13 - Mecanismos de Segurança
Mapa mental do conteúdo da aula sobre mecanismos de segurança para os alunos do curso de engenharia elétrica da faculdade metropolitana de Porto Velho, ministrada pelo professor Autran (www.profautran.com.br)
1. Conceitos
1.1. Na vida real
1.1.1. o contato pessoal
1.1.2. apresentação de documentos
1.1.3. presença na agência do seu banco
1.1.4. os Cartórios podem reconhecer a veracidade da assinatura
1.2. Na Internet
1.2.1. Requisitos básicos de segurança
1.2.1.1. Identificação
1.2.1.1.1. permitir que uma entidade se identifique, ou seja, diga quem ela é
1.2.1.2. Autenticação
1.2.1.2.1. verificar se a entidade é realmente quem ela diz ser
1.2.1.3. Autorização
1.2.1.3.1. determinar as ações que a entidade pode executar
1.2.1.4. Integridade
1.2.1.4.1. proteger a informação contra alteração não autorizada
1.2.1.5. Confidencialidade ou sigilo
1.2.1.5.1. proteger uma informação contra acesso não autorizado
1.2.1.6. Não repúdio
1.2.1.6.1. evitar que uma entidade possa negar que foi ela quem executou uma ação.
1.2.1.7. Disponibilidade
1.2.1.7.1. garantir que um recurso esteja disponível sempre que necessário
1.2.2. São garantidos através dos mecanismos de segurança
1.2.2.1. falso positivo
1.2.2.1.1. mecanismo de segurança aponta uma atividade como sendo maliciosa ou anômala, quando na verdade trata-se de uma atividade legítima
1.2.2.1.2. não deve ser motivo para que os mecanismos de segurança não sejam usados
2. Politica de segurança
2.1. define os direitos e as responsabilidades de cada um em relação à segurança
2.1.1. penalidades às quais está sujeito, caso não a cumpra
2.2. Composta de:
2.2.1. Política de senhas
2.2.1.1. tamanho mínimo e máximo
2.2.1.2. regra de formação
2.2.1.3. periodicidade de troca
2.2.2. Política de backup
2.2.2.1. mídia utilizada
2.2.2.2. período de retenção
2.2.2.3. frequência de execução
2.2.3. Política de privacidade
2.2.3.1. como são tratadas as informações pessoais
2.2.3.1.1. Clientes
2.2.3.1.2. usuários
2.2.3.1.3. fincionários
2.2.4. Política de confidencialidade
2.2.4.1. como são tratadas as informações institucionais
2.2.5. Política de uso aceitável (PUA)
2.2.5.1. "Termo de Uso"
2.2.5.2. regras de uso dos recursos
2.2.5.2.1. compartilhamento de senhas
2.2.5.2.2. divulgação de informações confidenciais
2.2.5.2.3. envio de boatos
2.2.5.2.4. cópia e distribuição não autorizadas
2.2.5.2.5. ataques a outros computadores
2.3. Cuidados
2.3.1. procure estar ciente da política de segurança da empresa onde você trabalha
2.3.1.1. dos serviços que você utiliza (como Webmail e redes sociais)
2.3.2. fique atento às mudanças que possam ocorrer nas políticas
2.3.3. fique atento à política de confidencialidade da empresa onde você trabalha
2.3.4. notifique sempre que se deparar com uma atitude considerada abusiva
2.3.4.1. responsáveis pelo computador
2.3.4.2. responsáveis pela rede
2.3.4.2.1. Whois
2.3.4.3. grupo de segurança
2.3.4.4. Devem incluir o maior numero de informações possível
2.3.4.4.1. logs completos
2.3.4.4.2. data, horário e fuso horário
2.3.4.4.3. dados completos do incidente
3. Contas e Senhas
3.1. mecanismo de autenticação mais usado para o controle de acesso a sites e serviços oferecidos pela Internet
3.2. Tipos de Autenticação
3.2.1. aquilo que você é
3.2.1.1. Biométrica
3.2.2. aquilo que apenas você possui
3.2.2.1. cartão
3.2.2.2. Token
3.2.3. aquilo que apenas você sabe
3.2.3.1. Senhas
3.2.3.2. Perguntas
3.3. Problemas
3.3.1. acessar a sua conta de correio eletrônico
3.3.1.1. ler seus e-mails
3.3.1.2. enviar mensagens de spam
3.3.1.3. phishing e códigos maliciosos
3.3.1.4. furtar sua lista de contatos
3.3.1.5. pedir o reenvio de senhas
3.3.2. acessar o seu computador
3.3.2.1. obter informações sensíveis
3.3.2.2. esconder a real identidade
3.3.2.3. desferir ataques
3.3.3. acessar sites
3.3.3.1. tornar públicas informações que deveriam ser privadas
3.3.4. acessar a sua rede social
3.3.4.1. usar a confiança que as pessoas tem em você
3.4. Como eles descobrem a sua senha?
3.4.1. computadores infectados
3.4.2. sites falsos
3.4.3. tentativas de adivinhação
3.4.4. Snifing
3.4.5. Coockie
3.4.6. engenharia social
3.4.7. observação da movimentação dos seus dedos no teclado
3.5. Cuidados
3.5.1. certifique-se de não estar sendo observado ao digitar as suas senhas
3.5.2. não forneça as suas senhas para outra pessoa
3.5.3. certifique-se de fechar a sua sessão ao acessar sites que requeiram o uso de senhas
3.5.4. elabore boas senhas
3.5.5. altere as suas senhas sempre que julgar necessário
3.5.6. não use a mesma senha para todos os serviços que acessa
3.5.7. evite escolher questões cujas respostas possam ser facilmente adivinhadas
3.5.8. utilizar serviços criptografados
3.5.9. manter sua privacidade
3.5.10. mantenha a segurança do seu computador
3.5.11. Cuidados com computadores públicos
3.6. Elaboração de Senhas
3.6.1. Evitar
3.6.1.1. Qualquer tipo de dado pessoal
3.6.1.2. Sequências de teclado
3.6.1.3. Palavras que façam parte de listas
3.6.2. Sempre usar
3.6.2.1. Números aleatórios
3.6.2.2. Grande quantidade de caracteres
3.6.2.3. Diferentes tipos de caracteres
3.6.3. Dicas
3.6.3.1. Selecione caracteres de uma frase
3.6.3.1.1. O Cravo brigou com a Rosa debaixo de uma sacada
3.6.3.1.2. OCbcaRddus
3.6.3.2. Utilize uma frase longa
3.6.3.2.1. Evite citações comuns
3.6.3.2.2. 1 dia ainda verei os aneis de Saturno!!!
3.6.3.3. Faça substituições de caracteres
3.6.3.3.1. Crie o seu próprio padrão
3.6.4. Alteração de senhas
3.6.4.1. Computador ou celular roubado ou perdido
3.6.4.2. Desconfiar de acesso indevidos
3.6.4.3. Mesma senha ou mesmo padrão
3.6.4.4. Sempre que comprar aparelho novos
3.6.4.5. Regularmente
3.6.4.5.1. Evitar períodos muito cursos
3.6.5. Cuidados
3.6.5.1. Reutilização de Senhas
3.6.5.1.1. procure não usar a mesma senha para assuntos pessoais e profissionais
3.6.5.1.2. jamais reutilize senhas que envolvam o acesso a dados sensíveis
3.6.5.2. "Lembre-se de mim" e "Continuar conectado"
3.6.5.3. Salvar as senhas no navegador Web
3.6.5.4. Criar grupos de senhas, de acordo com o risco envolvido
3.6.5.5. Usar um programa gerenciador de contas/senhas
3.6.5.5.1. Gravar em um arquivo criptografado
3.6.6. Recuperação de Senhas
3.6.6.1. podem ser usados por atacantes que queiram se apossar da sua conta
4. Criptografia
4.1. protege seus dados contra acessos indevidos
4.2. Possibilita
4.2.1. proteger os dados sigilosos armazenados em seu computador
4.2.2. criar uma área (partição)
4.2.3. proteger seus backups contra acesso indevido
4.2.4. proteger as comunicações realizadas pela Internet
4.3. Conceitos
4.3.1. Texto claro
4.3.1.1. Informação legível (original) que será protegida, ou seja, que será codificada
4.3.2. Texto codificado (cifrado)
4.3.2.1. Texto ilegível, gerado pela codificação de um texto claro
4.3.3. Codificar (cifrar)
4.3.3.1. Ato de transformar um texto claro em um texto codificado
4.3.4. Decodificar (decifrar)
4.3.4.1. Ato de transformar um texto codificado em um texto claro
4.3.5. Método criptográfico
4.3.5.1. Conjunto de programas responsável por codificar e decodificar informações
4.3.6. Chave
4.3.6.1. Similar a uma senha, é utilizada como elemento secreto pelos métodos criptográficos.
4.3.6.1.1. Medido em Bits
4.3.7. Canal de comunicação
4.3.7.1. Meio utilizado para a troca de informações
4.3.8. Remetente
4.3.8.1. Pessoa ou serviço que envia a informação
4.3.9. Destinatário
4.3.9.1. Pessoa ou serviço que recebe a informação
4.4. Tipos
4.4.1. Criptografia de chave simétrica
4.4.1.1. criptografia de chave secreta
4.4.1.2. utiliza uma mesma chave tanto para codificar como para decodificar informações
4.4.1.3. necessário que a chave secreta seja previamente combinada por meio de um canal de comunicação seguro
4.4.1.4. Metodos
4.4.1.4.1. AES
4.4.1.4.2. Blowfish
4.4.1.4.3. RC4
4.4.1.4.4. 3DES
4.4.1.4.5. IDEA
4.4.1.5. mais indicada para garantir a confidencialidade de grandes volumes de dados
4.4.2. Criptografia de chaves assimétricas
4.4.2.1. criptografia de chave pública
4.4.2.2. utiliza duas chaves distintas
4.4.2.2.1. pública
4.4.2.2.2. privada
4.4.2.3. Quando uma informação é codificada com uma das chaves, somente a outra chave do par pode decodificá-la
4.4.2.4. Qual chave usar para codificar?
4.4.2.4.1. depende da proteção que se deseja
4.4.2.5. Metodos
4.4.2.5.1. RSA
4.4.2.5.2. DSA
4.4.2.5.3. ECC
4.4.2.5.4. Diffie-Hellman
4.4.2.6. mais indicada para compartilhamento de informações
4.4.3. Combinado
4.4.3.1. chave simétrica é usada para a codificação da informação
4.4.3.2. chave assimétrica é utilizada para o compartilhamento da chave secreta
4.4.3.3. Metodos
4.4.3.3.1. SSL
4.4.3.3.2. PGP
4.4.3.3.3. S/MIME
4.5. Função de resumo (Hash)
4.5.1. método criptográfico que, quando aplicado sobre uma informação, independente do tamanho que ela tenha, gera um resultado único e de tamanho fixo, chamado hash.
4.5.2. Usado para
4.5.2.1. verificar a integridade de um arquivo armazenado
4.5.2.2. verificar a integridade de um arquivo obtido da Internet
4.5.2.3. gerar assinaturas digitais
4.6. Cuidados
4.6.1. Dados
4.6.1.1. utilize criptografia sempre que, ao enviar uma mensagem, quiser assegurar-se que somente o destinatário possa lê-la
4.6.1.2. só envie dados sensíveis após certificar-se de que está usando uma conexão segura
4.6.1.3. utilize criptografia para conexão entre seu leitor de e-mails e os servidores de e-mail do seu provedor
4.6.1.4. cifre o disco do seu computador e dispositivos removíveis
4.6.1.5. verifique o hash, quando possível, dos arquivos obtidos pela Internet
4.6.2. Chaves e Certificados
4.6.2.1. utilize chaves de tamanho adequado. Quanto maior a chave, mais resistente ela será a ataques de força bruta
4.6.2.2. não utilize chaves secretas óbvias
4.6.2.3. certifique-se de não estar sendo observado ao digitar suas chaves e senhas de proteção
4.6.2.4. utilize canais de comunicação seguros quando compartilhar chaves secretas
4.6.2.5. preserve suas chaves. Procure fazer backups e mantenha-os em local seguro
4.6.2.6. Cuidado com computadores públicos
4.6.2.7. Se desconfiar, solicite imediatamente a revogação do certificado junto à AC emissora
5. Assinatura Digital
5.1. permite comprovar a autenticidade e a integridade de uma informação
5.2. Certificado Digital
5.2.1. a chave púbica pode ser livremente divulgada
5.2.1.1. se não houver como comprovar a quem ela pertence
5.2.1.2. pode ocorrer de você se comunicar, de forma cifrada, diretamente com um impostor.
5.2.1.3. O certificado digital previne este problema
5.2.2. comparado a um documento de identidade
5.2.3. Autoridade Certificadora (AC)
5.2.3.1. emissora e também responsável por publicar informações sobre certificados que não são mais confiáveis
5.2.4. Contem
5.2.4.1. versão e número de série do certificado
5.2.4.2. dados que identificam a AC que emitiu o certificado
5.2.4.3. dados que identificam o dono do certificado
5.2.4.4. chave pública do dono do certificado
5.2.4.5. validade do certificado
5.2.4.6. assinatura digital da AC
5.2.5. Cadeia de Certificados
5.2.5.1. Imagem
5.2.6. Tipos de certificados
5.2.6.1. Certificado auto assinado
5.2.6.1.1. dono e o emissor são a mesma entidade
5.2.6.1.2. Ac Raizes
5.2.6.1.3. Uso Interno
5.2.6.1.4. Uso malicioso
5.2.6.2. Certificado EV SSL
5.2.6.2.1. certificado emitido sob um processo mais rigoroso de validação do solicitante
5.2.7. Cuidados
5.2.7.1. mantenha seu sistema operacional e navegadores Web atualizados
5.2.7.2. mantenha seu computador com a data correta
5.2.7.3. ao acessar um site Web, observe os símbolos indicativos de conexão segura e leia com atenção eventuais alertas exibidos pelo navegador
5.2.7.4. caso o navegador não reconheça o certificado como confiável, apenas prossiga com a navegação se tiver certeza da idoneidade da instituição
5.2.7.5. utilize assinaturas digitais sempre que, ao enviar uma mensagem, quiser assegurar ao destinatário que foi você quem a enviou e que o conteúdo não foi alterado
6. Copias de segurança - Backup
6.1. Serve para proteção de dados
6.1.1. preservar seus dados para que sejam recuperados
6.1.1.1. falha de disco rígido
6.1.1.2. atualização malsucedida
6.1.1.3. exclusão ou substituição acidental de arquivos
6.1.1.4. ação de códigos maliciosos
6.1.1.5. Ataques
6.1.1.6. Furto ou perda
6.1.2. Recuperação de versões
6.1.2.1. versão antiga de um arquivo
6.1.2.2. parte excluída de um texto
6.1.2.3. imagem original de uma foto manipulada
6.1.3. Arquivamento
6.2. Como fazer
6.2.1. Onde gravar os backups?
6.2.1.1. Midias
6.2.1.2. Nuvem
6.2.2. Quais arquivos copiar?
6.2.3. Com que periodicidade devo realizá-los?
6.3. Cuidados
6.3.1. backups atualizados
6.3.2. backups em locais seguros
6.3.3. backups automaticos
6.3.4. faça backups antes de efetuar grandes alterações no sistema
6.3.5. armazene dados sensíveis em formato criptografado
6.3.6. mantenha backups redundantes
6.3.7. cuidado com mídias obsoletas
6.3.8. testes periódicos
6.3.9. backups organizados e identificados
6.3.10. Backup Online
6.3.10.1. disponibilidade do serviço
6.3.10.2. tempo estimado de transmissão de dados
6.3.10.3. dados trafeguem pela rede de forma criptografada
7. Registro de Eventos
7.1. registro de atividade gerado por programas e serviços de um computador
7.2. Serve para
7.2.1. detectar o uso indevido do seu computador
7.2.2. detectar um ataque
7.2.3. rastrear (auditar) as ações executadas por um usuário
7.2.4. detectar problemas de hardware ou nos programas
7.2.5. Permite tomas medidas preventivas
7.2.6. São essenciais para notificação de incidentes
7.3. Cuidados
7.3.1. mantenha o seu computador com o horário correto
7.3.2. verifique o espaço em disco
7.3.3. desconfie caso perceba que os logs do seu computador foram apagados
7.3.4. restrinja o acesso aos arquivos de logs
8. antimalware
8.1. procuram detectar e, então, anular ou remover os códigos maliciosos de um computador
8.1.1. Antivírus
8.1.1.1. engloba a maior quantidade de funcionalidades
8.1.2. antispyware
8.1.3. antirootkit
8.1.4. antitrojan
8.2. Caracteristicas
8.2.1. Método de detecção
8.2.1.1. assinatura
8.2.1.2. heurística
8.2.1.3. comportamento
8.2.2. Forma de obtenção
8.2.2.1. gratuitos
8.2.2.1.1. funcionalidades básicas
8.2.2.2. experimentais
8.2.2.3. pagos
8.2.2.3.1. funcionalidades extras
8.2.2.3.2. suporte
8.2.3. Execução
8.2.3.1. localmente instalados
8.2.3.2. sob demanda
8.2.3.3. online
8.2.3.3.1. Anubis - Analyzing Unknown Binaries
8.2.3.3.2. Norman Sandbox - SandBox Information Center
8.2.3.3.3. ThreatExpert - Automated Threat Analysis
8.2.3.3.4. VirusTotal - Free Online Virus, Malware and URL Scanner
8.2.4. Funcionalidades apresentadas
8.2.4.1. detectar
8.2.4.2. anular
8.2.4.3. remover
8.2.4.4. discos de emergência
8.2.4.5. firewall pessoal
8.2.5. Como escolher?
8.2.5.1. Comparativos
8.2.5.2. Comparativos
8.3. Cuidados
8.3.1. tenha um antimalware instalado em seu computador
8.3.2. utilize programas online quando suspeitar
8.3.3. verificar toda e qualquer extensão de arquivo
8.3.4. verificar automaticamente arquivos anexados aos e-mails e obtidos pela Internet
8.3.5. sempre atualizado
8.3.6. evite executar simultaneamente diferentes programas antimalware
8.3.7. disco de emergência
9. Firewall Pessoal
9.1. protege o computador contra acessos não autorizados vindos da Internet
9.1.1. vulnerabilidade
9.1.2. backdoor
9.2. Funções
9.2.1. registrar as tentativas de acesso
9.2.2. bloquear as tentativas de invasão
9.2.3. analisar continuamente o conteúdo das conexões
9.2.4. evitar que um código malicioso já instalado seja capaz de se propagar
9.3. Cuidados
9.3.1. fabricante é confiável
9.3.2. ativo
9.3.3. maior quantidade de informações possíveis
9.4. Configurações
9.4.1. liberar todo tráfego de saída
9.4.2. bloquear todo tráfego de entrada ao seu computador
9.4.2.1. liberar as conexões conforme necessário
10. Filtro antispam
10.1. integrado à maioria dos Webmails e programas leitores de e-mails
10.2. período inicial de treinamento
10.3. Informações
11. Outras ferramentas
11.1. Filtro antiphishing
11.1.1. integrado à maioria dos navegadores Web
11.2. Bloqueador de Pop-up
11.2.1. integrado à maioria dos navegadores Web
11.3. Filtro de códigos móveis
11.3.1. Noscript
11.4. bloqueio de propagandas
11.4.1. AdBlock
11.5. reputação de site
11.5.1. WOT (Web of Trust)
11.6. verificação de vulnerabilidades
11.6.1. PSI (Secunia Personal Software Inspector)
11.7. navegação anônima
11.7.1. Anonymizer