Arquivo da categoria ‘Segurança de Sistemas’


Thiago Santos de Amorim

RESUMO: Com a grande popularização da internet e as pessoas cada vez mais utilizando o computador para fazer movimentações bancarias e compras on-line utilizando cartões de créditos, cresce o índice de fraudes  na web, entre as quais os emails utilizados para obter senhas de usuários através de copias de sites de grandes instituições tem crescido muito nos últimos anos, o que tem preocupado tanto as instituições quanto os usuários que devem andar cada vez mais desconfiados.

Pesquisas realizadas pela Rede Nacional de Pesquisa e pelo Anti-Phishing Work Group (APWG) mostra no quanto tem aumentado esse tipo de ataque em que os usuários são levados a digitar seus dados pensando que estão o fazendo em um site conhecido.                                                                                                                                                                                   .

PALAVRA CHAVE: Phishing, Fraudes, E-mails, Segurança.

INTRODUÇÃO: Devido a crescente onda de fraudes eletrônicas, os usuários da Internet têm se preocupado muito, com o que pode acontecer se alguém obtiver seus dados. O que se fundamenta nas noticias veiculadas na mídia, que tem mostrado ultimamente a astucia dos criminosos.

Pretendemos nesse trabalho mostrar qual a definição cientifica para essas fraudes e como os fraudadores fazem para ludibriar uma vitima enviado – lhe um e-mail com link para um site falso, e o quanto esse tipo de crime tem aumentado nos últimos meses, causando grandes preocupações aos especialistas em segurança da informação e instituições.

MATERIAL E MÉTODOS: Para o desenvolvimento desse trabalho foram utilizados micro-computadores com acesso a internet e sites de pesquisa, através da analise de varias publicações de artigos e trabalhos acadêmicos, procuramos reunir informações sobre os tipos de e-mails utilizados para obter senhas de usuários.

RESULTADOS E DISCUSSÕES: Analisando os dados recolhidos com as pesquisas, obtivemos: como são esses e-mails, o que eles têm em comum ou padrão, o conceito dado por especialistas e a área da computação responsável por esse tipo de informação.

Os e-mail utilizados para obter senhas, numero de cartão de credito etc. , de usuários da internet são conhecidos como “Phishing” esse termo foi inventado no timeframe 1996 por  hackers e publicado na revista de informática 2600.

Esses e-mails têm algumas características em comum ou padrão.  Geralmente são enviados como se fossem de uma empresa conhecida ou instituições financeiras de renome, quando o  usuário clica em um link que segundo o e-mail o levaria para a pagina da instituição, ele é redirecionado para o site clonado, com um formulário a ser preenchido. Podemos notar também que  ele estão freqüentemente hospedados em provedoras gratuitas, ou em provedoras .com.

Pesquisas realizadas pela RNP (Rede  Nacional de Pesquisa), o tempo médio de vida de um site clonados para servir como base para phishing é de 54 horas, alguns podem chegar a 2 semanas, segunda essa pesquisa ainda os paises que mais hospedam phishing sites são: EUA (27%), Coréio do Sul (20%), China (16%) e Taiwan (7%).

No gráfico abaixo divulgado pela (Anti-Phishing Work Group APWG)-grupo fundado em

novembro de 2003 conta com mais de 400 membros de mais de 250 organizações.Predominantemente ativo nos EUA. Podemos ver que tem aumento em numero muito significativo a quantidade  de sites clonados nos últimos meses.

Phishing


Existem várias pesquisas divulgadas pelo portal antiphishing.org que mostra o numero de sites infectados nos últimos meses, existem também pesquisa sobre phishing intitulada “Por favor, atualize seus dados!” pela  RNP -Rede Nacional de Ensino e Pesquisa e pelos  CAIS -Centro de Atendimento a Incidentes de Segurança.

CONCLUSÕES: Através de pesquisas realizadas na internet podemos analisar o crescimento de fraudes causadas por hackers levando grandes prejuízos a empresas e usuários da Web. Devemos agora nos preveni desse tipo de crime, o qual vem causando grandes preocupações para prestigiosas instituições, usuário da internet e profissionais de segurança da informação.

Tendo em vista as informações contidas no trabalho sobre os e-mail enviado no intuito de obter senhas de usuários de sites, temos como nos preveni de varias formas:  desconfiando das mensagens que pedem confirmação ou atualização de  dados, sempre digitando uma senha invalida para ver se o site lhe autentica, caso não ocorra tente verificar se o site listado na barra de endereços do seu navegador é o oficial da instituição.

REFERÊNCIAS BIBLIOGRÁFICAS:

STUANI, B. M. Grave brecha de segurança do FireFox . São Paulo, 2006. Disponível em:

< http://www.projetobms.net/artigos.php?id=3 >. Acesso em: 24 mar. 2006.

VASCONCELLOS, R  Phishing: Por favor atualize seus dados! . Minas Gerais: 2004. Disponível em:

< http://www.rnp.br/&gt;. Acesso em: 24 mar. 2006.

MOULTON, Bruce. Hora de melhorar a sua infra-estrutura de confiança?. São Paulo: 2004. Disponível em:

< http://www.symantec.com/region/br/enterprisesecurity/content/expert/BR_4114.html >. Acesso em: 24 mar. 2006.

Anti-Phishing Work Group (APWG)

<http://www.antiphishing.org&gt;. Acesso em: 24 mar. 2006.

Fraudes.org

<http://www.fraudes.org&gt;. Acesso em: 24 mar. 2006.

http://www.gta.ufrj.br/grad/08_1/quantica/cap1.html

A criptografia simétrica é um modelo de criptografia que tem como principal característica a utilização de uma mesma chave para cifragem e de-cifragem.

Por usar uma mesma chave o processo de cifragem/de-cifragem é mais rápido que outros métodos, porém tal cripto sistema possui alguns problemas de segurança.

São utilizados no processo de cifragem operações de; substituição, permutação, rotações, comparações lógicas (AND “e”, XOR “ou exclusivo”) e operações aritméticas simples.

Exemplos usando algumas operações citadas acima:

permutação: os valores são “trasportados” para outras posições

texto plano (P): RAREFECUNDO

1 2 3 4 5 6 7 8 9 10 11

R A R E F E C U N D O

Chave (K):

3 10 6 2 11 7 4 5 1 8 9

Texto Cifrado (C):

3 10 6 2 11 7 4 5 1 8 9

R D E A O C E F R U N

Tendo a chave e o texto cifrado, apenas colocamos os números na ordem e teremos o texto plano.

Operação Booleana XOR(ou exclusivo):

usando o sistema binário, temos que operações com valores idênticos retorna “1” e valores diferentes retorna “0”.

texto plano (P): 01000001 “código binário correspondente a letra “A” maiúsculo”.

Inventamos a chave (K): 11100110

Operação:

01000001 (P)

11100110 (K)

10100111 (C)

tendo a chave e o texto cifrado usamos o ou exclusivo novamente para chegarmos ao texto original.

11100110 (K)

10100111 (C)

01000001 (P)

Algum algorítimos usados atualmente na criptografia simétrica:

– Triple DES

– IDEA

– Blowfish

– RC5

– CAST 128

– RC2

Ao usar criptografia simétrica não conseguimos tratar duas questões fundamentais, a autenticação e o não repúdio.

Precisamos da autenticação para para garantir a identificação dos acessos, já que a chave é única(compartilhada) alguém que teve a chave acessa. E o não repudio, a mesma chave que possibilita a comunicação segura pode ser usada para criar falsificações em nome de outros usuário em se tratando de sistemas de acesso remoto.

Thiago Amorim

Apresentação da Aula: Criptografia Simétrica

Outras fontes:

http://www.gta.ufrj.br/grad/08_1/quantica/cap1.html

http://www.gris.dcc.ufrj.br/artigos/GRIS-2005-A-004.pdf

Na última aula de Segurança de sistema, vimos algumas técnicas de encriptação e decriptação de dados. encriptar ou criptografar é o ato de “embaralhar” uma informação de modo que apenas quem sabe as regras de embaralhamento conseguirá “desembaralhar” e de alguma forma ficar sabendo da informação que geralmente está escondida.

As técnicas vistas são anteriores a era da informática, foram elas; Esteganografia,  Técnicas de substituição e Técnicas de transposição.

Como não poderia deixar de ser, foi passada a seguinte atividade no final da aula.

Definir um texto plano e codifica-lo utilizando o maior número possível de técnicas clássicas. Depois enviar o texto cifrado e a chave para um outro grupo tentar decifrar.

*Cifradores monoalfabéticos: césar, césar genérico

* Cifradores polialfabéticos

* Técnicas de transposição

Para mais informação segue a apresentação da aula.

Apresentação Segurança de Sistemas aula 02 – Ricardo

Segurança de Sistemas (Aula 01 – 04/08/2009)
Um ótimo dia para se falar de segurança da informação, duas das maiores redes sócias, o Facebook e o serviço de microblog Twitter, sofreram na manhã de hoje (06/08/2009), ataques de DoS (Denial of service), o que deixaram as redes por algum tempo fora do ar, aliás, enquanto redijo está postagem, o Twitter ainda está instável.
É provável que, com o Twitter enfrentando um problema deste porte, o seu rival baseado em software livre Identi.ca, tenha sua base de usuário aumentada, e o pássaro azul(Twitter) tenha sua base fragilizada.
Neste episódio, se percebe o quanto a atenção na segurança da informação, é importante para todos os serviços. E aproveitando esse gancho,  eu posto também a ementa e o programa da disciplina de segurança de sistemas do curso de sistemas de informação do CEULP-ULBRA, do qual sou aluno e estou fazendo a matéria neste semestre (2009/2). Além disso está postado também os links e a apresentação que nos foi passada na última aula.
Thiago Amorim
Ementa
Introdução à segurança de sistemas. Criptografia, segurança de computadores e segurança de redes. Políticas de segurança. Legislação. Auditoria no âmbito geral. Auditoria do processo de produção de software e no produto de software.
Programa
1. Introdução à segurança de sistemas: motivações para a segurança de sistemas; serviços básicos necessários; ameaças e ataques digitais;
2. Criptografia clássica: cifradores monoalfabéticos; cifradores polialfabéticos (cifra de Vigenère); cifrador de Playfair; cifrador de Vernam; cifradores de transposição ; Criptoanálise: ataque estatístico aplicado a cifradores monoalfabéticos.
3. Criptografia simétrica: cifradores de bloco; cifradores de fluxo; S-DES; DES, modos de operação ecb, cbc, ofb e cfb. Prática de criptografia com openssl.
4. Criptografia assimétrica: algoritmos (RSA, ElGamal, DSA); obtenção de confidencialidade, autenticação e negociação de chaves simétricas;
5. Funções hash: funcionamento, propriedades, utilização comum, algoritmos verificação de integridade da mensagem;
6. Assinaturas digitais: algoritmos (RSA, ElGamal, DSA); conceitos e propriedades; esquemas de assinatura e verificação; validade legal.
7. Infra-estruturas de chaves públicas e certificação digital: certificados digitais e autoridades certificadoras.
8. Segurança em email: S/MIME e PGP
9. Segurança na WEB: SSL
10. Segurança IP: IPSec
12. Auditoria: conceitos;  auditoria em sistemas operacionais Linux e Windows.
13. Segurança de redes: ataques a redes de computadores; firewall, virus, antivirus, spam, antispam; políticas de segurança, planos de recuperação de falhas e resposta a incidentes.
14. Segurança de redes sem fio: WEP, WPA, WPA2
Links interessantes
Cartilha de segurança
Videos Antispam.br
Apresentação da aula 01 em:

Um ótimo dia para se falar de segurança da informação, duas das maiores redes sócias, o Facebook e o serviço de microblog Twitter, sofreram na manhã de hoje (06/08/2009), ataques de DoS (Denial of service), o que deixaram as redes por algum tempo fora do ar, aliás, enquanto redijo está postagem, o Twitter ainda está instável.

É provável que, com o Twitter enfrentando um problema deste porte, o seu rival baseado em software livre Identi.ca, tenha sua base de usuário aumentada, e o pássaro azul(Twitter) tenha sua base fragilizada.

Neste episódio, se percebe o quanto a atenção na segurança da informação, é importante para todos os serviços. E aproveitando esse gancho, eu posto também a ementa e o programa da disciplina de segurança de sistemas do curso de sistemas de informação do CEULP-ULBRA, do qual sou aluno e estou fazendo a matéria neste semestre (2009/2). Além disso está postado também os links e a apresentação que nos foi passada na última aula.

Thiago Amorim

Ementa

Introdução à segurança de sistemas. Criptografia, segurança de computadores e segurança de redes. Políticas de segurança. Legislação. Auditoria no âmbito geral. Auditoria do processo de produção de software e no produto de software.

Programa

1. Introdução à segurança de sistemas: motivações para a segurança de sistemas; serviços básicos necessários; ameaças e ataques digitais;

2. Criptografia clássica: cifradores monoalfabéticos; cifradores polialfabéticos (cifra de Vigenère); cifrador de Playfair; cifrador de Vernam; cifradores de transposição ; Criptoanálise: ataque estatístico aplicado a cifradores monoalfabéticos.

3. Criptografia simétrica: cifradores de bloco; cifradores de fluxo; S-DES; DES, modos de operação ecb, cbc, ofb e cfb. Prática de criptografia com openssl.

4. Criptografia assimétrica: algoritmos (RSA, ElGamal, DSA); obtenção de confidencialidade, autenticação e negociação de chaves simétricas;

5. Funções hash: funcionamento, propriedades, utilização comum, algoritmos verificação de integridade da mensagem;

6. Assinaturas digitais: algoritmos (RSA, ElGamal, DSA); conceitos e propriedades; esquemas de assinatura e verificação; validade legal.

7. Infra-estruturas de chaves públicas e certificação digital: certificados digitais e autoridades certificadoras.

8. Segurança em email: S/MIME e PGP

9. Segurança na WEB: SSL

10. Segurança IP: IPSec

12. Auditoria: conceitos;  auditoria em sistemas operacionais Linux e Windows.

13. Segurança de redes: ataques a redes de computadores; firewall, virus, antivirus, spam, antispam; políticas de segurança, planos de recuperação de falhas e resposta a incidentes.

14. Segurança de redes sem fio: WEP, WPA, WPA2

Links interessantes
Cartilha de segurança
http://cartilha.cert.br/

Videos Antispam.br
http://www.antispam.br/videos/

Apresentação da aula 01 em:
https://rarefecundo.files.wordpress.com/2009/08/introducao-a-seguranca-de-sistemas.ppt
Aproveitando que falei em uma das últimas postagens sobre computação nas nuvens, usando o ubuntuone,
falarei um pouco sobre segurança de sistemas de informação, uma preocupação que vem aumentado tanto
para as organizações quanto para os usuários comuns.
Informação compreende qualquer conteúdo que passa ser transferido ou armazenado de algum modo. A segurança
da informação consiste em práticas que visam preservar tanto informações quanto sistemas de informações,
assegurando; Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não repudio / Legalidade.
Para se conseguir os requisitos de segurança de sistemas citados acima, é necessário que se implemente
um conjunto de controles adequados, incluindo políticas, processos, procedimentos e estruturas organizacionais.
Segundo Chartered Management Institute, em 2018 Ciberataques a empresas transformarão escritórios em fortalezas virtuais.
A previsão do Chartered me parece ser realista, visto que podemos notar o quanto as organizações estão preocupadas com seus ativos informacionais.
O W3C (The World Wide Web Consortium), afirma que a internet mudara para uma rede de objetos, “A internet das coisas”.
Nesse contexto em que todos os objetos poderão está conectados e sincronizando o tempo todo, a segurança da informação deve ser
algo para todos se preocupar e passar a incluir em suas rotinas o fator segurança.Provavelmente no futuro previsto pelo W3C e pelo
Chartered, não apenas as organizações estarão fortemente preocupadas em manter
a segurança de suas informações, mas cada usuário da grande rede terá que ter em mente o que é segurança da informação,
e como manter suas informações seguras.
Thiago amorim

Aproveitando que falei em uma das últimas postagens sobre computação nas nuvens, usando o ubuntuone, falarei um pouco sobre segurança de sistemas de informação, uma preocupação que vem aumentado tanto para as organizações quanto para os usuários comuns.

Informação compreende qualquer conteúdo que passa ser transferido ou armazenado de algum modo. A segurança da informação consiste em práticas que visam preservar tanto informações quanto sistemas de informações, assegurando; Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não repudio / Legalidade.

Para se conseguir os requisitos de segurança de sistemas citados acima, é necessário que se implemente um conjunto de controles adequados, incluindo políticas, processos, procedimentos e estruturas organizacionais.

Segundo Chartered Management Institute, em 2018 Ciberataques a empresas transformarão escritórios em fortalezas virtuais. A previsão do Chartered me parece ser realista, visto que podemos notar o quanto as organizações estão preocupadas com seus ativos informacionais.

O W3C (The World Wide Web Consortium), afirma que a internet mudara para uma rede de objetos, “A internet das coisas”.

Nesse contexto em que todos os objetos poderão está conectados e sincronizando o tempo todo, a segurança da informação deve ser algo para todos se preocupar e passar a incluir em suas rotinas o fator segurança.Provavelmente no futuro previsto pelo W3C e pelo Chartered, não apenas as organizações estarão fortemente preocupadas em manter a segurança de suas informações, mas cada usuário da grande rede terá que ter em mente o que é segurança da informação, e como manter suas informações seguras.

Thiago Amorim

http://www.modulo.com.br/site?infoid=3317&lng=br&sid=78

http://www.espacoacademico.com.br/042/42amsf.htm

Clique para acessar o ArtigoCientifico.pdf

http://www.informationweekbrasil.com.br