Transcript Apresentacao Final – SI
Quão importante é a ética na sociedade atual?
Erros, falhas e outros problemas computacionais que tornem os resultados incorretos ou inúteis, geralmente provenientes de falha humana.
Expectativas inadequadas; Falta de realimentação; Erros no programa causados pelo programador; Inserção de dados incorretos pelo usuário.
Entrada de dados ou captura de erros; Erros em programas; Erros de manipulação de arquivos (formatação, sobreposição, exclusão casual);
Manipulação indevida de computadores; Planejamento e controle inadequado de defeitos em hardware; Planejamento e controle inadequado de dificuldades ambientais (elétrica, umidade, etc.)
1. Estabelecer; 2. Implementar; 3. Monitorar; 4. Revisar.
Estabelecer políticas e procedimentos relativos à eficiência na aquisição, no uso e na dispensa de sistemas e dispositivos.
A implementação das políticas e procedimentos requer alocação de responsabilidade para precisão dos dados e treinamento adequado.
Nunca comece a implementar um projeto sem ter em mãos todos os recursos.
Monitorar práticas rotineiras e efetuar ações corretivas se necessário.
Revisar as políticas e procedimentos afim de determinar se estes estão ou não adequados.
•
20 milhões de cartões de banco de débito
•
3,5 milhões de cartões de crédito Aproximadamente 50% dos cartões distribuídos pelos bancos da Alemanha Total emitido por esta instituição:
45 milhões de cartões de débito
8 milhões de cartões de crédito
Bloqueados por uma falha de computador que não reconhece o ano de 2010.
Diversos clientes não conseguiram retirar seu dinheiro do banco ou mesmo comprar com seu cartão de crédito.
Caso a troca dos necessária, o prejuízo pode ultrapassar 200 milhões de euros.
cartões seja mesmo
Insegurança quanto aos empregos;
Perda de controle;
Incompetência.
As consequências podem ser extremas ao ponto de gerar sabotagem em sistemas e equipamentos computacionais.
Monitorar + Treinar + Aconselhar
(Lesões por esforços repetitivos) (Distúrbio Osteomuscular Relacionado ao Trabalho)
Tela difícil de ler, muitos reflexos e pouco contraste;
Mesas e cadeiras desconfortáveis;
Teclados e telas difíceis de serem movimentadas;
Movimentos repetitivos;
Postura inadequada; e
Fadiga ocular.
Estudo do projeto e posicionamentos de equipamentos computacionais para a saúde, segurança e produtividade dos funcionários.
Nos EUA existem algumas associações que desenvolvem códigos de ética para SI, sendo: AITP – Association of Information Technology Professionals; ACM – Association for Computing Machinery; IEEE – Institute of Eletrical and Eletronics Engineers; CPSR – Computer Professionals for Social Responsibility.
Atingir alta qualidade, eficácia e dignidade nos processos; Adquirir e manter competência profissional; Conhecer e respeitar as leis relativas à atividade profissional; Aceitar e oferecer revisões profissionais apropriadas; Oferecer avaliações dos sistemas e seus impactos; Análise dos riscos dos SI; Honrar contratos, acordos e responsabilidades alocadas; Melhorar o entendimento público da computação; Acessar recursos computacionais e de comunicações apenas quando autorizado.
Crimes Digitais
Definições...
Para pensar...
Quando pensamos em Crime Digital, o que vem em nossas mentes?
Hackers: a visão que temos deles
Será que esta visão está correta?
Hacker: a origem do termo na Computação
Indagação: Hackers são criminosos?
Indagação: Hackers são criminosos?
A definição original do termo
• São experts de computadores • Elaboram e modificam softwares e hardware • Desenvolvem funcionalidades novas
Hacktivismo
• Ataque à página oficial do ministério dos Negócios Estrangeiros da Indonésia em 1997.
• Ataque feito por Hackers do grupo Toxyn.
"Bem-vindo ao Ministério dos Negócios Estrangeiros da República Fascista da Indonésia"
Ali Alatas - ministro dos negócios estrangeiros
Os termos utilizados na segurança da informação: • White Hat (chapéu branco) • Gray Hat (chapéu cinza) • Black Hat (chapéu preto)
White Hat
• Exploram a segurança de computadores ou redes através da ética
Gray Hat
• Agem como White Hat na maioria das vezes • Seguem caminhos menos nobres em alguns casos
Black Hat
• Não segue a ética Hacker ou a lei • Invadem computadores, roubam pessoas e destroem sistemas
Cracker
Cracker Tipos de Crackers:
1. Crackers de softwares: Programadores que fazem engenharia reversa 2. Crackers de Criptografia: Se dedicam a quebrar códigos 3. Desenvolvedores de programas maliciosos
Nova tática de invasão de computador
• Exploração do kernel do software • Redireciona a requisição do Windows • Altera o resultado da detecção • Vírus é classificado como arquivo “limpo”
Invasões através de arquivos PDF
• Explora a vulnerabilidade de execução do Javascript embutido no PDF • Permite acesso remoto ao computador
Script kiddie
• Pouco conhecimento • Utilizam Scripts Prontos • Cometem grandes estragos na internet
Phreaker
• Especializados em burlar sistemas telefônicos • Alguns com acesso direto às centrais telefonicas
Phreaker
• John Draper (Capitão Crunch ) • Blue Box
Perfil dos criminosos virtuais brasileiros
Alguns Dados: •Representam 57% das fraudes na América Latina • Bancos brasileiros são alvos de 12% de todos os cavalos de tróias criados mundialmente Porém...
• Conhecimento técnico intermediário • Fazem uso da Engenharia Social Dmitry Bestuzhev – Pesquisador sênior da fabricante de antivírus Kaspersky Lab
Uso de ferramentas Hackers
• Existem diversas “receitas” prontas feitas por revistas ou na internet • Em revistas são oficialmente distribuídos para explorar falhas • Usados em testes de penetração • São um constante lembrete para especialistas em seguranças
Técnicas de Invasão:
Spoofing Sniffers Ataque do tipo DoS - Denial of Service Ataque do tipo DDoS- Distributed of Service
Malwares: Vírus de computador Worm Cavalo de tróia Spyware
Tipos de Vírus:
Vírus de Aplicação Vírus de Sistema Vírus de Macro Bomba Lógica Worm
Adware Keylogger Bakdoor Ransomware
Falsificação
Ato de reprodução não autorizada de documentos.
Tal ato foi facilitado com os Scanners e Impressoras de alta qualidades
Crimes Internacionais
O que são?
Qual o impacto?
Lavagem de Dinheiro
Colocação Como funciona?
Ocultação Integração
E S T Á G I O S
Métodos de Lavagem
• mercado negro de câmbio colombiano • depósitos estruturados • bancos internacionais • sistema bancário alternativo • empresas de fachada • investimento em empresas legítimas • compra de bilhetes sorteados
Espionagem Industrial
Uso dos recursos da internet e tecnológicos para captura de dados e informações valiosas dos concorrentes.
Ciberterrorismo
O que é?
• Arrecadação de fundos; • Transferência para divisões menores; • Facilitar a doação de recursos, entre outros.
Especialistas podem ser “contratados” Objetivos: • Identificar possíveis fragilidades na estrutura;
PIRATARIA
PIRATARIA DE SOFTWARE PIRATARIA DE INTERNET GOLPES NA INTERNET
PARTE 1/3 Pirataria de Software
Pirataria de Usuário Final Falsificação Cracking Pirataria pela Internet
Pirataria de Usuário Final
Nada de Cópias!!!
PARADOXO
Leitores/Gravadores de CD/DVD Mídias baratas de CD/DVD Pen Drives Hd ´s externos Softwares para gravação (ex. Nero)
Nada de Imitações!!!
Falsificação
Cracking
Nada de Quebrar Códigos!!!
Pirataria pela Internet
Não adquira gato por lebre!!!
Polêmicas
...
Venda de software usado (jogos) é pior que pirataria?
Cópia de segurança
PARTE 2/3 Pirataria de Internet
O que é piratear a internet?
Como é feito o “gato”?
Qual o perfil de quem usa o “gato”?
Piratear a internet
Como é feito o “gato”
Perfis de quem usa o “gato” Há aquele que usa para ser “esperto”, mesmo podendo fazer o uso legal do serviço.
Há aquele que usa por falta de opção, a circunstância o força para a ilegalidade .
Para fugir da internet discada...
...é preciso buscar alternativas
Forçando a Barra
PARADOXO
Empresas reclamam do acesso ilegal, mas não apresentam alternativas para atender a demanda de seus serviços
PARTE 3/3 Golpes Computacionais
A maioria dos golpes aplicados, seja na internet ou fora dela, utiliza como ferramenta a.....
ENGENHARIA SOCIAL
Engenharia social: definição Enganando pessoas, explorando a confiança
PHISHING: a principal arma da engenharia social
Phishing em salas de bate papo (chat ´s) Salas de bate papo: local onde reina a verdade e a sinceridade
Phishing em salas de bate papo (chat ´s) Salas de bate papo: local onde reina a verdade e a sinceridade
Como funciona o golpe?
Ingenuidade
Fragilidade emocional
Phishing em e-mail
Como funciona o golpe?
Confiança
Curiosidade
Ganância
Outras modalidades de phishing: mensagens instantâneas mensagens de texto de telefones celulares (SMS) anúncios falsos tipo banner quadros de mensagens e listas de endereços sites falso de procura e ofertas de emprego
Dicas para proteção
Dicas para proteção
Troque
a sua senha de acesso ao internet banking periodicamente
Só utilize
equipamento efetivamente confiável. Não realize operações em equipamentos públicos ou que não tenham programas antivírus
Exclua
(delete), sem abrir, e mails não-solicitados ou de origem desconhecida, especialmente se tiverem arquivos anexados
Quando efetuar pagamentos
ou realizar outras operações financeiras, certifique se de que está no site desejado, “clicando” sobre o cadeado e/ou a chave de segurança que aparece quando se entra na área de segurança do site
Acompanhe
os lançamentos em sua conta corrente. Caso constate qualquer crédito ou débito irregular, entre imediatamente em contato com o banco.
E, acima de tudo.....
Nelson Antunes Filho
PREVENÇÃO DE CRIMES RELACIONADOS A COMPUTADOR
Prevenção de crimes relacionados a computador
PREVENÇÃO POR AGÊNCIAS FEDERAIS/ESTADUAIS
Prevenção por agências federais/estaduais Polícia Civil Delegacias especializadas em crimes cibernéticos Espírito Santo Goiás Minas Gerais Paraná Rio de Janeiro São Paulo
Prevenção por agências federais/estaduais Polícia Civil Divisão de Repressão aos Crimes de Alta Tecnologia Distrito Federal Atende à delegacias, não ao público
Prevenção por agências federais/estaduais Polícia Federal Nunca houveram tantas operações contra crimes de alta tecnologia Nunca houveram tantas ocorrências Google X MPF A questão ‘orkut’
Prevenção por agências federais/estaduais Agência SaferNET Brasil Auxiliando o trabalho das polícias civil e federal Ampliando os meios de denúncia Cartilhas e informação.
Não se torne uma vítima!
Prevenção por agências federais/estaduais Agência SaferNET Brasil Parcerias NIC.br - (CGI.br) Pornografia infantil e pedofilia; Crimes de ódio; Crime contra os direitos humanos;
Prevenção por agências federais/estaduais Agência SaferNET Brasil Parcerias MPF Mútua Cooperação Técnica, Científica e Operacional;
Prevenção por agências federais/estaduais Agência SaferNET Brasil Parcerias Google Revisão de conteúdo; Encaminhamento à SaferNET e MPF;
Prevenção de crimes relacionados a computador
PREVENÇÃO POR EMPRESAS
Prevenção por empresas Controle de acesso Acesso à ambientes Físicos; Acesso à serviços; Troca de documentos, comprovação de identidade;
Prevenção por empresas Acesso à ambientes Físicos Cartão de identificação;
Smartcard ;
RFID;
Prevenção por empresas Acesso à ambientes Físicos Biometria Impressão digital; Leitura de íris; Geometria da palma da mão;
Prevenção por empresas Acesso à serviços Gerenciamento de políticas de acesso Definição de horários e regras de acesso; Desativação preventiva de contas; Desativação por desligamento;
Prevenção por empresas Troca de documentos, comprovação de identidade Criptografia de chave pública Certificado tipo A1 Certificado tipo A3
Smart card
Token
Prevenção por empresas Associação de empresas Diversas empresas reunidas; Empenhadas em melhorar seus procedimentos de segurança;
Soluções de proteção aplicadas ao usuário final
PROTEÇÕES
CLIENT-SIDE
Proteções
client-side
Utilização de programas antivírus; Evita a contaminação dos arquivos já existentes; Verifica novos arquivos; Impede ameaças em potencial;
Proteções
client-side
Utilização de programas firewall; Navegue protegido!
Protege as portas lógicas contra potenciais invasores;
Proteções
client-side
Utilização de programas firewall; Monitora os dados que entram e saem do computador através da rede; Impede o uso indevido do computador por terceiros (zombie computer);
Proteções
client-side
Utilizar pacotes que ofereçam proteção integrada
Internet Security Suite;
Manter o sistema operacional e as definições de antivírus e firewall sempre atualizadas;
Proteções
client-side
Mantenha as licenças atualizadas Nunca utilize cracks para tornar seu antivírus “original” Utilize uma solução paga Ou soluções gratuitas
confiáveis
Soluções de proteção aplicadas à empresas e fornecedores de serviços
PROTEÇÕES
SERVER-SIDE
Proteções
server-side
Terceirização das operações de segurança de redes: Managed Security Service Provider; Empresa melhor qualificada para atender a demanda de segurança;
Proteções
server-side
Managed Security Service Provider: Todas as tarefas envolvendo segurança de redes; Funcionários de T.I. podem ser alocados para outras tarefas;
Proteções
server-side
Managed Security Service Provider:
Solução dos problemas ou substituição de problemas; Empresa terceira tratará a segurança com a prioridade que ela merece?
Soluções de proteção aplicadas à empresas e fornecedores de serviços
SISTEMA DE CLASSIFICAÇÃO DE CONTEÚDO
Sistema de classificação de conteúdo Classificação de conteúdos; Distribuição em níveis de categoria; Pornografia; Nudez; Linguagem forte; ...
ICRA – Internet Content Rating Association;
Sistema de classificação de conteúdo A partir das categorias criadas faz-se uma filtragem de conteúdo Filtragem/bloqueio no próprio navegador Cada página precisa utilizar a categorização corretamente seguir os padrões
Questão social:
“O direito de ficar só é um dos direitos mais amplos e mais valiosos para o homem civilizado”.
Em sistemas de informação
Se uma organização pública ou privada consome tempo e recursos para obter dados sobre um indivíduo, essa organização é proprietária desses dados?
Privacidade e governos federais
Nos EUA: Os ataques terroristas de 11 de setembro reavivaram propostas de uma
carteira de identidade nacional para os EUA.
Carnivore: usado pelo FBI Echelon: rede de segurança global.
União Europeia: Diretiva de proteção de dados.
EPIC – centro de informações de privacidade eletrônica Processou a ChoicePoint e a Experian
Privacidade no trabalho
Direitos de trabalhadores pela privacidade X Cias. que querem saber mais sobre seus funcionários.
TI Monitor:
Privacidade de e-mail
Ernst & Young divulgou: nas empresas brasileiras: Do ponto de vista das ameaças à segurança da informação corporativa, 41% dos participantes da pesquisa registraram aumento no número de ataques externos (phishing, invasão de sites, etc.) e 19% nas fraudes externas; além de 25% dizem que cresceram os ataques internos (abuso de privilégios de funcionários e roubo de informações) e 13%, as fraudes internas.
Nos EUA: A lei federal permite às empresas monitorar as mensagens enviadas e recebidas por funcionários.
Privacidade na Internet
Verisign – certificado digital
A Americanas.com faz parte do programa Internet Segura, desenvolvido pelos principais sites do Brasil, e é certificada pela VERISIGN, a maior autoridade em segurança na Internet, garantindo privacidade e segurança aos clientes para informar seus dados pessoais.
P3P
Servidor que protege usuários de sites que não oferecem o nível de proteção de privacidade desejado.
Leis federais de privacidade
Lei da privacidade de 1974 Questões de justiça Armazenamento em base de dados Direito de saber Capacidade de decidir Conhecimento Controle Uso de base de dados Notificação Consentimento
Outras leis...
Lei Gramm-Leach-Billey Lei Patriota dos EUA
Esforços individuais para proteger a privacidade
Descobrir o que está armazenado sobre você em bases de dados Ser proativo para proteger sua privacidade Ao adquirir algo de um site, garanta a salvaguarda de seu nº de cartão de crédito, senhas e informações pessoais.