Segurança da Informação I

Transcrição

1 Internet & Sociedade Segurança da Informação I

2 Segurança da Informação Segurança pessoal em meio digital Intrusão eletrônica

3 Segurança pessoal em meio digital Os jovens são os maiores alvos de roubo de identidade na Internet anos é a faixa mais visada, seguida da faixa de 18-25(nos EUA) Estudantes são candidatos atrativos porque têm registros relativamente temporários, menor história de crédito ou quaisquer outras operações Estudantes adotam, também, mais comportamentos de risco: são maiores freqüentadores de sites de relacionamento onde deixam muita informação sobre si mesmos

4 Segurança pessoal em meio digital Sugestões dos especialistas: Deixe suas informações pessoais em local inacessível mesmo para companheiros de quarto Papéis descartadas com informações pessoais devem ser completamente inutilizados (rasgados ou picotados) Não disponibilize números como CPF e RG a não ser em ambiente idôneo Relute em aceitar que tais números sirvam de identificação em ambientes não oficiais Evite fornecer tais números ou de cartões de créditos em troca de promoções baratas ou duvidosas JAMAIS dê qualquer destes dados por telefone

5 Segurança pessoal em meio digital Um truque bastante usado na Rede é o da pescagem de dados (phishing): O ladrão de dados personifica alguém (pessoa ou organização) em ação caracterizada por uma atividade legítima (vendas, prêmios, brindes, pesquisas de opinião, testes de software, informações acerca de ilegalidades que estariam sendo cometidas - em geral ou contra você etc.) que solicita dados de modo a que você tenha acesso às informações correspondentes Exemplo: Informa que você teve cheque retido em organismo de proteção ao crédito (SPC, SERASA), e pede para acessar informações mais detalhadas

6 Segurança pessoal em meio digital Casos... Compilados pela Privacy Rights Clearing House e o Identity Theft Center (San Diego): -- Dois ex-estudantes de Engenharia da California State University on Northbridge acessaram ilegalmente a rede de um professor para modificar notas. (julho, 2006) -- Um ex-estudante de Engenharia de Computação da Delaware University enviou mensagens a alunos de um professor através da conta de correio eletrônico deste informando incorretamente que a data de um exame havia mudado (abril, 2006) O sujeito pagou US $ ,00 de multa. -- Um adolescente holandês usava máquinas da George Mason University in Fairfax, Va., para armazenar músicas (2005) -- Máquinas da University of Colorado e da Ohio University eram usadas por hackers franceses e da Europa Oriental para armazenar filmes.

7 Segurança pessoal em meio digital Casos (cont.)... Insegurança SEM computador: -- Locais de dados mantidos de modo inseguro: catálogo de clientes (lojas, consultórios médicos, sindicatos...) -- Uma sacola contendo documentos e dados (incluindo o SSN) de 834 estudantes do Anderson South California College foi encontrada abandonada num estacionamento do campus. Incúria on line: -- A Mont Clair State University (New Jersey) publicou na Internet dados completos de estudantes por quatro meses, até que um deles protestou. Insegurança DO computador: -- roubo ou extravio de de laptops, CD s, pen-drives...

8 Intrusão eletrônica Usuários domésticos e organizacionais têm mais razão do que nunca para se preocupar com intrusos xeretando seus discos rígidos Sasser, Blaster, Code Red, Zotob... todos Internet worms ( vírus que se propagam autonomamente pela Rede)

9 Intrusão eletrônica Há uma seqüência no ciberespaço Os pesquisadores de vulnerabilidades ( hackers do bem (?)) localizam as falhas de segurança -- Os hackers do mal desenvolvem malware - código pernicioso (vírus e outros) e o colocam na Internet (em geral, só para mostrar que sabem...) -- os cibercriminosos acabam por usar tais programas para controlar os computadores vulneráveis para o crime -- Os hackers do bem desenvolvem soluções para as vulnerabilidades ou programes de combate ao malware

10 Intrusão eletrônica Mas a motivação para a intrusão e o roubo de dados tem aumentado e o cibercrime começa a mudar Não são mais os sistemas operacionais (como Windows) o alvo preferido (ficaram mais seguros), e sim os aplicativos largamente usados - browsers, planilhas eletrônicas, IRC s, media players... MS Internet Explorer, Mozilla Firefox, Adobe Flash Authoring Tool, Skype... E mesmo editores de texto como Word ou softwares de apresentação como Power Point E também os sites de relacionamento são assaltados e usados como ponte de ataques diversos...

11 Intrusão eletrônica Pior, segundo os especialistas: os cibercriminosos estão mais sofisticados em suas táticas, principalmente no que se refere a não deixar rastros. As atualizações automáticas dos aplicativos também operam na disseminação das vulnerabilidades, fora de qualquer controle dos usuários... De 2004 para 2006 houve um aumento de 200% no número de ameaças digitais em circulação, passando hoje de identificadas Em 2005, a Apple teve que recuperar 262 furos (incluindo 16 do QuickTime, player do ipod); a Microsoft, 157; Mozilla, 150; e Adobe, 46. Em julho de 2006, uma vulnerabilidade por dia foi publicada, a maioria sobre o Internet Explorer, mas incluindo também Firefox, Opera e Safari.

12 Intrusão eletrônica Uma forma corrente de disseminação é através de mensagens eletrônicas com anexos, os quais os usuários incautos são induzidos a inspecionar A mais insidiosa é aquela provida por referências a páginas daninhas.

13 Lições a aprender... Intrusão eletrônica Ninguém faz nada sobre segurança até ter absolutamente que fazê-lo. Richard Stiennon, IT-Harvest. -- A Microsoft mantém 650 profissionais trabalhando na detecção e correção de falhas de segurança -- Procura compartilhar com toda a indústria de software essa experiência -- Libera módulos de correção (patches) regularmente fazendo uma classificação da periculosidade dos problemas. -- A Apple, por enquanto opera em menor esforço, com menos módulos de correção e sem classificação

14 Referências MARKLEIN, Mary Beth. How to keep your personal informations safe. USAToday.com, 02 aug In: PAPARELLA, Maureen Sheehan ; SIMKO, Eugene (orgs.) Current topics in technology: social, legal, ethical and industry issues for computers and Internet. Boston, Thomson Learning, Inc., ACOHIDO, Byron. Cybercrooks constantly find new ways into PCs. USAToday, 02 aug In: PAPARELLA, Maureen Sheehan ; SIMKO, Eugene (orgs.) Current topics in technology: social, legal, ethical and industry issues for computers and Internet. Boston, Thomson Learning, Inc., 2007.

15 Questões para discussão Por que os estudantes parecem ser os grupos de maior risco para o roubo de dados pessoais? Exemplifique comportamentos de risco em relação a isto. Que tipo de conselhos você daria para prevenção da pescagem de dados? Que más conseqüências podem advir de se fornecer indiscriminadamente números como RG, CPF, cartão de crédito? O que você acha que não se deve informar por telefone? Os hackers parecem estar se concentrando mais nos produtos da Apple Software do que nos da Microsoft. Por que? Teria a ver com a assertiva de Stiennon? É razoável que se publique código pernicioso, sabendo-se que pode ser usado para intrusão e mesmo cibercrime? Em que situação seria produtivo publicá-lo? Terá sido pesada demais a multa a para o estudante que usou desautorizadamente o do professor? Se não houve risco para dados pessoais, que outros danos poderiam causar os incidentes na George Mason e na University of Colorado (uso de disco para armazenamento de música e filmes)? Que outras questões isto levanta?