CÓDIGO DA DISCIPLINA: DEE345
SEGURANÇA DIGITAL - Aula 1
Prof. Jéfer Benedett Dörr
Departamento de Engenharias e Exatas - UFPR/Palotina
Docente de Segurança da Informação
Aula 1: Apresentação da Disciplina, Definição dos Pilares da Segurança e Conceitos
Objetivos da Aula
- Apresentar a disciplina DEE 345 Segurança de Sistemas Computacionais, destacando sua relevância para profissionais de TI e educadores.
- Introduzir os pilares fundamentais da segurança da informação (CIDAN + Autorização, Não Repúdio, e outros).
- Diferenciar conceitos de Security, Safety e Reliability.
- Apresentar o modelo das 6 barreiras “D” da segurança.
- Explorar o papel da conformidade legal (LGPD, Lei Carolina Dieckmann, PCI-DSS).
- Engajar os alunos com atividades práticas iniciais e análise de notícias recentes em cibersegurança.
- Contextualizar a segurança da informação para o ensino de cultura digital em ambientes educacionais.
Ementa da Aula
- Introdução à Disciplina e Expectativas
- Conceitos Fundamentais de Segurança da Informação
- Pilares da Segurança (CIDAN + Outros)
- Modelo das 6 Barreiras “D”
- Conformidade Legal e Ética
- Atividade Prática: Inspeção de Logs e Análise de Notícias
- Recursos e Referências para Aprofundamento
1. Introdução à Disciplina e Expectativas
Segurança de Sistemas Computacionais é uma disciplina essencial para profissionais de TI e educadores, combinando teoria e prática para abordar a proteção de sistemas, redes e dados em diversos contextos, incluindo escolas e ambientes digitais. O curso abrange:
- Aspectos Sociais: Consciência de segurança, engenharia social e educação digital para crianças.
- Técnicas de Proteção: Segurança em redes, programação segura e hardware.
- Contextos Emergentes: Segurança em IoT, computação em nuvem e dispositivos móveis.
- Práticas Pedagógicas: Desenvolvimento de materiais educacionais para ensinar cibersegurança em escolas.
Metodologia:
- Teoria: Aulas expositivas com exemplos reais (e.g., ataques de ransomware, deepfakes).
- Prática: Laboratórios com ferramentas como nmap, Wireshark e Autopsy.
- Avaliação: Questionários online, atividades práticas e um projeto final.
- Engajamento: Discussão de notícias recentes e acompanhamento de especialistas no X (@Bruce_Schneier, @katie_moussouris).
Relevância para Educadores:
- Prepara professores para ensinar cultura digital e segurança online a alunos do ensino básico.
- Alinha-se ao Be Internet Awesome do Google e materiais do SaferNet/InternetSegura.br.
- Capacita para lidar com LGPD em ambientes escolares (e.g., proteção de dados de alunos).
2. Conceitos Fundamentais de Segurança da Informação
Segurança da informação protege dados e sistemas contra ameaças intencionais (security), falhas acidentais (safety) e garante operação contínua (reliability). Abaixo, as definições:
- Security: Foco em ameaças intencionais, como hackers invadindo sistemas para roubo de dados ou sabotagem. Exemplo: Ataque a um servidor de e-commerce para roubar dados de cartões de crédito (2023: ataque à Americanas expôs dados de clientes).
- Safety: Previne danos causados por falhas do sistema, como bugs críticos em dispositivos médicos. Exemplo: Falha no firmware de um marca-passo, causando risco à saúde (e.g., recall de dispositivos Medtronic em 2021).
- Reliability: Garante operação contínua mesmo sob falhas parciais, usando redundância e failover. Exemplo: Um data center com balanceamento de carga mantém um site no ar após falha de um servidor.
Atividade de Reflexão: Discuta em grupos como security, safety e reliability se aplicam a um sistema escolar (e.g., proteção de dados de alunos vs. disponibilidade do sistema de notas).
3. Pilares da Segurança da Informação (CIDAN + Outros)
Os pilares da segurança da informação são fundamentais para proteger ativos digitais e garantir conformidade. Abaixo, uma visão detalhada:
-
Confidencialidade
- Definição: Impede o acesso não autorizado a informações sensíveis.
- Técnicas: Criptografia (AES-256, TLS/SSL), controle de acesso (ACLs), máscaras de dados.
- Exemplo: Dados de alunos em um sistema escolar são criptografados para evitar vazamentos.
- Risco: Vazamento de dados pessoais (e.g., exposição de 223 milhões de CPFs no Brasil em 2021).
-
Integridade
- Definição: Garante que dados não sejam alterados sem autorização.
- Técnicas: Hashes (SHA-256), assinaturas digitais, controle de versão.
- Exemplo: Um aluno tenta alterar sua nota no sistema; um hash detecta a modificação.
- Risco: Alteração maliciosa de registros financeiros ou acadêmicos.
-
Disponibilidade
- Definição: Assegura que sistemas e dados estejam acessíveis quando necessários.
- Técnicas: Redundância (clusters, balanceadores de carga), planos de recuperação de desastres (DRP).
- Exemplo: Um sistema de ensino online usa failover para manter aulas disponíveis durante falhas.
- Risco: Ataques DDoS (e.g., ataque à Cloudflare em 2023, afetando serviços educacionais).
-
Autenticação
- Definição: Verifica a identidade de usuários ou sistemas.
- Técnicas: Senhas, tokens (TOTP, YubiKey), biometria, certificados digitais (X.509).
- Exemplo: Professores acessam o sistema escolar com MFA (senha + aplicativo autenticador).
- Risco: Credenciais roubadas via phishing.
-
Autorização
- Definição: Define permissões após autenticação.
- Técnicas: RBAC, ABAC, ACLs (e.g.,
setfaclno Linux). - Exemplo: Apenas diretores podem acessar relatórios financeiros da escola.
- Risco: Acesso indevido por má configuração de permissões.
-
Não Repúdio
- Definição: Garante que ações sejam rastreáveis e não negáveis.
- Técnicas: Assinaturas digitais, logs criptográficos.
- Exemplo: Um professor assina digitalmente a aprovação de notas, impedindo negação posterior.
- Risco: Falta de logs confiáveis em auditorias.
-
Classificação da Informação
- Definição: Categoriza dados por sensibilidade (Pública, Interna, Restrita, Confidencial).
- Exemplo: Dados de alunos são “Confidenciais” e protegidos por criptografia; comunicados escolares são “Públicos”.
Atividade: Classifique exemplos de dados escolares (e.g., boletins, e-mails, relatórios) por categoria.
-
Controle de Acesso
- Definição: Restringe acesso a usuários/sistemas autorizados.
- Exemplo: Apenas professores de uma turma acessam as notas dos alunos via ACLs.
- Ferramentas: SELinux, AppArmor, Keycloak.
-
Criptografia
- Definição: Protege dados em trânsito e repouso com algoritmos simétricos (AES) e assimétricos (RSA).
- Exemplo: Um sistema escolar usa TLS para proteger login de usuários.
- Risco: Uso de algoritmos obsoletos (e.g., MD5, SSLv3).
-
Análise e Gerenciamento de Riscos
- Definição: Identifica, avalia e mitiga riscos à segurança.
- Identifica, analisa e monitora riscos a CID (Confidencialidade, Integridade, Disponibilidade), priorizando eventos críticos.
- Metodologias: ISO 27005, OCTAVE, FAIR.
- Exemplo: Uma escola mapeia o risco de vazamento de dados de alunos e implementa backups criptografados.
Atividade: Liste 3 riscos em um sistema escolar e sugira mitigações.
4. Modelo das 6 Barreiras “D”
O modelo das 6 barreiras “D” cria camadas de defesa para proteger sistemas:
- Desencorajar: Dissuadir atacantes com políticas visíveis. Exemplo: Um banner no site da escola alerta sobre monitoramento de segurança.
- Dificultar: Aumentar a complexidade de ataques. Exemplo: Senhas fortes e MFA dificultam acesso não autorizado.
- Discriminar: Restringir acesso a usuários autorizados. Exemplo: Apenas administradores acessam o banco de dados escolar via RBAC.
- Detectar: Identificar tentativas de ataque. Exemplo: Um IDS (Snort) alerta sobre tentativas de login suspeitas.
- Deter: Impedir o sucesso do ataque. Exemplo: Bloqueio automático após 5 tentativas de login falhas.
- Diagnosticar: Analisar incidentes para evitar reincidências. Exemplo: Análise forense com Autopsy após um vazamento de dados.
Atividade: Mapeie as 6 barreiras “D” para um sistema escolar online, identificando uma ferramenta ou prática para cada.
5. Conformidade Legal e Ética
Conformidade (compliance) é essencial para proteger dados e evitar penalidades. Leis e normas relevantes incluem:
- LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018):
- Exige proteção de dados pessoais, como nomes e CPFs de alunos.
- Penalidades: Multas de até 2% do faturamento (máximo R$50 milhões).
- Exemplo: Escolas devem criptografar dados de alunos e notificar vazamentos em 72 horas.
- Lei Carolina Dieckmann (Lei nº 12.737/2012):
- Penaliza invasão de dispositivos para roubo ou alteração de dados.
- Exemplo: Um aluno que hackeia o sistema escolar para mudar notas pode ser penalizado.
- PCI-DSS:
- Requisitos para proteger dados de cartões em transações (e.g., pagamento de mensalidades escolares).
- Exemplo: Um sistema de pagamento online usa tokenização para proteger dados.
- Marco Civil da Internet (Lei nº 12.965/2014):
- Garante privacidade e neutralidade na internet.
- Exemplo: Provedores escolares devem manter logs de acesso por 6 meses.
- Ética em Segurança:
- Profissionais devem seguir códigos de ética (e.g., EC-Council, OWASP).
- Data Protection Act 2018 (DPA): arcabouço legal para proteção de dados pessoais no Reino Unido, em vigor desde 25 maio 2018.
- Compliance: estar em conformidade com atos, normas e leis, minimizando riscos.
- Sarbanes-Oxley (SOx): lei americana de proteção contra fraudes financeiras.
- Exemplo: Testes de penetração só em ambientes autorizados (e.g., TryHackMe).
Atividade: Pesquise um caso recente de violação da LGPD no Brasil (e.g., no X ou portais como UOL) e discuta suas implicações para escolas.
6. Atividade Prática: Inspeção de Logs e Análise de Notícias
Parte 1: Inspeção de Logs (Laboratório)
- Objetivo: Introduzir comandos básicos de auditoria em Linux/Windows.
- Ferramentas: Terminal Linux (ou WSL no Windows), Visual Studio Code.
- Instruções:
- No Linux, use
tail -f /var/log/syslog(ou/var/log/messages) para monitorar logs em tempo real. - No Windows, use o Visualizador de Eventos (
eventvwr) para verificar logs de segurança. - Identifique um evento de login (sucesso ou falha) e anote o timestamp e usuário.
- Responda: Como logs podem ajudar a detectar uma tentativa de ataque?
- No Linux, use
- Entrega: Relatório curto (100-150 palavras) no UFPR Virtual.
Parte 2: Análise de Notícias
- Objetivo: Conectar conceitos teóricos a eventos reais.
- Instruções:
- Acesse o X ou portais como Krebs on Security (@briankrebs) ou The Hacker News.
- Escolha uma notícia de cibersegurança de 2024/2025 (e.g., ransomware, vazamento de dados).
- Identifique qual pilar da segurança (CIDAN) foi comprometido e como.
- Proponha uma medida preventiva (e.g., MFA, patches).
- Entrega: Postagem no fórum do UFPR Virtual (máximo 200 palavras).
7. Recursos e Referências para Aprofundamento
- Livros:
- The Art of Invisibility by Kevin Mitnick (social engineering).
- Hacking Exposed by Stuart McClure (fundamentals of security).
- Practical Malware Analysis by Michael Sikorski (forensic analysis).
- Cursos Online:
- TryHackMe: “Introduction to Cybersecurity” (gratuito).
- Coursera: “Cybersecurity for Everyone” by University of Maryland.
- Canais e Blogs:
- X: @Bruce_Schneier, @katie_moussouris, @troyhunt.
- Blogs: Krebs on Security, The Hacker News, Dark Reading.
- Podcasts: “Security Now” (TWiT), “Darknet Diaries”.
- Ferramentas:
- nmap: Escaneamento de redes.
- Wireshark: Análise de pacotes.
- Autopsy: Forense digital.
- Materiais Educacionais:
- Google Be Internet Awesome (internetsegura.br).
- SaferNet: Recursos para professores sobre cibersegurança.
Tarefa: pesquise sobre FErramentas de Segurança, leis e certificações.
Quiz de Avaliação
1. Qual das opções abaixo não faz parte dos “6 D’s” de barreiras de segurança?
CORRETO! “Descartar” não faz parte das 6 barreiras D (que são Desencorajar, Dificultar, Discriminar, Detectar, Deter e Diagnosticar).
INCORRETO. Reveja as 6 barreiras D: Desencorajar, Dificultar, Discriminar, Detectar, Deter e Diagnosticar.
2. Em relação aos pilares CIDAN, qual item está INCORRETO?
CORRETO! A disponibilidade não trata de descodificar dados, mas sim de garantir que informações e serviços estejam acessíveis quando necessários.
INCORRETO. A afirmação sobre disponibilidade está incorreta — ela refere-se a manter sistemas e dados acessíveis no momento certo.
3. Qual termo em inglês refere-se a falhas de software/hardware que causam acidentes sem intenção maliciosa?
CORRETO! “Safety” refere-se a falhas não intencionais de software/hardware que podem causar danos.
INCORRETO. A resposta certa é “Safety”, relacionada a falhas acidentais.
4. Quais leis/regulamentações citadas garantem conformidade para transações financeiras e proteção de dados?
CORRETO! PCI-DSS protege transações com cartão de crédito, e o Data Protection Act 2018 regula proteção de dados no Reino Unido.
INCORRETO. A combinação correta conforme o conteúdo é PCI-DSS e Data Protection Act 2018.
5. Qual princípio de segurança estabelece que o sistema deve depender apenas do segredo de poucos itens e ser publicamente auditável?
CORRETO! “Projeto aberto” exige que o design seja público e confiável sem depender de segredos ocultos.
INCORRETO. O princípio que descreve design público e auditável é “Projeto aberto (Open Design)”.
Próximos Passos
- Aula 2: Aprofundamento em ameaças (malware, phishing, deepfakes) e introdução ao nmap.
- Pré-requisito: Instale o algum Linux (VM ou WSL) e familiarize-se com comandos como
whoami,lsecat.