Descobrindo A Segurança Cibernética

De Jideon F Marques

O cenário contemporâneo de TI está repleto de diversas tecnologias que os fornecedores afirmam que irão “resolver” problemas. os desafios de segurança cibernética de uma organização. Estas tecnologias são poderosas e, no contexto certo, podem ser muito eficazes. Mas mal compreendidos e mal utilizados, ou não proporcionam uma proteção eficaz ou não protegem as coisas certas. Isto resulta em gastos desnecessários, falsas crenças de segurança e interferência na missão de uma organização. Este livro apresenta as principais tecnologias empregadas no cenário atual de segurança cibernética e os princípios e filosofias fundamentais por trás delas. Ao compreender esses conceitos básicos, os profissionais de todas as organizações estarão mais bem equipados para saber que tipo de tecnologia precisam, fazer as perguntas certas aos fornecedores e interagir melhor com seu CISO e organização de segurança. O livro é amplamente direcionado a iniciantes, incluindo profissionais não técnicos, como formuladores de políticas, equipes de compliance e executivos de negócios. O que você aprenderá Tecnologias de autenticação, incluindo armazenamento seguro de senhas e como os hackers quebram listas de senhas Tecnologia de controle de acesso, como BLP, BIBA e modelos mais recentes, como RBAC e ABAC Tecnologia de criptografia central, incluindo criptografia AES e assinaturas de chave pública Tecnologias clássicas de segurança de host que protegem contra malware (vírus, trojans, ransomware) Tecnologias clássicas de segurança de rede, como segurança de fronteiras (gateways, firewalls, proxies), IDS e IPS de rede e sistemas modernos de fraude Tecnologias de segurança da Web, incluindo cookies, defesas de estado e de sessão, e ameaças que tentam subvertê-las Ameaças à segurança de e-mail e mídias sociais, como spam, phishing, mídias sociais e outras ameaças por e-mail Para quem é este livro Profissionais sem formação técnica em engenharia, informática ou outras tecnologias; aqueles que querem saber coisas a nível técnico mas não têm formação anterior; profissionais com experiência em política, conformidade e gestão; profissionais técnicos sem formação em segurança informática que procuram uma introdução aos temas de segurança; aqueles com experiência em segurança que não estão familiarizados com esta amplitude de tecnologia.

• Idioma: Português
• Editora: Clube de Autores
• Data de lançamento: 14 de dez. de 2023

Pré-visualização do livro

Descobrindo a segurança cibernética

Descobrindo a segurança cibernética

Uma introdução técnica para o iniciante

Por Jideon Marques

Copyright © 2023 por Jideon Marques

Este trabalho está sujeito a direitos autorais. Todos os direitos são reservados à Editora, quer se trate da totalidade ou de parte do material, especificamente os direitos de tradução, reimpressão, reutilização de ilustrações, recitação, transmissão, reprodução em

microfilmes ou de qualquer outra forma física, e transmissão ou armazenamento de

informações e recuperação, adaptação eletrônica, software de computador ou por

metodologia semelhante ou diferente agora conhecida ou desenvolvida posteriormente.

Nomes, logotipos e imagens de marcas registradas podem aparecer neste livro. Em vez de usar um símbolo de marca registrada em cada ocorrência de um nome, logotipo ou imagem de marca registrada, usamos os nomes, logotipos e imagens apenas de forma editorial e para o benefício do proprietário da marca registrada, sem intenção de violar a marca registrada.

O uso nesta publicação de nomes comerciais, marcas registradas, marcas de serviço e termos semelhantes, mesmo que não sejam identificados como tal, não deve ser tomado como uma expressão de opinião sobre se estão ou não sujeitos a direitos de propriedade.

Embora os conselhos e as informações contidas neste livro sejam considerados verdadeiros e precisos na data de publicação, nem os autores, nem os editores, nem a editora podem aceitar qualquer responsabilidade legal por quaisquer erros ou omissões que possam ser cometidos. O editor não oferece nenhuma garantia, expressa ou implícita, com relação ao material aqui contido.

Conteúdo

1

A psicologia da segurança cibernética. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

O cérebro humano como tecnologia de segurança. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

Compreendendo corretamente a cognição humana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8

A psicologia do erro humano. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8

A Psicologia da Manipulação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

Considerações sobre design consciente da psicologia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

20

Princípios de design. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

22

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

25

2

Tecnologia de autenticação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27

Fundamentos da Autenticação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

29

Algo que você sabe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

31

Verificação e armazenamento de senha. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

33

Quebrando senhas armazenadas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

38

Desafios de redefinição de senha. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47

Algo que você tem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

49

Algo que você é. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

53

Autenticação multifator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

58

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

59

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

59

3

Tecnologia de Autorização. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

61

Políticas de segurança informática. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

63

Uma Pesquisa de Políticas de Autorização. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

64

Bell-LaPadula. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

66

Biba. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

71

Aplicação de domínio e tipo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

73

RBAC e ABAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

77

Tecnologias de controle de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

83

Listas de controle de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

84

Capacidades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

86

Problemas de implementação de controle de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

88

Monitores completos de mediação e referência. . . . . . . . . . . . . . . . . . . . . . .

89

Controle de acesso e psicologia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

89

v

Conteúdo

Canais laterais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

90

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

91

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

92

4

Fundações de criptografia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

93

Apresentando a criptografia por meio de exemplos históricos. . . . . . . . . . . . . . . . . .

95

A Cifra de César. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

96

Substituição Monoalfabética Generalizada. . . . . . . . . . . . . . . . . . . . . . . . . . . .

99

Aumentando o tamanho do bloco: a cifra Playfair. . . . . . . . . . . . . . . . . . . . . .100

Apresentando cifras de fluxo: a cifra de Vigenere. . . . . . . . . . . . . . . . . .104

Quão forte é um algoritmo de criptografia. . . . . . . . . . . . . . . . . . . . . . . . . . . . .105

Fundações. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106

Informações—Dados Binários. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107

Metas de segurança da informação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108

XOR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110

Hashing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .112

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117

5

Tecnologia de criptografia central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .119

Criptografia Simétrica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120

Cifras de Bloco Modernas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121

Cifras de fluxo modernas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130

Códigos de autenticação de mensagens e combinados

Modos de operação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142

Criptografia Assimétrica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145

Criptografia Assimétrica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146

Assinaturas digitais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150

Acordo-chave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151

Uma palavra sobre criptografia quântica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159

6

Tecnologias de sistemas criptográficos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161

O atacante: homem do meio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .164

Montando um sistema criptográfico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165

Juntando as peças. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167

Protegendo comunicações na Web: HTTPS e TLS. . . . . . . . . . . . . . . . . . . . . . . . .170

O protocolo TLS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171

Protegendo o armazenamento: Padrão IEEE 1619.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187

Criptografia em massa de dados de armazenamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

.188

Gerenciamento chave do ciclo de vida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195

vii

7

Tecnologia de segurança de host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197

Fundamentos de segurança de host. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199

Sistemas operacionais e isolamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .200

Aplicando controles de acesso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .204

Isolamento mais forte baseado em hardware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207

Isolamento mais forte baseado em software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209

Vulnerabilidades de software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212

Classificações, impacto e escopo do malware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224

Vírus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225

Vermes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227

Cavalos de Tróia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .233

Rootkits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234

Ransomware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235

Redes de bots. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238

Defesas Específicas contra Malware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239

Identificar e neutralizar estratégias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240

Estratégias de Mitigação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247

Estratégias de recuperação e resposta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249

8

Tecnologia Clássica de Segurança de Rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .253

Implicações de segurança de rede legada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255

Servidores e varreduras de portas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257

Firewalls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258

Filtragem por pacote. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260

Filtragem de pacotes com estado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263

Gateways em nível de aplicativo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267

Firewalls da Camada 7. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269

Tradução do Endereço da Rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .271

Juntando tudo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .273

Proxies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .276

Redes Privadas Virtuais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278

Detecção e prevenção de intrusões. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .280

Decepção Defensiva. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .283

Arquiteturas de Rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288

Infiltração, Exfiltração e Avançado

Ameaças persistentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .291

Reconhecimento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .292

Estabeleça uma posição segura. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295

Movimento lateral. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .296

Exfiltração ou outra malícia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297

Limpar e finalizar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .300

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .301

Conteúdo

9

Segurança na World Wide Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .303

Uma visão geral dos componentes básicos da Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .305

Recursos e URLs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .305

HTML. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .307

Visão geral do HTTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309

HTTPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316

Aplicativos da web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .319

Tecnologias do lado do cliente: sites colaborativos

e JavaScript. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .321

Tecnologias do lado do servidor: bancos de dados, aplicativos e

Script do lado do servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .324

SSO baseado na Web: OAuth. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .329

Ameaças e defesas da Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .336

Visibilidade TLS e outros ataques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .336

Cookies e privacidade. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .338

Proteções JavaScript. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .341

Ataques de injeção SQL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .344

Ataques de script entre sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .345

Firewalls de aplicativos da Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .347

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .349

10

Segurança de sobreposição: e-mail e mídias sociais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .351

Sobreposição de plano de fundo de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .352

Redes sociais como redes de sobreposição. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .354

Operações de e-mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .355

Sites de mídia social. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .359

Ameaças. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .360

Spam. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .361

Phishing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .361

Amplificação Artificial e Desinformação. . . . . . . . . . . . . . . . . . . . . . . . .371

Ataques à reputação. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .374

Defesas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .375

Filtrando Mensagens Fraudulentas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .377

Controlando Mensagens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .378

Investigando o uso indevido de mídias sociais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .380

Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .380

Leitura adicional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .381

A

Números binários e hexadecimais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383

B

Computadores, dados e programas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .389

C

Comunicações e redes de computadores. . . . . . . . . . . . . . . . . . . . . . . . . . .403

Referências. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .419

Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .431

Introdução

Durante a maior parte da sua história, a segurança cibernética tem sido em grande parte o domínio da tecnologia

profissionais. Profissionais com esse tipo de formação normalmente tinham experiência técnica

certificações ou diplomas universitários. Presumia-se que se você estivesse falando sobre coisas como controles de acesso, também entenderia, de uma forma ou de outra, como as senhas eram armazenadas e protegidas.

Nos últimos anos, no entanto, tem havido uma demanda crescente por profissionais

com formação técnica limitada para também se envolverem em segurança cibernética. Os executivos e outros líderes precisam compreender as ameaças cada vez maiores que o ciberespaço representa para

suas organizações. A procura de políticas melhoradas nos sectores público e privado está a criar a necessidade de os decisores políticos saberem como funcionam as tecnologias de segurança cibernética e o que podem fazer. As equipes jurídicas e de compliance são frequentemente desafiadas

com responsabilidades de segurança cibernética sem necessariamente ter conhecimentos técnicos profundos.

Assim, a segurança cibernética não é mais apenas da competência de engenheiros,

pesquisadores,

e cientistas especialistas na área. Não se limita nem mesmo a pessoas com formação técnica. Pelo contrário, há um número cada vez maior

de profissionais não técnicos que precisam de uma compreensão mais aprofundada de como

a segurança cibernética funciona.

Tem havido muitas abordagens para ensinar segurança cibernética para aqueles sem

formação técnica. Contudo, tem sido minha experiência que essas abordagens

em grande parte omitiram a maioria dos detalhes técnicos do assunto. A razão é

tipicamente uma crença de que profissionais não técnicos não precisam conhecer esses detalhes, ou não podem entendê-los, ou ambos.

Eu não aceito essa visão. Durante vários anos, tive o privilégio de ensinar exatamente isso a alunos de pós-graduação em direito, política e administração. Minhas aulas incentivaram os alunos não técnicos a aprender conceitos técnicos. Certamente foi

desafiador, mas os alunos têm se saído extremamente bem todos os anos e, por

a grande maioria considerou que a aula era excepcionalmente benéfica. Este livro segue o currículo da turma e ensina os conceitos nele abordados.

Este livro, como o título indica, é destinado ao iniciante. Não pressupõe nenhum tipo de treinamento técnico. Ao mesmo tempo, é um livro técnico. Ele se aprofunda tanto quanto possível nos tópicos selecionados e provavelmente será uma leitura desafiadora para o iniciante. Desafiador, mas factível.

xiii

Introdução

O livro cobre material técnico suficiente para ser útil também para aqueles que

não são iniciantes absolutos. Para aqueles com formação técnica, mas sem treinamento em segurança cibernética, este livro pode fornecer uma introdução suave ao tópico.

Com tudo isso dito, deixe-me esclarecer que este livro não é perfeito. Encontrar a melhor maneira de explicar um conceito técnico para iniciantes é extremamente desafiador.

Durante

desde o tempo em que ensino esses materiais, revisei extensivamente as explicações e a abordagem a cada semestre. A cada semestre, o feedback dos alunos é orientado

o que ficou e o que mudou. À medida que os materiais se estabilizaram, senti que o o material pode ser capturado em forma de livro. Mas mesmo assim, houve um feedback extremamente bom dos alunos do meu semestre mais recente sobre como ensinar o

capítulos de criptografia que não puderam ser incluídos nesta edição do livro. Também tive os primeiros revisores sugerindo corretamente que na próxima edição eu deveria

incorporar a Estrutura de Segurança Cibernética do NIST com muito mais detalhes.

Se você encontrar tópicos ou áreas do livro com os quais tem dificuldade, agradeceria o feedback. Será útil para melhorar meus materiais didáticos agora e talvez uma segunda edição no futuro.

Em termos de organização, o primeiro capítulo é geralmente de leitura muito fácil e não possui uma quantidade significativa de conteúdo técnico. Depois disso, os capítulos ficam mais desafiadores e técnicos, principalmente os capítulos de criptografia no meio do livro.

Para ajudar com alguns dos principais conceitos de computação usados em

Nestes capítulos, forneci apêndices no final que fornecem uma breve visão geral.

Se você é um dos leitores iniciantes absolutos, pode achar útil ler primeiro os apêndices no final do livro.

Acima de tudo, espero que você realmente goste de descobrir a segurança cibernética. Há uma certa ironia ao fato de que a segurança cibernética é extremamente séria, mas também pode ser divertida e agradável de fazer parte. O que você está prestes a ler é importante, mas também é emocionante. Pelo menos, acho que é e espero poder compartilhar um

pouco disso com você.

A psicologia da segurança cibernética

1

Guia de início rápido do capítulo

Este capítulo se concentra na tecnologia do cérebro humano e em como

que a tecnologia faz interface com outros dispositivos e operações associadas

cíber segurança. Grande parte da tecnologia produzida pelo homem nesta área não

interagir muito bem com os humanos. Os sistemas e métodos utilizados para proteger os seres humanos precisam de aceitar e ter em conta os erros e a manipulação humana.

Conceitos chave

1. A segurança cibernética é em grande parte uma batalha de inteligência onde o melhor pensador vence.

2. Nunca haverá uma tecnologia defensiva perfeita que os atacantes não possam

pense por aí.

3. Profissionais de segurança e usuários comuns têm limitações naturais

relacionado a erros e manipulações que os invasores exploram.

4. Quatro fontes de erro humano: automação mental, regras complexas, meta-ignorância, teimosia de modelo errado.

5. Quatro fontes de manipulação humana: viés de ação, reserva emocional, deferência à autoridade, respostas visual-emocionais.

6. Seis sugestões para um design psicologicamente consciente: affordances, modos irracionais, centralização racional, robustez ao erro, robustez à falha, decisões gerenciáveis.

Armadilhas e mal-entendidos comuns

1. Humanos inteligentes não podem ser manipulados e são sempre racionais; apenas pessoas estúpidas ou fracas são vulneráveis.

(contínuo)

1

A psicologia da segurança cibernética

2. A tecnologia de cibersegurança não precisa de ter em conta seres humanos irracionais; os erros que cometem são problema deles.

3. Treinar, ou de outra forma explicar as coisas às pessoas, irá ou deverá consertar todos fontes de erro e manipulação.

Vocabulário útil

• Preconceito: uma parte inerente e necessária da mente humana que se inclina para certas preferências padrão, especialmente na ausência de informações

• Engenharia Social: Obtenção de informações ou serviços não autorizados

através de deturpações e manipulações de pessoas

• Affordances: Uma configuração ou design que induz um ser humano específico

comportamento, incluindo comportamentos desejáveis

Este é, na verdade, um livro sobre tecnologia. Você pode, portanto, ser perdoado por pensar que um capítulo sobre psicologia pertence ao livro errado. Tenha certeza, querido leitor, que você está no lugar certo. Este capítulo é sobre a tecnologia de

segurança cibernética como todas as outras. A tecnologia deste capítulo é o cérebro humano.

É essencial começar a nossa investigação sobre as tecnologias que (nominalmente)

proteger o mundo da segurança cibernética com uma discussão sobre o cérebro. Muitas vezes, as pessoas, tanto utilizadores profissionais como leigos, esperam encontrar tecnologias que possam substituir, em vez de melhorar, o pensamento humano.

Anos atrás, eu estava encerrando uma limpeza dentária de rotina. Enquanto conversava com o

higienista dental durante a finalização da compra e pagamento, o higienista descobriu que eu trabalhava com segurança de informática. Oh, ela disse com alguma energia, "estou realmente preocupada com

me protegendo on-line. Qual programa devo instalar para me