Escola Técnica Estadual Aderico Alves de Vasconcelos
Curso: Técnico de Redes de Computadores
Disciplina: Segurança de Dados e Informações
Professor: Fagner Lima
Segurança de Dados e Informações - Aula 3 - Ataques
1. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 1
Escola Técnica Estadual Aderico Alves de Vasconcelos
Curso Técnico de Redes de Computadores
Professor Fagner Lima (ete.fagnerlima.pro.br)
Segurança de Dados e Informações
Aula 3
Ataques
2. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 2
Planejamento de um Ataque
1) Levantamento de informações
2) Exploração das informações (scanning)
3) Obtenção de acesso
4) Manutenção do acesso
5) Camuflagem das evidências
3. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 3
Planejamento de um Ataque
1) Levantamento das Informações
– Fase preparatória
– Coleta do maior número de informações
– Reconhecimento passivo
● Sem interação direta com o alvo
– Reconhecimento ativo
● Interação direta com o alvo
4. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 4
Planejamento de um Ataque
2) Exploração das informações (scanning)
– Exploração da rede
● Baseada nas informações obtidas
– Técnicas e softwares:
● Port scan
● Scanner de vulnerabilidade
● Network mapping
5. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 5
Planejamento de um Ataque
3) Obtenção do Acesso
– Penetração do sistema
– Exploração das vulnerabilidades
● Internet, rede local, fraude ou roubo
– Possibilidade de acesso:
● Sistema operacional, aplicação ou rede
6. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 6
Planejamento de um Ataque
4) Manutenção do Acesso
– Manutenção do domínio sobre o sistema
– Proteção contra outros atacantes
– Acessos exclusivos
● Rootkits, backdoors ou trojans
– Upload, download e manipulação
● Dados, aplicações e configurações
7. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 7
Planejamento de um Ataque
5) Camuflagem das evidências
– Camuflagem dos atos não autorizados
– Aumento da permanência no hospedeiro
8. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 8
Classificação dos Ataques
● Ataques para obtenção de informações
● Ataques ao sistema operacional
● Ataques à aplicação
● Ataques de códigos pré-fabricados
● Ataques de configuração mal feita
9. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 9
Classificação dos Ataques
● Ataques para obtenção de informações
– Informações:
● Endereço específico
● Sistema operacional
● Arquitetura do sistema
● Serviços executados
10. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 10
Classificação dos Ataques
● Ataques a sistemas operacionais
– Natureza complexa
– Implementação de vários serviços
– Portas abertas por padrão
– Diversos programas instalados
– Falta da aplicação de patches
– Falta de conhecimento e perfil do profissional de TI
11. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 11
Classificação dos Ataques
● Ataques à Aplicação
– Tempo curto de desenvolvimento
– Grande número de funcionalidades e recursos
– Falta de profissionais qualificados
– Falta de testes
12. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 12
Classificação dos Ataques
● Ataques de códigos pré-fabricados
– Por que reinventar a roda?
– Scripts prontos
– Facilidade e agilidade
– Falta de processo de refinamento
– Falta de customização para as reais necessidades
13. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 13
Classificação dos Ataques
● Ataques de configuração mal feita
– Configurações incorretas
– Falta do conhecimento e recursos necessários
– Criação de configurações simples
14. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 14
Tipos de Ataques
● Engenharia Social
● Phishing Scan
● Denial of Service (DOS)
● Distributed Denial of Service (DDoS)
● SQL Injection
15. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 15
Tipos de Ataques
● Engenharia Social
– Persuasão
– Ingenuidade ou confiança do usuário
16. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 16
Tipos de Ataques
● Phishing Scan
– Envio de mensagem não solicitada (spam)
– Indução do acesso a páginas fraudulentas
17. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 17
Tipos de Ataques
● Denial of Service (DoS)
– Indisponibilidade dos recursos do sistema
– Sem ocorrência de invasão
– Invalidação por sobrecarga
18. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 18
Tipos de Ataques
● Distributed Denial of Service (DDoS)
– Computador mestre (master)
– Computadores zumbis (zombies)
19. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 19
Tipos de Ataques
● SQL Injection
– Falhas de sistemas que usam bancos de dados
– Utilização de SQL
● Linguagem de manipulação de bancos de dados
– Inserção de instruções SQL em uma consulta
– Manipulação das entradas de dados
20. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 20
Escola Técnica Estadual Aderico Alves de Vasconcelos
Curso Técnico de Redes de Computadores
Professor Fagner Lima (ete.fagnerlima.pro.br)
Segurança de Dados e Informações
Aula 3
Ataques
21. 29/04/2016
Segurança de Dados e Informações: Aula 3 - Ataques
Pág. 21
Referências
● STALLINGS, W. Criptografia e Segurança de
Redes: Princípios e Práticas. São Paulo: Pearson
Education do Brasil, 2015.
● GALVÃO, M. C. G. Fundamentos em segurança da
informação. São Paulo: Pearson Education do Brasil,
2015.
● GUIMARÃES, R. Gestão de Segurança da
Informação. Rio de Janeiro: Estácio.