DSS TADS FAC
Ensaios: DSS TADS FAC. Pesquise 862.000+ trabalhos acadêmicosPor: • 14/5/2014 • 718 Palavras (3 Páginas) • 311 Visualizações
Segredo
Valor de um segredo é inversamente proporcional a sua acessibilidade
Segredo compartilhado não é mais segredo
Tipos de ameaças
Revelação da informação
Adulteração da informação
Spoofing
Disfarce é basicamente isto o que o spoof faz. O ataque acontece quando o invasor fabrica um pacote contendo um falso endereço de origem, fazendo com que o host atacado acredite que a conexão está vindo de um host que tem permissão para se conectar a outra máquina. Fica mais fácil com esse esquema:
Acesso Confiável
Servidor I ------ Servidor 2
O invasor irá dizer ao Servidor 2 que seu DNS/IP é o do servidor I
Captcha - é um acrônimo da expressão "Completely Automated Public Turing test to tell Computers and Humans Apart" (teste de Turing público completamente automatizado para diferenciação entre computadores e humanos): um teste de desafio cognitivo, utilizado como ferramenta anti-spam, desenvolvido pioneiramente na universidade demCarnegie-Mellon. Como o teste é administrado por um computador, em contraste ao teste de Turing padrão que é administrado por um ser humano, este teste é na realidade corretamente descrito como um teste de Turing reverso.
Questão: Quando usar? e contra que tipo de ataque ?
“Os captchas servem como uma ferramenta auxiliar para evitar spams ou mensagens disparadas por outros computadores ou robôs.
É utilizado para verificar se o site está sendo acessado por um humano, e não um robô.”
Phishing, trocadilho de fishing(pesca), é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados financeiros como número de cartões de crédito e outros dados pessoais. O ato consiste em um fraudador se fazer passar por uma pessoa ou empresa confiável enviando uma comunicação eletrônica oficial. Isto ocorre de várias maneiras, principalmente por email, mensagem instantânea, SMS, dentre outros. Como o nome propõe (Phishing), é uma tentativa de um fraudador tentar "pescar" informações pessoais de usuários desavisados
ou inexperientes.
Questão: Quais os tipos de phishing ? explique um dos processos.
“Blind Phishing – é o tipo mais conhecido, aquele que é atirado em massa por meio de spams e emails na esperança de que alguém caia na armadilha.
Spear-phishing – como o seu nome sugere (“pesca com arpão”, em português), esse tipo de ataque é mais direcionado e busca atingir alvos específicos e previamente estudados. Além disso, apresentam-se de forma mais convincente do que o normal.”
Obtenho segredo do usuário
A maneira mais segura de armazenar e proteger segredos é obter o segredo de um usuário toda vez que o segredo é utilizado
Você nao precisa armazenar um segredo – você poderá armazenar um verificador (hash) Função hash ou função resumo(digest) – produz uma função diferente para cada dado diferente
Questão: O que vem a ser hash com sal ?
“Hash com sal são códigos aleatórios que são gerados para prevenir ataques com listas de senhas (ataque de dicionário)”
Gerenciando segredos na memoria
Obtenha os dados secretos
Utilize os dados secretos
Descarte os dados secretos - menor tempo possível para evitar paginação
Limpe a memória apos usar o segredo no seu código, sobrescreva o bufffer com dados fictícios(ou zeros) dumps de memória provocados por violação de acesso poderão conter informações secretas
QUESTAO: A chamada a ZeroMemory(.....) em C ou C++ para sobreescrever buffer com dados é uma técnica q podemos utilizar para limpar dados secretos da memória, mas as vezes ela não funciona, por quê ? e como poderíamos resolver isto ?
Toda entrada é mal intencionada!
Uma estratégia de defesa contra ataques de entrada
Definir limite de confiança ao aplicativo
Criar um ponto de estrangulamento de entrada
O principio de defesa em profundidade afirma q você dever empregar múltiplas camadas Mas o equilíbrio entre segurança e desempenho do seu aplicativo deverá ser encontrado por você e depende do grau de sigilo dos dados e o ambiente em q o aplicativo opera. O limite fronteiriço – deve estar em um lugar e nenhuma entrada deve ter permissão de entrar na base do código confiável sem passa pelo ponto de estrangulamento. Observe que vc deve ter múltiplos pontos de estrangulamento, por exemplo: Web, Registro, Sistema de arquivos, Arquivos de configurações, etc...
Verificar a validade
Você de seguir esta regra: procure dados validos e rejeite todo o resto
Poderá haver mais de uma maneira valida de representar os daos
Talvez deixe passar um padrão invalido de dados
Questao: Voce nao deve deixar passar código do tipo executável, tipo extensão .exe .
Crie uma rotina(em qq linguagem) que nao aceite arquivos com extensão de códigos
executáveis validos. Explique seu código. Há falhas? È possível corrigir ? como?
...