Upload
internet
View
109
Download
2
Embed Size (px)
Citation preview
Sistemasde
Informação
Segurança, Privacidadee Questões Éticas
em Sistemas de Informaçãoe na Internet.
Capítulo: 14
Segurança Privacidade
Questões Éticas
Quão importante é a ética na
sociedade atual?
Desperdíciose
Erros porComputador
O que vem a ser consideradodesperdício computacional?
Uso inadequado de tecnologiae recursos computacionais
A que se referem os erroscomputacionais?
Erros, falhas e outros problemas
computacionais que tornem os resultados incorretos ou inúteis,
geralmente provenientes de falha
humana.
Principais causas dos erroscomputacionais:
Expectativas inadequadas;Falta de realimentação;Erros no programa causados pelo programador;
Inserção de dados incorretos pelo usuário.
Principais tipos de erros
computacionais:
Entrada de dados ou captura de erros;
Erros em programas;
Erros de manipulação de arquivos (formatação, sobreposição, exclusão casual);
Manipulação indevida de computadores;
Planejamento e controle inadequado de defeitos em hardware;
Planejamento e controle inadequado de dificuldades ambientais (elétrica, umidade, etc.)
Prevenção de desperdícios e erros
computacionais através da adoção de
Políticas e Procedimentos
A prevenção através de políticas e procedimentos
requer quatro passos:
1. Estabelecer;2. Implementar;3. Monitorar;4. Revisar.
1. Estabelecer:
Estabelecer políticas e procedimentos relativos à eficiência na aquisição, no
uso e na dispensa de sistemas e dispositivos.
2. Implementar:
A implementação das políticas e procedimentos requer alocação de
responsabilidade para precisão dos dados e treinamento adequado.
Nunca comece a implementar um projeto sem ter em mãos todos os
recursos.
3. Monitorar:
Monitorar práticas rotineiras e efetuar ações corretivas se necessário.
4. Revisar:
Revisar as políticas e procedimentos afim de determinar se estes estão
ou não adequados.
Estudo de caso
Erros de software
Quem? Banco Eurocheques
Fabricante dos cartões: Gemalto
Onde? Alemanha
Quando? Janeiro de 2010
Em que proporção?
• 20 milhões de cartões de banco de débito• 3,5 milhões de cartões de crédito
Aproximadamente 50% dos cartões distribuídos pelos bancos da Alemanha
Total emitido por esta instituição:45 milhões de cartões de débito8 milhões de cartões de crédito
Erros?Bloqueados por uma falha de computador que não reconhece o ano de 2010.
Efeitos?Diversos clientes não conseguiram retirar seu dinheiro do banco ou mesmo comprar com seu cartão de crédito.
Prejuízos?Caso a troca dos cartões seja mesmo necessária, o prejuízo pode ultrapassar 200 milhões de euros.
Ambiente de Trabalho
Questões de Saúde
O trabalho com computadores pode
provocar fadiga ocupacional em algumas
pessoas!
Alguns efeitos da ansiedade:
Insegurança quanto aos empregos;Perda de controle;Incompetência.
As consequências podem ser extremas ao ponto de gerar sabotagem em sistemas e equipamentos computacionais.
Solução:
Monitorar + Treinar + Aconselhar
O trabalho com computadores também
pode afetar a saúde física!
As doenças relacionadas ao trabalho com computadores são geralmente:
LER (Lesões por esforços repetitivos)
Ou
DORT (Distúrbio Osteomuscular Relacionado ao Trabalho)
Doenças mais comuns relacionadas às LER/DORT:
Tendinite
Tenossinovite
Síndrome de De Quervain
Síndrome do Túnel do Carpo
Como Prevenir o aparecimento das
doenças ocupacionais?
Eliminando os elementos de fadiga, que podem ser:
Tela difícil de ler, muitos reflexos e pouco contraste;
Mesas e cadeiras desconfortáveis;Teclados e telas difíceis de serem
movimentadas;Movimentos repetitivos;Postura inadequada; eFadiga ocular.
Ergonomia
Estudo do projeto e posicionamentos de equipamentos computacionais
para a saúde, segurança e produtividade dos funcionários.
Como deve ser nossa postura?
Como NÃO deve ser nossa postura?
Não deixe que a cadeia evolutiva do homem seja assim:
Tenha cuidado com a sua postura, ou o resultado dessa
displicência pode ser...
Ambiente de Trabalho
Questões Éticas
As questões éticas tratam do que é em geral considerado certo ou
errado.
Nos EUA existem algumas associações que desenvolvem códigos de ética para SI, sendo:
AITP – Association of Information Technology Professionals;ACM – Association for Computing Machinery;IEEE – Institute of Eletrical and Eletronics Engineers;CPSR – Computer Professionals for Social Responsibility.
As responsabilidades profissionais desenvolvidas pela ACM incluem:
Atingir alta qualidade, eficácia e dignidade nos processos;Adquirir e manter competência profissional;Conhecer e respeitar as leis relativas à atividade profissional;Aceitar e oferecer revisões profissionais apropriadas;Oferecer avaliações dos sistemas e seus impactos;Análise dos riscos dos SI;Honrar contratos, acordos e responsabilidades alocadas;Melhorar o entendimento público da computação;Acessar recursos computacionais e de comunicações
apenas quando autorizado.
Enfim, vantagem competitiva de longo prazo passa a ser resultado de uma equipe
bem treinada, motivada e culta.
“Juntos podemos atingir qualquer objetivo!!!”
Crimes Digitais
Definições...
Para pensar...
Quando pensamos em Crime Digital, o que vem em nossas mentes?
Hackers: a visão que temos deles
Será que esta visão está correta?
Hacker: a origem do termo na Computação
Indagação: Hackers são criminosos?
Indagação: Hackers são criminosos?
A definição original do termo
• São experts de computadores• Elaboram e modificam softwares e hardware• Desenvolvem funcionalidades novas
Hacktivismo
• Ataque à página oficial do ministério dos Negócios Estrangeiros da Indonésia em 1997.
• Ataque feito por Hackers do grupo Toxyn.
"Bem-vindo ao Ministério dos Negócios Estrangeiros da República Fascista da Indonésia"
Ali Alatas - ministro dos negócios estrangeiros
Os termos utilizados na segurança da informação:
• White Hat (chapéu branco)• Gray Hat (chapéu cinza)• Black Hat (chapéu preto)
White Hat
• Exploram a segurança de computadores ou redes através da ética
Gray Hat
• Agem como White Hat na maioria das vezes• Seguem caminhos menos nobres em alguns casos
Black Hat
• Não segue a ética Hacker ou a lei• Invadem computadores, roubam pessoas e destroem sistemas
Cracker
Cracker
Tipos de Crackers:
1. Crackers de softwares: Programadores que fazem engenharia reversa
2. Crackers de Criptografia: Se dedicam a quebrar códigos
3. Desenvolvedores de programas maliciosos
Nova tática de invasão de computador
• Exploração do kernel do software• Redireciona a requisição do Windows• Altera o resultado da detecção• Vírus é classificado como arquivo “limpo”
Invasões através de arquivos PDF
• Explora a vulnerabilidade de execução do Javascript embutido no PDF
• Permite acesso remoto ao computador
Script kiddie
• Pouco conhecimento
• Utilizam Scripts Prontos
• Cometem grandes estragos na internet
Phreaker
• Especializados em burlar sistemas telefônicos• Alguns com acesso direto às centrais telefonicas
Phreaker
• John Draper (Capitão Crunch)
• Blue Box
Perfil dos criminosos virtuais brasileiros
Alguns Dados:
• Representam 57% das fraudes na América Latina
• Bancos brasileiros são alvos de 12% de todos os cavalos de tróias criados mundialmente
Dmitry Bestuzhev – Pesquisador sênior da fabricante de antivírus Kaspersky Lab
Porém...
• Conhecimento técnico intermediário
• Fazem uso da Engenharia Social
Uso de ferramentas Hackers
• Existem diversas “receitas” prontas feitas por revistas ou na internet• Em revistas são oficialmente distribuídos para explorar falhas• Usados em testes de penetração• São um constante lembrete para especialistas em seguranças
INVASÃO DE SISTEMAS, DESTRUIÇÃO E ROUBO DE
DADOS E INFORMAÇÕES
INVASÃO DE SISTEMAS
Técnicas de Invasão:
Spoofing Sniffers Ataque do tipo DoS - Denial of Service Ataque do tipo DDoS- Distributed of Service
SPOOFING
SNIFFERS
DOS-DENIAL OF SERVICE EDDOS-DISTRIBUTED OF SERVICE
FERRAMENTAS PARA DESTRUIÇÃO DE DADOS E INFORMAÇÕES
Malwares:
Vírus de computador Worm Cavalo de tróia Spyware
VÍRUS DE COMPUTADOR
Tipos de Vírus:
Vírus de Aplicação Vírus de Sistema Vírus de Macro Bomba Lógica Worm
CAVALO DE TRÓIA
SPYWARE
Adware Keylogger Bakdoor Ransomware
Ato de reprodução não autorizada de documentos.
Tal ato foi facilitado com os Scanners e Impressoras de alta qualidades
Falsificação
O que são?Qual o impacto?
Crimes Internacionais
Como funciona?
Colocação
Ocultação
Integração
Lavagem de Dinheiro
ESTÁGIOS
Métodos de Lavagem• mercado negro de câmbio
colombiano
• depósitos estruturados
• bancos internacionais
• sistema bancário alternativo
• empresas de fachada
• investimento em empresas legítimas
• compra de bilhetes sorteados
Uso dos recursos da internet e tecnológicos para captura de dados
e informações valiosas dos concorrentes.
Espionagem Industrial
O que é?
Ciberterrorismo
Especialistas podem ser “contratados”
Objetivos:• Identificar possíveis
fragilidades na estrutura;
• Arrecadação de fundos;• Transferência para
divisões menores;• Facilitar a doação de
recursos, entre outros.
PIRATARIA
PIRATARIA DE SOFTWARE
PIRATARIA DE INTERNET
GOLPES NA INTERNET
PARTE 1/3
Pirataria de Software
Pirataria de Usuário Final
Falsificação
Cracking
Pirataria pela Internet
Pirataria de Usuário Final
Nada de Cópias!!!
PARADOXO
Leitores/Gravadores de CD/DVD
Mídias baratas de CD/DVD
Pen Drives
Hd´s externos
Softwares para gravação (ex. Nero)
Falsificação
Nada de Imitações!!!
Cracking
Nada de Quebrar Códigos!!!
Pirataria pela Internet
Não adquira gato por lebre!!!
Polêmicas...
Venda de software usado (jogos) é pior que pirataria?
Cópia de segurança
PARTE 2/3
Pirataria de Internet
O que é piratear a internet?
Como é feito o “gato”?
Qual o perfil de quem usa o “gato”?
Piratear a internet
Como é feito o “gato”
Perfis de quem usa o “gato”
Há aquele que usa para ser “esperto”, mesmo podendo fazer o uso legal do serviço.
Há aquele que usa por falta de opção, a circunstância o força para a ilegalidade.
Para fugir da internet discada...
...é preciso buscar alternativas
Forçando a Barra
PARADOXO
Empresas reclamam do acesso ilegal, mas não apresentam alternativas para atender a demanda de seus serviços
Golpes Computacionais
PARTE 3/3
A maioria dos golpes aplicados, seja na internet ou fora dela, utiliza como ferramenta a.....
ENGENHARIA SOCIAL
Enganando pessoas, explorando a confiança
Engenharia social: definição
PHISHING: a principal arma da engenharia social
Phishing em salas de bate papo (chat´s)
Salas de bate papo: local onde reina a verdade e a sinceridade
Phishing em salas de bate papo (chat´s)
Salas de bate papo: local onde reina a verdade e a sinceridade
Como funciona o golpe?
Ingenuidade
Fragilidade emocional
Phishing em e-mail
Como funciona o golpe?
Confiança
Curiosidade
Ganância
Outras modalidades de phishing:
mensagens instantâneas
mensagens de texto de telefones celulares (SMS)
anúncios falsos tipo banner
quadros de mensagens e listas de endereços
sites falso de procura e ofertas de emprego
Dicas para proteção
Dicas para proteção Troque a sua senha de acesso ao internet banking
periodicamente
Só utilize equipamento efetivamente confiável. Não realize operações em equipamentos públicos ou que não tenham programas antivírus
Exclua (delete), sem abrir, e-mails não-solicitados ou de origem desconhecida, especialmente se tiverem arquivos anexados
Quando efetuar pagamentos ou realizar outras operações financeiras, certifique-se de que está no site desejado, “clicando” sobre o cadeado e/ou a chave de segurança que aparece quando se entra na área de segurança do site
Acompanhe os lançamentos em sua conta corrente. Caso constate qualquer crédito ou débito irregular, entre imediatamente em contato com o banco.
E, acima de tudo.....
PREVENÇÃO DE CRIMES RELACIONADOS A COMPUTADOR
Nelson Antunes Filho
PREVENÇÃO POR AGÊNCIAS FEDERAIS/ESTADUAIS
Prevenção de crimes relacionados a computador
Prevenção por agências federais/estaduais
Polícia Civil
Delegacias especializadas em crimes cibernéticos
Espírito Santo Goiás Minas Gerais Paraná Rio de Janeiro São Paulo
Prevenção por agências federais/estaduais
Polícia Civil
Divisão de Repressão aos Crimes de Alta Tecnologia
Distrito Federal
Atende à delegacias, não ao público
Prevenção por agências federais/estaduais
Polícia Federal
Nunca houveram tantas operações contra crimes de alta tecnologia
Nunca houveram tantas ocorrências
Google X MPF A questão ‘orkut’
Prevenção por agências federais/estaduais
Agência SaferNET Brasil
Auxiliando o trabalho das polícias civil e federal
Ampliando os meios de denúncia
Cartilhas e informação. Não se torne uma vítima!
Prevenção por agências federais/estaduais
Agência SaferNET Brasil
Parcerias
NIC.br - (CGI.br)
Pornografia infantil e pedofilia; Crimes de ódio; Crime contra os direitos humanos;
Prevenção por agências federais/estaduais
Agência SaferNET Brasil
Parcerias
MPF
Mútua Cooperação Técnica,Científica e Operacional;
Prevenção por agências federais/estaduais
Agência SaferNET Brasil
Parcerias
Revisão de conteúdo; Encaminhamento à SaferNET e MPF;
PREVENÇÃO POR EMPRESASPrevenção de crimes relacionados a computador
Prevenção por empresas
Controle de acesso
Acesso à ambientes Físicos;
Acesso à serviços;
Troca de documentos, comprovação de identidade;
Prevenção por empresas
Acesso à ambientes Físicos
Cartão de identificação;
Smartcard ;
RFID;
Prevenção por empresas
Acesso à ambientes Físicos
Biometria
Impressão digital;
Leitura de íris;
Geometria da palma da mão;
Prevenção por empresas
Acesso à serviços
Gerenciamento de políticas de acesso
Definição de horários e regras de acesso;
Desativação preventiva de contas;
Desativação por desligamento;
Prevenção por empresas
Troca de documentos, comprovação de identidade
Criptografia de chave pública
Certificado tipo A1
Certificado tipo A3 Smart card Token
Prevenção por empresas
Associação de empresas
Diversas empresas reunidas;
Empenhadas em melhorar seus procedimentos de segurança;
PROTEÇÕES CLIENT-SIDESoluções de proteção aplicadas ao usuário final
Proteções client-side
Utilização de programas antivírus;
Evita a contaminação dos arquivos já existentes;
Verifica novos arquivos;
Impede ameaças em potencial;
Proteções client-side
Utilização de programas firewall;
Navegue protegido!
Protege as portas lógicas contra potenciais invasores;
Proteções client-side
Utilização de programas firewall;
Monitora os dados que entram e saem do computador através da rede;
Impede o uso indevido docomputador por terceiros(zombie computer);
Proteções client-side
Utilizar pacotes que ofereçam proteção integrada
Internet Security Suite;
Manter o sistema operacional e as definições de antivírus e firewall sempre atualizadas;
Proteções client-side
Mantenha as licenças atualizadas
Nunca utilize cracks para tornar seu antivírus “original”
Utilize uma solução paga
Ou soluções gratuitas confiáveis
PROTEÇÕES SERVER-SIDE
Soluções de proteção aplicadas à empresas e fornecedores de serviços
Proteções server-side
Terceirização das operações de segurança de redes:
Managed Security Service Provider;
Empresa melhor qualificada para atender a demanda de segurança;
Proteções server-side
Managed Security Service Provider:
Todas as tarefas envolvendo segurança de redes;
Funcionários de T.I. podem ser alocados para outras tarefas;
Proteções server-side
Managed Security Service Provider:
Solução dos problemas ou substituição de problemas;
Empresa terceira tratará a segurança com a prioridade que ela merece?
SISTEMA DE CLASSIFICAÇÃO DE CONTEÚDO
Soluções de proteção aplicadas à empresas e fornecedores de serviços
Sistema de classificação de conteúdo
Classificação de conteúdos;
Distribuição em níveis de categoria; Pornografia; Nudez; Linguagem forte; ...
ICRA – Internet Content Rating Association;
Sistema de classificação de conteúdo
A partir das categorias criadas faz-se uma filtragem de conteúdo
Filtragem/bloqueio no próprio navegador
Cada página precisa utilizar a categorização corretamente seguir os padrões
PRIVACIDADE
Questão social:
“O direito de ficar só é um dos direitos mais amplos e mais valiosos para o homem civilizado”.
Em sistemas de informação Se uma organização pública ou privada
consome tempo e recursos para obter dados sobre um indivíduo, essa organização é proprietária desses dados?
Privacidade e governos federais
Nos EUA: Os ataques terroristas de 11 de setembro
reavivaram propostas de uma carteira de identidade nacional para os EUA.
Carnivore: usado pelo FBI Echelon: rede de segurança global.
União Europeia: Diretiva de proteção de dados.
EPIC – centro de informações de privacidade eletrônica
Processou a ChoicePoint e a Experian
Privacidade no trabalhoDireitos de trabalhadores pela privacidade X Cias. que querem saber mais sobre seus funcionários.
TI Monitor:
Privacidade de e-mail Ernst & Young divulgou: nas empresas brasileiras: Do
ponto de vista das ameaças à segurança da informação corporativa, 41% dos participantes da pesquisa registraram aumento no número de ataques externos (phishing, invasão de sites, etc.) e 19% nas fraudes externas; além de 25% dizem que cresceram os ataques internos (abuso de privilégios de funcionários e roubo de informações) e 13%, as fraudes internas.
Nos EUA: A lei federal permite às empresas monitorar as mensagens enviadas e recebidas por funcionários.
Privacidade na Internet
Verisign – certificado digital A Americanas.com faz parte do programa Internet
Segura, desenvolvido pelos principais sites do Brasil, e é certificada pela VERISIGN, a maior autoridade em segurança na Internet, garantindo privacidade e segurança aos clientes para informar seus dados pessoais.
P3P
Servidor que protege usuários de sites que não oferecem o nível de proteção de privacidade desejado.
Leis federais de privacidade Lei da privacidade de 1974
Questões de justiçaArmazenamento em base
de dadosUso de base de dados
Direito de saber Conhecimento Notificação
Capacidade de decidir Controle Consentimento
Outras leis...
Lei Gramm-Leach-Billey Lei Patriota dos EUA
POLÍTICAS DE PRIVACIDADE
CORPORATIVA
Esforços individuais para proteger a privacidade Descobrir o que está armazenado sobre você em
bases de dados Ser proativo para proteger sua privacidade Ao adquirir algo de um site, garanta a salvaguarda
de seu nº de cartão de crédito, senhas e informações pessoais.