MECANISMOS DE SEGURANÇA UTILIZADOS EM TRANSAÇÕES BANCÁRIAS NA WEB

Tamanho: px
Começar a partir da página:

Download "MECANISMOS DE SEGURANÇA UTILIZADOS EM TRANSAÇÕES BANCÁRIAS NA WEB"

Transcrição

1 1 ORGANIZAÇÃO SETE DE SETEMBRO DE CULTURA E ENSINO LTDA FACULDADE SETE DE SETEMBRO FASETE CURSO DE BACHARELADO EM SISTEMAS DE INFORMAÇÃO Adonel Gomes de Sá Júnior MECANISMOS DE SEGURANÇA UTILIZADOS EM TRANSAÇÕES BANCÁRIAS NA WEB PAULO AFONSO/BA Novembro/2010

2 2 Adonel Gomes de Sá Júnior MECANISMOS DE SEGURANÇA UTILIZADOS EM TRANSAÇÕES BANCÁRIAS NA WEB Monografia apresentada ao curso de Bacharelado em Sistemas de Informação da Faculdade Sete de Setembro. FASETE. Sob a orientação do professor Esp. Igor de Oliveira Costa. PAULO AFONSO/BA Novembro/2010

3 3 MECANISMOS DE SEGURANÇA UTILIZADOS EM TRANSAÇÕES BANCÁRIAS NA WEB Monografia apresentada ao curso de Bacharelado em Sistemas de Informação da Faculdade Sete de Setembro. FASETE. Sob a orientação do professor Esp. Igor de Oliveira Costa. BANCA EXAMINADORA Prof. Esp. Igor de Oliveira Costa (Orientador) Prof. MS Igor Medeiros Vanderlei Prof. Esp. Ricardo Azevedo Porto PAULO AFONSO/BA Novembro/2010

4 4 Dedico este trabalho a minha esposa Priscylla Rafaela, aos meus filhos André, Breno, Gabriel e Mariana, aos meus pais Adonel e Geralda, e aos meus amigos, que sempre me apoiaram e incentivaram.

5 5 AGRADECIMENTOS Agradeço primeiramente a Deus, por estar presente em todos os momentos da minha vida, dando-me forças e sabedoria para continuar e superar todos os desafios da vida. A minha mãe e ao meu pai, Geralda Soares e Adonel Gomes, por acreditar e contribuir na minha formação pessoal, acadêmica, ética e profissional. A minha esposa, Priscylla, por tudo que ela fez e faz, com o intuito de me fazer um homem melhor. Aos professores e mestres, que tive o prazer de conhecer e aprender com eles. Agradeço aos meus amigos e colegas de graduação pelo o apoio e contribuição. Agradeço a todas as pessoas que, direta ou indiretamente, ajudaram no desenvolvimento deste trabalho.

6 6 JUNIOR, Adonel Gomes de Sá. Mecanismo de Segurança Utilizados em Transações Bancárias na Web fls.. Monografia de Graduação do Curso de Bacharelado em Sistemas de Informação. Faculdade Sete de Setembro - FASETE. Paulo Afonso BA. RESUMO Nos dias atuais, torna-se imprescindível que as Agências Bancárias se modernizem e busquem acompanhar as necessidades impostas pelo século XXI. Isso se faz necessário devido ao aumento do número de clientes que utilizam a web para realizar transações bancárias. No entanto, este aumento de forma considerável trouxe alguns problemas como o aumento do número de páginas clonadas e fraudes no internet banking. As vulnerabilidades encontradas durante uma transação on-line podem ser classificadas em dois grupos, são eles: Erros de Sistema e Aplicações Vulneráveis. Onde temos o Cross-site Scripting (XSS) e o SQL Injection nos erros de sistema e o Cross Site Request Forgery (CRSF) em aplicações vulneráveis. Sendo assim, foi visto a necessidade de discutir sobre a segurança oferecida pelas agências bancárias aos clientes na realização de transações eletrônicas e como também identificar as ameaças existentes e os mecanismos utilizados nestas aplicações. Palavras chaves: Vulnerabilidades, Internet, Segurança, Mecanismos de segurança.

7 7 JUNIOR, Adonel Gomes de Sá. Mechanism of Security Used in Bank Transactions in the Web f. Monograph of the B.Sc. Degree in Information Systems. School Seven Months - FASETE. Paulo Afonso BA. ABSTRACT Nowadays, it is essential that the Bank agencies seek to modernize and meet the necessities imposed by the twenty-first century. This is necessary because of the increasing number of customers using the web to conduct banking transactions. However, this increase significantly caused some problems such as increasing the number of pages and cloned in internet banking fraud. The vulnerabilities found during an online transaction can be classified into two groups, they are: System Errors and Application Vulnerabilities. Where we have the Cross-site Scripting (XSS) and SQL Injection in system errors and Cross Site Request Forgery (CRSF) in vulnerable applications. It was therefore seen the need to discuss the security offered by banks to customers in conducting electronic transactions and also identify existing threats and the mechanisms used in these applications. Keywords: Vulnerabilities, Internet, Security, Mechanisms of security.

8 8 SUMÁRIO 1 CONSIDERAÇÕES INICIAIS CONTEXTUALIZAÇÃO JUSTIFICATIVA PROBLEMA DE PESQUISA OBJETIVO OBJETIVO GERAL Objetivos Específicos METODOLOGIA REFERENCIAL TEÓRICO INTERNET PRINCIPAIS VULNERABILIDADES ENCONTRADAS NAS APLICAÇÕES DE WEB A Cross-Site Scripting (XSS) O SQL Injection Cross site Request Forgery (CSRF) Ataques de Sessão (Session Hijacking) Ataque de Força Bruta AMEAÇAS SPAM Phishing Pharming Vírus Cavalo de Tróia Adware e Spyware Backdoors Keyloggers e Screenloggers Worms Bots e Botnets SEGURANÇA MECANISMOS DE SEGURANÇA AUTENTICAÇÃO... 34

9 Mecaniso de Controle de Acesso Criptografia Certificado Digital Teclado Virtual Secure Socket Layer (SSL) Selo Digital Completely Automated Public Turing Test To Tell Computers And Humans Apart (CAPTCHA) Sistema de Detecção de Intrusões (IDS) RISCOS NAS APLICAÇÕES BANCÁRIAS E CORREÇÕES CONSIDERAÇÕES FINAIS TRABALHOS FUTUROS REFERÊNCIAS BIBLIOGRAFICAS... 51

10 10 LISTA DE FIGURAS FIGURA 1 ATAQUE XSS REFLETIDO FIGURA 2 ATAQUE XSS ARMAZENADO FIGURA 3 ATAQUE DE XSS DOM FIGURA 4 SQL INJECTION FIGURA 5 CROSS SITE REQUEST FORGERY FIGURA 6 ATAQUE DE SESSÃO FIGURA 7 ATAQUE DE FORÇA BRUTA FIGURA 8 PÁGINA DE PHISHING FIGURA 9 PROCESSO DE AUTENTICAÇÃO FIGURA 10 CHAVE SIMÉTRICA FIGURA 11 CHAVE ASSIMÉTRICA FIGURA 12 CERTIFICADO DIGITAL FIGURA 13 TECLADO VIRTUAL FIGURA 14 PROTOCOLO SSL FIGURA 15 SELO DIGITAL DO HSBC FIGURA 16 MODELO DE UM CAPTCHA

11 CONSIDERAÇÕES INICIAIS 11

12 12 1 CONSIDERAÇÕES INICIAIS O crescimento econômico nas últimas décadas tem possibilitado o surgimento de diversas empresas e, com isso, a economia mundial se tornou mais competitiva. Dessa forma, as empresas passaram a investir em tecnologias. CUMMINS (2002) ressalta que o surgimento de tecnologias como a Internet e a Web eliminaram barreiras de comunicação e forneceram às pessoas acesso imediato a informações de toda parte do mundo. Sendo assim, empresas que atuam no mercado bancário passaram a investir em tecnologias denominadas de Business to Consumer (B2C), para acompanhar esse crescimento da economia. Segundo MARTIM (2005), o internet banking representa uma nova modalidade de comércio eletrônico, pela qual o cliente, valendo-se da internet tem acesso a vários serviços bancários para a realização de negócios e contratos eletrônicos, os quais, por sua vez, são definidos como contratos celebrados por meio de programas de computador ou aparelhos com tais programas, dispensando-se o uso da assinatura codificada ou até mesmo de uma senha. Com o uso cada vez mais freqüente do internet banking, o presente trabalho elenca os principais tipos de vulnerabilidades que podem existir durante uma transação bancária ocorrida na web, como também, identifica quais os mecanismos de segurança freqüentemente utilizados pelas empresas e, além disso, analisa as possíveis ameaças para o cliente que utiliza o internet banking. 1.1 CONTEXTUALIZAÇÃO Segundo SUAPESQUISA (2010) a rede mundial de computadores, ou Internet, surgiu em plena Guerra Fria, criada com objetivos militares pelas forças armadas norte-americanas com intuito de manter as comunicações em caso de ataques inimigos. Foi somente no ano de 1990 que a Internet se popularizou. Neste ano, o engenheiro inglês Tim Bernes-Lee desenvolveu a World Wide Web, possibilitando a utilização de uma interface gráfica e a criação de sites mais dinâmicos e visualmente

13 13 interessantes. A partir deste momento, o uso da Internet cresceu em ritmo acelerado. Segundo ANTINO (2010, p.1) a internet é o canal de atendimento bancário mais usado pelos brasileiros, um estudo comprovou que as operações realizadas pela web representaram 30,6% (8,365 bilhões) do total de atendimentos bancários realizados em Para que uma transação bancária ocorra na web é necessária a utilização do internet Banking, sendo hoje, o meio de comunicação mais utilizado pelas empresas bancárias, junto com o acesso crescente a esse meio de relacionamento dos bancos com os seus clientes, também cresce o número de páginas falsas. Em uma pesquisa feita pelo CERT, o número de páginas falsas de bancos apresentou um crescimento de 85% no segundo trimestre de 2008 com relação ao mesmo período de 2007 (CERT, 2008). Segundo SERASA (2009), a utilização dos serviços oferecidos por um banco na Internet é considerada segura, pois o setor de instituições financeiras é o que mais investe em tecnologias de segurança. Esse investimento se dá ao fato de que essas instituições são as mais prejudicadas quando ocorrem as chamadas fraudes eletrônicas. Essas fraudes eletrônicas vêm aumentando nos servidores de Web, os fraudadores aproveitam as vulnerabilidades em aplicações Web para, em alguns casos, hospedar cavalos de tróia, que são utilizados em fraudes ou páginas falsas de instituições financeiras. Com o crescimento dos serviços disponibilizados pelas instituições financeiras os fraudadores têm mudado o foco, estimulados pelo anonimato e por possíveis fraudes muito mais rentáveis do que simplesmente usar um cartão de crédito de um cliente para obter lucros (CERT, 2008).

14 14 2 JUSTIFICATIVA Pode-se destacar que a busca por um diferencial no atendimento das empresas e a procura constante por um padrão de qualidade no atendimento aos clientes torna essencial o uso da internet para realização de negócios. Segundo Bill Gates (apud LIMA, 2010, p1), em alguns anos vai existir dois tipos de empresas: as que fazem negócios pela internet e as que estão fora dos negócios. Nos dias atuais, torna-se imprescindível que as Agências Bancárias se modernizem e busquem acompanhar as necessidades impostas pelo século XXI. Isso se faz necessário devido ao aumento do número de clientes que utilizam a web para realizar transações bancárias. No entanto, este aumento de forma considerável trouxe alguns problemas como o aumento do número de páginas clonadas e negócios invadidos. Sendo assim, foi visto a necessidade de discutir sobre a segurança oferecida pelas agências bancárias aos clientes na realização de transações eletrônicas. Como também, identificar as principais vulnerabilidades encontradas nas aplicações bancárias realizadas na web, bem como, as principais ameaças e mecanismos de proteção.

15 15 3 PROBLEMA DE PESQUISA Para que a pesquisa proposta fosse iniciada, os seguintes problemas foram identificados: Quais são as principais vulnerabilidades existentes em uma transação bancária realizada na web? Quais são os principais mecanismos de segurança que podem ser utilizados em uma transação bancária online? Quais são os principais mecanismos de segurança existentes para combater tais vulnerabilidades?

16 16 4 OBJETIVO 4.1 OBJETIVO GERAL Devido a essas questões discutidas anteriormente, tem-se como objetivo geral: Identificar como os Mecanismos de Segurança podem sanar as principais Vulnerabilidades encontradas nas transações bancárias online Objetivos Específicos Identificar os principais mecanismos de segurança que podem ser utilizados nas transações bancárias; Identificar as principais vulnerabilidades encontradas em transações bancárias online; Estudar a utilização dos mecanismos identificados; Analisar uma combinação de mecanismos de Segurança que podem tornar uma aplicação web mais segura.

17 17 5 METODOLOGIA A metodologia utilizada no presente trabalho baseou-se no estudo das Ameaças e Vulnerabilidades, como também dos Mecanismos de Segurança aqui elencados, pontuando todos os problemas e possíveis soluções, para que possa ser realizada uma transação bancária on-line. A mesma foi realizada através de estudo das fontes primárias e secundárias, utilizando-se livros, sites e publicações sobre o referido tema.

18 CONCEITOS BÁSICOS 18

19 19 6 REFERENCIAL TEÓRICO 6.1 INTERNET Nas décadas de 1970 e 1980, além de ser utilizada para fins militares, a Internet foi ampliada também para o uso acadêmico. Estudantes e professores universitários, principalmente dos EUA, compartilham idéias, mensagens e descobertas pelas linhas da rede mundial. Com isso, a ARPANET, primeiro nome da internet, começou a ter dificuldades em administrar todo este sistema, devido ao grande e crescente número de localidades universitárias contidas nela. Um sistema técnico denominado Protocolo de Internet (Internet Protocol) permitia que o tráfego de informações fosse encaminhado de uma rede para outra, como explica ZEVALLOS(2009) devido ao grande número de informaçãoes trocadas o protocolo NCP (Network Control Protocol), foi visto como inadequado, então, o TCP/IP foi criado e continua sendo o protocolo base da Internet na atualidade. Vale destacar que já em 1992, o então senador Al Gore, já falava na Superhighway of Information. Essa "super-estrada da informação" tinha como unidade básica de funcionamento a troca, compartilhamento e fluxo contínuo de informações, usadas e trocadas pelos usuários nos quatro cantos do mundo, através de um rede mundial, a Internet. O que se pode notar é que o interesse mundial aliado ao interesse comercial, que evidentemente observava o potencial financeiro e rentável daquela "novidade". Proporcionando assim, o boom (explosão) e a popularização da Internet na década de 1990 até 2003, cerca de 600 milhões de pessoas estavam conectadas à rede. Segundo SILVA (2009), em junho de 2007 este número se aproximavam de 1 bilhão e 234 milhões de usuários. Em síntese, a Internet é um conjunto de redes de computadores interligadas que tem em comum um conjunto de protocolos e serviços, de uma forma que os usuários conectados possam usufruir de serviços de informação e comunicação de alcance mundial (BOGO, p.1, 2010).

20 PRINCIPAIS VULNERABILIDADES ENCONTRADAS NAS APLICAÇÕES DE WEB Segundo CERT(2010), a vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador. No ano de 2009, a Web Application Security Consortium (WASC) divulgou um estudo no qual provou que 96,85% das aplicações corporativas Web possuíam vulnerabilidades derivadas de falhas em seu desenvolvimento. Ainda de acordo com os dados da WASC, as vulnerabilidades predominantes são divididas em dois grupos que são eles: Erros de Sistema, onde não temos atualização de ferramentas de segurança como firewall e Ips, como também a falta de atualizações fornecidas pelo fabricante, não conceder direitos administrativos para a aplicação da base de dados enquanto nas Aplicações Vulneráveis, temos aplicações de web vulneráveis onde os atacantes introduzem scripts maliciosos, desta forma capturando dados de sessão dos usuários. Onde temos o Cross-site Scripting (XSS) e o SQL Injection nos erros de sistema e o Cross Site Request Forgery (CRSF) em aplicações vulneráveis (CERT, 2010) A Cross-Site Scripting (XSS) A Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador encontrado normalmente em aplicações web que ativam ataques maliciosos ao injetarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso (GROSSMAN & HANSEN, 2007). Existem três tipos bem conhecidos de XSS: refletido, armazenado e inserção DOM. O XSS refletido é o de exploração mais fácil, uma página refletirá o dado fornecido pelo usuário como retorno direto a ele, a Figura 1 ilustra esse tipo de ataque.

21 21 Figura 1 Ataque XSS Refletido. Fonte: A Figura 1 acima demonstra o ataque xss refletido, onde o atacante envia um para vitima contendo um link, com a palavra clique aqui, quando o cliente clica no link este o leva a um servidor de web vulnerável, ao mesmo tempo é enviado uma resposta a vitima, que já foi programada, a partir de então o fraudador usando as credenciais da vítima navega em qualquer aplicação. Enquanto que o XSS armazenado recebe o dado hostil, guarda em arquivo, do banco de dados ou outro sistema de suporte à informação, e então, em um estágio avançado mostra o dado ao usuário, não filtrado. Isto é perigoso em sistemas como, CMS 1, blogs ou fóruns, onde uma grande quantidade de usuários acessará entradas de outros usuários. Figura 2 Ataque XSS Armazenado. Fonte: Neste ataque, representado pela Figura 2, a vítima recebe um com um link. Esta ao clicar no endereço, estará enviando as informações para o atacante. Estas 1 CMS Sistema de Gerenciamento de Conteúdo.

22 22 informações enviadas estão no banco de dados da vítima, em um segundo momento o atacante pegará as informações e a manipulará como o convir, já que a vítima liberou o acesso ao clicar no link enviado. Com ataques XSS baseados em DOM, o código Java Script do site e as variáveis são manipulados ao invés dos elementos HTML. Alternativamente, os ataques podem ser uma combinação dos três tipos, o perigo com o XSS não está no tipo de ataque, mas na sua possibilidade. Figura 3 Ataque de XSS DOM. Fonte: Este tipo de ataque como mostra a Figura 3 se dá no servidor de web de uma loja, onde o atacante inclui um script no browser da mesma, desta forma capturando as entradas válidas no browser. A utilização de XSS torna possível a obtenção de dados que podem pôr em risco a segurança da informação. Desse modo, o entendimento desta técnica possibilita a exploração de uma vasta quantidade de sítios e aplicações Web (OLIVEIRA, BRITO, RIQUE e FUJIOKA, 2007) O SQL Injection Segundo GUMERATO (2009), o SQL Injection consiste na inserção ou "injeção" de uma consulta SQL através de dados de entrada do cliente para o aplicativo. O ataque injeção de SQL bem-sucedido se dá através de uma inserção de código no

23 23 banco de dados podendo assim, alterar dados do banco de dados, com as seguintes funções: (Insert / Update / Delete). As falhas de Injeção habilitam o atacante a criar, ler, atualizar ou apagar arbitrariamente qualquer dado disponível para a aplicação. No pior cenário, estes, furos, permitem ao atacante comprometer completamente a aplicação e os sistemas relacionados, até pelo contorno de ambientes controlados por firewall. Esta vulnerabilidade só acontece quando a aplicação esta vulnerável e permite a inclusão querys dinâmicas, como por exemplo: var Shipcity; ShipCity = Request.form ("ShipCity"); var sql = "select * from OrdersTable where ShipCity = '" + ShipCity + "'"; SELECT UserList. Utilizador FROM UserList DA UserList WHERE UserList. Username = 'Username' ONDE UserList. Username = 'Nome' AND UserList. Password = 'Password' E UserList. Password = 'senha' Figura 4 Sql Injection Fonte: Este ataque, Figura 4, dá-se basicamente na inserção de um código em SQL simples, onde no primeiro comando é inserida uma consulta de SQL concatenando cadeias de caracteres inseridas pelo usuário. No segundo comando é feita uma consulta de uma lista dos utilizadores onde ele busca as credenciais do usuário como nome e senha Cross site Request Forgery (CSRF) Antes de detalharmos a vulnerabilidade Croos Site Request Forgery (CSRF), vamos conhecer um pouco sobre verificação de autorização que é a solicitação das credenciais do usuário ao acessar uma aplicação confiável, neste momento é que se dá a captura das informações do usuário, a partir daí o atacante utiliza os dados válidos do usuário e faz novos acessos com as credenciais válidas, sem o mesmo perceber. Segundo BRAZ (2008), o Cross Site Request Forgery (CSRF), força o navegador logado da vítima a enviar uma requisição para uma aplicação web vulnerável, estes ataques funcionam,

24 24 pois a credencial de autorização do usuário (tipicamente um cookie 2 de sessão) é automaticamente incluída em requisições do navegador, mesmo que o atacante não forneça tal credencial, esta vulnerabilidade é extremamente disseminada, uma vez que qualquer aplicação web, não possua em seu aplicativo a verificação de autorização. Um ataque típico CSRF pode ser visto em fóruns, pois os mesmos direcionam o usuário a invocar alguma função, como por exemplo, a página de logout da aplicação. A seguir temos a Figura 5 ilustrando o funcionamento do CSRF. Figura 5 Cross site request forgery Fonte: Este ataque se inicia com o usuário fazendo o seu login em um browser, onde ele autentica a sessão, a partir deste ponto o atacante utiliza a sua autenticação de sessão e faz outras ações no mesmo site ou em outro sem o usuário perceber. Segundo CERT (2007), existem outras vulnerabilidades que são implantadas por programas que podem ter um comportamento estranho não por acidente, mas pela execução de códigos gerados com o intuito de danificar ou alterar seu funcionamento normal. Estes códigos são chamados de ameaças programadas, e têm se espalhado pelo mundo inteiro, causando muito incomodo e prejuízo a quem se depara com este tipo de ameaça chamando à atenção da mídia, que convencionou tratá-las por vírus de computador (TURBAN & KING, 2004). 2 cookie de sessão Um cookie é uma cadeia de texto incluída em pedidos e respostas do protocolo de transferência.

25 Ataques de Sessão (Session Hijacking) Uma sessão é um identificador único que serve para marcar o período de tempo que uma pessoa navega em um determinado site. Logo, assim que ou usuário acessa uma aplicação e coloca a sua identificação, ele cria uma sessão válida, então seus dados estarão disponíveis em qualquer parte do site, até que a sessão seja encerrada, ou o browser fechado. Existem dois tipos de ataque de sessão, são eles: Predicação e Captura. O ataque de predicação consiste em se adivinhar uma ID, que identifica uma sessão, porém como o mecanismo de geração de sessões é muito aleatório, esse método se torna quase inviável na prática (PONTUAL, M., QUEIROZ, R. e HENRIQUE, J., 2006). Já no ataque de captura, existem dois métodos. No primeiro as sessões estão sendo propagadas através da URL, bastará ao atacante possuir um sniffer 3 na mesma rede do atacado e ler o ID da vítima. A defesa para esse tipo de ataque é a utilização de um servidor rodando sobre HTTPS. No segundo, as sessões foram propagadas por cookies, caberá ao atacante executar um ataque do tipo XSS, para que o cookie da vítima seja enviado ao adversário, e com isso ele possa reconstruir a ID da sessão. <?php session_start(); if (!isset($_session['visits'])) { $_SESSION['visits'] = 1; }else{ $_SESSION['visits']++; } echo $_SESSION['visits'];?> Figura 6 Ataque de sessão Fonte: 3 Sniffer - Programa que coleta os dados dentro de uma rede.

26 26 O código ilustrado na Figura 6, representa o contador na sessão, enquanto a sessão estiver ativa, cada vez que o usuário executar essa página, será acrescentado 1 e impresso o número de vezes que ele rodou essa página Ataque de Força Bruta Segundo PINKAS & SANDER (2010), o método de ataque por força bruta, consiste em utilizar um programa ou script externo que testa cada combinação de letras e números existentes no teclado, com isso, tentará descobrir o login e senha de algum usuário cadastrado no site. Além disso, o atacante poderá utilizar um dicionário de senhas (worldlists) com o intuito de tornar a tarefa de invasão mais rápida. Inicialmente, o atacante deve abrir o código HTML do site, em seguida será criado um código fonte parecido com o original, porém no action do form, será colocado o caminho completo da URL para onde se deseja enviar esse formulário. A seguir vai modificar o valor dos inputs, colocando os dados desejados e criará também um script em javascript com o comando document.form2.submit(), que submete um formulário. Na Figura 7, logo abaixo mostra como o atacante procede no ataque de força bruta. Figura 7 Ataque de Força Bruta Fonte:

27 AMEAÇAS Segundo MARINHO (2007), uma ameaça pode ser definida por elementos que tem condição de explorar vulnerabilidades e causar problemas severos aos ativos de uma empresa. Os ativos estão continuamente expostos às ameaças existentes, que podem colocar em risco a segurança. Dentre as várias classificações, podemos citar as seguintes: ameaça natural, intencional e involuntárias SPAM Uma ameaça aos usuários da Internet Banking, são os spams, segundo o ANTISPAM (2009), spam é o termo usado para se referir aos s não solicitados, que geralmente são enviados para um grande número de pessoas, quando este conteúdo é exclusivamente comercial, esse tipo de mensagem é chamada de Unsolicited Commercial (UCE). Reforçaremos estes conceitos com a afirmação de INFOGUERRA. Em plena era de Internet comercial, o spam é uma das principais, perturbações para internautas, administradores de redes e provedores, de tal forma que o abuso desta prática já se tornou um problema de segurança de sistemas. Além disso, é também um problema financeiro, pois vem trazendo perdas econômicas para uma boa parte dos internautas e lucro para um pequeno e obscuro grupo (INFOGUERRA, 2009). Com o surgimento do spam também surgiram os spam zombies, esses são computadores de usuários comuns que foram infectados com códigos maliciosos, como worms, bots, vírus e cavalos de tróia. Estes códigos maliciosos, uma vez instalados, permitem que spammers utilizem a máquina para o envio de spam, sem o conhecimento do usuário. Os spammers utilizam máquinas infectadas para executar suas atividades, dificultando assim a identificação da origem do spam e também dos autores. Os spam zombies são muito explorados pelos spammers, por proporcionar o anonimato que tanto os protege (ANTISPAM, 2009).

28 Phishing Este termo foi originalmente criado para descrever o tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site, que procura induzir o acesso a páginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usuários. Este tipo de spam é conhecido como phishing ou scam, o usuário pode sofrer prejuízos financeiros, caso forneça as informações ou execute as instruções solicitadas neste tipo de mensagem fraudulenta (BONFIETTI, 2007). O cliente, muitas vezes desconhece as políticas básicas de segurança do seu banco e acaba clicando no link, que o conduz a informar os dados de sua conta corrente em uma página falsa. Assim que o cliente digita os dados de sua conta, a página falsa envia as informações fornecidas pelo cliente ao fraudador, caracterizando-se o phishing. Mostrado na Figura 8. Figura 8 Página de Phishing. Fonte: Na Figura 8 acima, temos duas aplicações, uma a do site original e a outra a página clonada, esta foi enviada ao usuário por , solicitando a atualização dos dados bancários do cliente, mas para atualizar os dados, 1 é necessário digitar o login e a senha.

29 Pharming Segundo LAU (2006), o pharming é um meio largamente utilizado para a efetivação da fraude sobre o ambiente do Internet Banking no Brasil. O mecanismo utilizado por este ataque promove o redirecionamento da vítima a páginas falsas de instituições financeiras, tal como descrito pelo phishing. Entretanto, este tipo de ataque não utiliza uma mensagem eletrônica como vetor de propagação e sim uma busca nos serviços de resolução de nomes na Internet, conhecidos como DNS, que resultam no acesso errôneo do usuário à página replicada pelo fraudador, similar a página da instituição financeira, mesmo que o usuário efetive a inserção do endereço da página do banco através da digitação da URL no browser utilizado na navegação Internet Vírus Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infestação (CERT, 2010) Cavalo de Tróia De acordo com o CERT (2010), o cavalo de tróia ou trojan horse é um programa, normalmente, recebido como um presente (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário, tais como instalar keyloggers 4, screenloggers 5 e backdoors ou ainda alterar, corromper ou destruir arquivos. 4 Keyloggers programa que armazena caracteres digitados. 5 Screenloggers - dispositivo que tira foto da tela do usuário, os atacantes começaram com esta modalidade depois que os bancos implementaram um novo modelo de teclado virtual.

30 Adware e Spyware Adware é um tipo de aplicação especificamente projetada para apresentar propagandas através de um programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou retorno financeiro para aqueles que desenvolvem ferramentas livres ou prestam serviços gratuitos. O spyware, por sua vez, é o termo utilizado para se referir a uma grande categoria de softwares que têm o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa (CERT, 2010) Backdoors São programas que abrem portas de acesso ao atacante, permitindo acesso remoto ao computador. Os backdoors são usados para que os atacantes garantam uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, também é intenção do atacante poder retornar ao computador comprometido sem ser notado (PEREIRA, FAGUNDES, NEUKAMP, LUDWIG e KONRATH, 2007) Keyloggers e Screenloggers O keylogger pode ser definido como um programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Após sua ampla utilização para captura de senhas no Internet Banking, boa parte dos bancos mudou o modo da autenticação dos seus clientes. Antes os dados da agência, conta e senha eram digitados via teclado, agora os dados são fornecidos via mouse clicando sobre os caracteres do teclado virtual (BONFIETTI, 2007). Já o screenlogger é uma forma avançada do keylogger, pois ele captura a imagem da tela e o posicionamento do mouse.

31 Worms Programa capaz de se propagar automaticamente através das redes, enviando cópias de si mesmo de um computador para outro. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores (CERT, 2006). Os worms são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido dos computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar. Além disso, podem gerar problemas para aqueles que estão recebendo tais cópias (BONFIETTI, 2007) Bots e Botnets Segundo (PEREIRA, FAGUNDES, NEUKAMP, LUDWIG e KONRATH, 2007), há três atributos que caracterizam um bot (nome derivado de (Robot): a existência de um controle remoto, a implementação de vários comandos e um mecanismo de espalhamento, que permite ao bot espalhar-se ainda mais. Enquanto as botnets são redes formadas por computadores infectados com bots e são usadas pelos invasores para aumentar a potência de seus ataques. Acredita-se que a maior parte dos spams são enviados por botnes, ora partindo diretamente destes, ora os mesmos sendo utilizados como relay. Adicionalmente, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente, portanto o invasor, ao se comunicar com um bot, pode enviar instruções para que ele realize diversas atividades, tais como: desferir ataques na Internet, enviar spam, s de phishing, ataque de negação de serviço e furtar dados de onde foi executado.

32 SEGURANÇA Um computador ou sistema computacional é dito seguro se este atende aos requisitos básicos relacionados e aos recursos que o compõem: confidencialidade, integridade, autenticidade, disponibilidade e não repúdio. Segundo CURTI (2004) a confidencialidade é a proteção das informações contra ataques passivos e análise de mensagens, quando em trânsito nas redes ou contra a divulgação indevida da informação, quando sob guarda. Os termos privacidade e sigilo são usados em muitos casos para distinguir dentre a proteção de dados pessoais e a proteção de dados pertencentes à organização. Para garantia da confidencialidade, ou seja, que a informação seja acessada apenas por pessoas autorizadas, alguns mecanismos são indispensáveis como, por exemplo, controle de acesso e criptografia. A integridade é sempre um pré-requisito para outras propriedades da segurança, por exemplo, um atacante pode tentar contornar controles de confidencialidade, modificando o sistema operacional ou uma tabela de controle de acesso referenciada pelo sistema operacional, consequentemente, deve-se proteger a integridade do sistema operacional ou a integridade do controle de acesso para alcançar a confidencialidade nesse caso. Dentre os mecanismos usados na implementação da integridade se inclui: controle de acesso, assinatura digital (ARAUJO, 2008). Segundo ROSSI e FRANZIN (2000), a autenticidade é a propriedade necessária para garantir que um usuário é realmente quem ele diz ser, e as ações a ele atribuídas tenham sido realmente de sua autoria. A autenticidade é fundamental não só em Sistemas Computacionais, como também, em qualquer área do conhecimento humano. Pois todo ato praticado por um cidadão necessita de um mecanismo que identifique o seu autor para fins legais, como por exemplo, uma assinatura. A autenticidade pode ser garantida através dos mecanismos autenticação, controle de acesso e assinatura digital.

33 33 A disponibilidade do sistema corporativo está ainda agregada ao projeto de recuperação adotado por cada empresa como política de contingenciamento. A vantagem de contar com sistemas de alta disponibilidade é diminuir o tempo de parada, seja voluntária ou involuntária, e a recuperação quase que imediata de informações críticas para continuidade da atividade (TELEMIKRO, 2010). E por fim, o não repúdio previne tanto o emissor quanto o receptor, contra a negação de uma mensagem transmitida, desta forma, quando uma mensagem for enviada, o receptor pode ter certeza que de fato ela foi enviada pelo emissor em questão. De forma similar, quando for recebida, o emissor pode provar que a mesma foi realmente recebida pelo receptor em questão (CARLOS, 2004). Para finalizar tudo que foi exposto logo acima, ARANTES (2000), explica que as políticas de segurança estabelecem as bases para um bom programa de segurança. Essas políticas, freqüentemente chamadas de controles básicos, funcionam juntas no estabelecimento de um determinado nível de segurança na empresa como um todo, abordando aspectos físicos e lógicos.

34 MECANISMOS DE SEGURANÇA Os mecanismos de segurança, consistem em técnicas utilizadas para assegurar as propriedades de Segurança do Sistema Computacional, de tal forma que somente os usuários autorizados, ou processos sob seu controle, terão acesso às informações devidas, e nada além do necessário, essas primitivas são fundamentais na implementação de uma Política de Segurança (DOURADO, 2001). Nesta sessão, serão discutidas os principais mecanismos, como por exemplo: Autenticação, Mecanismos de Controle de Acesso, Criptografia, Assinatura Digital, Teclado Virtual, Secure Socket Layer, Selo Digital, Captcha, Sistema de Detecção de Intrusos onde temos, o Signature Detection e o Behaviour Detection AUTENTICAÇÃO Segundo DOURADO (2001), a autenticação é o mecanismo utilizado para garantir que um usuário ou processo, estão se identificando de acordo com suas reais identidades. Existem três formas básicas de autenticação que devem ser utilizadas de acordo com situação especifica, são elas: unilateral, mútua ou com a mediação de terceiros. A autenticação unilateral acontece quando apenas um parceiro da comunicação autentica-se perante o outro, mas a recíproca não é verdadeira. Na autenticação mútua os parceiros da comunicação se autenticam um perante o outro. A autenticação com a mediação de terceiros é utilizada quando os parceiros da comunicação não se conhecem e, portanto, não podem se autenticar mutuamente, mas conhecem um terceiro com quem se autenticam e recebem credenciais para procederem assim a autenticação mútua. A Figura 9 ilustra três tipos de autenticação básica.

35 35 Figura 9 Processo de Autenticação. Fonte: Na Figura 9, no processo 1, não a autenticação do receptor, já no processo 2 a autenticação é mútua, ambos sabem quem são e por último a 3 autenticação se dá por um terceiro usuário que garante quem são as partes quês estão se comunicando Mecaniso de Controle de Acesso Os Mecanismos de Controle de Acesso se propõem a definir que usuários ou processos têm acesso a recursos específicos do Sistema Computacional e com que permissões. Estes mecanismos podem ser aplicados em qualquer nível, começando na aplicação definindo que usuários têm acesso e a que registros (DOURADO, 2001). Existem três tipos de controle de acesso: Access Control List, Capabilities e Access Control Matriz. Acces Control List, ou simplesmente ACL, é o mecanismo onde é criada uma lista para cada objeto, ou recurso do sistema, com a identificação do usuário ou processo e suas permissões para aquele objeto especifico (DOURADO, 2001). As ACL s se tornam sobrecarregadas de forma gradativa à medida que a quantidade de recursos compartilhados de um sistema aumenta, por isto é comum o agrupamento de usuários de acordo com o seu perfil funcional, mas isto representa uma flexibilização perigosa no mecanismo de controle de acesso. Diferente da ACL, a Capabilities cria uma lista para cada usuário ou processo, com a identificação dos objetos e as permissões que o usuário ou processo possui sobre este objeto especifico. Este mecanismo resolve o problema da sobrecarga das

36 36 ACL s, tendo em vista que cada usuário ou processo possui uma lista com as capabilities, as quais têm algum tipo de permissão de acesso. A Access Control Matriz (ACM) é o somatório dos dois mecanismos anteriores formando uma estrutura equivalente a uma matriz, onde as linhas são compostas pelos usuários, as colunas por objetos e os elementos são listas de permissões. Logo, cada coluna de uma ACM é uma ACL e cada linha é uma capability Criptografia A criptografia segundo TYSON (2009), não é algo novo, a novidade é sua aplicação em computadores, antes da era digital, os maiores usuários da criptografia eram os órgãos governamentais, particularmente para finalidades militares. A existência de mensagens codificadas foi verificada desde a época do Império Romano, mas a maior parte da criptografia utilizada atualmente se baseia em computadores, simplesmente porque um código baseado em seres humanos é muito fácil de ser decodificado por um computador. Segundo TYSON (2009), as formas mais populares de segurança dependem da criptografia, processo que codifica a informação de tal maneira que somente a pessoa (ou o computador) com a chave pode decodificá-la. Os primeiros métodos criptográficos existentes usavam apenas um algoritmo de codificação, assim, bastava que o receptor da informação conhecesse esse algoritmo para poder extraíla. O objetivo da encriptação consiste na aplicação de um algoritmo aos dados de maneira que eles se tornem ilegíveis (GUEDES, 2009). Para recuperar os dados originais será necessário conhecer o algoritmo de criptação. LAUDON e LAUDON (2008) complementam, criptografia é a codificação e a mistura de mensagens para impedir acesso indevido aos dados que são transmitidos entre redes. Ainda de acordo com o autor existem dois tipos de criptografias, são elas: chave simétrica e assimétrica.

37 37 Na criptografia de chave simétrica, cada computador possui uma chave secreta (código) que ele pode utilizar para criptografar um pacote de informações antes que ele seja enviado pela rede a outro computador, a chave simétrica exige que você saiba quais computadores irão se comunicar, de forma que seja possível instalar a chave em cada um deles (TYSON, 2009). A criptografia de chave assimétrica ou pública utiliza a combinação de uma chave privada e uma chave pública. A chave privada só é conhecida pelo seu computador, enquanto que a chave pública é dada por seu computador a todo computador que queira se comunicar de forma segura com ele. Para decodificar uma mensagem criptografada, um computador deve usar a chave pública, fornecida pelo computador de origem, e sua própria chave privada (TYSON, 2009). Figura 10 Chave Simétrica Fonte: Na Figura 10 a Chave Simétrica o documento original é enviado para o destinatário e é criptografado, o destinatário recebe o documento criptografado e discriptografa com a mesma chave e lê o documento original.

38 38 Figura 11 Chave Assimétrica Fonte: Já a Chave Assimétrica na Figura 11 neste método o emissor criptografa o documento com sua chave privada e envia para o receptor, que recebe o documento criptografado e discriptografa com a chave pública do emissor Certificado Digital O certificado digital é um arquivo eletrônico que contêm dados de uma pessoa ou instituição, utilizados para comprovar sua identidade, este arquivo pode estar armazenado em um computador ou em outra mídia, como um token ou smart card (CGI, 2009). Segundo SERGIO (apud DANIELA, 2004, p.1), a utilização das certificações digitais por corporações ou internautas em geral tornará mais seguro o tráfego de informações pela rede. Os navegadores reconhecem as principais empresas certificadoras e aceitam automaticamente os certificados assinados por ela, reconhecendo sua autenticidade e a da página correspondente (PONTES, 2008). Logo, abaixo SERGIO vem reforçar o conceito dito acima. A certificação digital garante a autenticidade, a integridade a confidencialidade e o não-repúdio de uma mensagem, ou seja, impede que o remetente negue que foi o autor de uma determinada mensagem, por exemplo SERGIO (apud DANIELA, 2004, p. 1).

39 39 Figura 12 Certificado Digital. Fonte: A Figura 12, contem Informações do certificado digital, dados que identificam o dono, nome da certificadora, número de série e o período de validade do certificado e por fim a assinatura digital da autoridade certificadora, esta garante a veracidade das informações contidas Teclado Virtual A segurança é a maior preocupação de todos aqueles que negociam por meios eletrônicos. A credibilidade do documento digital, ou de um dado transmitido via web, está ligada essencialmente à sua originalidade e à certeza de que ele não foi alterado de alguma maneira pelos caminhos que percorreu até chegar ao destinatário (VELASCO, 2005). O teclado virtual ou teclado de segurança trabalha com ambigüidade, ou seja, cada caractere da senha é apresentado junto a um grupo de três outros caracteres. A ordem dos números dentro de cada botão muda aleatoriamente toda vez que o cliente usa o teclado virtual. Os caracteres não são digitados como no teclado físico convencional e sim clicados com o auxílio do mouse (VELASCO, 2005).

40 40 Figura 13 Teclado Virtual. Fonte: Banco Unibanco. O princípio de funcionamento do teclado virtual mostrado na Figura 13, baseia-se em concatenar a senha com a data e a hora do sistema e depois criptografá-la, nesta figura acima nos temos os novos modelos de teclado virtual onde o caractere digitado não é o válido ele referencia a outro caractere. Em Alguns bancos é possível mover o teclado dentro do navegador de Internet para evitar que outra pessoa que não seja o cliente veja a senha digitada. Mas o objetivo principal do teclado virtual é limpar os campos onde a senha é digitada, não as armazenando em disco ou memória, impedindo que os campos de digitação sejam monitorados (WONGTSCHOWSKY, 2005) Secure Socket Layer (SSL) Secure Socket Layer (SSL) é um padrão global em tecnologia de segurança desenvolvida pela Netscape em Que cria um canal criptografado entre um servidor web e um navegador (browser) para garantir que todos os dados transmitidos sejam sigilosos e seguros, (CALLAO, 2005). Milhões de consumidores reconhecem o "cadeado dourado" que aparece nos navegadores quando estão acessando um website seguro, esta tecnologia ainda não foi normatizada pela IETF 6, (COMODOBR, 2008). Segundo ARAÚJO (1998), o SSL é um conjunto de três protocolos, dois situados no nível de transporte e o outro na camada de aplicação. Seu objetivo é prover um 6 IETF - é a sigla para Internet Engineering Task Force e se refere a uma instituição que desenvolve e promove as normas de Internet.

41 41 canal seguro, com privacidade, com garantia opcional de autenticidade dos pares e garantia de integridade da mensagem. Quando se acessa uma página de Internet, principalmente de um banco e esta começa com https, significa que ela é criptografada (com encriptação de 128bits) e com SSL antes da transmissão. De acordo com CERTISIGN (2009), os sites que usam o protocolo SSL podem transmitir e armazenar as informações particulares dos clientes de forma segura. Ao estabelecer a conexão, o SSL Handshake Protocol 7 usa um identificador de sessão, um conjunto criptográfico (cypher suite) a ser adotado e um método de compressão a ser utilizado. Figura 14 Protocolo SSL. Fonte: Na Figura 14 esclarecemos como se dá o Handshake Protocol, no primeiro passo o cliente envia um hello, no segundo o servidor envia o seu certificado, o terceiro passo é a verificação da autenticidade do certificado, no quarto o servidor solicita o certificado do cliente, no quinto o cliente envia o seu certificado, o sexto é a confirmação da autenticidade do certificado do cliente, no sétimo é enviada a chave de sessão e por fim é estabelecido um canal seguro. 7 Handshake Protocol ou aperto de mão.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são:

Malwares. Algumas das diversas formas como os códigos maliciosos podem infectar ou comprometer um computador são: Malwares Códigos Maliciosos - Malware Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Algumas das diversas

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

SEGURANÇA DA INFORMAÇÃO PARTE 2

SEGURANÇA DA INFORMAÇÃO PARTE 2 SEGURANÇA DA INFORMAÇÃO PARTE 2 Segurança da Informação A segurança da informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido, sabotagens, paralisações, roubo de informações ou

Leia mais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais Segurança na Internet Disciplina: Informática Prof. Higor Morais 1 Agenda Segurança de Computadores Senhas Engenharia Social Vulnerabilidade Códigos Maliciosos Negação de Serviço 2 Segurança de Computadores

Leia mais

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp Aula 03 Malware (Parte 01) Visão Geral Prof. Paulo A. Neukamp Mallware (Parte 01) Objetivo: Descrever de maneira introdutória o funcionamento de códigos maliciosos e os seus respectivos impactos. Agenda

Leia mais

Evitar cliques em emails desconhecidos; Evitar cliques em links desconhecidos; Manter um Firewall atualizado e ativado; Adquirir um Antivírus de uma

Evitar cliques em emails desconhecidos; Evitar cliques em links desconhecidos; Manter um Firewall atualizado e ativado; Adquirir um Antivírus de uma Evitar cliques em emails desconhecidos; Evitar cliques em links desconhecidos; Manter um Firewall atualizado e ativado; Adquirir um Antivírus de uma loja específica Manter um Antivírus atualizado; Evitar

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

Programa que, além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que seja controlado remotamente.

Programa que, além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que seja controlado remotamente. TIPOS DE VÍRUS Principais Tipos de Códigos Maliciosos 1. Virus Programa que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.

Leia mais

GUIA DE TRANQÜILIDADE

GUIA DE TRANQÜILIDADE GUIA DE TRANQÜILIDADE NA INTERNET versão reduzida Você pode navegar com segurança pela Internet. Basta tomar alguns cuidados. Aqui você vai encontrar um resumo com dicas práticas sobre como acessar a Internet

Leia mais

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa

SEGURANÇA DA INFORMAÇÃO. Aguinaldo Fernandes Rosa SEGURANÇA DA INFORMAÇÃO DICAS Aguinaldo Fernandes Rosa Especialista em Segurança da Informação Segurança da Informação Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Segurança em computadores e em redes de computadores

Segurança em computadores e em redes de computadores Segurança em computadores e em redes de computadores Uma introdução IC.UNICAMP Matheus Mota matheus@lis.ic.unicamp.br @matheusmota Computador/rede segura Confiável Integro Disponível Não vulnerável 2 Porque

Leia mais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais

Fundamentos em Segurança de Redes de Computadores. Pragas Virtuais Fundamentos em Segurança de Redes de Computadores Pragas Virtuais 1 Pragas Virtuais São programas desenvolvidos com fins maliciosos. Pode-se encontrar algumas semelhanças de um vírus de computador com

Leia mais

Índice. Ameaças à Segurança da Informação. Introdução. Dispositivos de Segurança no Bradesco Net Empresa. E-Mail. Como Identificar um Phishing Scan

Índice. Ameaças à Segurança da Informação. Introdução. Dispositivos de Segurança no Bradesco Net Empresa. E-Mail. Como Identificar um Phishing Scan www.bradesco.com.br Índice Versão 01-2007 Introdução 2 Ameaças à Segurança da Informação 12 Dispositivos de Segurança no Bradesco Net Empresa 3 E-Mail 14 Procuradores e Níveis de Acesso 6 Como Identificar

Leia mais

USO DOS SERVIÇOS DE E-MAIL

USO DOS SERVIÇOS DE E-MAIL USO DOS SERVIÇOS DE E-MAIL 1. OBJETIVO Estabelecer responsabilidades e requisitos básicos de uso dos serviços de Correio Eletrônico, no ambiente de Tecnologia da Informação da CREMER S/A. 2. DEFINIÇÕES

Leia mais

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes Autoria Esta apresentação foi desenvolvida por Ricardo Campos, docente do Instituto Politécnico de Tomar. Encontra-se disponível na página web do autor no link Publications ao abrigo da seguinte licença:

Leia mais

Prof. Ricardo Beck Noções de Informática Professor: Ricardo Beck

Prof. Ricardo Beck Noções de Informática Professor: Ricardo Beck Noções de Informática Professor: Ricardo Beck Prof. Ricardo Beck www.aprovaconcursos.com.br Página 1 de 14 Como Funciona a Internet Basicamente cada computador conectado à Internet, acessando ou provendo

Leia mais

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos.

INTRODUÇÃO. O conteúdo programático foi pensado em concursos, assim simularemos algumas questões mais usadas em vestibular e provas de concursos. INTRODUÇÃO Essa apostila foi idealizada como suporte as aulas de Informática Educativa do professor Haroldo do Carmo. O conteúdo tem como objetivo a inclusão digital as ferramentas de pesquisas on-line

Leia mais

TIC Domicílios 2007 Segurança na Rede, Uso do E-mail e Spam

TIC Domicílios 2007 Segurança na Rede, Uso do E-mail e Spam TIC Domicílios 2007 Segurança na Rede, Uso do E-mail e Spam DESTAQUES 2007 Os módulos sobre Segurança na Rede, Uso do E-mail e Spam da TIC Domicílios 2007 apontaram que: Cerca de 29% dos usuários de internet

Leia mais

Disciplina: Administração de Redes de Computadores.

Disciplina: Administração de Redes de Computadores. Disciplina: Administração de Redes de Computadores. Abordagem: Segurança Prof. Leandro Meireles 2011.2 Sistema Seguro Confidencialidade Integridade Disponibilidade Porque se preocupar com a segurança?

Leia mais

Códigos Maliciosos.

Códigos Maliciosos. <Nome> <Instituição> <e-mail> Códigos Maliciosos Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente desenvolvidos para executar

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos

Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos Malwares Segurança da Informação. S.O.S. Concursos Prof: Tiago Furlan Lemos Malware O termo malware é proveniente do inglês malicious software; é um software destinado a se infiltrar em um sistema de computador

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Abin e PF. Informática Complemento. Prof. Rafael Araujo

Abin e PF. Informática Complemento. Prof. Rafael Araujo Criptografia Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades,

Leia mais

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

Evolução dos Problemas de Segurança e Formas de Proteção

Evolução dos Problemas de Segurança e Formas de Proteção Evolução dos Problemas de Segurança e Formas de Proteção Núcleo de Informação e Coordenação do Ponto.br Nic.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Leia mais

Dicas de Segurança no uso de Computadores Desktops

Dicas de Segurança no uso de Computadores Desktops Universidade Federal de Goiás Dicas de Segurança no uso de Computadores Desktops Jánison Calixto CERCOMP UFG Cronograma Introdução Conceitos Senhas Leitores de E-Mail Navegadores Anti-Vírus Firewall Backup

Leia mais

Parte VIII: Códigos Maliciosos (Malware)

Parte VIII: Códigos Maliciosos (Malware) SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

- SEGURANÇA DAS INFORMAÇÕES -

- SEGURANÇA DAS INFORMAÇÕES - - SEGURANÇA DAS INFORMAÇÕES - TRT/AM Analista Judiciário 01/2012 FCC 1. Quando o cliente de um banco acessa sua conta corrente através da internet, é comum que tenha que digitar a senha em um teclado virtual,

Leia mais

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas virtuais 1 Vírus A mais simples e conhecida das ameaças. Esse programa malicioso pode ligar-se

Leia mais

Tutorial sobre Phishing

Tutorial sobre Phishing Tutorial sobre Phishing Data: 2006-08-15 O que é o Phishing? Phishing é um tipo de fraude electrónica que tem se desenvolvido muito nos últimos anos, visto que a Internet a cada dia que passa tem mais

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 2 0 1 3 OBJETIVO O material que chega até você tem o objetivo de dar dicas sobre como manter suas informações pessoais, profissionais e comerciais preservadas. SEGURANÇA DA INFORMAÇÃO,

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Checklist COOKIES KEYLOGGER PATCHES R. INCIDENTE TECNOLOGIA SPAM INTERNET MA Cartilha de Segurança para Internet

Checklist COOKIES KEYLOGGER PATCHES R. INCIDENTE TECNOLOGIA SPAM INTERNET MA Cartilha de Segurança para Internet SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Códigos Maliciosos Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente

Leia mais

BB Extensiva 05 06. Informática Criptográfica e Malwares. Prof. Rafael. Criptografia. Os princípios básicos de segurança da informações são:

BB Extensiva 05 06. Informática Criptográfica e Malwares. Prof. Rafael. Criptografia. Os princípios básicos de segurança da informações são: Criptografia Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades,

Leia mais

Cartilha de Segurança para Internet Checklist

Cartilha de Segurança para Internet Checklist Cartilha de Segurança para Internet Checklist NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Este checklist resume as principais recomendações contidas no documento intitulado Cartilha

Leia mais

Parte VIII: Códigos Maliciosos (Malware)

Parte VIII: Códigos Maliciosos (Malware) SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Parte I: Conceitos de Segurança

Parte I: Conceitos de Segurança SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Lista de Exercício: PARTE 1

Lista de Exercício: PARTE 1 Lista de Exercício: PARTE 1 1. Questão (Cód.:10750) (sem.:2a) de 0,50 O protocolo da camada de aplicação, responsável pelo recebimento de mensagens eletrônicas é: ( ) IP ( ) TCP ( ) POP Cadastrada por:

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Noções de Segurança na Internet. Seminário de Tecnologia da Informação Codevasf

Noções de Segurança na Internet. Seminário de Tecnologia da Informação Codevasf Noções de Segurança na Internet Conceitos de Segurança Precauções que devemos tomar contra riscos, perigos ou perdas; É um mal a evitar; Conjunto de convenções sociais, denominadas medidas de segurança.

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação (Extraído da apostila de Segurança da Informação do Professor Carlos C. Mello) 1. Conceito A Segurança da Informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido,

Leia mais

INFORMÁTICA PARA CONCURSOS

INFORMÁTICA PARA CONCURSOS INFORMÁTICA PARA CONCURSOS Professor: Alessandro Borges Aluno: Turma: INTERNET PRINCIPAIS CONCEITOS Introdução a Internet Atualmente a Internet é conhecida como rede mundial de comunicação, mas nem sempre

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

Material de Apoio Ameaças e Mecanismos de Proteção

Material de Apoio Ameaças e Mecanismos de Proteção Material de Apoio Ameaças e Mecanismos de Proteção (Aula 02) Parte 01: Ameaças 2 Malware Sumário Definição de Malware Descrição de Códigos Maliciosos Engenharia Social Referências 3 Malware Definição de

Leia mais

Manual de Usuário do UnB Webmail Destinado aos usuários de e-mail da Universidade de Brasília MODO DINÂMICO

Manual de Usuário do UnB Webmail Destinado aos usuários de e-mail da Universidade de Brasília MODO DINÂMICO Destinado aos usuários de e-mail da Universidade de Brasília MODO DINÂMICO Elaboração: Equipe de Suporte Avançado do CPD SA/SRS/CPD/UnB suporte@unb.br Universidade de Brasília Brasília / 2014 Resumo A

Leia mais

Auditoria e Segurança de Sistemas Aula 05 Ataques, Golpes e Malware. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com

Auditoria e Segurança de Sistemas Aula 05 Ataques, Golpes e Malware. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Auditoria e Segurança de Sistemas Aula 05 Ataques, Golpes e Malware Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Previous... 2 Golpes 3 Engenharia Social Manipulação psicológica de pessoas

Leia mais

Conceitos de Segurança em Sistemas Distribuídos

Conceitos de Segurança em Sistemas Distribuídos Conceitos de Segurança em Sistemas Distribuídos Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA http://www.lsd.ufma.br 30 de novembro de 2011

Leia mais

Verificação em duas etapas.

Verificação em duas etapas. <Nome> <Instituição> <e-mail> Verificação em duas etapas Agenda Senhas Verificação em duas etapas Principais tipos e cuidados a serem tomados Outros cuidados Créditos Senhas (1/4) Servem para autenticar

Leia mais

Auditoria e Segurança em Tecnologia da Informação

Auditoria e Segurança em Tecnologia da Informação Auditoria e Segurança em Tecnologia da Informação @lucianodoll Conceitos de segurança Introdução Segurança Um computador é seguro se atende a 3 requisitos: Confidencialidade: a informação só está disponível

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Códigos maliciosos são usados como intermediários e possibilitam a prática de golpes, a realização de ataques e o envio de spam Códigos maliciosos, também conhecidos como pragas

Leia mais

Segurança no Computador

Segurança no Computador Segurança no Computador Segurança na Internet: Módulo 1 (CC Entre Mar E Serra), 2008 Segurança na Internet, CC Entre Mar E Serra 1 Segurança no Computador Um computador (ou sistema computacional) é dito

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Conceitos relativos à proteção e segurança

Conceitos relativos à proteção e segurança Conceitos de proteção e segurança 1 Conceitos relativos à proteção e segurança Códigos Maliciosos (Malware) Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos

Leia mais

Principais Ameaças na Internet e

Principais Ameaças na Internet e Principais Ameaças na Internet e Recomendações para Prevenção Cristine Hoepers cristine@cert.br Klaus Steding-Jessen jessen@cert.br Esta Apresentação: http://www.cert.br/docs/palestras/ Centro de Estudos,

Leia mais

INFORMÁTICA PARA CONCURSOS

INFORMÁTICA PARA CONCURSOS INFORMÁTICA PARA CONCURSOS Prof. BRUNO GUILHEN Vídeo Aula VESTCON MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. A CONEXÃO USUÁRIO PROVEDOR EMPRESA DE TELECOM On-Line A conexão pode ser

Leia mais

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos.

REDES. Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. REDES Consiste em dois ou mais computadores conectados entre si e compartilhando recursos. TIPOS TIPOS LAN MAN WAN FUNCIONAMENTO DE UMA REDE TIPOS Cliente/ Servidor Ponto a ponto INTERNET Conceito 1.

Leia mais

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer INFORMÁTICA BÁSICA APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN O processo de Navegação na Internet INFORMÁTICA BÁSICA A NAVEGAÇÃO Programas de Navegação ou Browser : Internet Explorer; O Internet Explorer Netscape Navigator;

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO:

Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO: Exercícios de Segurança de Informação Ameaças lógicas Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO: 1) Vírus de macro infectam arquivos criados por softwares que utilizam

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 13

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 13 REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 13 Índice 1. Criptografia...3 1.1 Sistemas de criptografia... 3 1.1.1 Chave simétrica... 3 1.1.2 Chave pública... 4 1.1.3 Chave pública SSL... 4 2. O símbolo

Leia mais

SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL. Professor Carlos Muniz

SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL. Professor Carlos Muniz SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL Na internet, cada computador conectado à rede tem um endereço IP. Todos os endereços IPv4 possuem 32 bits. Os endereços IP são atribuídos à interface

Leia mais

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura?

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura? Qual a importância da Segurança da Informação para nós? No nosso dia-a-dia todos nós estamos vulneráveis a novas ameaças. Em contrapartida, procuramos sempre usar alguns recursos para diminuir essa vulnerabilidade,

Leia mais

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer. /Redes/Internet/Segurança

O processo de Navegação na Internet APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. O Internet Explorer. /Redes/Internet/Segurança APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN O processo de Navegação na Internet INFORMÁTICA BÁSICA www.brunoguilhen.com.br A NAVEGAÇÃO Programas de Navegação ou Browser : Internet Explorer; O Internet Explorer

Leia mais

Entendendo a Certificação Digital

Entendendo a Certificação Digital Entendendo a Certificação Digital Novembro 2010 1 Sumário 1. Introdução... 3 2. O que é certificação digital?... 3 3. Como funciona a certificação digital?... 3 6. Obtendo certificados digitais... 6 8.

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

Combater e prevenir vírus em seu computador

Combater e prevenir vírus em seu computador Combater e prevenir vírus em seu computador Definição de vírus, worms, hoaxes, Tróias e vulnerabilidades de segurança Instruções para remover e evitar vírus Vulnerabilidades do sistema e ameaças de segurança

Leia mais

Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada

Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada Criptografia Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada Criptografia Onde pode ser usada? Arquivos de um Computador Internet Backups Redes

Leia mais

CLAIN 2008. Fraude Eletrônica. Moises J Santos. Internet Banking

CLAIN 2008. Fraude Eletrônica. Moises J Santos. Internet Banking CLAIN 2008 Fraude Eletrônica Moises J Santos Fraude Eletrônica Definição Fraude Subterfúgio para alcançar um fim ilícito, ou ainda, o engano dolosamente provocado, o malicioso induzimento em erro ou aproveitamento

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

10 Dicas para proteger seu computador contra Vírus

10 Dicas para proteger seu computador contra Vírus 10 Dicas para proteger seu computador contra Vírus Revisão 00 de 14/05/2009 A cada dia a informática, e mais especificamente a internet se tornam mais imprescindíveis. Infelizmente, o mundo virtual imita

Leia mais

Glossário COOKIES KEYLOGGER PATCHES R. INCIDENTE TECNOLOGIA SPAM INTERNET MA Cartilha de Segurança para Internet

Glossário COOKIES KEYLOGGER PATCHES R. INCIDENTE TECNOLOGIA SPAM INTERNET MA Cartilha de Segurança para Internet SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Segurança na Internet Brasileira: Principais Ameaças e

Segurança na Internet Brasileira: Principais Ameaças e Segurança na Internet Brasileira: Principais Ameaças e Recomendações para Prevenção Luiz Eduardo Roncato Cordeiro Marcelo H. P. C. Chaves {cordeiro,mhp}@cert.br Centro de Estudos, Resposta e Tratamento

Leia mais

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN

APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN www.brunoguilhen.com.br. Prof. BRUNO GUILHEN APRESENTAÇÃO DO CURSO Prof. BRUNO GUILHEN www.brunoguilhen.com.br Prof. BRUNO GUILHEN MÓDULO I - INTERNET Aula 01 O processo de Navegação na Internet. O processo de Navegação na Internet A CONEXÃO USUÁRIO

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

DOMÍNIO PRODUTIVO DA INFORMÁTICA - CONCURSO BB 2015 -

DOMÍNIO PRODUTIVO DA INFORMÁTICA - CONCURSO BB 2015 - DOMÍNIO PRODUTIVO DA INFORMÁTICA - CONCURSO - Professor Esp. Wellington de Oliveira Graduação em Ciência da Computação Pós-Graduação em Docência do Ensino Superior Pós-Graduação MBA em Gerenciamento de

Leia mais

APOSTILA PROFESSOR BISPO INFORMÁTICA CURSO TÉCNICO

APOSTILA PROFESSOR BISPO INFORMÁTICA CURSO TÉCNICO APOSTILA PROFESSOR BISPO INFORMÁTICA CURSO TÉCNICO 8. SEGURANÇA DA INFORMAÇÃO função, garantindo a integridade do documento associado, mas não a sua confidencialidade. HASH: Verifica a integridade, pois

Leia mais

Spywares, Worms, Bots e Boas Práticas de Segurança

Spywares, Worms, Bots e Boas Práticas de Segurança Spywares, Worms, Bots e Boas Práticas de Segurança Miriam von Zuben miriam@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasill Núcleo de Informação e Coordenação do

Leia mais

Ameaças a computadores. Prof. César Couto

Ameaças a computadores. Prof. César Couto Ameaças a computadores Prof. César Couto Conceitos Malware: termo aplicado a qualquer software desenvolvido para causar danos em computadores. Estão nele incluídos vírus, vermes e cavalos de tróia. Vírus:

Leia mais

ESET SMART SECURITY 7

ESET SMART SECURITY 7 ESET SMART SECURITY 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

Segurança de Computadores LUBRITEC. Ver. 4.0 Data Out/2010 Vigência: Out/2011. Prezado colaborador,

Segurança de Computadores LUBRITEC. Ver. 4.0 Data Out/2010 Vigência: Out/2011. Prezado colaborador, LUBRITEC Ver. 4.0 Data Out/2010 Vigência: Out/2011 1 Prezado colaborador, O nosso dia na empresa, começa quando ligamos o computador. Logo acessamos a rede interna; recebemos, respondemos e enviamos novos

Leia mais

Prevenção. Como reduzir o volume de spam

Prevenção. Como reduzir o volume de spam Prevenção Como reduzir o volume de spam A resposta simples é navegar consciente na rede. Este conselho é o mesmo que recebemos para zelar pela nossa segurança no trânsito ou ao entrar e sair de nossas

Leia mais

Considerando o navegador Internet Explorer e a utilização do correio eletrônico, é INCORRETO afirmar:

Considerando o navegador Internet Explorer e a utilização do correio eletrônico, é INCORRETO afirmar: 1) Analista Judiciário 2015 TRE /RR - FCC Considerando o navegador Internet Explorer e a utilização do correio eletrônico, é INCORRETO afirmar: (A) No Internet Explorer 9, ao se digitar apenas um ponto

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais