SlideShare una empresa de Scribd logo

Introdução à Segurança da Informação: Conceitos e Domínios

Descargar como PPT, PDF
Luciana Falcão
Luciana Falcão

SEG REDES

Educación
1 de 63
Introdução a Segurança da Informação Carlos Sampaio
Conteúdo Programático  Parte 1: A Informação  Parte 2: Conceitos  Parte 3: Por onde começar?  Parte 4: Repositórios de Informação  Parte 5: Genealogia de um Hacker  Parte 6: Ameaças Digitais
PARTE 1  A InformaçãoA Informação
InformaçãoInformação (Michaelis)  do Lat. informatione s. f., Ato ou efeito de informar ou informar-se; Comunicação; Conjunto de conhecimentos sobre alguém ou alguma coisa; Conhecimentos obtidos por alguém; Fato ou acontecimento que é levado ao conhecimento de alguém ou de um público através de palavras, sons ou imagens; Elemento de conhecimento susceptível de ser transmitido e conservado graças a um suporte e um código.
PropriedadePropriedade (Michealis)  do Lat. proprietate s. f., Aquilo que pertença legitimamente a alguém ou sobre o qual alguém tenha direito pleno; Bens, posses; Patrimônio físico(tangível) e imaterial(intangível).
ConsideraçãoConsideração  E quando o patrimônio é a informação?
Considerações  Segundo a Universidade da Califórnia em Berkeley(2005):  Existe aproximadamente 2.5 Bilhões de documentos acessíveis na WEB;  Este número cresce em cerca de 700 mil páginas por dia.  Velhos jargões  “O segredo é a alma do negócio”;  Novas tendências  Mundo Globalizado, Ubiqüidade, Acesso a Informação.
PARTE 2  ConceitosConceitos
Axioma de Segurança ““Uma corrente não é mais forteUma corrente não é mais forte que o seu elo mais fraco”que o seu elo mais fraco”
Segurança da Informação  “A segurança da informação é um conjunto de medidas que se constituem basicamente de controlescontroles e política de segurançapolítica de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa (ativos/bensativos/bens), controlando o riscorisco de revelação ou alteração por pessoas não autorizadas.”
Política de Segurança  Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação
Ativos (Bens) Dados  Número de Cartões de Crédito  Planos de Marketing  Códigos Fonte  Informações de RH Serviços  Web sites  Acesso a Internet  Controladores de Domínio  ERP Comunicação  Logins  Transação Financeira  Correio Eletrônico
DefiniçõesDefinições  AmeaçaAmeaça  Evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recursorecurso;  VulnerabilidadeVulnerabilidade  Característica de fraqueza de um bem;  Características de modificação e de captação de que podem ser alvos os bens, ativos, ou recursos intangíveis de informática, respectivamente, software, ou programas de bancos de dados, ou informações, ou ainda a imagem corporativa.
Conceitos BásicosConceitos Básicos  RiscoRisco  A probabilidadeprobabilidade da ocorrência de uma ameaça em particular  A probabilidadeprobabilidade que uma ameaça explore uma determinada vulnerabilidade de um recurso
Ameaça, Vulnerabilidade e Risco  Ameaça (evento)  assalto a uma agência bancária  Vulnerabilidade (ponto falho)  liberação manual das portas giratórias pelos vigilantes  Risco  baixobaixo, devido ao percentual de assaltos versus o universo de agências  altoalto, se comparando as tentativas frustradas versus as bem sucedidas
Conceitos Fundamentais  Princípios da Segurança ConfidencialidadeConfidencialidade IntegridadeIntegridade DisponibilidadeDisponibilidade ((AAvailability)vailability) SegurançaSegurança
CIA – ConfidencialidadeCIA – Confidencialidade  Propriedade de manter a informação a salvo de acesso e divulgação nãonão autorizadosautorizados;  Proteger as informações contra acesso de qualquer pessoa não devidamente autorizada pelo donopelo dono da informação, ou seja, as informações e processos são liberados apenas a pessoas autorizadaspessoas autorizadas.
CIACIA –– IntegridadeIntegridade  Propriedade de manter a informação acurada, completa e atualizada  Princípio de segurança da informação através do qual é garantida a autenticidadeautenticidade da informação  O usuário que arquiva dados espera que o conteúdo de seus arquivos não seja alterado por erros de sistema no suporte físico ou lógico
CIA – DisponibilidadeCIA – Disponibilidade (Availability)(Availability)  Propriedade de manter a informação disponível para os usuários, quando estes dela necessitarem  Relação ou percentagem de tempo, em que uma unidade do equipamento de processamento está funcionando corretamente
Princípios AuxiliaresPrincípios Auxiliares Auditoria Autenticação Autorização IdentificaçãoSigilo Métodos - DAC - MAC - RBAC Vias -O que Sou -O que Sei -O que Tenho Controle de Acesso
Controle de AcessoControle de Acesso  Suporta os princípios da CIA  São mecanismos que limitam o acesso a recursos, baseando-se na identidade do usuário, grupo que integra e função que assume.  Em segurança, é suportado pela tríade AAA (definida na RFC 3127)
Auditoria (Accountability)Auditoria (Accountability)  É a capacidade que um sistema tem de determinar as ações e comportamentos de um único indivíduo no sistema, e de identificar este indivíduo;  Trilha de auditoria, tentativas de acesso, problemas e erros de máquina, e outros eventos monitorados ou controlados.
AutenticaçãoAutenticação  Propriedade de confirmar a identidade de uma pessoa ou entidade.  Meio pelo qual a identidade de um usuário é confirmada, e garante que ele realmente é quem diz ser
AutorizaçãoAutorização  São os direitos ou permissões, concedidos a um indivíduo ou processo, que permite acesso a um dado recurso.  Após a identificação e autenticação de um usuário terem sido estabelecidas, os níveis de autorização irão determinar a extensão dos direitos que este usuário pode ter em um dado sistema.
SigiloSigilo  Trata-se do nível de confidencialidade e garantia de privacidade de um usuário no sistema;  Ex.: Garante a privacidade dos dados de um usuário em relação ao operador do sistema. IdentificaçãoIdentificação  Meio pelo qual o usuário apresenta sua identidade. Mais frequentemente utilizado para controle de acesso, é necessário para estabelecer Autenticação e Autorização.
Mecanismos de Controle de Acesso
PARTE 3  Onde Começar ?Onde Começar ?
Leis Imutáveis da Segurança  Ninguém acredita que nada de mal possa acontecer até que acontece;  Segurança só funciona se a forma de se manter seguro for uma forma simples;  Se você não realiza as correções de segurança, sua rede não será sua por muito tempo;  Vigilância eterna é o preço da segurança;  Segurança por Obscuridade, não é segurança;  LOGs, se não auditá-los, melhor não tê- los.
Leis Imutáveis da Segurança  Existe realmente alguém tentando quebrar (adivinhar) sua senha;  A rede mais segura é uma rede bem administrada;  A dificuldade de defender uma rede é diretamente proporcional a sua complexidade;  Segurança não se propõe a evitar os riscos, e sim gerenciá-los;  Tecnologia não é tudo. By Scott Pulp – Security Program Manager atBy Scott Pulp – Security Program Manager at Microsoft Security Response CenterMicrosoft Security Response Center
Responsabilidades da Empresa  “Desde que uma empresa fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas” Corporate Politics on the Internet: Connection with Controversy, 1996
Segurança nas Organizações  Segurança é um ”processo” que tenta manter protegido um sistema complexo composto de muitas entidades:  Tecnologia (hardware, software, redes)  Processos (procedimentos, manuais)  Pessoas (cultura, conhecimento)  Estas entidades interagem das formas mais variadas e imprevisíveis  A Segurança falhará se focar apenas em parte do problema  Tecnologia não é nem o problema inteiro, nem a solução inteira
Ciclo de Segurança  Análise da Segurança (Risk Assessment)  Definição e Atualização de Regras de Segurança (Política de Segurança)  Implementação e Divulgação das Regras de Segurança (Implementação)  Administração de Segurança (Monitoramento, Alertas e Respostas a Incidentes)  Auditorias (Verificação do Cumprimento da Política)
Domínios de Conhecimento  “The International Information Systems Security Certification Consortium, Inc. [(ISC)²]”  http://www.isc2.org  A (ISC)2 define 10 domínios de conhecimento (CBK), para sua certificação introdutória CISSP  Certified Information Systems Security Professional  Common Body of Knowledge
CBK – Common Body Of Knowledge  Security Management Practices  Access Control Systems  Telecommunications and Network Security  Cryptography  Security Architecture and Models  Operations Security  Applications and Systems Development  Business Continuity Planning and Disaster Recovery Planning  Law, Investigation, and Ethics  Physical Security
Outras Certificações  GIAC - Global Information Assurance Certification (Sans.Org)  3 Níveis de Expertise em 5 Áreas de Conhecimento  Níveis  GIAC Silver  2 ou mais testes  GIAC Gold  Silver + Pesquisa e Publicação  GIAC Platinum  Gold em 2 ou mais AC’s + testes(3 dias)  Áreas de Conhecimento  Administração de Segurança  Gerência de Segurança  Operações  Legislação
Outras Certificações  CompTIA – Security+  5 Domínios de Conhecimento  Communication Security  Infrastructure Security  Cryptography  Operational Security  General Security Concepts
Outras Certificações  MCSO – Módulo Certified Security Officer  2 Módulos compreendendo:  Conceitos, Padrões e Aplicações  Fundamentos de Segurança da Informação  Organização de departamentos  Gestão de pessoas  Política de Segurança da Informação.  Gestão de Tecnologias  Windows/Unix  Segurança em redes e telecomunicações  Controle de acesso  Arquitetura e modelos de segurança  Criptografia
Outros Recursos  Academia Latino Americana de Segurança da Informação  Parceria Módulo / Microsoft  Composta por:  Estágio Básico (4 módulos)  Graduação  Cada disciplina tem seu número de módulos  Em 2006 foram oferecidos o Estágio Básico e a disciplina de ISO17799:2005  Ainda sem calendário e número de vagas para 2007  Necessário possuir usuário cadastrado no site do TechNet
PARTE 4  RepositóriosRepositórios
Sites Úteis  http://www.insecure.org  http://www.securityfocus.com  http://www.sans.org  http://www.digg.com  http://techrepublic.com.com  http://www.hackaday.com  http://slashdot.org  http://www.modulo.com.br
RSS e PodCasts  Agregadores:  Itunes  Democracy Player  FireAnt  Plugins do IE e Firefox  Mídias  Áudio mp3/mp4/aac  Vídeo DivX/A3C/Streaming
Alguns PodCasts  Security Now!  http://www.grc.com/securitynow.htm  2600 - Off The Hook  http://www.2600.com/offthehook  SploitCast  http://www.sploitcast.com  TWiT – This Week in Tech  http://www.twit.tv/TWiT  Extreme Tech  http://www.extremetech.com
Video PodCasts  HAK.5  http://www.hak5.org  Local Area Security  http://www.localareasecurity.com  IronGeek  http://irongeek.com  Hacking Illustrated  Revision3  http://www.revision3.com  Digital Life Television (DL Tv)  http://dl.tv
Congressos e Eventos  HOPE – Hacker on Planet Earth  http://www.hopenumbersix.net  DEFCon  http://www.defcon.org – Archives  BlackHat  http://www.blackhat.com – Archives  H2HC – Hackers 2 Hackers Conference  http://www.h2hc.org.br  CCC.de – Chaos Computer Club  http://www.ccc.de
Filmes  Jogos de Guerra (WarGames)  1983, vários  Quebra de Sigilo (Sneakers)  1992, Robert Redford  Piratas de Computador (Hackers)  1995, Angelina Jolie  O Cyborg do Futuro (Johnny Mnemonic)  1995, Keanu Reeves  A Senha (Swordfish)  2001, John Travolta  A Rede (The Net)  1995, Sandra Bullock  Ameaça Virtual (Antitrust)  2001, Ryan Phillippe  Matrix (The Matrix)  1999, Keanu Reeves  Caçada Virtual (Takedown)  2000, Russell Wong  Piratas do Vale do Silício (Pirates of Silicon Valley)  1999, vários  A Batalha do Atlântico (U- 571)  2000, Matthew McConaughey  O Caçador de Andróides (Blade Runner)  1982, Harrison Ford
Listas de Discussão  CISSPBr  Yahoo Groups  BugTraq  Modulo Newsletter Outras Fontes • The Hacker News Network
PARTE 5  Genealogia de umGenealogia de um HackerHacker
Hacker  “Unauthorized user who attempts to or gains access to an information system.”  www.tecrime.com/0gloss.htm  “A person who illegally gains access to your computer system.”  www.infosec.gov.hk/english/general/glossary_gj.htm  “A person who illegally gains access to and sometimes tampers with information in a computer system.”  http://www.webster.com/dictionary/hacker  “A person who accesses computer files without authorization, often destroying vast amounts of data.”  www.boydslaw.co.uk/glossary/gloss_itip.html
Linha do Tempo: ‘Hacker’ 1878-1969 Surgimento da BELL TC - Primeira geração de Hackers de Computadores; - Estudantes do MIT nos anos 60; - Capacidade de alterar programas ('hacks') em mainframes para melhorar programas. - Neste caso 'Hacker' tinha uma conotação positiva. - Indicava pessoas capazes de levar programas além de sua capacidade original. Anos 70 Primeiros Phreakers - Phreaker = Freak, Phone, Free - Surgiu após a substituição das telefonistas por sistemas telefonicos gerenciados por computador - Lenda do garoto cego que conseguiu assoviar um tom de 2600 Hz enquanto conversava com sua tia - Fato Captain Crunch e o apito da caixa de cereais que gerava o mesmo ton de 2600 Hz - Steeve Jobs + Steve Wozniak + Altair8000 = 1o. BlueBox (Berkley) Proliferação dos PCs 1980-1985 -A Evolução da cultura Hacker surge com o aparecimento do PC - Filme War Games - Surgimento da 2600: Hacker Quaterly - Acessar computadores, e tudo aquilo que possa lhe ensinar mais alguma coisa sobre como o mundo funciona, deve ser ilimitado e completo. Anos 90 Combate a ameaça Hacker 1985-1990 Roubos, Bugs e Federais -Legislação: Julgamento do primeiro hacker por invasão constante do DoD por diversos anos, Pat Riddle AKA Captain ZAP - Apenas acessar já não era suficiente, distribuição de rpogramas e jogos, e o aparecimento de individuos que não mais respeitavam os códigos de ética - Os verdadeiros hackers começam a se distanciar dos que agra se conhece como ‘Crackers’ - Surgem os primeiros Virus e Worms 2000+ Hackining: hoje e no futuro - Kevin Mitnick - Em resposta as diversas prisões anunciadas na mídia, o termo ‘Hacker’ passa a ter uma conotação pejorativa - Surge o filme Hackers - Novas técnicas, antigos padrões - Negação de Serviço, novos víros em arquivos de dados (mp3, jpeg, …) - Nasce a consciência comum de Segurança da Informação - Corporações reconhecem a necessidade por segurança - A mídia perpetua o Hacker como uma ameaça - Iniciativas isoladas tentam resgatar o aspecto positivo dos Hackers - Surgem os termos ‘White Hat’ e ‘Black Hat’
Trilha Evolutiva Usuário Geek Nerd Script Kid CrackerHacker Lammer White Hat Black Hat
População por segmento Usuários, Curiosos e Iniciantes Geeks e Nerds Script Kidies e Lammers Hackers e Crackers White e Black Hats
VT: Parte 1 (1,5 ponto)  Dividir a sala em 6 grupos aproximadamente iguais.  Cada grupo apresentará um dos temas abaixo, sendo 15 min para apresentação e 5 min para perguntas  Data da Apresentação:  Próx. Quarta-Feira (14/MAR/2007)Próx. Quarta-Feira (14/MAR/2007)  Temas:  Vírus  Worm  Backdoor  Cavalo de Tróia (Trojan)  Bomba Lógica  RootKit  Composição do trabalho:  Uma apresentação (ex.: PPT) – 1 ponto  Uma pesquisa sobre o tema escolhido (ex.: DOC) – 0,5 ponto
PARTE 6  Ameaças DigitaisAmeaças Digitais
Ataques  Geralmente divididos nos seguintes tipos:  Pelo alvo geral do ataque (aplicações, redes ou misto)  Se o ataque é ativo ou passivo  Pelo mecanismo de ataque (quebra de senha, exploração de código, ...)  Ataques Ativos  DoS, DDoS, buffer overflow, inundação de SYN  Ataques Passívos  Pesquisa de vulnerabilidade, sniffing, ...  Ataques de Senha  Força bruta, Dicionário, “hackish”, Rainbow Tables  Código malicioso (malware)  Vírus, trojans, worms, ...
Ataques Ativos  DoS/DDoS  Reduzir a qualidade de serviço a níveis intoleráveis  Tanto mais difícil quanto maior for a infra- estrutura do alvo  Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado  “Zombies” e Mestres (Masters), ataque smurf  BOTs e BOTNets, ataques “massificados” por banda larga  Tipos  Consumo de Recursos (largura de banda, cpu, RAM, ...)  Pacotes malformados (todas as flags ligadas)
Ataques Ativos (cont.)  Buffer Overflow  Sobrescrever o próprio código em execução  “Shell code”, escrito em assembler  Tem como objetivo executar algum código, ou conseguir acesso privilegiado  Ataques SYN  Fragilidade nativa do TCP/IP  Conexão de 3-vias (Syn, Syn-Ack, Ack)  Spoofing  Se fazer passar por outro ativo da rede  MITM (Man-In-The-Middle) Dsniff
Ataques Ativos (Cont.)  Lixeiros  Documentos sensíveis mal descartados  Informações em hardwares obsoletos  Falta de Política de Classificação da Informação  Engenharia social  Kevin Mitnick  Normalmente relevada nos esquemas de segurança  Utiliza-se do orgulho e necessidade de auto- reconhecimento, intrínseco do ser humano ““Um computador não estará seguro nemUm computador não estará seguro nem quando desligado e trancado em uma sala,quando desligado e trancado em uma sala, pois mesmo assim alguém pode ser instruído apois mesmo assim alguém pode ser instruído a ligá-lo.”ligá-lo.” [ Kevin Mitnick – A arte de enganar/The Art of Deception ]
Ataques ativos por código malicioso  Malware  MALicious softWARE  Não apenas Spyware ou Adware  “Payload” Vs Vetor  Vírus  Auto replicante  Interfere com hardware, sistemas operacionais e aplicações  Desenvolvidos para se replicar e iludir detecção  Precisa ser executado para ser ativado
Ataques ativos por código malicioso (cont)  Cavalos de Tróia (Trojans)  Código malicioso escondido em uma aplicação aparentemente legítma (um jogo por exemplo)  Fica dormente até ser ativado  Muito comum em programas de gerência remota (BO e NetBus)  Não se auto replica e precisa ser executado  Bombas Lógicas  Caindo em desuso pela utilização de segurança no desenvolvimento  Aguarda uma condição ser atingída  Chernobyl, como exemplo famoso (26, Abril)
Ataques ativos por código malicioso (cont)  Worms  Auto replicante, mas sem alteração de arquivos  Praticamente imperceptíveis até que todo o recurso disponível seja consumido  Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede  Não necessita de ponto de execução  Se multiplica em proporção geométrica  Exemplos famosos:  LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ...
Ataques ativos por código malicioso (cont)  Back Door  Trojan, root kits e programas legítmos  VNC, PCAnyware, DameWare  SubSeven, Th0rnkit  Provê acesso não autenticado a um sistema  Rootkit  Coleção de ferramentas que possibilitam a criação “on-demand” de backdoors  Modificam rotinas de checagem dos sistemas operacionais comprometidos para impedir detecção  Iniciam no boot junto com os processos do sistema
Ataques Passívos  Normalmente utilizado antes de um ataque ativo  Pesquisa de Vulnerabilidades  Pesquisa por Portas/Serviços  http://www.insecure.org – Nmap  Escuta (sniffing)  Extremamente difícil detecção  Não provoca ruído sensível  Senhas em texto claro, comunicações não encriptadas  Redes compartilhadas Vs comutadas  Switch Vs Hub  WireShark (Lin/Win), TCPDump (Lin)  http://www.wireshark.org  http://www.tcpdump.org
Ataques Passívos (cont)  Ataques de Senha  Muito comuns pela facilidade de execução e taxa de sucesso  Cain&Abel, LC5, John The Ripper, ...  Compara Hash’s, não texto  Força Bruta  Teste de todos os caracteres possíveis  Taxa de 5 a 6 Milhões de testes/seg, em um P4  Ataques de Dicionário  Reduz sensivelmente o tempo de quebra  Já testa modificado para estilo “hackish”  B4n4n4, C@73dr@l, P1p0c@, R007, ...  Rainbow Tables  Princípio Time Memory Trade-off (TMTO)

Recomendados

Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAron Sporkens
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 

Recomendados

Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAron Sporkens
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 segurancaMarco Guimarães
 
Curso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewCurso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewData Security
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesDeivison Pinheiro Franco.·.
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist admAlexMartinsdaSilva2
 
Curso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewCurso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewData Security
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewData Security
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Robson Silva Espig
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Tiago Tavares
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 

Más contenido relacionado

La actualidad más candente

Curso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewCurso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewData Security
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist admAlexMartinsdaSilva2
 
Curso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewCurso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewData Security
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewData Security
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Tiago Tavares
 

La actualidad más candente (20)

64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Curso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - OverviewCurso Estratégias e Inteligência em Segurança da Informação - Overview
Curso Estratégias e Inteligência em Segurança da Informação - Overview
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunos
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de Informações
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist adm
 
Curso Ethical Hacking - Overview
Curso Ethical Hacking - OverviewCurso Ethical Hacking - Overview
Curso Ethical Hacking - Overview
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - Overview
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
 

Similar a Introdução à Segurança da Informação: Conceitos e Domínios

Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Slide trabalho de Informatica 3o ano.pptx
Slide trabalho de Informatica 3o ano.pptxSlide trabalho de Informatica 3o ano.pptx
Slide trabalho de Informatica 3o ano.pptxDiogeniaJoo
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Diogénia john.pptx
Diogénia john.pptxDiogénia john.pptx
Diogénia john.pptxDiogeniaJoo
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3Fabrício Basto
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfpolisolventepolisolv
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1Simba Samuel
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxricardocapozzi1
 

Similar a Introdução à Segurança da Informação: Conceitos e Domínios (20)

Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Slide trabalho de Informatica 3o ano.pptx
Slide trabalho de Informatica 3o ano.pptxSlide trabalho de Informatica 3o ano.pptx
Slide trabalho de Informatica 3o ano.pptx
 
Aula 2 semana
Aula 2 semanaAula 2 semana
Aula 2 semana
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Diogénia john.pptx
Diogénia john.pptxDiogénia john.pptx
Diogénia john.pptx
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdf
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
 

Más de Luciana Falcão

Tcc rss guilherme e vandro
Tcc rss guilherme e vandroTcc rss guilherme e vandro
Tcc rss guilherme e vandroLuciana Falcão
 
Tcc rss guilherme e vandro
Tcc rss guilherme e vandroTcc rss guilherme e vandro
Tcc rss guilherme e vandroLuciana Falcão
 
Scc0207 graca grupo1-artigo
Scc0207 graca grupo1-artigoScc0207 graca grupo1-artigo
Scc0207 graca grupo1-artigoLuciana Falcão
 
60 logistica e a tecnologia da informacao poster
60 logistica e a tecnologia da informacao poster60 logistica e a tecnologia da informacao poster
60 logistica e a tecnologia da informacao posterLuciana Falcão
 
Políticas Públicas e Gestão
Políticas Públicas e GestãoPolíticas Públicas e Gestão
Políticas Públicas e GestãoLuciana Falcão
 

Más de Luciana Falcão (9)

Apostila graficos
Apostila graficosApostila graficos
Apostila graficos
 
Tcc rss guilherme e vandro
Tcc rss guilherme e vandroTcc rss guilherme e vandro
Tcc rss guilherme e vandro
 
Tcc rss guilherme e vandro
Tcc rss guilherme e vandroTcc rss guilherme e vandro
Tcc rss guilherme e vandro
 
Scc0207 graca grupo1-artigo
Scc0207 graca grupo1-artigoScc0207 graca grupo1-artigo
Scc0207 graca grupo1-artigo
 
Tcc0020
Tcc0020Tcc0020
Tcc0020
 
Artigo ead
Artigo eadArtigo ead
Artigo ead
 
60 logistica e a tecnologia da informacao poster
60 logistica e a tecnologia da informacao poster60 logistica e a tecnologia da informacao poster
60 logistica e a tecnologia da informacao poster
 
Evolucao da marca dove
Evolucao da marca doveEvolucao da marca dove
Evolucao da marca dove
 
Políticas Públicas e Gestão
Políticas Públicas e GestãoPolíticas Públicas e Gestão
Políticas Públicas e Gestão
 

Último

Simulado 2 Etapa - 2024 Proximo Passo.pdf
Simulado 2 Etapa - 2024 Proximo Passo.pdfSimulado 2 Etapa - 2024 Proximo Passo.pdf
Simulado 2 Etapa - 2024 Proximo Passo.pdfEditoraEnovus
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxKtiaOliveira68
 
Governo Provisório Era Vargas 1930-1934 Brasil
Governo Provisório Era Vargas 1930-1934 BrasilGoverno Provisório Era Vargas 1930-1934 Brasil
Governo Provisório Era Vargas 1930-1934 Brasillucasp132400
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesMary Alvarenga
 
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptxthaisamaral9365923
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxOsnilReis1
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBAline Santana
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxRonys4
 
William J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfWilliam J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfAdrianaCunha84
 
A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.silves15
 
GÊNERO TEXTUAL - TIRINHAS - Charges - Cartum
GÊNERO TEXTUAL - TIRINHAS - Charges - CartumGÊNERO TEXTUAL - TIRINHAS - Charges - Cartum
GÊNERO TEXTUAL - TIRINHAS - Charges - CartumAugusto Costa
 
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaJúlio Sandes
 
02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdfJorge Andrade
 
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptxAD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptxkarinedarozabatista
 
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...ArianeLima50
 
Slides 1 - O gênero textual entrevista.pptx
Slides 1 - O gênero textual entrevista.pptxSlides 1 - O gênero textual entrevista.pptx
Slides 1 - O gênero textual entrevista.pptxSilvana Silva
 
Modelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e TaniModelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e TaniCassio Meira Jr.
 
UFCD_10392_Intervenção em populações de risco_índice .pdf
UFCD_10392_Intervenção em populações de risco_índice .pdfUFCD_10392_Intervenção em populações de risco_índice .pdf
UFCD_10392_Intervenção em populações de risco_índice .pdfManuais Formação
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresLilianPiola
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasMary Alvarenga
 

Último (20)

Simulado 2 Etapa - 2024 Proximo Passo.pdf
Simulado 2 Etapa - 2024 Proximo Passo.pdfSimulado 2 Etapa - 2024 Proximo Passo.pdf
Simulado 2 Etapa - 2024 Proximo Passo.pdf
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptx
 
Governo Provisório Era Vargas 1930-1934 Brasil
Governo Provisório Era Vargas 1930-1934 BrasilGoverno Provisório Era Vargas 1930-1934 Brasil
Governo Provisório Era Vargas 1930-1934 Brasil
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das Mães
 
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx“Sobrou pra mim” - Conto de Ruth Rocha.pptx
“Sobrou pra mim” - Conto de Ruth Rocha.pptx
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
 
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASBCRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
CRÔNICAS DE UMA TURMA - TURMA DE 9ºANO - EASB
 
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptxD9 RECONHECER GENERO DISCURSIVO SPA.pptx
D9 RECONHECER GENERO DISCURSIVO SPA.pptx
 
William J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdfWilliam J. Bennett - O livro das virtudes para Crianças.pdf
William J. Bennett - O livro das virtudes para Crianças.pdf
 
A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.A horta do Senhor Lobo que protege a sua horta.
A horta do Senhor Lobo que protege a sua horta.
 
GÊNERO TEXTUAL - TIRINHAS - Charges - Cartum
GÊNERO TEXTUAL - TIRINHAS - Charges - CartumGÊNERO TEXTUAL - TIRINHAS - Charges - Cartum
GÊNERO TEXTUAL - TIRINHAS - Charges - Cartum
 
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
 
02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf
 
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptxAD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
AD2 DIDÁTICA.KARINEROZA.SHAYANNE.BINC.ROBERTA.pptx
 
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
 
Slides 1 - O gênero textual entrevista.pptx
Slides 1 - O gênero textual entrevista.pptxSlides 1 - O gênero textual entrevista.pptx
Slides 1 - O gênero textual entrevista.pptx
 
Modelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e TaniModelos de Desenvolvimento Motor - Gallahue, Newell e Tani
Modelos de Desenvolvimento Motor - Gallahue, Newell e Tani
 
UFCD_10392_Intervenção em populações de risco_índice .pdf
UFCD_10392_Intervenção em populações de risco_índice .pdfUFCD_10392_Intervenção em populações de risco_índice .pdf
UFCD_10392_Intervenção em populações de risco_índice .pdf
 
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolaresALMANANHE DE BRINCADEIRAS - 500 atividades escolares
ALMANANHE DE BRINCADEIRAS - 500 atividades escolares
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavras
 

Introdução à Segurança da Informação: Conceitos e Domínios

  • 1. Introdução a Segurança da Informação Carlos Sampaio
  • 2. Conteúdo Programático  Parte 1: A Informação  Parte 2: Conceitos  Parte 3: Por onde começar?  Parte 4: Repositórios de Informação  Parte 5: Genealogia de um Hacker  Parte 6: Ameaças Digitais
  • 3. PARTE 1  A InformaçãoA Informação
  • 4. InformaçãoInformação (Michaelis)  do Lat. informatione s. f., Ato ou efeito de informar ou informar-se; Comunicação; Conjunto de conhecimentos sobre alguém ou alguma coisa; Conhecimentos obtidos por alguém; Fato ou acontecimento que é levado ao conhecimento de alguém ou de um público através de palavras, sons ou imagens; Elemento de conhecimento susceptível de ser transmitido e conservado graças a um suporte e um código.
  • 5. PropriedadePropriedade (Michealis)  do Lat. proprietate s. f., Aquilo que pertença legitimamente a alguém ou sobre o qual alguém tenha direito pleno; Bens, posses; Patrimônio físico(tangível) e imaterial(intangível).
  • 6. ConsideraçãoConsideração  E quando o patrimônio é a informação?
  • 7. Considerações  Segundo a Universidade da Califórnia em Berkeley(2005):  Existe aproximadamente 2.5 Bilhões de documentos acessíveis na WEB;  Este número cresce em cerca de 700 mil páginas por dia.  Velhos jargões  “O segredo é a alma do negócio”;  Novas tendências  Mundo Globalizado, Ubiqüidade, Acesso a Informação.
  • 9. Axioma de Segurança ““Uma corrente não é mais forteUma corrente não é mais forte que o seu elo mais fraco”que o seu elo mais fraco”
  • 10. Segurança da Informação  “A segurança da informação é um conjunto de medidas que se constituem basicamente de controlescontroles e política de segurançapolítica de segurança, tendo como objetivo a proteção das informações dos clientes e da empresa (ativos/bensativos/bens), controlando o riscorisco de revelação ou alteração por pessoas não autorizadas.”
  • 11. Política de Segurança  Trata-se um conjunto de diretrizes (normas) que definem formalmente as regras e os direitos dos usuários, visando à proteção adequada dos ativos da informação
  • 12. Ativos (Bens) Dados  Número de Cartões de Crédito  Planos de Marketing  Códigos Fonte  Informações de RH Serviços  Web sites  Acesso a Internet  Controladores de Domínio  ERP Comunicação  Logins  Transação Financeira  Correio Eletrônico
  • 13. DefiniçõesDefinições  AmeaçaAmeaça  Evento ou atitude indesejável que potencialmente remove, desabilita, danifica ou destrói um recursorecurso;  VulnerabilidadeVulnerabilidade  Característica de fraqueza de um bem;  Características de modificação e de captação de que podem ser alvos os bens, ativos, ou recursos intangíveis de informática, respectivamente, software, ou programas de bancos de dados, ou informações, ou ainda a imagem corporativa.
  • 14. Conceitos BásicosConceitos Básicos  RiscoRisco  A probabilidadeprobabilidade da ocorrência de uma ameaça em particular  A probabilidadeprobabilidade que uma ameaça explore uma determinada vulnerabilidade de um recurso
  • 15. Ameaça, Vulnerabilidade e Risco  Ameaça (evento)  assalto a uma agência bancária  Vulnerabilidade (ponto falho)  liberação manual das portas giratórias pelos vigilantes  Risco  baixobaixo, devido ao percentual de assaltos versus o universo de agências  altoalto, se comparando as tentativas frustradas versus as bem sucedidas
  • 16. Conceitos Fundamentais  Princípios da Segurança ConfidencialidadeConfidencialidade IntegridadeIntegridade DisponibilidadeDisponibilidade ((AAvailability)vailability) SegurançaSegurança
  • 17. CIA – ConfidencialidadeCIA – Confidencialidade  Propriedade de manter a informação a salvo de acesso e divulgação nãonão autorizadosautorizados;  Proteger as informações contra acesso de qualquer pessoa não devidamente autorizada pelo donopelo dono da informação, ou seja, as informações e processos são liberados apenas a pessoas autorizadaspessoas autorizadas.
  • 18. CIACIA –– IntegridadeIntegridade  Propriedade de manter a informação acurada, completa e atualizada  Princípio de segurança da informação através do qual é garantida a autenticidadeautenticidade da informação  O usuário que arquiva dados espera que o conteúdo de seus arquivos não seja alterado por erros de sistema no suporte físico ou lógico
  • 19. CIA – DisponibilidadeCIA – Disponibilidade (Availability)(Availability)  Propriedade de manter a informação disponível para os usuários, quando estes dela necessitarem  Relação ou percentagem de tempo, em que uma unidade do equipamento de processamento está funcionando corretamente
  • 20. Princípios AuxiliaresPrincípios Auxiliares Auditoria Autenticação Autorização IdentificaçãoSigilo Métodos - DAC - MAC - RBAC Vias -O que Sou -O que Sei -O que Tenho Controle de Acesso
  • 21. Controle de AcessoControle de Acesso  Suporta os princípios da CIA  São mecanismos que limitam o acesso a recursos, baseando-se na identidade do usuário, grupo que integra e função que assume.  Em segurança, é suportado pela tríade AAA (definida na RFC 3127)
  • 22. Auditoria (Accountability)Auditoria (Accountability)  É a capacidade que um sistema tem de determinar as ações e comportamentos de um único indivíduo no sistema, e de identificar este indivíduo;  Trilha de auditoria, tentativas de acesso, problemas e erros de máquina, e outros eventos monitorados ou controlados.
  • 23. AutenticaçãoAutenticação  Propriedade de confirmar a identidade de uma pessoa ou entidade.  Meio pelo qual a identidade de um usuário é confirmada, e garante que ele realmente é quem diz ser
  • 24. AutorizaçãoAutorização  São os direitos ou permissões, concedidos a um indivíduo ou processo, que permite acesso a um dado recurso.  Após a identificação e autenticação de um usuário terem sido estabelecidas, os níveis de autorização irão determinar a extensão dos direitos que este usuário pode ter em um dado sistema.
  • 25. SigiloSigilo  Trata-se do nível de confidencialidade e garantia de privacidade de um usuário no sistema;  Ex.: Garante a privacidade dos dados de um usuário em relação ao operador do sistema. IdentificaçãoIdentificação  Meio pelo qual o usuário apresenta sua identidade. Mais frequentemente utilizado para controle de acesso, é necessário para estabelecer Autenticação e Autorização.
  • 27. PARTE 3  Onde Começar ?Onde Começar ?
  • 28. Leis Imutáveis da Segurança  Ninguém acredita que nada de mal possa acontecer até que acontece;  Segurança só funciona se a forma de se manter seguro for uma forma simples;  Se você não realiza as correções de segurança, sua rede não será sua por muito tempo;  Vigilância eterna é o preço da segurança;  Segurança por Obscuridade, não é segurança;  LOGs, se não auditá-los, melhor não tê- los.
  • 29. Leis Imutáveis da Segurança  Existe realmente alguém tentando quebrar (adivinhar) sua senha;  A rede mais segura é uma rede bem administrada;  A dificuldade de defender uma rede é diretamente proporcional a sua complexidade;  Segurança não se propõe a evitar os riscos, e sim gerenciá-los;  Tecnologia não é tudo. By Scott Pulp – Security Program Manager atBy Scott Pulp – Security Program Manager at Microsoft Security Response CenterMicrosoft Security Response Center
  • 30. Responsabilidades da Empresa  “Desde que uma empresa fornece acesso internet a seus funcionários, esta empresa torna-se responsável pelo que ele faz, a menos que possa provar que tomou as medidas cabíveis para evitar problemas” Corporate Politics on the Internet: Connection with Controversy, 1996
  • 31. Segurança nas Organizações  Segurança é um ”processo” que tenta manter protegido um sistema complexo composto de muitas entidades:  Tecnologia (hardware, software, redes)  Processos (procedimentos, manuais)  Pessoas (cultura, conhecimento)  Estas entidades interagem das formas mais variadas e imprevisíveis  A Segurança falhará se focar apenas em parte do problema  Tecnologia não é nem o problema inteiro, nem a solução inteira
  • 32. Ciclo de Segurança  Análise da Segurança (Risk Assessment)  Definição e Atualização de Regras de Segurança (Política de Segurança)  Implementação e Divulgação das Regras de Segurança (Implementação)  Administração de Segurança (Monitoramento, Alertas e Respostas a Incidentes)  Auditorias (Verificação do Cumprimento da Política)
  • 33. Domínios de Conhecimento  “The International Information Systems Security Certification Consortium, Inc. [(ISC)²]”  http://www.isc2.org  A (ISC)2 define 10 domínios de conhecimento (CBK), para sua certificação introdutória CISSP  Certified Information Systems Security Professional  Common Body of Knowledge
  • 34. CBK – Common Body Of Knowledge  Security Management Practices  Access Control Systems  Telecommunications and Network Security  Cryptography  Security Architecture and Models  Operations Security  Applications and Systems Development  Business Continuity Planning and Disaster Recovery Planning  Law, Investigation, and Ethics  Physical Security
  • 35. Outras Certificações  GIAC - Global Information Assurance Certification (Sans.Org)  3 Níveis de Expertise em 5 Áreas de Conhecimento  Níveis  GIAC Silver  2 ou mais testes  GIAC Gold  Silver + Pesquisa e Publicação  GIAC Platinum  Gold em 2 ou mais AC’s + testes(3 dias)  Áreas de Conhecimento  Administração de Segurança  Gerência de Segurança  Operações  Legislação
  • 36. Outras Certificações  CompTIA – Security+  5 Domínios de Conhecimento  Communication Security  Infrastructure Security  Cryptography  Operational Security  General Security Concepts
  • 37. Outras Certificações  MCSO – Módulo Certified Security Officer  2 Módulos compreendendo:  Conceitos, Padrões e Aplicações  Fundamentos de Segurança da Informação  Organização de departamentos  Gestão de pessoas  Política de Segurança da Informação.  Gestão de Tecnologias  Windows/Unix  Segurança em redes e telecomunicações  Controle de acesso  Arquitetura e modelos de segurança  Criptografia
  • 38. Outros Recursos  Academia Latino Americana de Segurança da Informação  Parceria Módulo / Microsoft  Composta por:  Estágio Básico (4 módulos)  Graduação  Cada disciplina tem seu número de módulos  Em 2006 foram oferecidos o Estágio Básico e a disciplina de ISO17799:2005  Ainda sem calendário e número de vagas para 2007  Necessário possuir usuário cadastrado no site do TechNet
  • 40. Sites Úteis  http://www.insecure.org  http://www.securityfocus.com  http://www.sans.org  http://www.digg.com  http://techrepublic.com.com  http://www.hackaday.com  http://slashdot.org  http://www.modulo.com.br
  • 41. RSS e PodCasts  Agregadores:  Itunes  Democracy Player  FireAnt  Plugins do IE e Firefox  Mídias  Áudio mp3/mp4/aac  Vídeo DivX/A3C/Streaming
  • 42. Alguns PodCasts  Security Now!  http://www.grc.com/securitynow.htm  2600 - Off The Hook  http://www.2600.com/offthehook  SploitCast  http://www.sploitcast.com  TWiT – This Week in Tech  http://www.twit.tv/TWiT  Extreme Tech  http://www.extremetech.com
  • 43. Video PodCasts  HAK.5  http://www.hak5.org  Local Area Security  http://www.localareasecurity.com  IronGeek  http://irongeek.com  Hacking Illustrated  Revision3  http://www.revision3.com  Digital Life Television (DL Tv)  http://dl.tv
  • 44. Congressos e Eventos  HOPE – Hacker on Planet Earth  http://www.hopenumbersix.net  DEFCon  http://www.defcon.org – Archives  BlackHat  http://www.blackhat.com – Archives  H2HC – Hackers 2 Hackers Conference  http://www.h2hc.org.br  CCC.de – Chaos Computer Club  http://www.ccc.de
  • 45. Filmes  Jogos de Guerra (WarGames)  1983, vários  Quebra de Sigilo (Sneakers)  1992, Robert Redford  Piratas de Computador (Hackers)  1995, Angelina Jolie  O Cyborg do Futuro (Johnny Mnemonic)  1995, Keanu Reeves  A Senha (Swordfish)  2001, John Travolta  A Rede (The Net)  1995, Sandra Bullock  Ameaça Virtual (Antitrust)  2001, Ryan Phillippe  Matrix (The Matrix)  1999, Keanu Reeves  Caçada Virtual (Takedown)  2000, Russell Wong  Piratas do Vale do Silício (Pirates of Silicon Valley)  1999, vários  A Batalha do Atlântico (U- 571)  2000, Matthew McConaughey  O Caçador de Andróides (Blade Runner)  1982, Harrison Ford
  • 46. Listas de Discussão  CISSPBr  Yahoo Groups  BugTraq  Modulo Newsletter Outras Fontes • The Hacker News Network
  • 47. PARTE 5  Genealogia de umGenealogia de um HackerHacker
  • 48. Hacker  “Unauthorized user who attempts to or gains access to an information system.”  www.tecrime.com/0gloss.htm  “A person who illegally gains access to your computer system.”  www.infosec.gov.hk/english/general/glossary_gj.htm  “A person who illegally gains access to and sometimes tampers with information in a computer system.”  http://www.webster.com/dictionary/hacker  “A person who accesses computer files without authorization, often destroying vast amounts of data.”  www.boydslaw.co.uk/glossary/gloss_itip.html
  • 49. Linha do Tempo: ‘Hacker’ 1878-1969 Surgimento da BELL TC - Primeira geração de Hackers de Computadores; - Estudantes do MIT nos anos 60; - Capacidade de alterar programas ('hacks') em mainframes para melhorar programas. - Neste caso 'Hacker' tinha uma conotação positiva. - Indicava pessoas capazes de levar programas além de sua capacidade original. Anos 70 Primeiros Phreakers - Phreaker = Freak, Phone, Free - Surgiu após a substituição das telefonistas por sistemas telefonicos gerenciados por computador - Lenda do garoto cego que conseguiu assoviar um tom de 2600 Hz enquanto conversava com sua tia - Fato Captain Crunch e o apito da caixa de cereais que gerava o mesmo ton de 2600 Hz - Steeve Jobs + Steve Wozniak + Altair8000 = 1o. BlueBox (Berkley) Proliferação dos PCs 1980-1985 -A Evolução da cultura Hacker surge com o aparecimento do PC - Filme War Games - Surgimento da 2600: Hacker Quaterly - Acessar computadores, e tudo aquilo que possa lhe ensinar mais alguma coisa sobre como o mundo funciona, deve ser ilimitado e completo. Anos 90 Combate a ameaça Hacker 1985-1990 Roubos, Bugs e Federais -Legislação: Julgamento do primeiro hacker por invasão constante do DoD por diversos anos, Pat Riddle AKA Captain ZAP - Apenas acessar já não era suficiente, distribuição de rpogramas e jogos, e o aparecimento de individuos que não mais respeitavam os códigos de ética - Os verdadeiros hackers começam a se distanciar dos que agra se conhece como ‘Crackers’ - Surgem os primeiros Virus e Worms 2000+ Hackining: hoje e no futuro - Kevin Mitnick - Em resposta as diversas prisões anunciadas na mídia, o termo ‘Hacker’ passa a ter uma conotação pejorativa - Surge o filme Hackers - Novas técnicas, antigos padrões - Negação de Serviço, novos víros em arquivos de dados (mp3, jpeg, …) - Nasce a consciência comum de Segurança da Informação - Corporações reconhecem a necessidade por segurança - A mídia perpetua o Hacker como uma ameaça - Iniciativas isoladas tentam resgatar o aspecto positivo dos Hackers - Surgem os termos ‘White Hat’ e ‘Black Hat’
  • 50. Trilha Evolutiva Usuário Geek Nerd Script Kid CrackerHacker Lammer White Hat Black Hat
  • 51. População por segmento Usuários, Curiosos e Iniciantes Geeks e Nerds Script Kidies e Lammers Hackers e Crackers White e Black Hats
  • 52. VT: Parte 1 (1,5 ponto)  Dividir a sala em 6 grupos aproximadamente iguais.  Cada grupo apresentará um dos temas abaixo, sendo 15 min para apresentação e 5 min para perguntas  Data da Apresentação:  Próx. Quarta-Feira (14/MAR/2007)Próx. Quarta-Feira (14/MAR/2007)  Temas:  Vírus  Worm  Backdoor  Cavalo de Tróia (Trojan)  Bomba Lógica  RootKit  Composição do trabalho:  Uma apresentação (ex.: PPT) – 1 ponto  Uma pesquisa sobre o tema escolhido (ex.: DOC) – 0,5 ponto
  • 53. PARTE 6  Ameaças DigitaisAmeaças Digitais
  • 54. Ataques  Geralmente divididos nos seguintes tipos:  Pelo alvo geral do ataque (aplicações, redes ou misto)  Se o ataque é ativo ou passivo  Pelo mecanismo de ataque (quebra de senha, exploração de código, ...)  Ataques Ativos  DoS, DDoS, buffer overflow, inundação de SYN  Ataques Passívos  Pesquisa de vulnerabilidade, sniffing, ...  Ataques de Senha  Força bruta, Dicionário, “hackish”, Rainbow Tables  Código malicioso (malware)  Vírus, trojans, worms, ...
  • 55. Ataques Ativos  DoS/DDoS  Reduzir a qualidade de serviço a níveis intoleráveis  Tanto mais difícil quanto maior for a infra- estrutura do alvo  Enquanto DoS é de fácil execução e pode ser corrigido, DDoS é de difícil e não pode ser evitado  “Zombies” e Mestres (Masters), ataque smurf  BOTs e BOTNets, ataques “massificados” por banda larga  Tipos  Consumo de Recursos (largura de banda, cpu, RAM, ...)  Pacotes malformados (todas as flags ligadas)
  • 56. Ataques Ativos (cont.)  Buffer Overflow  Sobrescrever o próprio código em execução  “Shell code”, escrito em assembler  Tem como objetivo executar algum código, ou conseguir acesso privilegiado  Ataques SYN  Fragilidade nativa do TCP/IP  Conexão de 3-vias (Syn, Syn-Ack, Ack)  Spoofing  Se fazer passar por outro ativo da rede  MITM (Man-In-The-Middle) Dsniff
  • 57. Ataques Ativos (Cont.)  Lixeiros  Documentos sensíveis mal descartados  Informações em hardwares obsoletos  Falta de Política de Classificação da Informação  Engenharia social  Kevin Mitnick  Normalmente relevada nos esquemas de segurança  Utiliza-se do orgulho e necessidade de auto- reconhecimento, intrínseco do ser humano ““Um computador não estará seguro nemUm computador não estará seguro nem quando desligado e trancado em uma sala,quando desligado e trancado em uma sala, pois mesmo assim alguém pode ser instruído apois mesmo assim alguém pode ser instruído a ligá-lo.”ligá-lo.” [ Kevin Mitnick – A arte de enganar/The Art of Deception ]
  • 58. Ataques ativos por código malicioso  Malware  MALicious softWARE  Não apenas Spyware ou Adware  “Payload” Vs Vetor  Vírus  Auto replicante  Interfere com hardware, sistemas operacionais e aplicações  Desenvolvidos para se replicar e iludir detecção  Precisa ser executado para ser ativado
  • 59. Ataques ativos por código malicioso (cont)  Cavalos de Tróia (Trojans)  Código malicioso escondido em uma aplicação aparentemente legítma (um jogo por exemplo)  Fica dormente até ser ativado  Muito comum em programas de gerência remota (BO e NetBus)  Não se auto replica e precisa ser executado  Bombas Lógicas  Caindo em desuso pela utilização de segurança no desenvolvimento  Aguarda uma condição ser atingída  Chernobyl, como exemplo famoso (26, Abril)
  • 60. Ataques ativos por código malicioso (cont)  Worms  Auto replicante, mas sem alteração de arquivos  Praticamente imperceptíveis até que todo o recurso disponível seja consumido  Meio de contaminação mais comum através de e-mails e/ou vulnerabilidades em aplicações de rede  Não necessita de ponto de execução  Se multiplica em proporção geométrica  Exemplos famosos:  LoveLetter, Nimda, CodeRed, Melissa, Blaster, Sasser, ...
  • 61. Ataques ativos por código malicioso (cont)  Back Door  Trojan, root kits e programas legítmos  VNC, PCAnyware, DameWare  SubSeven, Th0rnkit  Provê acesso não autenticado a um sistema  Rootkit  Coleção de ferramentas que possibilitam a criação “on-demand” de backdoors  Modificam rotinas de checagem dos sistemas operacionais comprometidos para impedir detecção  Iniciam no boot junto com os processos do sistema
  • 62. Ataques Passívos  Normalmente utilizado antes de um ataque ativo  Pesquisa de Vulnerabilidades  Pesquisa por Portas/Serviços  http://www.insecure.org – Nmap  Escuta (sniffing)  Extremamente difícil detecção  Não provoca ruído sensível  Senhas em texto claro, comunicações não encriptadas  Redes compartilhadas Vs comutadas  Switch Vs Hub  WireShark (Lin/Win), TCPDump (Lin)  http://www.wireshark.org  http://www.tcpdump.org
  • 63. Ataques Passívos (cont)  Ataques de Senha  Muito comuns pela facilidade de execução e taxa de sucesso  Cain&Abel, LC5, John The Ripper, ...  Compara Hash’s, não texto  Força Bruta  Teste de todos os caracteres possíveis  Taxa de 5 a 6 Milhões de testes/seg, em um P4  Ataques de Dicionário  Reduz sensivelmente o tempo de quebra  Já testa modificado para estilo “hackish”  B4n4n4, C@73dr@l, P1p0c@, R007, ...  Rainbow Tables  Princípio Time Memory Trade-off (TMTO)

Notas del editor

  1. Security Bulletin http://video.google.com/videoplay?docid=-987682130144909527&q=%22internet+security%22&hl=en