SUP:SegurancaWEB

De Wiki Unioeste NTI
Ir para: navegação, pesquisa

Tabela de conteúdo

Introdução

Um computador, para ser dito seguro, precisa atender a três itens:

  • confidencialidade: restrição de acesso não autorizado ao computador
  • integridade: consistência de informações do computador
  • disponibilidade: acesso autorizado irrestrito das informações do computador

Justificativa

Deve existir o zelo e a manutenção da segurança nos computadores, tanto o pessoal quanto o de trabalho ou estudo, porque:

  • as informações existentes podem vir a ser acessadas (através de furos de segurança)
  • o equipamento pode ser danificado (por virus)
  • os serviços podem ser cortados (pelo excesso de uso)

Conceitos de Segurança

senhas

O objetivo de uma senha é proteger informações. Em quase todos os casos vem associada a um login e vai servir pra identificar este usuário.

senha ruim

Para elaborar uma senha, devem ser evitados alguns procedimentos, tais como:

  • nome e/ou sobrenome
  • número de documento, telefone ou placa de carro
  • datas
  • palavras de dicionário

A regra é evitar qualquer informação que possa ser associada ao usuário. Evite também palavras e/ou expressões comuns, como palavras de dicionário, nomes de artistas, músicas, etc, pois existem softwares especializados em identificar senhas que tentam esta abordagem antes de tentar o método conhecido como força-bruta.

senha eficiente

Uma forma eficiente de elaborar uma senha é utilizar uma palavra de fácil memorização, mas com os caracteres alterados de alguma forma, seja através da alternância entre maiúsculas e minúsculas, seja pela substituição de caracteres alfabéticos por númericos ou símbolos. Outra forma é utilizar a primeira ou a segunda ou a terceira letra de frases conhecidas.

A senha perfeita não existe. Portanto, troque-a periodicamente para evitar que a utilização de métodos para desvendá-la tenham tempo para isso.

engenharia social

É o processo de quebrar os meios de proteção do usuário através dele mesmo, seja obtendo informações em buscadores, enganando-o para que ele forneça a informação, buscando em seu local de trabalho ou até mesmo em seu lixo.

criptografia

É o processo codifica uma informação permitindo decodificá-la quando necessário por usuários autorizados.

criptografia de chaves

O uso de chaves únicas e de chaves públicas e privadas garantem a integridade que uma informação. No caso de uma informação com chave única, a mesma senha utilizada para codificar serve para descodificá-la. No caso de chave pública e privada, uma codifica e outra descodifica.

certificação digital

Através dos mecanismos criptográficos, foi possível criar um método de validação confiável. Assim, bancos, órgãos públicos e mesmo cartórios podem verificar a autenticidade de uma transferência, nota fiscal ou documento.

Riscos Envolvidos no Uso de Internet e Métodos de Prevenção

programas leitores de email

Email é a principal fonte de pragas virtuais que disseminam-se na rede; seja elas virus, trojans ou spams com códigos maliciosos. Ao utilizar um programa leitor de email é necessário tomar cuidado com as suas configurações afim de evitar os meios mais comuns de falha de segurança em emails. Merece um destaque a observação à links desconhecidos em emails de origem desconhecida. Estes nunca devem ser clicados.

navegadores

São os programas utilizados para surfar na web. Fazem a tradução de conteúdos recebidos pela rede para uma linguagem inteligível para o usuário, mostrando o texto, as imagens e executando pequenos códigos chamados javascripts, activeX e java que servem para melhorar a funcionalidade do navegador conforme o programador deseja. A segurança pode ser obtida através dos seguintes passos:

  • manter o navegador sempre atualizado
  • identificar a origem da página
  • desativar os itens de javascripts, activeX e java em páginas desconhecidas ou suspeitas
  • bloquear popups
  • somente acessar páginas de instituições financeiras através da digitação direta no navegador, nunca através de links enviados por email.

antivirus

São programas que detectam e anulam os arquivos que possam danificar o computador do usuário. Alguns também detectam programas invasores, verificam o conteúdo de emails e protegem o acesso à internet. Para manter o antivirus funcional e eficaz, algumas recomendações devem ser seguidas:

  • manter o antivirus atualizado
  • configurá-lo para verificar emails (caso exista esta funcionalidade)
  • verificação automática de mídias removíveis
  • manter uma mídia com o sistema de recuperação de emergência do antivirus para utilizar no caso de eventuais falhas

firewalls

É um programa que filtra as portas (caminhos possíveis para entrada de dados) da internet. Alguns firewalls também identificam a origem de tentativas de invasão, permitindo que o invasor seja analisado e isolado ou rastreado.

programas de trocas de mensagens

O maior problema dos programas de trocas de mensagem é seu próprio conteúdo. Com o uso de engenharia social o atacante pode conseguir dados sensíveis a respeito do usuário e, através deles, atingir seu objetivo, seja ele qual for (invasão, fraude de cartão de crédito, uso de conexão de internet, etc). Para se proteger durante o uso de programas de trocas de mensagens, siga as seguintes recomendações:

  • mantenha o programa atualizado
  • não aceite arquivos de estranhos
  • utilize um antivirus
  • não forneça informações importantes
  • configure o programa para esconder seu IP.

programas de distribuição de arquivos

São programas que permitem a troca de arquivos de uma comunidade através de páginas de fóruns, de servidores centrais ou diretamente com Peer to Peer. Os riscos envolvidos nestes programas são:

  • suas vulnerabilidades
  • arquivos com códigos maliciosos ou virus
  • violação de direitos autorais

compartilhamento de recursos do windows

Para evitar problemas com compartilhamento de recursos, devem ser seguidas algumas recomendações:

  • utilizar um antivirus
  • estabelecer níveis de acesso
  • não compartilhar dados sensíveis

cópias de segurança

As cópias de segurança, também conhecidas como backups, são empregadas para criar uma redundância nas informações de um computador, ou seja, duplicar o conteúdo para que este seja recuperado caso haja algum problema. Ao realizar uma cópia de segurança, alguns itens devem ser levados em consideração:

  • escolha dos dados
  • mídia utilizada
  • local de armazenamento
  • mais de uma cópia
  • segurança dos dados

Privacidade

emails

A privacidade de um email está associada à utilização dos meios descritos no item Conceitos de Segurança. Uma vez que os utilize, com menção especial a senha e criptografia, os emails encontram-se protegidos de acesso não autorizado.

cuidados com dados pessoais

Ao utilizar o computador e principalmente a internet para armazenar dados pessoais, deve existir o cuidado com o que está sendo publicado a forma de publicação destes dados. Sites especializados em publicar informações do usuário, como myspace e orkut, podem ser usados por terceiros para obter informações que de outra forma não estariam disponíveis, tais como fotos, nomes, telefones, endereços. Blogs pessoais de qualquer atividade também não podem conter este tipo de informação. Para comunicar-se com os leitores, utilize única e exclusivamente o email porque, conforme já vimos, este constitui um canal de comunicação seguro o suficiente para interação com a comunidade. Informações que permitam fraude não devem ser publicadas, com excessão de páginas conhecidas do usuário e seguindo os Conceitos de Segurança previamente descritos.

Fraudes na Internet

engenharia social

Além da descrição acima sobre engenharia social, detalharemos aqui os métodos de abordagem utilizados pelos fraudadores.

Estelionatários costumam contatar suas vítimas principalmente através de 3 vias:

  • pessoalmente
  • conversas telefônicas
  • com emails

Trataremos aqui do dois últimos itens.

Ao receber telefonemas estranhos de promoções, onde é anunciado que você é o ganhador, tenha muito cuidado. Analise a conversa com o atendente para tentar identificar uma fraude e nunca, em hipótese alguma, forneça informações sensíveis. Caso desconfie, solicite que ele forneça informações suas. E se a dúvida persistir, solicite o telefone para retornar a ligação, alegando qualquer motivo. Se for idôneo, não haverá problemas.

Emails não solicitados representam um problema crescente. Além de tomarem seu tempo para classificá-los e apagá-los, também escondem falsos anúncios de prêmios, venda de produtos farmacêuticos e outras coisas que não pertencem ao seu ambiente de trabalho. São os chamados Spams. No contexto de engenharia social e fraudes, são utilizados usando nomes, assunto e informações genéricas e disparados para milhares de pessoas, no intuito de fisgar algum incauto. Mesmo que haja um nome conhecido e uma informação relevante, se não conhecer o remetente ou o endereço do mesmo, desconfie.

Emails não solicitados com links para instituições financeiras sempre devem ser considerados falsos. Os links são nomeados com o endereço correto, mas apresentam seu verdadeiro direcionamento para sites de banco clonados. Maiores detalhes em comércio eletrônico e internet banking.

Usando estes meios, podemos exemplificar algumas fraudes, conforme segue abaixo.

scam

É um dos termos usados para descrever uso de meios eletrônicos para realizar fraudes e propiciar ganhos financeiros ilícitos. Utiliza tanto emails quanto páginas adulteradas para tais fins.

ofertas inacreditáveis em sites de leilão

Trate-as como tal: inacreditáveis. É um exemplo típico de fraude onde o usuário é induzido a pagar uma entrada mas nunca recebe o produto/serviço. Geralmente o estelionatário utiliza o meio eletrônico para realizar um golpe que pode ser realizado "cara a cara".

o golpe da Nigéria

É um golpe realizado através de email ou sites. Trata-se de um convite para ganhar milhares ou milhões de reais ou dólares, onde a vítima é induzida a fornecer informações ou dinheiro antecipadamente para viabilizar a transferência de dinheiro da Nigéria (ou qualquer outro país), atuando como "laranja".

phishing

Phishing ou fishing é uma analogia ao processo de "pescar" informações pessoais e financeiras do usuário, utilizando engenharia social ou códigos maliciosos em emails e páginas. O fraudador também utiliza-se do nome de outrém ou de instituições.

comércio eletrônico e internet banking

É realizado clonando, falsificando ou adulterando uma página de instituição financeira ou de comércio eletrônico, fazendo o usuário pensar que está tratando com a página verdadeira e acabar por fornecendo informações sensíveis.

Para evitar este caso de fraude especialmente crítico, podemos tomar alguns cuidados que ajudam a evitá-lo:

  • realizar transações comerciais somente em páginas em que o usuário confie (ou possa cobrar responsabilidade)
  • sempre digitar o endereço; nunca através de links em emails
  • procurar identificar a página em questão como verdadeira
  • não acessar através de computadores de terceiros (especialmente em lan houses)
  • estar atendo às recomendações básicas de segurança

conexão segura

É a utilização de conexão criptografada (codificada) para a transmissão dos dados. Visa proteger o usuário e suas informações de escutas em sua conexão. É muito efetiva, mas depende do usuário identificá-la corretamente.

certificação digital

É o processo utilizado para validar uma página, através de criptografia e utilização de chaves pública/privada. No Brasil, a entidade certificadora raiz é a ICP-Brasil.

sites falsificados

São páginas ou sites que, de alguma forma, passaram por uma modificação não autorizada com o intuito de enganar seus visitantes e usuários, levando-os para outras páginas, a executar tarefas que comprometam seus dados pessoais ou a infectarem seu computador com pragas virtuais como virus, worms e trojans.

sintomas de dados roubados

Para detectar se seus dados pessoais foram roubados, verifique regularmente seus extratos, procurando por cobranças, transferências ou débitos não autorizados.

Se houverem indícios desse tipo de atividade, comunique a instituição envolvida e redobre o cuidado com as demais. Também é importante informar a delegacia de polícia, registrando um Boletim de Ocorrência, caso seja comprovada a fraude.

boatos

São informações passadas em emails com conteúdo alarmante e de caráter urgente. Geralmente tem links para uma empresa, instituição ou órgão governamental cujo assunto trata, para dar veracidade. Uma leitura minuciosa quase sempre revela dados absurdos e sem sentido. Seu objetivo é criar um meio de validar o email do usuário, captar novos emails, prejudicar a instituição alvo de seu conteúdo.

Como exemplo podemos citar:

  • correntes
  • pirâmides
  • casos terminais de câncer
  • desaparecidos

Para identificá-los podemos verificar as seguintes características:

  • sugerem consequencias trágicas caso não sejam seguidos à risca
  • prometem ganhos financeiros
  • dá instruções para utilizar um programa detector de virus (geralmente em anexo)
  • afirma não ser um boato
  • tem erros ortográficos e gramaticais
  • enfatiza o repasse a outros emails
  • já foi repassado diversas vezes

Para evitá-los, devemos:

  • verificar a veracidade de seu conteúdo
  • verificar a origem
  • não repassá-los indiscriminadamente

Redes de Banda Larga e Redes Sem Fio

banda larga

Geralmente, um computador com acesso a banda larga tem conexão com boa velocidade, muda de IP com pouca frequencia e fica períodos longos conectado à internet. Apesar disso, não conta com as proteções usualmente empregadas em servidores, o que os torna alvos fáceis para ataques.

O objetivo dos atacantes é arrebanhar o maior número possível de máquinas sob seu controle, onde os computadores dominados tornam-se "zumbis" que escondem a real identidade e localização do atacante. O objetivo final do ataque é atingir um terceiro alvo para derrubar ou modificar um site, furtar informações de cartão de crédito e senhas.

redes sem fio

A principal diferença da rede sem fio de uma tradicional é a inexistência de uma via material. Isto implica em interceptação de sinal, embora a rede física também possa sofrer desse mal, e uso do mesmo. Para evitar problemas, deve-se configurar a rede para trabalhar sempre sob acesso restrito com o uso de usuário e senha e criptografia.

Spam

É o termo utilizado para definir emails não solicitados.

Os problemas ocasionados ao usuário devido aos spams são:

  • não recebimento de emails
  • gasto desnecessário de tempo
  • aumento de custos
  • perda de produtividade
  • conteúdo impróprio ou ofensivo
  • prejuízos financeiros causados por fraude

Além disso, os provedores de acesso e backbones também sofrem com o problema:

  • impacto na banda
  • má utilização dos servidores
  • inclusão em listas de bloqueio
  • investimento em pessoal e equipamento

Os spammers, termo utilizado para definir os responsáveis pela prática de spam, utilizam alguns mecanismos para obter os emails, como o roubo de endereços nos servidores, compra de banco de dados e geração própria através de programas maliciosos, harvesting e ataques de dicionário.

Os programas maliciosos infectam uma máquina desprotegida e vasculham-na atrás de endereços de email. Depois repassam a lista adquirida ao spammer.

O harvesting consiste em buscas através da web de endereços de email vinculados a páginas e sistemas.

O ataque de dicionário por sua vez faz tentativas de envio de emails utilizando um dicionário com alguns possíveis prefixos, radicais e sufixos, na tentativa de descobrir emails válidos.

filtragem e bloqueio de spams

Consiste na utilização de softwares específicos que podem identificar (filtrar) os spams e bloqueá-los. Estes softwares devem ser aplicados em duas instâncias: nos servidores, onde podem seguir regras mais amplas e técnicas de detecção, e na máquina do usuário, onde recebem um tratamento mais fino e seguindo regras particulares de cada usuário.

Incidentes de Segurança

É todo evento adverso, sob suspeita ou confirmado, relativo à segurança nos sistemas de computação.

São exemplos de incidentes de segurança:

  • tentativas de ganhar acesso não autorizado
  • ataques de negação de serviço
  • uso ou acesso não autorizado de um sistema
  • mudanças em um sistema sem o consentimento de seu responsável
  • desrespeito à política de segurança vigente

Uso Abusivo da Rede

Não há uma definição exata do que pode ser o uso abusivo da rede.

Podemos citar alguns exemplos comuns:

  • envio de spam
  • envio de correntes da felicidade ou para ganhar dinheiro rápido
  • envio de emails de phishing/scam
  • cópia ou distribuição não autorizada de material protegido por direitos autorais
  • utilizar a internet para fazer calúnia, difamação ou ameaças
  • ataques a outros computadores
  • comprometimento de computadores ou redes

Bibliografia

Cartilha de Segurança para Internet versão 4.0

Para Saber Mais

Comitê Gestor da Internet no Brasil

Nova ameaça simula site da Caixa

criminosos brasileiros aprimoram estratégia na web

Diário de uma vitima em potencial na internet

Nova técnica spammer tenta desabilitar filtros

Entenda o que são worms e vírus e saiba como se proteger de ataques

FBI detecta um milhão de PCs zumbis nos EUA

Obtida de "http://www7.unioeste.br/mediawiki/index.php?title=SUP:SegurancaWEB&oldid=2273"
Ferramentas pessoais
Espaços nominais
Variantes
Ações
Navegação
Ferramentas