em repouso. Dados em repouso significa que um tipo
de dispositivo de armazenamento retém os dados quando nenhum usuário ou
processo os está usando. Um dispositivo de armazenamento pode ser local (em um
dispositivo de computação) ou centralizado (na rede). Existem várias opções para
armazenamento de dados.
Armazenamento local (DAS) é um armazenamento conectado a um computador. Um
disco rígido ou flash drive USB é um exemplo de armazenamento local. Por padrão, os
sistemas não são configurados para compartilhar o armazenamento com conexão direta.
A Matriz redundante de riscos independentes (RAID) usa vários discos rígidos em uma
matriz, o que é um método de combinação de vários discos para que o sistema
operacional os veja como um único disco. A RAID fornece desempenho melhorado e
tolerância a falhas.
Um dispositivo de armazenamento em rede (NAS) é um dispositivo de armazenamento
conectado a uma rede que permite o armazenamento e a recuperação de dados de um
local centralizado por usuários de rede autorizados. Os dispositivos NAS são flexíveis
e escaláveis, o que significa que os administradores podem aumentar a capacidade,
conforme precisarem.
Uma arquitetura SAN (storage area network, rede de área de armazenamento) é um
sistema de armazenamento em rede. Os sistemas SAN conectam-se à rede usando
interfaces de alta velocidade que permitem desempenho melhorado e a habilidade de
conectar vários servidores em um repositório de armazenamento de disco
centralizado.
Armazenamento em nuvem é uma opção de armazenamento remoto que usa o espaço
em um provedor de data center e é acessível de qualquer computador com acesso à
Internet. Google Drive, iCloud e Dropbox são exemplos de provedores de armazenamento
em nuvem.
Desafios da proteção dos dados armazenados
As empresas têm uma tarefa desafiadora, ao tentar proteger os dados armazenados. Para
melhorar o armazenamento de dados, as empresas podem automatizar e centralizar os
backups de dados.
O localpode ser um dos tipos mais difíceis de armazenamento de dados para gerenciar
e controlar. O local é vulnerável a ataques mal-intencionados no host local. Os dados
armazenados também podem incluir dados de backup. Os backups podem ser manuais
ou automáticos. As empresas devem limitar os tipos de dados armazenados no
armazenamento local. Especialmente os dados essenciais de uma empresa não
deveriam ser armazenados em dispositivos de armazenamento local.
Os sistemas de armazenamento em rede proporcionam uma opção mais segura. Os
sistemas de armazenamento em rede, incluindo RAID, SAN e NAS, proporcionam maior
desempenho e redundância. No entanto, os sistemas de armazenamento em rede são
mais complicados de configurar e gerenciar. Eles também suportam mais dados, o que
pode representar um risco maior para a empresa, se o dispositivo falhar. Os desafios
dos sistemas de armazenamento em rede incluem configuração, testes e
monitoramento do sistema.
Métodos de transmissão de dados
A transmissão de dados envolve o envio de informações de um dispositivo para outro. Há
vários métodos para transmitir informações entre dispositivos, incluindo:
● Rede sigilosa – usa mídia removível para transferir fisicamente os dados de um
computador para outro
● Redes cabeadas – usam cabos para transmitir dados
● Redes sem fio – usam ondas de rádio para transmitir dados
As redes cabeadas incluem redes com fio de cobre e mídia de fibra óptica, sua
vantagem é a extensão. As redes cabeadas podem atender a uma área geográfica local
(Rede de área local) ou podem englobar grandes distâncias (rede de longa distância).
As redes sem fio estão substituindo as redes cabeadas. As redes sem fio estão se
tornando mais rápidas e podem suportar mais largura de banda. As redes sem fio
expandem o número de usuários convidados com dispositivos móveis nas redes do
escritório pequeno, do escritório residencial (SOHO) e nas redes empresariais.
As redes com e sem fio usam pacotes ou unidades de dados. O termo pacote refere-se a
uma unidade de dados que percorre o caminho entre uma origem e um destino na
rede. Protocolos padrão como o protocolo de Internet (IP) e o protocolo de transferência de
hipertexto (HTTP) definem a estrutura e a formação de pacotes de dados. Esses padrões
têm código aberto e estão disponíveis ao público. Proteger a confidencialidade, a
integridade e a disponibilidade dos dados transmitidos é uma das responsabilidades
mais importantes de um profissional de segurança cibernética.
Desafios da proteção dos dados em trânsito
A proteção de dados transmitidos é um dos trabalhos mais desafiadores de um
profissional de segurança cibernética. Com o crescimento em dispositivos móveis e
sem fios, os profissionais de segurança cibernética são responsáveis por proteger
enormes quantidades de dados que passam pela sua rede diariamente. O profissional
de segurança cibernética deve lidar com vários desafios na proteção desses dados:
● Proteção da confidencialidade dos dados – os criminosos virtuais podem
capturar, salvar e roubar dados em trânsito.
● Proteção da integridade de dados – os criminosos virtuais podem interceptar e
modificar dados em trânsito. Os profissionais de segurança cibernética
implantam sistemas de integridade de dados que testam a integridade e a
autenticidade dos dados transmitidos para combater essas ações.
● Proteção da disponibilidade dos dados - os criminosos virtuais podem usar
dispositivos falsos ou não autorizados para interromper a disponibilidade dos dados.
Um simples dispositivo móvel pode servir como um access point sem fio local e
enganar usuários desavisados para se associarem a um dispositivo falso. Os
criminosos virtuais podem sequestrar uma conexão autorizada a um serviço ou
dispositivo protegido. Os profissionais de segurança de rede podem
implementar sistemas de autenticação mútua para combater essas ações. Os
sistemas de autenticação mútua exigem que o usuário se autentique no
servidor e solicitam que o servidor se autentique no usuário.
Formas de processamento de dados e
computação
O terceiro estado dos dados são os dados em processamento. Esse estado se refere
aos dados durante a entrada inicial, a modificação, o cálculo ou a saída.
A proteção da integridade de dados começa com a entrada inicial dos dados. As
organizações usam vários métodos para coletar dados, como entrada manual de
dados, digitalização de formulários, carregamentos de arquivos e dados coletados
dos sensores. Cada um desses métodos impõe possíveis ameaças à integridade de
dados. Um exemplo de corrupção de dados durante o processo de entrada inclui erros
de entrada de dados ou sensores de sistema inoperantes, desconectados ou com
mau funcionamento. Outros exemplos podem incluir formatos de dados incorretos ou
não correspondentes e rotulagem errada.
A modificação dos dados refere-se a qualquer mudança nos dados originais, como
modificação manual dos dados pelos usuários, processamento de programas e
alteração dos dados, além de falhas em equipamentos que podem resultar em
modificação dos dados. Processos como codificação/decodificação,
compactação/descompactação e criptografia/descriptografia são todos exemplos de
modificações de dados. Código malicioso também resulta em corrupção dos dados.
A corrupção de dados também ocorre durante o processo de saída de dados. Saída de
dados refere-se à saída de dados para impressoras, displays eletrônicos ou diretamente
para outros dispositivos. A precisão dos dados de saída é fundamental, pois fornece
informações e influencia a tomada de decisões. Exemplos de corrupção dos dados de
saída incluem o uso incorreto de delimitadores de dados, configurações de
comunicação incorretas e configuração inadequada de impressoras.
Desafios da proteção dos dados em processamento
A proteção contra a modificação inválida de dados durante o processamento
pode ter um efeito adverso. Erros de software são o motivo de muitos acidentes e
desastres. Por exemplo, apenas duas semanas antes do Natal, alguns varejistas parceiros
da Amazon perceberam uma mudança no preço anunciado em seus artigos para apenas
um centavo de dólar. A falha durou uma hora. O erro resultou em milhares de compradores
fazendo o melhor negócio de suas vidas e na empresa perdendo receitas. Em 2016, o
termostato Nest apresentou defeito e deixou os usuários sem aquecimento. O termostato
Nest é uma tecnologia inteligente, da Google. Uma falha de software deixou os usuários,
literalmente, no frio. Uma atualização deu errado, drenando as baterias do dispositivo e
deixando-o incapaz de controlar a temperatura. Como resultado, os clientes não
conseguiram aquecer suas casas ou obter água quente em um dos fins de semana mais
frios do ano.
A proteção de dados durante o processamento requer sistemas bem
projetados. Os profissionais de segurança cibernética criam políticas e procedimentos
que exigem teste, manutenção e atualização de sistemas para mantê-los funcionando
com o mínimo de erros.
Proteções de tecnologia baseadas em software
As proteções de tecnologia incluem programas e serviços que protegem sistemas
operacionais, bancos de dados e outros serviços sendo executados em estações de
trabalho, dispositivos portáteis e servidores. Os administradores instalam
contramedidas ou proteções baseadas em software em hosts ou servidores
individuais. Existem várias tecnologias baseadas em software usadas para proteger os
ativos de uma empresa:
● Os firewalls de software controlam o acesso remoto a um software. Os
sistemas operacionais normalmente incluem um firewall ou um usuário pode
comprar ou fazer download de software de terceiros.
● Scanners de rede e de porta detectam e monitoram portas abertas em um host
ou servidor.
● Analisadores de protocolo, ou analisadores de assinatura, são dispositivos que
coletam e examinam o tráfego de rede. Eles identificam problemas de
desempenho, detectam problemas de configuração, identificam aplicativos com
comportamento inadequado, estabelecem parâmetros e os padrões de tráfego
normal e depuramproblemas de comunicação.
● Scanners de vulnerabilidades são programas de computador projetados para
avaliar os pontos fracos em computadores ou redes.
● Sistemas de detecção de invasão baseados em host (IDS) examinam as atividades
apenas em sistemas de host. Um IDS gera arquivos de log e mensagens de
alarme quando detecta atividade incomum. Um sistema que armazena dados
confidenciais ou que presta serviços essenciais é um candidato para IDS baseado
em host.
Proteções de tecnologia baseadas em rede
Existem várias tecnologias baseadas em rede usadas para proteger os ativos da empresa:
● Rede privada virtual (VPN) é uma rede virtual segura que usa a rede pública (ou
seja, a Internet). A segurança de uma VPN está na criptografia do conteúdo do
pacote entre os endpoints que definem a VPN.
● Network Access Control (NAC) requer um conjunto de verificações antes de
permitir que um dispositivo se conecte a uma rede. Algumas verificações comuns
incluem software antivírus atualizado ou atualizações do sistema operacional
instaladas.
● Segurança de access point sem fio inclui a implementação de autenticação e
criptografia.
Proteções de tecnologia baseadas em rede
Existem várias tecnologias baseadas em rede usadas para proteger os ativos da empresa:
● Rede privada virtual (VPN) é uma rede virtual segura que usa a rede pública (ou
seja, a Internet). A segurança de uma VPN está na criptografia do conteúdo do
pacote entre os endpoints que definem a VPN.
● Network Access Control (NAC) requer um conjunto de verificações antes de
permitir que um dispositivo se conecte a uma rede. Algumas verificações comuns
incluem software antivírus atualizado ou atualizações do sistema operacional
instaladas.
● Segurança de access point sem fio inclui a implementação de autenticação e
criptografia.
Proteções de tecnologia baseadas na
nuvem
As tecnologias baseadas na nuvem mudam o componente de tecnologia da organização
para o provedor de nuvem. Os três principais serviços de computação em nuvem são:
● Software as a Service (SaaS) permite aos usuários ter acesso a bancos de dados
e software de aplicativo. Os provedores de nuvem gerenciam a infraestrutura. Os
usuários armazenam dados nos servidores do provedor de nuvem.
● Infrastructure as a Service (IaaS) fornece recursos de computação virtualizados
pela Internet. O provedor hospeda o hardware, o software, os servidores e os
componentes de armazenamento.
● Platform as a Service (PaaS) proporciona acesso a ferramentas e serviços de
desenvolvimento usados para entregar os aplicativos.
Os provedores de serviços de nuvem ampliaram essas opções para incluir IT as a
Service (ITaaS), que proporciona suporte para os modelos de serviço IaaS, PaaS e
SaaS. No modelo ITaaS, a empresa contrata serviços individuais ou em pacote com o
provedor de serviços em nuvem.
Provedores de serviços de nuvem usam dispositivos de segurança virtual que são
executados dentro de um ambiente virtual com um sistema operacional pré-preparado
em pacotes, codificado, sendo executado em hardware virtualizado.
Visão geral dos modelos
A Organização internacional de normalização (ISO) / Comissão eletrotécnica internacional
(IEC) desenvolveram uma estrutura abrangente para orientar o gerenciamento de
segurança da informação. O modelo de segurança cibernética da ISO/IEC é para
profissionais de segurança cibernética o que o modelo de rede OSI é para engenheiros de
rede.
Domínios de segurança cibernética
ISO/IEC 27000 é um padrão de segurança da informação publicada em 2005 e revisada
em 2013. A ISO publica os padrões ISO 27000. Embora os padrões não sejam
obrigatórios, a maioria dos países os usa como uma estrutura de fato para implementação
da segurança da informação.
Os padrões ISO 27000 descrevem a implementação de um sistema de gerenciamento
de segurança da informação abrangente (ISMS). Um ISMS consiste em todos os
controles administrativos, técnicos e operacionais para manter a informação segura
dentro de uma empresa. Doze domínios independentes representam os componentes
do padrão ISO 27000. Esses doze domínios servem para organizar, em alto nível, as
vastas áreas de informações cobertas pela segurança da informação.
A estrutura do modelo de segurança cibernética ISO é diferente do modelo OSI, pois
usa domínios, e não camadas, para descrever as categorias de segurança. O motivo para
isso é que o modelo de segurança cibernética ISO não é uma relação hierárquica. É
um modelo não hierárquico, em que cada domínio tem uma relação direta com os
outros domínios. O modelo de segurança cibernética ISO 27000 é muito semelhante ao
modelo OSI e é vital para os especialistas em segurança cibernética entender esses dois
modelos para ter sucesso.
Os doze domínios servem como uma base comum para o desenvolvimento de padrões de
segurança organizacional e de práticas eficazes de gerenciamento de segurança. Também
ajudam a facilitar a comunicação entre as empresas.
Objetivos de controle
Os doze domínios consistem em objetivos de controle definidos na parte 27001 do
padrão. Os objetivos de controle definem os requisitos de alto nível para implementar
um ISM abrangente. A equipe de gerência de uma empresa usa os objetivos de controle
do padrão ISO 27001 para definir e publicar as políticas de segurança da empresa. Os
objetivos de controle proporcionam uma checklist que deve ser usada durante as
auditorias de gerenciamento de segurança. Muitas empresas precisam passar por uma
auditoria de ISMS para ganhar uma designação de conformidade com ISO 27001.
Certificação e conformidade proporcionam confiança para duas empresas que precisam
confiar nos dados confidenciais uma da outra. Auditorias de conformidade e de segurança
provam que as empresas estão melhorando continuamente seu sistema de gerenciamento
de segurança da informação.
A seguir temos um exemplo de um objetivo de controle:
Controlar o acesso a redes usando os mecanismos de autenticação adequados para os
usuários e equipamentos.
Controles
O padrão ISO/IEC 27002 define controles de sistema de gerenciamento de segurança da
informação. Os controles são mais detalhados que objetivos. Os objetivos de controle
informam à empresa o que fazer. Controles definem como atingir o objetivo.
Com base no objetivo de controle, para controle de acesso a redes usando os mecanismos
de autenticação adequados para usuários e equipamentos, o controle seria:
Use senhas fortes. Uma senha forte é composta de pelo menos oito caracteres que são
uma combinação de letras, números e símbolos (@, #, $, %, etc.) se permitido. As senhas
diferenciam maiúsculas de minúsculas, portanto, uma senha forte contém letras em
maiúsculas e minúsculas.
Profissionais de segurança cibernética reconhecem o seguinte:
● Controles não são obrigatórios, mas são amplamente aceitos e adotados.
● Os controles devem manter neutralidade de fornecedor para evitar a aparência de
endossar um produto ou empresa específico.
● Controles são como diretrizes. Isso significa que pode haver mais de uma maneira
de atingir o objetivo.
O modelo de segurança cibernética ISO e a Tríade CIA
O padrão ISO 27000 é uma estrutura universal para cada tipo de empresa. Para
usar a estrutura de forma eficaz, uma organização deve limitar quais domínios,
objetivos de controle e controles aplicar a seu ambiente e a suas operações.
Os objetivos de controle da ISO 27001 servem como uma lista de verificação. A
primeira etapa realizada por uma organização é determinar se esses objetivos de
controle são aplicáveis à organização. A maioria das empresas geram um documento
chamado Declaração de aplicabilidade (SOA). A SOA define quais objetivos de controle
a empresa precisa usar.
Diferentes empresas colocam maior prioridade sobre a confidencialidade, integridade e
disponibilidade, dependendo do tipo de setor. Por exemplo, a Google coloca o valor mais
alto na disponibilidade e confidencialidade de dados do usuário e menos na integridade. A
Google não verifica os dados do usuário. A Amazon coloca alta ênfase na disponibilidade.Se o site não estiver disponível, a Amazon não faz a venda. Isso não significa que a
Amazon ignora a confidencialidade em favor da disponibilidade. A Amazon só coloca uma
prioridade mais alta na disponibilidade. Portanto, a Amazon pode gastar mais recursos para
garantir que existam mais servidores disponíveis para processar as compras dos clientes.
Uma empresa adapta seu uso dos objetivos de controle e dos controles disponíveis
para melhor atender as suas prioridades em matéria de confidencialidade, integridade e
disponibilidade.
CAPITULO 3
As ameaças, as vulnerabilidades e os ataques são o foco central dos profissionais da
segurança cibernética. Uma ameaça é a possibilidade de ocorrer um evento prejudicial,
como um ataque. Uma vulnerabilidade é uma fraqueza que torna um alvo suscetível ao
ataque. Um ataque é a exploração deliberada de uma fraqueza descoberta em
sistemas informatizados, como alvos específicos ou meramente como alvos de
oportunidade. Criminosos virtuais podem ter diferentes motivações para escolher um alvo
de ataque. Os criminosos virtuais têm êxito ao procurar continuamente e identificar sistemas
com vulnerabilidades evidentes. As vítimas comuns incluem sistemas desatualizados ou
sem detecção de vírus e spam.
Malware é qualquer software mal intencionado.(Virus, worms, cavalos de troia,
ransomware, spyware, adware, scareware)
Vírus, worms e cavalos de troia
Um vírus (se anexa a outros arquivos) é um código malicioso executável que está
anexado a outro arquivo executável, como um programa legítimo. A maioria dos vírus
necessitam de inicialização do usuário final e podem ser ativados a uma hora ou data
específica.
Worms é um código malicioso que se replica ao explorar de forma independente
vulnerabilidades em redes. Os worms normalmente deixam a rede mais lenta. Enquanto um
vírus requer um programa do host para execução, os worms podem ser executados se
modo autônomo. Exceto pela infecção inicial, os worms não necessitam mais da
participação do usuário
Um cavalo de Tróia (se traveste de LEGIT) é um malware que realiza operações
mal-intencionadas, sob o pretexto de uma operação desejada, como jogar um game online.
Esse código malicioso explora os privilégios do usuário que o executa. Um cavalo de Troia
difere de um vírus porque o cavalo de Tróia se liga a arquivos não executáveis, como
arquivos de imagem, arquivos de áudio ou jogos.
Uma bomba lógica é um programa mal-intencionado que utiliza um gatilho para
ativar o código malicioso. Por exemplo, os acionadores podem ser datas, horas, outros
programas em execução ou a exclusão de uma conta de usuário. A bomba lógica
permanece inativa até que o evento acionador aconteça. Assim que ativada, a bomba lógica
implementa um código malicioso que danifica um computador.
O ransomware aprisiona um sistema de computador ou os dados nele encontrados
até que a vítima faça um pagamento. O ransomware normalmente funciona criptografando
os dados no computador com uma chave desconhecida ao usuário. O usuário deve pagar
um resgate aos criminosos para remover a restrição.
Um backdoor refere-se ao programa ou código lançado por um criminoso que
compromete um sistema. O backdoor ignora a autenticação normal usada para acessar o
sistema. Alguns programas comuns de backdoor são o Netbus e Back Orifice, que permitem
o acesso remoto a usuários do sistema não autorizados.
Um rootkit modifica o sistema operacional para criar um backdoor. Os invasores
usam o backdoor para acessar o computador remotamente. A maioria dos rootkits utiliza as
vulnerabilidades do software para escalonar privilégios e modificar arquivos de sistema.
Spyware é o software que permite que um criminoso obtenha informações sobre as
atividades do computador do usuário.
O adware exibe pop-ups irritantes para gerar receita para seus autores. O malware
pode analisar os interesses do usuário rastreando os sites visitados.
O scareware persuade o usuário a executar uma ação específica por medo. O
scareware simula janelas pop-up que se assemelham às janelas de diálogo do sistema
operacional.
Phishing é uma forma de fraude. Os criminosos virtuais usam e-mail, mensagem
instantânea ou outras mídias sociais para coletar informações, como credenciais de logon
ou informações da conta, ao colocar uma fachada de entidade ou pessoa confiável.
Spear phishing (Mais preciso e direcionado a um alvo específico que um
phishing normal) é um ataque de phishing altamente direcionado. Embora o phishing e o
spear phishing usem e-mails para alcançar as vítimas, o spear phishing envia e-mails
personalizados a uma pessoa específica.
Vishing é o phishing que usa a tecnologia de comunicação de voz. Os
criminosos podem falsificar as chamadas de origens legítimas usando a tecnologia VoIP
(voice over IP). As vítimas também podem receber uma mensagem gravada que pareça
legítima. Os criminosos querem obter números de cartão de crédito ou outras informações
para roubar a identidade da vítima. O vishing se vale do fato de que as pessoas confiam na
rede telefônica.
Smishing (Short Message Service phishing) é o phishing que usa mensagens de
texto em celulares. Os criminosos se passam por uma fonte legítima na tentativa de ganhar
a confiança da vítima.
Pharming é a representação de um site legítimo na tentativa de enganar os
usuários para inserir as credenciais. O pharming leva os usuários para um site falso que
parece ser oficial. Então, as vítimas digitam as informações pessoais, achando que estão
conectadas a um site legítimo.
Whaling é um ataque de phishing que buscam vítimas de alto perfil em uma
empresa, como executivos seniores. Outras vítimas incluem políticos ou celebridades.
Engenharia social
Engenharia social é um meio totalmente não técnico de um criminoso coletar informações
sobre a vítima. Engenharia social é um ataque que tenta manipular indivíduos para realizar
ações ou divulgar informações confidenciais.
Os engenheiros sociais frequentemente dependem da boa vontade das pessoas para ajuda,
mas também miram nos pontos fracos. Por exemplo, um invasor pode chamar um
funcionário autorizado com um problema urgente, que requer acesso imediato à rede. O
invasor pode recorrer à vaidade do funcionário, valer-se de autoridade usando técnicas que
citam nomes ou apelar para a ganância do funcionário.
Há alguns tipos de ataques de Engenharia social:
Pretexting - Ocorre quando um invasor chama uma pessoa e mente para ela na tentativa
de obter acesso a dados confidenciais. Um exemplo envolve um invasor que finge precisar
de dados pessoais ou financeiros para confirmar a identidade do destinatário.
Something for Something (Quid pro quo) - Ocorre quando um invasor solicita
informações pessoais de uma pessoa em troca de algo, como um presente.
Engenheiros sociais utilizam várias táticas. As táticas de engenharia social incluem:
● Autoridade – As pessoas são mais propensas a cooperar quando instruídas por
"uma autoridade"
● Intimidação – Os criminosos intimidam a vítima a realizar uma ação
● Consenso/prova social – As pessoas realizarão essa ação se acharem que as
outras pessoas aprovarão
● Escassez – As pessoas realizarão essa ação se acharem que existe uma
quantidade limitada
● Urgência – As pessoas realizarão essa ação se acharem que existe um tempo
limitado
● Familiaridade/gosto – Os criminosos criam empatia com a vítima para estabelecer
um relacionamento
● Confiança – Os criminosos criam uma relação de confiança com uma vítima, que
pode precisar de mais tempo para ser estabelecida
Shoulder Surfing e busca de informações na lixeira
Um criminoso observa ou bisbilhota a vítima para obter PINs, códigos de acesso ou
números de cartão de crédito. Um invasor pode estar perto da sua vítima ou pode usar
binóculos ou câmeras de circuito fechado para descobrir informações. É por isso que uma
pessoa só pode ler uma tela de ATM em determinados ângulos. Esses tipos de proteções
dificultam muito o Shoulder Surfing.
Representação e farsas
A representação é o ato de fingir ser outra pessoa. Por exemplo,um scam de telefone
recente mirava nos contribuintes. Um criminoso, disfarçado de funcionário da Receita
Federal, dizia para as vítimas que elas deviam dinheiro à Receita. As vítimas devem pagar
imediatamente através de uma transferência bancária. O impostor ameaçou que a falta de
pagamento resultará em prisão. Os criminosos também usam a representação para atacar
os outros. Eles podem prejudicar a credibilidade das pessoas, usando publicações em site
ou redes sociais.
Uma farsa é um ato com a finalidade de enganar ou ludibriar. Uma farsa virtual pode
causar tanto problema quanto uma violação real. Uma farsa provoca uma reação do
usuário. A reação pode criar um medo desnecessário e um comportamento irracional. Os
usuários passam as farsas por e-mail e redes sociais.
Piggybacking and tailgating
Piggybacking ocorre quando um criminoso se identifica juntamente com uma pessoa
autorizada, para entrar em um local protegido ou uma área restrita. Os criminosos usam
vários métodos de piggyback:
● Parecem ser escoltados pela pessoa autorizada
● Juntam-se a uma grande multidão, fingindo ser um membro
● Escolhem uma vítima que é descuidada em relação às regras do estabelecimento
Tailgating é outro termo que descreve a mesma prática.
Uma armadilha evita o piggybacking, usando dois conjuntos de portas. Depois que os
indivíduos entram pela porta externa, essa porta deve fechar antes que entrem na porta
interna.
Tipos de Ataques Cibernéticos
Negação de serviço
Os ataques de negação de serviço (DoS) são um tipo de ataque à rede. Um ataque de
negação de serviço (DoS) resulta em algum tipo de interrupção de serviço aos usuários,
dispositivos ou aplicações. Existem dois tipos principais de ataque de negação de serviço
(DoS):
● Quantidade exorbitante de tráfego – O invasor envia uma enorme quantidade de
dados a uma taxa que a rede, o host ou o aplicativo não pode suportar. Isso causa
uma desaceleração na transmissão ou resposta ou uma falha em um dispositivo ou
serviço.
● Pacotes formatados maliciosamente – O invasor envia um pacote formatado
maliciosamente para um host ou aplicativo e o receptor não consegue contê-lo. Por
exemplo, um aplicativo não pode identificar os pacotes que contêm erros ou os
pacotes formatados incorretamente encaminhados pelo invasor. Isso causa lentidão
ou falha na execução do dispositivo receptor.
Os ataques de negação de serviço (DoS) são um grande risco porque podem facilmente
interromper a comunicação e causar perda significativa de tempo e dinheiro. Esses ataques
são relativamente simples de conduzir, mesmo por um invasor não capacitado.
O objetivo de um ataque de negação de serviço é negar acesso aos usuários autorizados,
tornando a rede indisponível (lembre-se dos três princípios básicos de segurança:
confidencialidade, integridade e disponibilidade).
Um ataque de negação de serviço distribuída (DDoS) é semelhante a um ataque de
negação de serviço (DoS), porém é originado por várias fontes coordenadas. Por exemplo,
um ataque de negação de serviço distribuída (DDoS) pode ocorrer da seguinte maneira:
Um invasor cria uma rede de hosts infectados, denominada botnet, composta por zumbis.
Os zumbis são os hosts infectados. O invasor usa um sistema de controle para controlar os
zumbis. Os computadores zumbis examinam e infectam constantemente mais hosts,
criando mais zumbis. Quando está pronto, o hacker instrui os sistemas controlador para
fazer com que o botnet de zumbis execute um ataque de negação de serviço distribuído
(DDoS).
Sniffing
Sniffing é semelhante a espionar alguém. Eles ocorrem quando os invasores examinam
todo o tráfego de rede à medida que passa pelo NIC, independentemente de se o tráfego é
endereçado a eles ou não. Os criminosos conseguem fazer sniffing de rede com um
aplicativo, dispositivo de hardware ou uma combinação dos dois. Como mostrado na figura,
o sniffing visualiza todo o tráfego de rede ou atinge um protocolo específico, serviço ou até
mesmo uma sequência de caracteres, como um login ou senha. Alguns sniffers de rede
observam todo o tráfego e modificam o tráfego parcial ou totalmente.
Sniffing também tem seus benefícios. Os administradores de rede também podem usar
sniffers para analisar o tráfego de rede, identificar problemas de largura de banda e
solucionar outros problemas de rede.
A segurança física é importante para evitar a entrada de sniffers na rede interna.
Spoofing
Spoofing é um ataque de representação e tira proveito de uma relação de confiança
entre os dois sistemas. Se os dois sistemas aceitam a autenticação de cada um deles, um
indivíduo conectado a um sistema pode não passar novamente pelo processo de
autenticação novamente para acessar outro sistema. Um invasor pode se aproveitar desse
arranjo, enviando um pacote para um sistema que parece ter vindo de um sistema confiável.
Como a relação de confiança é estabelecida, o sistema-alvo pode executar a tarefa
solicitada sem autenticação.
Existem vários tipos de ataques de spoofing:
● O spoofing do endereço MAC ocorre quando um computador aceita pacotes de
dados com base no endereço MAC de outro computador.
● O spoofing de IP envia pacotes IP com um endereço de origem falsificado para se
disfarçar.
● O Address Resolution Protocol (ARP) é um protocolo que mapeia os endereços IP
para endereços MAC para transmissão de dados. O spoofing de ARP envia
mensagens falsificadas de ARP através de uma LAN para vincular o endereço MAC
do criminoso ao endereço IP de um membro autorizado da rede.
● O Domain Name System (DNS) associa os nomes de domínio aos endereços IP. O
spoofing do servidor DNS modifica o servidor DNS para redirecionar um nome de
domínio específico para um endereço IP diferente, controlado pelo criminoso.
Man-in-the-middle
Um criminoso executa um ataque Man-in-the-middle (MitM), interceptando as comunicações
entre computadores para roubar as informações que passam pela rede. O criminoso
também pode optar por manipular as mensagens e transmitir informações falsas entre os
hosts, já que os hosts não sabem que uma modificação de mensagens ocorreu. O MitM
permite que o criminoso tenha o controle sobre um dispositivo sem o conhecimento do
usuário.
Clicar nos passos na figura para aprender as noções básicas do ataque MitM.
Man-In-The-Mobile (MitMo) é uma variação do man-in-middle. O MitMo assume o controle
de um dispositivo móvel. O dispositivo móvel infectado envia as informações confidenciais
do usuário para os invasores. ZeuS, um exemplo de exploit com capacidades de MitMo,
permite que os invasores capturem silenciosamente as mensagens de SMS de verificação
de 2 passos enviadas para os usuários. Por exemplo, ao configurar um ID da Apple, o
usuário deve fornecer um número de telefone habilitado para SMS para receber um código
de verificação temporário via mensagem de texto, para comprovar a identidade do usuário.
O malware espiona esse tipo de comunicação e retransmite as informações para os
criminosos.
Um ataque de repetição ocorre quando um invasor captura uma parte de uma comunicação
entre dois hosts e, então, retransmite a mensagem capturada mais tarde. Os ataques de
repetição driblam os mecanismos de autenticação.
Ataques de Dia Zero
Um ataque de dia zero, às vezes conhecido como uma ameaça de dia zero, é um ataque de
computador que tenta explorar as vulnerabilidades do software que são desconhecidas ou
não divulgadas pelo fornecedor do software. O termo zero hora descreve o momento em
que alguém descreve essas explorações. Durante o tempo que os fornecedores de software
demoram para desenvolver e liberar um patch, a rede está vulnerável a essas explorações.
Keyboard Logging
O Keyboard Logging é um programa de software que grava ou registra os toques de teclas
do usuário do sistema. Os criminosos podem implementar registradores de toque de tela no
software instalado em um sistema de computador ou por meio de um hardware fisicamente
conectado a um computador. O criminoso configura o software registrador de tecla para
enviar um e-mail com o arquivos de log. Ostoques de tela capturados no arquivo de log
podem revelar nomes de usuários, senhas, sites visitados e outras informações
confidenciais.
Defesa contra ataques
Uma empresa pode tomar uma série de medidas para se defender contra diversos ataques.
Configurar firewalls para descartar todos os pacotes de fora da rede, com endereços que
indiquem que foram originados dentro da rede. Essa situação não ocorre normalmente e
isso indica que um criminoso virtual tentou executar um ataque de spoofing.
Para evitar ataques DoS e DDoS, assegure que os patches e upgrades sejam atuais,
distribua a carga de trabalho entre os sistemas de servidor e bloqueie os pacotes externos
de Internet Control Message Protocol (ICMP) na borda da rede. Os dispositivos de rede
usam pacotes ICMP para enviar mensagens de erro. Por exemplo, o comando ping usa
pacotes ICMP para verificar se um dispositivo pode se comunicar com outro na rede.
Os sistemas podem impedir que a vítima sofra um ataque de repetição, criptografando o
tráfego, fornecendo autenticação criptográfica e incluindo um carimbo de hora em cada
parte da mensagem. Clique aqui para saber mais sobre as formas de evitar ataques virtuais.
Grayware e SMiShing
O grayware está se tornando uma área de problema na segurança móvel com a
popularidade dos smartphones. Grayware inclui aplicativos que se comportam de modo
incômodo ou indesejável. O grayware pode não ter malware reconhecível oculto nele, mas
ainda pode ser um risco ao usuário. Por exemplo, o Grayware pode rastrear a localização
do usuário. Os autores do Grayware geralmente mantêm a legitimidade, incluindo recursos
do aplicativo nas letras miúdas do contrato de licença de software. Os usuários instalam
muitos aplicativos móveis sem pensar realmente em seus recursos.
http://www.theguardian.com/public-leaders-network/2015/oct/14/how-to-stop-cyber-attacks-on-your-organisation
SMiShing é abreviação do SMS phishing. Ele usa o Serviço de mensagens curtas (SMS)
para enviar mensagens de texto falsas. Os criminosos fazem com que o usuário acesse um
site ou ligue para um telefone. As vítimas enganadas podem fornecer informações
confidenciais, como os dados de cartão de crédito. O acesso a um site pode resultar em
download de malware que invade o dispositivo, sem o conhecimento do usuário.
Access points não autorizados
Um access point não autorizado é um access point sem fio instalado em uma rede segura
sem autorização explícita. Um access point não autorizado pode ser configurado de duas
maneiras. A primeira é quando um funcionário bem intencionado que tenta ser útil,
facilitando a conexão de dispositivos móveis. A segunda maneira é quando um criminoso
obtém acesso físico a uma empresa e discretamente instala o access point não autorizado.
Como não são autorizados, ambos representam riscos para a empresa.
Um access point não autorizado também pode se referir ao access point de um criminoso.
Neste caso, o criminoso configura o access point como um dispositivo de MitM para
capturar as informações de login dos usuários.
Um ataque de Evil Twin usa o access point do criminoso, aprimorado com antenas de maior
potência e maior ganho, para parecer uma melhor opção de conexão para os usuários.
Depois que os usuários se conectam ao access point do invasor, os criminosos podem
analisar o tráfego e executar ataques de MitM.
Congestionamento de RF
Os sinais sem fio são suscetíveis à interferência eletromagnética (EMI), interferência de
rádio frequência (RFI) e podem até ser suscetíveis a relâmpagos ou ruídos de luzes
fluorescentes. Sinais sem fio também são suscetíveis a congestionamento deliberado. O
congestionamento de radiofrequência (RF) interfere na transmissão de uma estação de
rádio ou satélite, para que o sinal não alcance a estação de recepção.
A frequência, modulação e potência do interferidor de RF precisam ser iguais às do
dispositivo que o criminoso deseja corromper, para congestionar com sucesso o sinal sem
fio.
Bluetooth é um protocolo de curto alcance e baixa potência. O Bluetooth transmite dados
em uma rede de área pessoal ou PAN e pode incluir dispositivos como telefones celulares,
notebooks e impressoras. O Bluetooth já passou por várias versões. A configuração fácil é
uma característica do Bluetooth, portanto, não há necessidade de endereços de rede. O
Bluetooth usa emparelhamento para estabelecer a relação entre os dispositivos. Ao
estabelecer o emparelhamento, ambos os dispositivos usam a mesma chave de acesso.
O Bluetooth tem vulnerabilidades, porém a vítima e o invasor precisam estar dentro do
alcance um do outro, devido ao alcance limitado do Bluetooth.
● Bluejacking é o termo usado para enviar mensagens não autorizadas para outro
dispositivo Bluetooth. Uma variação disso é enviar uma imagem chocante para o
outro dispositivo.
● O Bluesnarfing ocorre quando o invasor copia as informações da vítima no
dispositivo dela. Essas informações podem incluir e-mails e listas de contato.
Ataques de WEP e WPA
Wired Equivalent Privacy (WEP) é um protocolo de segurança que tentou fornecer uma rede
de área local sem fio (WLAN) com o mesmo nível de segurança de uma LAN com fio. Como
as medidas de segurança físicas ajudam a proteger uma LAN com fio, o WEP procura
fornecer proteção similar para dados transmitidos pela WLAN com criptografia.
O WEP usa uma chave de criptografia. Não há provisão para gerenciamento de tecla
com WEP, então o número de pessoas que compartilham a chave continuará a
crescer. Desde que todo mundo está usando a mesma chave, o criminoso tem acesso a
uma grande quantidade de tráfego para ataques analíticos.
O WEP também tem vários problemas com o seu vetor de inicialização (IV), que é um
dos componentes do sistema criptográfico:
● É um campo de 24 bits, que é muito pequeno.
● É um texto desprotegido, o que significa que é legível.
● É estático para que fluxos de chave idênticos se repitam em uma rede dinâmica.
O Wi-Fi Protected Access (WPA) e, em seguida, o WPA2 surgiram como protocolos
melhorados para substituir o WEP. O WPA2 não tem os mesmos problemas de criptografia
pois um invasor não pode recuperar a chave pela observação do tráfego. O WPA2 está
suscetível ao ataque porque os criminosos virtuais podem analisar os pacotes transmitidos
entre o access point e um usuário legítimo. Os criminosos virtuais usam um analisador de
pacote e, em seguida, executa os ataques off-line na frase secreta. O script entre o site tem
três participantes: o criminoso, a vítima e o site. O criminoso virtual não mira diretamente
em uma vítima.
Injeção de código
Uma maneira de armazenar dados em um site é usar um banco de dados. Há vários
tipos diferentes de bancos de dados, como SQL (Structured Query Language, Linguagem
de Consulta Estruturada) ou Extensible Markup Language (XML). Ambos os ataques de
injeção de XML e SQL exploram as vulnerabilidades no programa, como a não
validação correta de consultas de banco de dados.
Injeção de XML
Ao usar um banco de dados XML, uma injeção de XML é um ataque que pode
corromper os dados. Depois que o usuário dá a entrada, o sistema acessa os dados
necessários através de uma consulta. O problema ocorre quando o sistema não examina
corretamente a solicitação de entrada fornecida pelo usuário. Os criminosos podem
manipular a consulta, programando para atender às necessidades dos criminosos e
acessar as informações no banco de dados.
Todos os dados confidenciais armazenados no banco de dados são acessíveis para os
criminosos e eles podem efetuar quantas alterações desejarem no site. Um ataque de
injeção XML ameaça a segurança do site.
Injeção de SQL
O criminoso virtual explora uma vulnerabilidade, inserindo uma instrução SQL
mal-intencionada em um campo de entrada. Mais uma vez, o sistema não filtra a entrada
do usuário corretamente para os caracteres em uma instrução SQL. Os criminosos usam a
injeção de SQL em sites ou qualquer banco de dados SQL.
Os criminosos podem falsificar uma identidade, modificar os dados existentes, destruir os
dados ou se tornar os administradoresdo servidor do banco de dados.
Buffer Overflow
Um buffer overflow ocorre quando os dados ultrapassam os limites de um buffer. Os
buffers são áreas de memórias alocadas a um aplicativo. Ao alterar os dados além dos
limites de um buffer, o aplicativo acessa a memória alocada a outros processos. Isso pode
levar à queda do sistema, comprometimento de dados ou fornecer o escalonamento
de privilégios.
O CERT/CC na Carnegie Mellon University estima que quase metade de todos os exploits
de programas de computador é historicamente originada de alguma forma de saturação do
buffer. A classificação genérica de buffer overflow inclui muitas variantes, como as
saturações de buffer estático, erros de indexação, erros de string de formatação,
incompatibilidades de tamanho de buffer de Unicode e ANSI e saturação de pilha.
Execuções de código remoto
As vulnerabilidades permitem que um criminoso virtual execute códigos maliciosos e
assumam o controle de um sistema com os privilégios do usuário que opera o aplicativo. A
execução de código remota permite que o criminoso execute qualquer comando em uma
máquina de destino.
Veja, por exemplo, o Metasploit. Metasploit é uma ferramenta para o desenvolvimento e
execução do código de exploit contra uma vítima remota. Meterpreter é um módulo de
exploit dentro do Metasploit que oferece recursos avançados. O Meterpreter permite que os
criminosos gravem suas próprias extensões como um objeto compartilhado. Os criminosos
carregam e injetam esses arquivos em um processo em execução no alvo. O Meterpreter
carrega e executa todas as extensões na memória, portanto, nunca envolvem o disco rígido.
Isso também significa que esses arquivos não são detectados pelo antivírus. O Meterpreter
tem um módulo para controlar a webcam do sistema remoto. Ao instalar o Meterpreter no
sistema da vítima, o criminoso pode exibir e capturar imagens da webcam da vítima.
Controles ActiveX e Java
Ao navegar na Web, algumas páginas podem não funcionar corretamente, a menos que o
usuário instale um controle ActiveX. Os controles ActiveX oferecem um recurso de plugin
para o Internet Explorer. Os controles ActiveX são partes de software instalados pelos
usuários para fornecer recursos estendidos. Terceiros escrevem alguns controles
ActiveX e, portanto, podem ser mal-intencionados. Eles podem monitorar os hábitos
de navegação, instalar malware ou registrar toques de tela. Os controles ActiveX
também funcionam em outros aplicativos da Microsoft.
O Java opera por meio de um intérprete, o Java Virtual Machine (JVM, máquina virtual
Java). O JVM ativa a funcionalidade do programa Java. O JVM coloca em sandboxes ou
isola o código não confiável do restante do sistema operacional. Essas são
vulnerabilidades, que permitem ao código não confiável ignorar as restrições
impostas pelo sandbox. Também existem vulnerabilidades na biblioteca de classe do
Java, que um aplicativo usa para sua segurança. Java é a segunda maior vulnerabilidade
de segurança, juntamente com o plugin do Flash da Adobe.
Defesa contra ataques de aplicativo
A primeira linha de defesa contra um ataque de aplicativo é escrever um código sólido.
Independentemente da linguagem usada, ou da origem da entrada externa, a prática de
programação prudente é tratar todas as entradas externas como uma função hostil. Valide
todas as entradas como se fossem hostis.
Mantenha todos os softwares atualizados, incluindo os sistemas operacionais e aplicativos,
e não ignore os prompts de atualização. Nem todos os programas são atualizados
automaticamente. No mínimo, selecione a opção de atualização manual. As atualizações
manuais permitem aos usuários ver exatamente quais atualizações foram efetuadas.
As ameaças, as vulnerabilidades e os ataques são o foco central dos profissionais da
segurança cibernética. Uma ameaça é a possibilidade de ocorrer um evento prejudicial,
como um ataque. Uma vulnerabilidade é uma fraqueza que torna um alvo suscetível ao
ataque. Um ataque é a exploração deliberada de uma fraqueza descoberta em
sistemas informatizados, como alvos específicos ou meramente como alvos de
oportunidade. Criminosos virtuais podem ter diferentes motivações para escolher um alvo
de ataque. Os criminosos virtuais têm êxito ao procurar continuamente e identificar sistemas
com vulnerabilidades evidentes. As vítimas comuns incluem sistemas desatualizados ou
sem detecção de vírus e spam.
Malware é qualquer software mal intencionado.(Virus, worms, cavalos de troia,
ransomware, spyware, adware, scareware)
Vírus, worms e cavalos de troia
Um vírus (se anexa a outros arquivos) é um código malicioso executável que está
anexado a outro arquivo executável, como um programa legítimo. A maioria dos vírus
necessitam de inicialização do usuário final e podem ser ativados a uma hora ou data
específica.
Worms é um código malicioso que se replica ao explorar de forma independente
vulnerabilidades em redes. Os worms normalmente deixam a rede mais lenta. Enquanto um
vírus requer um programa do host para execução, os worms podem ser executados se
modo autônomo. Exceto pela infecção inicial, os worms não necessitam mais da
participação do usuário
Um cavalo de Tróia (se traveste de LEGIT) é um malware que realiza operações
mal-intencionadas, sob o pretexto de uma operação desejada, como jogar um game online.
Esse código malicioso explora os privilégios do usuário que o executa. Um cavalo de Troia
difere de um vírus porque o cavalo de Tróia se liga a arquivos não executáveis, como
arquivos de imagem, arquivos de áudio ou jogos.
Uma bomba lógica é um programa mal-intencionado que utiliza um gatilho para
ativar o código malicioso. Por exemplo, os acionadores podem ser datas, horas, outros
programas em execução ou a exclusão de uma conta de usuário. A bomba lógica
permanece inativa até que o evento acionador aconteça. Assim que ativada, a bomba lógica
implementa um código malicioso que danifica um computador.
O ransomware aprisiona um sistema de computador ou os dados nele encontrados
até que a vítima faça um pagamento. O ransomware normalmente funciona criptografando
os dados no computador com uma chave desconhecida ao usuário. O usuário deve pagar
um resgate aos criminosos para remover a restrição.
Um backdoor refere-se ao programa ou código lançado por um criminoso que
compromete um sistema. O backdoor ignora a autenticação normal usada para acessar o
sistema. Alguns programas comuns de backdoor são o Netbus e Back Orifice, que permitem
o acesso remoto a usuários do sistema não autorizados.
Um rootkit modifica o sistema operacional para criar um backdoor. Os invasores
usam o backdoor para acessar o computador remotamente. A maioria dos rootkits utiliza as
vulnerabilidades do software para escalonar privilégios e modificar arquivos de sistema.
Spyware é o software que permite que um criminoso obtenha informações sobre as
atividades do computador do usuário.
O adware exibe pop-ups irritantes para gerar receita para seus autores. O malware
pode analisar os interesses do usuário rastreando os sites visitados.
O scareware persuade o usuário a executar uma ação específica por medo. O
scareware simula janelas pop-up que se assemelham às janelas de diálogo do sistema
operacional.
Phishing é uma forma de fraude. Os criminosos virtuais usam e-mail, mensagem
instantânea ou outras mídias sociais para coletar informações, como credenciais de logon
ou informações da conta, ao colocar uma fachada de entidade ou pessoa confiável.
Spear phishing (Mais preciso e direcionado a um alvo específico que um
phishing normal) é um ataque de phishing altamente direcionado. Embora o phishing e o
spear phishing usem e-mails para alcançar as vítimas, o spear phishing envia e-mails
personalizados a uma pessoa específica.
Vishing é o phishing que usa a tecnologia de comunicação de voz. Os
criminosos podem falsificar as chamadas de origens legítimas usando a tecnologia VoIP
(voice over IP). As vítimas também podem receber uma mensagem gravada que pareça
legítima. Os criminosos querem obter números