Buscar

Aula_03 (3)

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

TECNOLOGIAS WEB – AULA 3
PROF. RENATO GUIMARÃES
*
*
Objetivos:
Apresentar os principais aspectos da segurança tanto no lado cliente quanto no servidor.
Compreender as implicações da segurança individual e seus métodos de segurança.
Compreender o uso da criptografia e da assinatura digital, suas vantagens e desvantagens.
*
*
 Hacker: Uma pessoa intensivamente interessada em pesquisar sistemas operacionais; constantemente buscam por novos conhecimentos, os compartilham e nunca causam destruição. - Cracker: Pessoa que invade ou viola sistemas com má intenção. 
- Lamers: Aprendiz, novato. Também é Lamer quem acha que é hacker mas não é.
- Script Kiddies: São as pessoas que utilizam receitas de bolos para hackear.
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
Códigos Maliciosos:
Tratam-se de programas para computador com comportamento malicioso, maligno ou mal-intencionado, cujo funcionamento, em geral, se dá com a intenção de causar dano ou roubo de informações.
 
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
Vírus:
São provavelmente os mais representativos dos códigos maliciosos , tendo se popularizado a partir dos anos 80, quando a massificação dos PCs lhes deu um novo e grande playground, o sistema operacional DOS.
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
Vírus:
Tratados mais comumente como “vírus” visto que, à imagem destes seres vivos biologicamente primários e primitivos, apresentam dois objetivos básicos:
- Sobreviver 
- Reproduzir 
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
- Cavalos de Tróia: 
	Não são considerados vírus, visto que não conseguem replicar-se, ainda que tenham funções especiais maliciosas como o de um vírus, apresentando-se em geral como programas utilitários (exemplo: anti-vírus);
A fim de funcionar (causar dano), um cavalo de tróia precisa:
 - Ser introduzido no hospedeiro (i.e. email com .exe anexo)
 - Ser processado por um usuário do hospedeiro
Exemplos: NetBus e BackOriffice.
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
Engenharia Social
 
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É um dos meios mais utilizados de obtenção de informações sigilosas e importantes.
Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. 
 
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
Phishing Scam
 
É um método de ataque que se dá através do envio de mensagem não solicitada (spam) com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular.  
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
Ataque de Negação de Serviço (DOS)
 
Um ataque de negação de serviço (também conhecido como DoS é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. 
 Normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedades nestes servidores indisponíveis. Neste tipo de ataque não ocorre uma invasão no sistema mas a sua invalidação por sobrecarga. 	
 
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
Ataques Coordenados (DDOS)
 
Semelhante ao ataque DoS, porém ocorre de forma distribuída. Neste tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis) que terão a tarefa de ataque de negação de serviço. 
	
 
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
*
*
PRINCIPAIS TIPOS DE AMEAÇAS
SQL Injection
 
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação.
	
 
*
*
COMO REDUZIR OS RISCOS
- Não abra ou execute imediatamente os arquivos anexados às mensagens que você recebe. Verifique antes com um antivírus; 
- Os browsers, como qualquer software, possuem bugs. Utilize, sempre que possível, a última versão do browser com as devidas atualizações;
- Se usar um site provedor de e-mails, o cuidado também deve ser grande. Evite clicar em links que aparecerem no conteúdo das mensagens. Eles não são 100% seguros;
 
*
*
COMO REDUZIR OS RISCOS
• Desconfie de mensagens que mostrem muitas vantagens no campo “assunto”. Trata-se apenas de uma armadilha via e-mail;
• Quando estiver em sites de trocas de mensagens instantâneas (bate-papo ou sites de relacionamentos, tipo Orkut), evite divulgar informações pessoais. Quadrilhas de bandidos usam esses sites para fazer amizade com os internautas, saber mais de suas vidas e, depois, ameaçar ou cometer outros crimes;
 
*
*
COMO REDUZIR OS RISCOS
• Evite baixar programas de sites desconhecidos. Muitos sites de peer-to-peer (compartilhamentos de programas e arquivos de música, filmes etc, como Kazaa e o eMule) podem conter programas pirateados com vírus e outras ameaças digitais; 
• Evite navegar na Internet em uma estação desconhecida. Neste caso, nunca acesse sites que contenham informações confidenciais;
• Tenha backup de seus dados.
 
*
*
PASSWORDS
Prós
Baratos 
Recurso nativo na maioria dos sistemas
Portáteis 
Fáceis de modificar 
Fáceis de lembrar
Contras 
“Caros” para administrar 
Mal escolhidos = fáceis de adivinhar 
Várias pessoas com o mesmo password
Pode ser comprometido sem conhecimento 
*
*
PASSWORDS
Como garantir maior segurança com Senhas
Seleção adequada 
Políticas para escolha e troca periódica
Definir tamanho mínimo
Verificação periódica 
Conscientização dos usuários
escolha das senhas
guarda das senhas
não comunicar a senha à ninguém (colegas, conhecidos, help desk, etc)
*
*
PASSWORDS
Autenticação de usuário
Basicamente quatro técnicas principais podem ser utilizadas para autenticação de usuários:
Onde você está
Algo que você conhece
Algo que você é
Algo que você tem
Uma autenticação passa a ser considerada “robusta” quando alia duas ou mais destas informações.
*
*
PASSWORDS
Algo que você sabe: Senha, PIN, “nome de solteira da mãe” “1059”
*
*
PASSWORDS
Autenticação de usuário
Onde você está:
Muitos sistemas se baseiam em um identificador de usuário e no endereço de rede do sistema para fazer a autenticação. Ou seja, o autenticador assume a identidade da origem pode ser inferida com base no endereço (de rede) de onde os pacotes foram enviados.
*
*
PASSWORDS
Autenticação de usuário
Onde você está:
Infelizmente este método é suscetível a falhas:
- Invasão de sistemas confiáveis
- Falsificação de endereço IP
*
*
PASSWORDS
O que você tem:
Uma forma de autenticação comumente usada baseia naquilo que uma pessoa ou entidade possui em seu poder.
Por exemplo, o fato de alguém ter um cartão, ou uma placa de computador especial pode ser usado para verificar sua identidade.
Diversos dispositivos são usados com este objetivo:
Smart cars, PC cards e dispositivos de token
*
*
PASSWORDS
O que você é:
	
Esta forma de autenticação se baseia naquilo que uma entidade é, ou representa. Essa categoria abrange os atributos físicos (como as impressões digitais) de pessoas ou computadores.
*
*
PASSWORDS
*
*
CRIPTOGRAFIA
Existem dois tipos de criptografia, a Simétrica e a Assimétrica e ambas podem ser fortes.
Para se ter uma idéia, se nós tivéssemos acesso a toda tecnologia a nível computacional disponível para se tentar quebrar um código de criptografia forte, ou seja, se tivéssemos bilhões de computadores executando bilhões de checks por segundo, não seria possível decifrar o resultado de uma criptografia forte, antes do fim do mundo.
Como podemos ver, a nossa vulnerabilidade não está no tipo de criptografia, mas sim na forma de administrar a chave.
*
*
CRIPTOGRAFIA SIMÉTRICA
Vantagens:
- É extremamente rápida, um polinômio simétrico será capaz de encriptar um texto em alguns milésimos de segundo.
- Trabalha com chaves pequenas, uma chave de 128 bits é considerada muito boa e quase impossível de ser quebrada, embora já se diga que já foi possível sua quebra, uma chave de 128 bits ainda é considerada uma excelente solução.
Desvantagem:
- A chave usada para encriptar é a mesma chave usada para decriptar. E isto torna a Criptografia Simétrica vulnerável. Isto faz sentido já que ao enviarmos uma mensagem encriptada para uma pessoa, deveremos também enviar a chave, pois sem ela, o receptor não poderá ler a mensagem
*
*
CRIPTOGRAFIA ASSIMÉTRICA
Esta solução veio atender ao problema de se ter as chaves de criptografia dos polinômios simétricos enviada na mensagem. 
Esta criptografia cria um par de chaves distintas e complementares de forma que, aplicadas ao mesmo polinômio, uma seja usada para encriptar e a outra para decriptar. A chave de encriptação recebe o nome de chave Pública, e é distribuída sem restrição. Ao receber uma mensagem eu utilizo a minha chave Privada que só eu tenho acesso.
*
*
CRIPTOGRAFIA ASSIMÉTRICA
Vantagens:
A grande vantagem está na chave. A que encripta os dados é diferente da que decripta estes mesmos dados.
Desvantagem:
São extremamente lentos quando comparados com o simétrico. Um polinômio assimétrico é milhares de vezes mais lento.
Utiliza chaves grandes.
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*

Teste o Premium para desbloquear

Aproveite todos os benefícios por 3 dias sem pagar! 😉
Já tem cadastro?

Outros materiais

Materiais relacionados

Perguntas relacionadas

Materiais recentes

Perguntas Recentes