ATPS - Segurança E Auditoria

ETAPA 1

1.1 – Introdução à Segurança em Sistemas de Informação e Redes de Computadores

• O que é melhor para a empresa, prevenir ou corrigir danos?

• Qual o grau de segurança a ser imposto aos sistemas de informações?

• Qual o nível de legalidade das medidas de segurança desejadas?

O ativo que mais vale dentro de uma organização é, sem sombra de dúvidas, a informação. Esta compõe um grande diferencial competitivo que deve estar disponível apenas para as pessoas certas. Garantir critérios e realizar atividades que protejam estas informações contra roubos, fraudes ou vazamentos de dados na organização são responsabilidades e habilidades de todos dentro da mesma.

Assegurar a informação de uma organização consiste em:

• Garantir disponibilidade da informação;

• Garantir integridade da informação;

• Garantir confidencialidade da informação.

1.2 Exemplos de Problemas de Segurança em Sistemas de Informação

- Epsilon, empresa de marketing dos EUA, em abril deste ano, deixou vazar dados de mais de 2,5 mil empresas, do ramo financeiro e varejistas, inclusive da venda de remédios. A empresa manda por ano mais de 40 bilhões de emails.

- Em janeiro de 2011, a LG deixou vazar dados de quase 72 mil clientes. Entre os dados revelados estavam: nome, endereço residencial, CPF, data de aniversário e telefones fixo e celular.

1.3 Falhas em Sistemas de Informação

SQL Injection: É um tipo de ameaça de segurança que se aproveita de falhas em sistemas que interagem com bases de dados via SQL. Ocorre quando se consegue inserir uma série de instruções SQL dentro de uma consulta (query).

2.4.2 Quebra de Código JavaScript

Quebra de código JavaScript: caba de ser descoberto um método de invadir uma rede de computadores apenas colocando-se o código mal-intencionado em uma página da Internet.

Quando uma pessoa navega pela web, seu computador normalmente é protegido dos ataques por um "firewall", um programa que filtra mensagens suspeitas. Mas pesquisadores da empresa SPI Dynamics, Estados Unidos, descobriram que determinado código em JavaScript, embutido em uma página da web, pode passar pelo firewall. JavaScript é uma linguagem de programação simples, que roda no navegador, largamente utilizada para tornar as páginas mais interativas.

Cross Site Scripting: Vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários.

Upload de Arquivos: Quando o sistema possui algumas falhas em que os usuários podem fazer uploads dos arquivos, no próprio sistema

1.4 Correção de Falhas em Sistemas de Informação

Services packs ou patches.

1.5 Terminologia de Segurança

Hacker - São usuários que utilizam seu conhecimento para melhorar softwares, de forma legal.

Cracker – Aquele que pratica a quebra de um sistema de segurança, de forma ilegal. Existem 3 tipos de crackers: crackers de Criptografia, de softwares e os desenvolvedores de vírus e outros malwares.

Cyberpunks – De acordo com Lawrence Person: "Os personagens do cyberpunk clássico são seres marginalizados, distanciados, solitários, que vivem à margem da sociedade, geralmente em futuros despóticos onde a vida diária é impactada pela rápida mudança tecnológica, uma atmosfera de informação computadorizada ambígua e a modificação invasiva do corpo humano."

Coders –

Black Hat – Técnicas que visam atingiru um objetivo sem autorização do orgão responsável.

Carding – Pessoas que agem sozinhas ou em grupo, com o intuito de conseguir dados de cartões de créditos.

Media Whore – Utilizado para classificar os hackers que deixam o anonimato para atrair a atenção da mídia, atrás de fama. Esse tipo de atitude é classificado como traição no mundo hacker.

Phreaking – Fraude envolvendo o sistema telefônico. Normalmente para escutar ligações ou fazer ligações gratuitas.

Cavalo de tróia – São programas que desativam as medidas de segurança comuns de um computador na rede.

Virus

...