Práticas básicas de Segurança Informática

Vamos testar o conhecimento

Aceder ao link https://www.cnpd.pt/bin/roubo-id/index.html

Segurança Informática

“The protection afforded to an automated information system in order to attain the applicable objectives of preserving the integrity, availability, and confidentiality of information system resources” (includes hardware, software, firmware, information/data, and telecommunications), in The NIST Computer Security Handbook

“Cibersegurança é o termo que designa o conjunto de meios e tecnologias que visam proteger, de danos e intrusão ilícita, programas, computadores, redes e dados.”, in Wikipedia

Segurança no sistema operativo

  • Ter o sistema operativo actualizado;
  • Instalar software de fontes fidedignas;
  • Ter apenas um antivírus instalado;
  • Ter sempre a firewall ligada;
  • Atenção a pendrives que não conhece!

Verificar a firewall

ANTIVÍRUS

“Obtivemos 554 votos válidos. Então... “O melhor anti-vírus grátis para Windows” é...”

  1. Microsoft Security Essentials (209 votos)
  2. Avast Free Antivírus (110 votos)
  3. AVG Antivírus (41 votos)
  4. Avira Free Antivírus (36 votos)
  5. 360 Total Security (32 votos)
  6. ESET NOD32 [TRIAL] (29 votos)
  7. Comodo Desktop Security (28 votos)
  8. Bit Defender Free Edition (27 votos)

https://pplware.sapo.pt/microsoft/windows/sondagem-qual-o-melhor-antivirus-gratis-para-windows/

WANNACRY

  • Ataque massivo que se iniciou em Maio de 2017.
  • Utilizou técnicas de phishing e uma vulnerabilidade de um serviço.
  • Afectou e ainda pode afectar o sistema operativo Windows!

O que fazer para prevenir?

  • Desactivar o serviço SMBv1
  • Não executar programas que estejam em pastas partilhadas na rede.

Segurança numa rede

  • Nunca ligar a uma rede que não conhece.
  • Nunca ligar a uma rede aberta (cibercafés... supermercados... shopping...)
  • Se não for necessário, não active as partilhas na rede!

Segurança nos emails

Email... O meio mais utilizado para a distribuição de tudo e mais alguma coisa...

SIM

  • Enviar emails para uma grande lista utilizando o BCC
  • Eliminar endereços antes de reencaminhar
  • Utilizar certificados para encriptar e/ou autenticar

NÃO

  • Colocar em CC endereços de pessoas que não se conhecem
  • Clicar em links que recebe nos emails de origem duvidosa
  • Reenviar emails cuja origem é incerta

Se o email possui dados importantes:

  • Fazer backup periódico.
  • Não deixar a conta aberta de forma a ser utilizada por terceiros!

Segurança nas passwords

https://howsecureismypassword.net/

Ao escolher uma password devemos tem em conta:

  • Letras maiúsculas e minúsculas;
  • Caracteres especiais;
  • Números;

Alguns sistemas não permitem o uso de todas possibilidades anteriores. Outros sistemas obrigam ao uso de combinações especificas de caracteres.

Problema: Estes sistemas estão inadvertidamente a reduzir o espaço de pesquisa para ataques de força bruta.

Gestão de plugins e add-ons

Verificar periodicamente os plugins instalados no browser. Desactivar plugins que não utiliza ou que não foram instalados com consentimento. Não instalar toolbars.

Certificados

Ficheiros que são utilizados para identificar e autenticar sites ou sistemas electrónicos.

Contêm várias informações referentes aos respectivos donos.

Possuem uma chave pública (conhecida por todos) que é gerada a partir de uma chave privada (só do dono).

Criação de um certificado para email

Permite autenticar e assinar digitalmente um email.

Aceder ao site https://www.comodo.com e seleccionar Free Personal Email Certificate

Certificados para sites

Encriptação de documentos

Documentos confidenciais?

Partilhados em rede?

É necessário enviar por email?

Querem implementar mais segurança?

Solução: Utilizar um conjunto de chaves para encriptar

GPG

Linux / Windows / Mac OS X:

Gerar o par de chaves pública (necessário divulgar o mais possível) e privada (obrigatório manter secreta)

Exportar a sua chave pública para formato texto para distribuir

Fazer backup do porta chaves com as chaves pública e privada

Colocar a sua chave pública num servidor de chaves um documento.

GPG - Objectivo

  • Impedir acesso a documento confidencial: encriptar com a sua chave pública.
  • Autenticar documento não confidencial que se vai distribuir: encriptar/assinar com a sua chave secreta.
  • Mensagem secreta sem selo de autenticidade para uma dada pessoa: encriptar com a chave pública dessa pessoa.
  • Garantir que o documento foi feito por uma pessoa e só pode ser lido por uma outra pessoa: encriptar/assinar com a chave secreta da 1 a e a chave pública da 2 a.