Descobrindo A Segurança Cibernética
()
Sobre este e-book
Leia mais títulos de Jideon F Marques
Posições Sexuais Tântricas Nota: 0 de 5 estrelas0 notasManual De Tdah Para Adultos Nota: 0 de 5 estrelas0 notasKama Sutra: Guia Ilustrado De Posições Sexuais Para Iniciantes E Avançados Nota: 0 de 5 estrelas0 notasTécnicas De Sexo Tântrico Nota: 0 de 5 estrelas0 notasFísica Quântica Para Iniciantes Nota: 5 de 5 estrelas5/5A Bíblia Do Swing Trader Nota: 0 de 5 estrelas0 notasAumento Peniano Nota: 0 de 5 estrelas0 notasO Guia Completo Para Bonecos De Crochê E Animais Nota: 0 de 5 estrelas0 notasAprenda Fazer Licores Deliciosos E Lucre Muito Com Vendas Online Nota: 0 de 5 estrelas0 notasPsicologia Negra E Manipulação Nota: 0 de 5 estrelas0 notasDecoração De Bolos Para Iniciantes: Um Guia Passo A Passo Para Decorar Como Um Profissional Nota: 0 de 5 estrelas0 notasMarketing Do Instagram (guia Para Iniciantes 2023) Nota: 0 de 5 estrelas0 notasDay Trading - Estratégias De Negociação Nota: 0 de 5 estrelas0 notasReceitas De Café Gelado Nota: 0 de 5 estrelas0 notasAdobe Photoshop 2022 Para Iniciantes Nota: 0 de 5 estrelas0 notasDicas De Sexo Tântrico; Todas As Dicas Que Você Precisa Saber Nota: 0 de 5 estrelas0 notasO Guia Das Técnicas Do Reiki - Cura Reiki Para Iniciantes Curando Mais De 100 Doenças Nota: 0 de 5 estrelas0 notasLivro De Receitas De Pão Delicioso Nota: 0 de 5 estrelas0 notasReceitas De Iogurte Grego 40 Ótimas Receitas Nota: 0 de 5 estrelas0 notasExcel 2023 Power Pivot & Power Query Nota: 0 de 5 estrelas0 notasExcel De Zero Para Especialista Nota: 0 de 5 estrelas0 notasFeitiços De Amor Nota: 0 de 5 estrelas0 notasReceitas Da Dieta Baixa Em Carboidratos Nota: 0 de 5 estrelas0 notasVida Sexual Dos Sonhos Nota: 0 de 5 estrelas0 notasSaxofone Para Iniciantes Nota: 0 de 5 estrelas0 notas
Relacionado a Descobrindo A Segurança Cibernética
Ebooks relacionados
Análise De Sistemas Vol X Nota: 0 de 5 estrelas0 notasDominando O Css Nota: 0 de 5 estrelas0 notasProgramando Em Python Do Básico `a Web Nota: 0 de 5 estrelas0 notasReactjs Nota: 0 de 5 estrelas0 notasAnálise De Sistemas V. 9 Nota: 0 de 5 estrelas0 notasIntrodução Ao Red Team Operations Nota: 0 de 5 estrelas0 notasColeção Programador Volume 3 Nota: 0 de 5 estrelas0 notasColeção Programador Volume 4 Nota: 0 de 5 estrelas0 notasLogística E Cadeia De Suprimentos Nota: 0 de 5 estrelas0 notasO Algoritmo Do Jiu-jitsu Nota: 0 de 5 estrelas0 notasColeção Programador Volume 5 Jstl Nota: 0 de 5 estrelas0 notasPixinsight Para Iniciantes Em Astrofotografia 2 Nota: 0 de 5 estrelas0 notasExplorando A Mente Nota: 0 de 5 estrelas0 notasExcel 2023 Power Pivot & Power Query Nota: 0 de 5 estrelas0 notasIntrodução À Programação Para Bioinformática Com Perl Nota: 0 de 5 estrelas0 notasÉtica, Cidadania E Compromisso Nota: 0 de 5 estrelas0 notasFique Rico Com Bitcoin Nota: 0 de 5 estrelas0 notasBioestatística Descomplicada Nota: 0 de 5 estrelas0 notasTópicos De Estatística Com Foco Computacional Programado Em Python Nota: 0 de 5 estrelas0 notasMs Office Excel 2013 Nota: 0 de 5 estrelas0 notasEstatística Aplicada A Distribuição De Frequência Programado No Python Nota: 0 de 5 estrelas0 notasApostila Nota: 0 de 5 estrelas0 notasGestão Do Desempenho Da Produção Nota: 0 de 5 estrelas0 notasArma Do Vigilante Nota: 0 de 5 estrelas0 notasSeleção De Plataforma Bpms Nota: 0 de 5 estrelas0 notasColeção Programador Volume 2 Nota: 0 de 5 estrelas0 notasA Equoterapia Na Inclusão Escolar Nota: 0 de 5 estrelas0 notasCurso Linguagem C Para Microcontroladores Pic Nota: 3 de 5 estrelas3/5Excel Em 101 Passos Nota: 0 de 5 estrelas0 notas
Computadores para você
Inteligência artificial: O guia completo para iniciantes sobre o futuro da IA Nota: 5 de 5 estrelas5/5Introdução e boas práticas em UX Design Nota: 5 de 5 estrelas5/5Programação Didática com Linguagem C Nota: 4 de 5 estrelas4/5Programação Python Ilustrada Para Iniciantes E Intermediários: Abordagem “aprenda Fazendo” – Passo A Passo Nota: 0 de 5 estrelas0 notasIntrodução Aos Comandos Elétricos Nota: 0 de 5 estrelas0 notasMarketing Digital Completo Com Estratégias E Gatilhos Mentais Nota: 0 de 5 estrelas0 notasCurso Excel Nota: 0 de 5 estrelas0 notasExcel Para Iniciantes Nota: 0 de 5 estrelas0 notasInteligência artificial: Como aprendizado de máquina, robótica e automação moldaram nossa sociedade Nota: 0 de 5 estrelas0 notasComo Criar Um Ebook De Alta Conversão Nota: 4 de 5 estrelas4/5Introdução a Data Science: Algoritmos de Machine Learning e métodos de análise Nota: 0 de 5 estrelas0 notasAlgoritmos Em C Nota: 0 de 5 estrelas0 notasBig Data: Técnicas e tecnologias para extração de valor dos dados Nota: 4 de 5 estrelas4/5Lógica de programação com Portugol: Mais de 80 exemplos, 55 exercícios com gabarito e vídeos complementares Nota: 0 de 5 estrelas0 notasComputação Desplugada E O Rpg - Combinando Técnicas Nota: 0 de 5 estrelas0 notasPython Progressivo Nota: 5 de 5 estrelas5/5Python De A A Z Nota: 0 de 5 estrelas0 notasSegurança Da Informação Descomplicada Nota: 0 de 5 estrelas0 notasAutocad & Desenho Técnico Nota: 0 de 5 estrelas0 notasExcel 2022 O Tutorial Completo Para Iniciantes E Especialistas Nota: 0 de 5 estrelas0 notasComo Se Tornar Uma Autoridade No Youtube? Nota: 0 de 5 estrelas0 notasLer e escrever bem: um aprendizado importante para vencer no ENEM e na vida Nota: 0 de 5 estrelas0 notasUser Experience Design: Como criar produtos digitais com foco nas pessoas Nota: 0 de 5 estrelas0 notasMatemática Aplicada Aos Games Nota: 0 de 5 estrelas0 notasProgramando Em Java Com Banco De Dados Nota: 0 de 5 estrelas0 notasChegue à primeira página do Google: Dicas de SEO para marketing online Nota: 4 de 5 estrelas4/5Fundamentos De Banco De Dados Nota: 0 de 5 estrelas0 notasPower Bi Black Belt Nota: 0 de 5 estrelas0 notas
Avaliações de Descobrindo A Segurança Cibernética
0 avaliação0 avaliação
Pré-visualização do livro
Descobrindo A Segurança Cibernética - Jideon F Marques
Descobrindo a segurança cibernética
Descobrindo a segurança cibernética
Uma introdução técnica para o iniciante
Por Jideon Marques
Copyright © 2023 por Jideon Marques
Este trabalho está sujeito a direitos autorais. Todos os direitos são reservados à Editora, quer se trate da totalidade ou de parte do material, especificamente os direitos de tradução, reimpressão, reutilização de ilustrações, recitação, transmissão, reprodução em
microfilmes ou de qualquer outra forma física, e transmissão ou armazenamento de
informações e recuperação, adaptação eletrônica, software de computador ou por
metodologia semelhante ou diferente agora conhecida ou desenvolvida posteriormente.
Nomes, logotipos e imagens de marcas registradas podem aparecer neste livro. Em vez de usar um símbolo de marca registrada em cada ocorrência de um nome, logotipo ou imagem de marca registrada, usamos os nomes, logotipos e imagens apenas de forma editorial e para o benefício do proprietário da marca registrada, sem intenção de violar a marca registrada.
O uso nesta publicação de nomes comerciais, marcas registradas, marcas de serviço e termos semelhantes, mesmo que não sejam identificados como tal, não deve ser tomado como uma expressão de opinião sobre se estão ou não sujeitos a direitos de propriedade.
Embora os conselhos e as informações contidas neste livro sejam considerados verdadeiros e precisos na data de publicação, nem os autores, nem os editores, nem a editora podem aceitar qualquer responsabilidade legal por quaisquer erros ou omissões que possam ser cometidos. O editor não oferece nenhuma garantia, expressa ou implícita, com relação ao material aqui contido.
Conteúdo
1
A psicologia da segurança cibernética. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
O cérebro humano como tecnologia de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Compreendendo corretamente a cognição humana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
A psicologia do erro humano. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
A Psicologia da Manipulação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
Considerações sobre design consciente da psicologia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
Princípios de design. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
2
Tecnologia de autenticação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
Fundamentos da Autenticação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
Algo que você sabe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
Verificação e armazenamento de senha. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
Quebrando senhas armazenadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
Desafios de redefinição de senha. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
Algo que você tem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
Algo que você é. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
Autenticação multifator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
3
Tecnologia de Autorização. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
Políticas de segurança informática. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
Uma Pesquisa de Políticas de Autorização. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
Bell-LaPadula. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
Biba. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
Aplicação de domínio e tipo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
RBAC e ABAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
77
Tecnologias de controle de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
Listas de controle de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
Capacidades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
Problemas de implementação de controle de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
Monitores completos de mediação e referência. . . . . . . . . . . . . . . . . . . . . . .
89
Controle de acesso e psicologia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
v
Conteúdo
Canais laterais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
91
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
4
Fundações de criptografia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
Apresentando a criptografia por meio de exemplos históricos. . . . . . . . . . . . . . . . . .
95
A Cifra de César. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
Substituição Monoalfabética Generalizada. . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
Aumentando o tamanho do bloco: a cifra Playfair. . . . . . . . . . . . . . . . . . . . . .100
Apresentando cifras de fluxo: a cifra de Vigenere. . . . . . . . . . . . . . . . . .104
Quão forte é um algoritmo de criptografia. . . . . . . . . . . . . . . . . . . . . . . . . . . . .105
Fundações. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106
Informações—Dados Binários. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
Metas de segurança da informação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108
XOR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110
Hashing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117
5
Tecnologia de criptografia central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119
Criptografia Simétrica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120
Cifras de Bloco Modernas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121
Cifras de fluxo modernas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130
Códigos de autenticação de mensagens e combinados
Modos de operação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142
Criptografia Assimétrica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145
Criptografia Assimétrica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
Assinaturas digitais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
Acordo-chave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
Uma palavra sobre criptografia quântica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
6
Tecnologias de sistemas criptográficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161
O atacante: homem do meio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .164
Montando um sistema criptográfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165
Juntando as peças. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167
Protegendo comunicações na Web: HTTPS e TLS. . . . . . . . . . . . . . . . . . . . . . . . .170
O protocolo TLS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
Protegendo o armazenamento: Padrão IEEE 1619.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
Criptografia em massa de dados de armazenamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.188
Gerenciamento chave do ciclo de vida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195
vii
7
Tecnologia de segurança de host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
Fundamentos de segurança de host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199
Sistemas operacionais e isolamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .200
Aplicando controles de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .204
Isolamento mais forte baseado em hardware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207
Isolamento mais forte baseado em software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
Vulnerabilidades de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212
Classificações, impacto e escopo do malware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224
Vírus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225
Vermes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227
Cavalos de Tróia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .233
Rootkits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
Ransomware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235
Redes de bots. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
Defesas Específicas contra Malware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239
Identificar e neutralizar estratégias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240
Estratégias de Mitigação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
Estratégias de recuperação e resposta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249
8
Tecnologia Clássica de Segurança de Rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .253
Implicações de segurança de rede legada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
Servidores e varreduras de portas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
Firewalls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258
Filtragem por pacote. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260
Filtragem de pacotes com estado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263
Gateways em nível de aplicativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267
Firewalls da Camada 7. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269
Tradução do Endereço da Rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271
Juntando tudo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .273
Proxies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .276
Redes Privadas Virtuais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
Detecção e prevenção de intrusões. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280
Decepção Defensiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283
Arquiteturas de Rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288
Infiltração, Exfiltração e Avançado
Ameaças persistentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .291
Reconhecimento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .292
Estabeleça uma posição segura. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
Movimento lateral. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .296
Exfiltração ou outra malícia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
Limpar e finalizar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .300
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .301
Conteúdo
9
Segurança na World Wide Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .303
Uma visão geral dos componentes básicos da Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .305
Recursos e URLs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .305
HTML. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .307
Visão geral do HTTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309
HTTPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
Aplicativos da web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .319
Tecnologias do lado do cliente: sites colaborativos
e JavaScript. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .321
Tecnologias do lado do servidor: bancos de dados, aplicativos e
Script do lado do servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .324
SSO baseado na Web: OAuth. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .329
Ameaças e defesas da Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .336
Visibilidade
TLS e outros ataques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .336
Cookies e privacidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .338
Proteções JavaScript. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .341
Ataques de injeção SQL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .344
Ataques de script entre sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .345
Firewalls de aplicativos da Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .347
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .349
10
Segurança de sobreposição: e-mail e mídias sociais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .351
Sobreposição de plano de fundo de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .352
Redes sociais como redes de sobreposição. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .354
Operações de e-mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .355
Sites de mídia social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .359
Ameaças. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .360
Spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .361
Phishing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .361
Amplificação Artificial e Desinformação. . . . . . . . . . . . . . . . . . . . . . . . .371
Ataques à reputação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .374
Defesas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .375
Filtrando Mensagens Fraudulentas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .377
Controlando Mensagens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .378
Investigando o uso indevido de mídias sociais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .380
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .380
Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .381
A
Números binários e hexadecimais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383
B
Computadores, dados e programas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .389
C
Comunicações e redes de computadores. . . . . . . . . . . . . . . . . . . . . . . . . . .403
Referências. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .419
Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .431
Introdução
Durante a maior parte da sua história, a segurança cibernética tem sido em grande parte o domínio da tecnologia
profissionais. Profissionais com esse tipo de formação normalmente tinham experiência técnica
certificações ou diplomas universitários. Presumia-se que se você estivesse falando sobre coisas como controles de acesso, também entenderia, de uma forma ou de outra, como as senhas eram armazenadas e protegidas.
Nos últimos anos, no entanto, tem havido uma demanda crescente por profissionais
com formação técnica limitada para também se envolverem em segurança cibernética. Os executivos e outros líderes precisam compreender as ameaças cada vez maiores que o ciberespaço representa para
suas organizações. A procura de políticas melhoradas nos sectores público e privado está a criar a necessidade de os decisores políticos saberem como funcionam as tecnologias de segurança cibernética e o que podem fazer. As equipes jurídicas e de compliance são frequentemente desafiadas
com responsabilidades de segurança cibernética sem necessariamente ter conhecimentos técnicos profundos.
Assim, a segurança cibernética não é mais apenas da competência de engenheiros,
pesquisadores,
e cientistas especialistas na área. Não se limita nem mesmo a pessoas com formação técnica. Pelo contrário, há um número cada vez maior
de profissionais não técnicos que precisam de uma compreensão mais aprofundada de como
a segurança cibernética funciona.
Tem havido muitas abordagens para ensinar segurança cibernética para aqueles sem
formação técnica. Contudo, tem sido minha experiência que essas abordagens
em grande parte omitiram a maioria dos detalhes técnicos do assunto. A razão é
tipicamente uma crença de que profissionais não técnicos não precisam conhecer esses detalhes, ou não podem entendê-los, ou ambos.
Eu não aceito essa visão. Durante vários anos, tive o privilégio de ensinar exatamente isso a alunos de pós-graduação em direito, política e administração. Minhas aulas incentivaram os alunos não técnicos a aprender conceitos técnicos. Certamente foi
desafiador, mas os alunos têm se saído extremamente bem todos os anos e, por
a grande maioria considerou que a aula era excepcionalmente benéfica. Este livro segue o currículo da turma e ensina os conceitos nele abordados.
Este livro, como o título indica, é destinado ao iniciante. Não pressupõe nenhum tipo de treinamento técnico. Ao mesmo tempo, é um livro técnico. Ele se aprofunda tanto quanto possível nos tópicos selecionados e provavelmente será uma leitura desafiadora para o iniciante. Desafiador, mas factível.
xiii
Introdução
O livro cobre material técnico suficiente para ser útil também para aqueles que
não são iniciantes absolutos. Para aqueles com formação técnica, mas sem treinamento em segurança cibernética, este livro pode fornecer uma introdução suave ao tópico.
Com tudo isso dito, deixe-me esclarecer que este livro não é perfeito. Encontrar a melhor maneira de explicar um conceito técnico para iniciantes é extremamente desafiador.
Durante
desde o tempo em que ensino esses materiais, revisei extensivamente as explicações e a abordagem a cada semestre. A cada semestre, o feedback dos alunos é orientado
o que ficou e o que mudou. À medida que os materiais se estabilizaram, senti que o o material pode ser capturado em forma de livro. Mas mesmo assim, houve um feedback extremamente bom dos alunos do meu semestre mais recente sobre como ensinar o
capítulos de criptografia que não puderam ser incluídos nesta edição do livro. Também tive os primeiros revisores sugerindo corretamente que na próxima edição eu deveria
incorporar a Estrutura de Segurança Cibernética do NIST com muito mais detalhes.
Se você encontrar tópicos ou áreas do livro com os quais tem dificuldade, agradeceria o feedback. Será útil para melhorar meus materiais didáticos agora e talvez uma segunda edição no futuro.
Em termos de organização, o primeiro capítulo é geralmente de leitura muito fácil e não possui uma quantidade significativa de conteúdo técnico. Depois disso, os capítulos ficam mais desafiadores e técnicos, principalmente os capítulos de criptografia no meio do livro.
Para ajudar com alguns dos principais conceitos de computação usados em
Nestes capítulos, forneci apêndices no final que fornecem uma breve visão geral.
Se você é um dos leitores iniciantes absolutos
, pode achar útil ler primeiro os apêndices no final do livro.
Acima de tudo, espero que você realmente goste de descobrir a segurança cibernética. Há uma certa ironia ao fato de que a segurança cibernética é extremamente séria, mas também pode ser divertida e agradável de fazer parte. O que você está prestes a ler é importante, mas também é emocionante. Pelo menos, acho que é e espero poder compartilhar um
pouco disso com você.
A psicologia da segurança cibernética
1
Guia de início rápido do capítulo
Este capítulo se concentra na tecnologia do cérebro humano e em como
que a tecnologia faz interface com outros dispositivos e operações associadas
cíber segurança. Grande parte da tecnologia produzida pelo homem nesta área não
interagir muito bem com os humanos. Os sistemas e métodos utilizados para proteger os seres humanos precisam de aceitar e ter em conta os erros e a manipulação humana.
Conceitos chave
1. A segurança cibernética é em grande parte uma batalha de inteligência onde o melhor pensador vence.
2. Nunca haverá uma tecnologia defensiva perfeita
que os atacantes não possam
pense por aí.
3. Profissionais de segurança e usuários comuns têm limitações naturais
relacionado a erros e manipulações que os invasores exploram.
4. Quatro fontes de erro humano: automação mental, regras complexas, meta-ignorância, teimosia de modelo errado.
5. Quatro fontes de manipulação humana: viés de ação, reserva emocional, deferência à autoridade, respostas visual-emocionais.
6. Seis sugestões para um design psicologicamente consciente: affordances, modos irracionais, centralização racional, robustez ao erro, robustez à falha, decisões gerenciáveis.
Armadilhas e mal-entendidos comuns
1. Humanos inteligentes
não podem ser manipulados e são sempre racionais; apenas pessoas estúpidas ou fracas são vulneráveis.
(contínuo)
1
A psicologia da segurança cibernética
2. A tecnologia de cibersegurança não precisa de ter em conta seres humanos irracionais; os erros que cometem são problema deles.
3. Treinar, ou de outra forma explicar as coisas às pessoas, irá ou deverá consertar
todos fontes de erro e manipulação.
Vocabulário útil
• Preconceito: uma parte inerente e necessária da mente humana que se inclina para certas preferências padrão, especialmente na ausência de informações
• Engenharia Social: Obtenção de informações ou serviços não autorizados
através de deturpações e manipulações de pessoas
• Affordances: Uma configuração ou design que induz um ser humano específico
comportamento, incluindo comportamentos desejáveis
Este é, na verdade, um livro sobre tecnologia. Você pode, portanto, ser perdoado por pensar que um capítulo sobre psicologia pertence ao livro errado. Tenha certeza, querido leitor, que você está no lugar certo. Este capítulo é sobre a tecnologia de
segurança cibernética como todas as outras. A tecnologia deste capítulo é o cérebro humano.
É essencial começar a nossa investigação sobre as tecnologias que (nominalmente)
proteger o mundo da segurança cibernética com uma discussão sobre o cérebro. Muitas vezes, as pessoas, tanto utilizadores profissionais como leigos, esperam encontrar tecnologias que possam substituir, em vez de melhorar, o pensamento humano.
Anos atrás, eu estava encerrando uma limpeza dentária de rotina. Enquanto conversava com o
higienista dental durante a finalização da compra e pagamento, o higienista descobriu que eu trabalhava com segurança de informática. Oh,
ela disse com alguma energia, "estou realmente preocupada com
me protegendo on-line. Qual programa devo instalar para me