TrabalhosGratuitos.com - Trabalhos, Monografias, Artigos, Exames, Resumos de livros, Dissertações
Pesquisar

A Segurança em Sistemas de Informação e Redes de Computadores

Por:   •  4/4/2015  •  Trabalho acadêmico  •  1.806 Palavras (8 Páginas)  •  279 Visualizações

Página 1 de 8

Anhanguera Belo Horizonte

Sistemas de Informação

Segurança e Auditoria de Sistemas de Informação

Lucas Vilhena Rocha – RA: 8205944923

Sergio Dias – RA:

Frederico Magalhães – RA:

Frederico Balinhas – RA:

Marghel Vasconcelos – RA:

Bruno Alexandre – RA:

Atividade Praticas Supervisionadas

Belo Horizonte, Abril de 2015

Capitulo 01: Segurança em Sistemas de Informação e Redes de Computadores

  1. Introdução à Segurança de Sistemas de Informação e Redes de Computadores
    Com a ampliação do uso de sistemas de informação através de redes e através da internet, os riscos sobre a integridade da informação aumentaram. Exemplos disso são os vazamentos, fraudes, erros, uso indevido e etc.

Para evitar problemas com segurança é necessário preservar os princípios básicos da segurança da informação. Estes princípios são: Confidencialidade, Integridade e Disponibilidade das Informações.

Estes são os três principais fatores para justificar um investimento em sistemas de informação.

  1. Exemplos de Problemas de Segurança em Sistemas de Informação

Abaixo segue dois estudos de caso encontrados no site www.trustsign.com.br:

Estudo de caso 1:

Um descuido do Wikileaks e outro descuido de um jornalista do The Guardian teriam resultado no vazamento de mais de 50 mil telegramas de embaixadas americanas. O jornal britânico The Guardian foi uma das publicações que recebeu o pacote de telegramas de forma privilegiada e que colaborou com o Wikileaks para remover nomes e outras informações sensíveis dos documentos.

Julian Assange, líder do Wikileaks, anotou em um pedaço de papel a senha para um arquivo secreto contendo as versões originais e sem edição dos 250 mil telegramas. Assange entregou um papel contendo o texto “AColletionOfHistorSince_1966_ToThe_PresentDay#”. Assange teria dito que essa é a senha, mas você ainda precisa colocar a palavra ‘Diplomatic’ antes da palavra ‘History’. Entendido? Assange iria passar um link para o download do arquivo protegido mais tarde. Leigh (jornalista do The Guardian) publicou a senha porque disse acreditar que o arquivo não estava em circulação.

Julian Assange colocou o arquivo original com os telegramas em uma pasta oculta no servidor do Wikileaks para a qual não existia nenhum link externo. Entre os arquivos estava a informação protegida pela senha publicada no livro do jornalista do The Guardian. Quando o livro foi publicado, portando, as duas informações estavam disponíveis. Os jornais consideraram que o caso não foi nada menos que uma catástrofe para os sites Wikileaks e OpenLeaks, citando riscos para a vida das pessoas que tiveram seus nomes divulgados nos telegramas.

Conclusão do estudo de caso 1

Além dos descuidos do Wikileaks e do jornalista, Assange usava uma senha de fácil dedução (muito parecida com o nome do arquivo). O uso de senhas complexas é essencial para proteção de dados pessoais ou empresariais.

Estudo de caso 2:

Em 1994, a Pepsi resolveu partir para cima da concorrente Coca-Cola, que, na época, dominava 50% do mercado de refrigerantes. Com um plano estratégico confidencial, a Pepsi queria ampliar o número de pontos de venda, fabricas e caminhões para sair dos 6% de vendas no país e chegar aos 30%, em poucos anos. A empresa só não contava com o fato de que sua maior rival teve acesso a todas as ideias antes. As informações chegaram por meio de um técnico de som, que entregou quatro fitas a Coca-Cola. As fitas foram transcritas pelo então gerente de operações Antônio Cesar Santos de Azambuja. A história só veio à tona quando o funcionário denunciou o ocorrido, depois de ser demitido sem motivo aparente. Enquanto, na Coca-Cola, diretores negavam ter ordenado a transcrição das fitas, a Pepsi não viu seus planos concretizados. Pior, teve uma forte queda nas vendas e acabou sendo vendida para a Brahma.

Conclusão do estudo de caso 2

Não utilize informações relacionadas a você e sua empresa em locais que você não pode garantir a confidencialidade dessas informações.

  1. Falhas em Sistemas de Informação

SQL Injection: de acordo com o site w3schools.com, quando o SQL é usado para exibir dados em uma página web, é comum que usuários web insiram os valores de busca. Neste caso, quando as declarações são apenas textos não tratados, é fácil, com um pouco de conhecimento em SQL, alterar dinamicamente a declaração do SQL de forma a alterar, deletar e até buscar informações indevidas na base de dados do site.

Essa técnica é usada comumente por usuários maliciosos que enviam esses comandos afim de prejudicar, de alguma forma, o site/sistema que tem esta falha.

Quebra de código JavaScript: de acordo com o site inovacaotecnologica.com.br, pesquisadores da empresa SPI Dynamics, Estados Unidos, descobriram que um determinado código em JavaScript, embutido em uma página web, pode ser capaz de passar pelo firewall. Quando um usuário visita uma página com este código, é feito uma sondagem automática na rede local do usuário. Neste caso, após identificar todos os equipamentos da rede, o método pode ser usado para enviar comandos para trava-los ou controla-los.

Cross Site Scripting: de acordo com o site redesegura.com.br, Cross Site Scripting(XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Um bom exemplo dessa técnica, é uma aplicação de fórum, em que o usuário tenha permissão para incluir mensagens de sua própria autoria para que os outros usuários possam ler. Caso não haja um filtro de códigos HTML na aplicação, um usuário mal intencionado pode injetar instruções para leitura de informação especificas do usuário legitimo, tais como código da sessão, e até mesmo executar tarefas especificas como enviar mensagens de maneira arbitraria para o fórum.

Upload de arquivos: de acordo com o site hostnet.com.br, um dos tipos de invasão mais comum é o upload de arquivos maliciosos. É frequentemente usado em formulários de upload sem autenticação de acesso. Neste caso o usuário malicioso faz o upload de scripts maliciosos para a alteração de arquivos, banco de dados ou envio de spam.

  1. Correção de Falhas em Sistemas de Informação

Uma das formas de se evitar falhas de sistemas como citado no tópico anterior é sempre atualizar os softwares utilizados para compor o sistema. Por exemplo, caso utilize algum software de loja online, ou CMS em geral é importante atualizar sempre que possível para versão mais atual do sistema visto que os mantenedores desses sistemas sempre atualizam a segurança dos mesmos.

...

Baixar como (para membros premium)  txt (13.3 Kb)   pdf (117.4 Kb)   docx (18.1 Kb)  
Continuar por mais 7 páginas »
Disponível apenas no TrabalhosGratuitos.com