Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
TECNOLOGIAS WEB – AULA 3 PROF. RENATO GUIMARÃES * * Objetivos: Apresentar os principais aspectos da segurança tanto no lado cliente quanto no servidor. Compreender as implicações da segurança individual e seus métodos de segurança. Compreender o uso da criptografia e da assinatura digital, suas vantagens e desvantagens. * * Hacker: Uma pessoa intensivamente interessada em pesquisar sistemas operacionais; constantemente buscam por novos conhecimentos, os compartilham e nunca causam destruição. - Cracker: Pessoa que invade ou viola sistemas com má intenção. - Lamers: Aprendiz, novato. Também é Lamer quem acha que é hacker mas não é. - Script Kiddies: São as pessoas que utilizam receitas de bolos para hackear. * * PRINCIPAIS TIPOS DE AMEAÇAS Códigos Maliciosos: Tratam-se de programas para computador com comportamento malicioso, maligno ou mal-intencionado, cujo funcionamento, em geral, se dá com a intenção de causar dano ou roubo de informações. * * PRINCIPAIS TIPOS DE AMEAÇAS Vírus: São provavelmente os mais representativos dos códigos maliciosos , tendo se popularizado a partir dos anos 80, quando a massificação dos PCs lhes deu um novo e grande playground, o sistema operacional DOS. * * PRINCIPAIS TIPOS DE AMEAÇAS Vírus: Tratados mais comumente como “vírus” visto que, à imagem destes seres vivos biologicamente primários e primitivos, apresentam dois objetivos básicos: - Sobreviver - Reproduzir * * PRINCIPAIS TIPOS DE AMEAÇAS - Cavalos de Tróia: Não são considerados vírus, visto que não conseguem replicar-se, ainda que tenham funções especiais maliciosas como o de um vírus, apresentando-se em geral como programas utilitários (exemplo: anti-vírus); A fim de funcionar (causar dano), um cavalo de tróia precisa: - Ser introduzido no hospedeiro (i.e. email com .exe anexo) - Ser processado por um usuário do hospedeiro Exemplos: NetBus e BackOriffice. * * PRINCIPAIS TIPOS DE AMEAÇAS Engenharia Social Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. É um dos meios mais utilizados de obtenção de informações sigilosas e importantes. Para atingir seu objetivo o atacante pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. * * PRINCIPAIS TIPOS DE AMEAÇAS Phishing Scam É um método de ataque que se dá através do envio de mensagem não solicitada (spam) com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. * * PRINCIPAIS TIPOS DE AMEAÇAS * * PRINCIPAIS TIPOS DE AMEAÇAS * * PRINCIPAIS TIPOS DE AMEAÇAS Ataque de Negação de Serviço (DOS) Um ataque de negação de serviço (também conhecido como DoS é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedades nestes servidores indisponíveis. Neste tipo de ataque não ocorre uma invasão no sistema mas a sua invalidação por sobrecarga. * * PRINCIPAIS TIPOS DE AMEAÇAS Ataques Coordenados (DDOS) Semelhante ao ataque DoS, porém ocorre de forma distribuída. Neste tipo de ataque distribuído de negação de serviço, também conhecido como DDoS, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis) que terão a tarefa de ataque de negação de serviço. * * PRINCIPAIS TIPOS DE AMEAÇAS * * PRINCIPAIS TIPOS DE AMEAÇAS SQL Injection É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. * * COMO REDUZIR OS RISCOS - Não abra ou execute imediatamente os arquivos anexados às mensagens que você recebe. Verifique antes com um antivírus; - Os browsers, como qualquer software, possuem bugs. Utilize, sempre que possível, a última versão do browser com as devidas atualizações; - Se usar um site provedor de e-mails, o cuidado também deve ser grande. Evite clicar em links que aparecerem no conteúdo das mensagens. Eles não são 100% seguros; * * COMO REDUZIR OS RISCOS • Desconfie de mensagens que mostrem muitas vantagens no campo “assunto”. Trata-se apenas de uma armadilha via e-mail; • Quando estiver em sites de trocas de mensagens instantâneas (bate-papo ou sites de relacionamentos, tipo Orkut), evite divulgar informações pessoais. Quadrilhas de bandidos usam esses sites para fazer amizade com os internautas, saber mais de suas vidas e, depois, ameaçar ou cometer outros crimes; * * COMO REDUZIR OS RISCOS • Evite baixar programas de sites desconhecidos. Muitos sites de peer-to-peer (compartilhamentos de programas e arquivos de música, filmes etc, como Kazaa e o eMule) podem conter programas pirateados com vírus e outras ameaças digitais; • Evite navegar na Internet em uma estação desconhecida. Neste caso, nunca acesse sites que contenham informações confidenciais; • Tenha backup de seus dados. * * PASSWORDS Prós Baratos Recurso nativo na maioria dos sistemas Portáteis Fáceis de modificar Fáceis de lembrar Contras “Caros” para administrar Mal escolhidos = fáceis de adivinhar Várias pessoas com o mesmo password Pode ser comprometido sem conhecimento * * PASSWORDS Como garantir maior segurança com Senhas Seleção adequada Políticas para escolha e troca periódica Definir tamanho mínimo Verificação periódica Conscientização dos usuários escolha das senhas guarda das senhas não comunicar a senha à ninguém (colegas, conhecidos, help desk, etc) * * PASSWORDS Autenticação de usuário Basicamente quatro técnicas principais podem ser utilizadas para autenticação de usuários: Onde você está Algo que você conhece Algo que você é Algo que você tem Uma autenticação passa a ser considerada “robusta” quando alia duas ou mais destas informações. * * PASSWORDS Algo que você sabe: Senha, PIN, “nome de solteira da mãe” “1059” * * PASSWORDS Autenticação de usuário Onde você está: Muitos sistemas se baseiam em um identificador de usuário e no endereço de rede do sistema para fazer a autenticação. Ou seja, o autenticador assume a identidade da origem pode ser inferida com base no endereço (de rede) de onde os pacotes foram enviados. * * PASSWORDS Autenticação de usuário Onde você está: Infelizmente este método é suscetível a falhas: - Invasão de sistemas confiáveis - Falsificação de endereço IP * * PASSWORDS O que você tem: Uma forma de autenticação comumente usada baseia naquilo que uma pessoa ou entidade possui em seu poder. Por exemplo, o fato de alguém ter um cartão, ou uma placa de computador especial pode ser usado para verificar sua identidade. Diversos dispositivos são usados com este objetivo: Smart cars, PC cards e dispositivos de token * * PASSWORDS O que você é: Esta forma de autenticação se baseia naquilo que uma entidade é, ou representa. Essa categoria abrange os atributos físicos (como as impressões digitais) de pessoas ou computadores. * * PASSWORDS * * CRIPTOGRAFIA Existem dois tipos de criptografia, a Simétrica e a Assimétrica e ambas podem ser fortes. Para se ter uma idéia, se nós tivéssemos acesso a toda tecnologia a nível computacional disponível para se tentar quebrar um código de criptografia forte, ou seja, se tivéssemos bilhões de computadores executando bilhões de checks por segundo, não seria possível decifrar o resultado de uma criptografia forte, antes do fim do mundo. Como podemos ver, a nossa vulnerabilidade não está no tipo de criptografia, mas sim na forma de administrar a chave. * * CRIPTOGRAFIA SIMÉTRICA Vantagens: - É extremamente rápida, um polinômio simétrico será capaz de encriptar um texto em alguns milésimos de segundo. - Trabalha com chaves pequenas, uma chave de 128 bits é considerada muito boa e quase impossível de ser quebrada, embora já se diga que já foi possível sua quebra, uma chave de 128 bits ainda é considerada uma excelente solução. Desvantagem: - A chave usada para encriptar é a mesma chave usada para decriptar. E isto torna a Criptografia Simétrica vulnerável. Isto faz sentido já que ao enviarmos uma mensagem encriptada para uma pessoa, deveremos também enviar a chave, pois sem ela, o receptor não poderá ler a mensagem * * CRIPTOGRAFIA ASSIMÉTRICA Esta solução veio atender ao problema de se ter as chaves de criptografia dos polinômios simétricos enviada na mensagem. Esta criptografia cria um par de chaves distintas e complementares de forma que, aplicadas ao mesmo polinômio, uma seja usada para encriptar e a outra para decriptar. A chave de encriptação recebe o nome de chave Pública, e é distribuída sem restrição. Ao receber uma mensagem eu utilizo a minha chave Privada que só eu tenho acesso. * * CRIPTOGRAFIA ASSIMÉTRICA Vantagens: A grande vantagem está na chave. A que encripta os dados é diferente da que decripta estes mesmos dados. Desvantagem: São extremamente lentos quando comparados com o simétrico. Um polinômio assimétrico é milhares de vezes mais lento. Utiliza chaves grandes. * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Compartilhar