UNIVERSIDADE SÃO TOMÁS DE MOÇAMBIQUE

FACULDADE DE CIÊNCIAS E TECNOLOGIAS DE INFORMAÇÃO

Segurança de Sistemas de Criptografia

Turma: 3L5LASIR1T

Nome: Titos Oliveira José Mapilele Júnior \ Cod.202200483

- Helen Elias Ganje \ Cod.202203686

- Yuki Feliciana Lisboa Sigaúque \ Cod.202203015

- Alberto Jacinto Chissano\ Cod.

Docente: Mauro Salimo

 Introdução

Os sistemas de controle de acesso desempenham um papel

fundamental na segurança e na gestão de recursos em uma ampla
variedade de ambientes, desde empresas e instituições
governamentais até residências. Neste trabalho, exploraremos a
importância, os componentes e as aplicações dos sistemas de
controle de acesso, bem como seus benefícios em termos de
segurança e eficiência operacional.
 ĺndice

Sistemas de controle de acesso

- Definição;
- Importância;
- Ameaças de controle de acesso e Mecanismos de mitigação;
- Ataque de dicionário;
- Ataque de força bruta;
- Engenharia social;
- Spoofing;
- Phishing.
 Sistemas de Controle de Acesso

Os sistemas de controle de acesso são utilizados para garantir que apenas

pessoas autorizadas tenham acesso a determinados locais, informações ou
recursos. Eles podem incluir métodos como senhas, cartões de acesso,
biometria (como impressões digitais ou reconhecimento facial) e sistemas
baseados em tokens (como chaves eletrônicas). Esses sistemas são
fundamentais para garantir a segurança física e lógica em diversos
ambientes, como empresas, prédios residenciais, instituições financeiras e
áreas restritas em eventos.
Alguns exemplos de sistemas de controle de acesso incluem:
1. Controle de acesso físico:
- Cartões acesso: usados para permitir a entrada em edifícios ou áreas
restritas.
- Biometria: impressões digitais, reconhecimento facial ou de retina
para identificar indivíduos.
- Chaves eletrônicas: dispositivos eletrônicos que permitem a abertura
de portas.

2. Controle de acesso lógico:

- Senhas de PIN: usados para acessar computadores, sistemas e
aplicativos.
- Token de segurança: dispositivos físicos ou virtuais usados para
autenticação em duas etapas.

Ameaças de controle de acesso e mecanismos de mitigação

As ameaças dos sistemas de controle de acesso podem variar de acordo

com o tipo de sistema, mas algumas ameaças comuns incluem:
1. Roubos de credencias: quando um invasor obtém acesso não
autorizado a senhas, cartões de acesso ou outras informações de
autenticação.
 2. Ataques de força bruta: tentativas repetidas de adivinhar senhas ou
códigos de acesso para obter acesso não autorizado.
3. Roubo de identidade: o uso indevido de informações pessoais para
obter acesso não autorizado.
4. Interceptação de comunicações: quando um invasor intercepta e
manipula comunicações entre dispositivos de controle de acesso e
servidores.
5. Exploração de vulnerabilidades: aproveitar falhas de segurança em
sistemas de controle de acesso para ganhar acesso não autorizado.

Para mitigar essas ameaças é importante implementar mecanismos de

segurança adequados, tais como:
1. Autenticação multifatorial: requer mais de um método de autenticação
para verificar a identidade de um usuário.
2. Criptografia de dados: protege as informações durante a transmissão
e armazenamento, tornando-as ilegíveis para usuários não
autorizados.
3. Auditoria e monitoramento: registra e monitora as atividades de acesso
para detectar e responder a eventos suspeitos.
4. Atualizações e patches: mantém os sistemas atualizados para
proteger contra vulnerabilidade conhecidas.
5. Princípio do menor privilégio: concede apenas as permissões
necessárias para realizar uma determinada tarefa, reduzindo assim a
exposição a possíveis ataques.
6. Controle de acesso baseado em função: atribui permissões com base
nas funções dos usuários, garantindo que apenas tenham acesso às
informações necessárias para realizar suas funções.

Importância
Os sistemas de controle de acesso desempenham um papel fundamental
na segurança de edifícios, instalações e informações confidencias. Eles
garantem que apenas pessoas autorizadas tenham acesso a determinadas
áreas ou recursos, protegendo contra invasões, roubo e outras ameaças.
Além disso, esses sistemas permitem um controle mais eficiente e preciso
sobre quem entra e sai de um local, o que é crucial para a segurança e o
gerenciamento de visitantes em ambientes comerciais, industriais e
residenciais.

Ataque de Dicionário
Um ataque de dicionário é uma forma de ataque de força bruta que tenta
adivinhar uma senha ou chave de acesso ao usar uma lista de palavras
comuns, nomes ou combinações de caracteres. Esse tipo de ataque é eficaz
contra senhas fracas e simples, pois testa cada palavra da lista em
sequência até encontrar a senha correta.
Para mitigar um ataque de dicionário, é importante utilizar senhas fortes
e complexas, que não estejam facilmente disponíveis em listas comuns.
Além disso, é recomendável implementar medidas como bloqueio de contas
após várias tentativas de login falhadas, uso de autenticação multifatorial e
monitoramento de tentativas de acesso suspeitas. Essas medidas podem
ajudar a reduzir o risco de sucesso de um ataque de dicionário.
Ex: Um hacker tenta acessar uma conta de e-mail usando uma lista de
senhas comuns, como “password123” ou “1233456”.
Para se proteger, o usuário pode usar uma senha forte e única, como
“P@ssw0rd!2024”, que não esteja em listas comuns de palavras.

Ataque de Força Bruta

Um ataque de força bruta é um método de tentativa e erro usado para
quebrar uma senha ou chave de criptografia através da tentativa sistemática
de todas as possíveis combinações até encontrar a correta. Esse tipo de
ataque pode ser utilizado em sistemas de login, criptografia de arquivos ou
qualquer outro sistema protegido por senha.
Ex: Um ataque de força bruta em um sistema de login envolve tentar todas
as combinações possíveis de caracteres (letras, números, símbolos) até
encontrar a senha correta para acessar uma conta.
 Esse método é eficaz contra senhas fracas, mas pode levar muito tempo
para quebrar senhas complexas devido ao grande número de combinações
possíveis.

Engenharia Social

A engenharia social é uma técnica utilizada para manipular pessoas e obter

informações confidenciais ou acesso a sistemas de computador. Em vez de
explorar vulnerabilidades técnicas, a engenharia social explora as fraquezas
psicológicas das pessoas, como curiosidade, medo ou confiança, para obter
o que desejam.
Ex: Um atacante pode ligar para um funcionário de uma empresa, se
passando por um colega de trabalho, e solicitar informações confidenciais
sob um pretexto falso; ou então, pode enviar um e-mail de phishing com um
link malicioso, fingindo ser de uma fonte confiável, para que a vítima clique
no link e revele informações sensíveis.

Ex2: Dumpster Diving; o atacante procura por informações sensíveis em

lixeiras ou depósitos de reciclagem, como documentos descartados com
senhas ou informações de conta.

Spoofing

Spoofing é uma técnica em que um indivíduo ou programa falsifica

informações para se passar por outra pessoa, empresa ou sistema. Pode
ser usado de várias maneiras para enganar ou manipular os destinatários.
Ex:
 1. E-mail Spoofing: um remetente falsifica o endereço de e-mail para
parecer que está vindo de outra pessoa ou empresa, muitas vezes
para enviar phishing ou malware.
2. Caller ID Spoofing: o número de telefone exibido no identificador de
chamadas é falsificado para parecer que está vindo de um número
diferente, muitas vezes usado em golpes telefônicos.
3. IP Spoofing: o endereço IP de origem em um pacote de dados é
falsificado para mascarar a identidade do remetente ou para
contornar medidas de segurança.
4. Website Spoofing: um site é falsificado para se parecer com um site
legítimo, muitas vezes usado em ataques de phishing para enganar
os usuários a divulgar informações pessoais.

Vantagens do Spoofing

1. Segurança de rede: em testes de segurança, o spoofing pode ser

usado para verificar a resiliência de uma rede contra ataques de
falsificação de endereço IP ou MAC.
2. Anonimato: em certos casos, o spoofing pode ser usado para
ocultar a identidade de um remetente, tornando mais difícil rastrear a
origem de uma comunicação.
3. Acesso a recursos restritos: em ambientes controlados, como
redes corporativas, o spoofing pode ser usado para acessar recursos
que normalmente seriam restritos certos endereços IP ou
dispositivos.
4. Controle de acesso: em cenários de segurança cibernética, o
spoofing pode ser usado para contornar medidas de autenticação e
obter acesso não autorizado a sistemas ou dados.

Desvantagens
 1. Risco de segurança: o spoofing pode ser usado para enganar
sistemas de segurança, permitindo acesso não autorizado a redes,
sistemas e dados sensíveis.
2. Violação de privacidade: o spoofing pode comprometer a
privacidade das informações, permitindo que terceiros interceptem
comunicações ou coletem dados pessoais.
3. Potencial para atividades maliciosas: o spoofing é frequentemente
usado em atividades maliciosas, como phishing, fraude, espionagem
e ataques cibernéticos, representando uma ameaça significativa para
indivíduos e organizações.
4. Danos à reputação: se uma organização for vítima de spoofing e
seus sistemas forem usados para atividades maliciosas, isso pode
resultar em danos à reputação e perda de confiança por parte dos
clientes e parceiros comerciais.
5. Consequências legais: o uso indevido de spoofing pode violar leis
de privacidade, segurança cibernética e proteção de dados,
sujeitando os perpetradores a ações legais e penalidades severas.

Medidas de prevenção contra spoofing

- Autenticação robusta: use métodos de autenticação seguros, como

autenticação de dois fatores (2FA) ou autenticação multifatorial (MFA).
- Criptografia: utilize criptografia forte para proteger dados sensíveis em
trânsito e em repouso.
- Monitoramente de tráfego: monitore o tráfego de rede em busca de
padrões suspeitos que possam indicar atividade de spoofing.
- Atualizações de segurança: mantenha seu software, sistemas
operacionais e aplicativos atualizados para corrigir vulnerabilidades
conhecidas.
- Firewalls: implemente firewalls de rede para filtrar e bloquear tráfego.
 Phishing

Phishing é uma forma de fraude online em que criminosos tentam obter

informações confidenciais, como senhas, números de cartão de crédito ou
informações pessoais, ao se passarem por uma entidade confiável. Isso
geralmente é feito por e-mail, mensagens de texto, redes sociais ou sites
falsos que se assemelham a empresas legítimas. O objetivo é enganar as
pessoas para que forneçam suas informações voluntariamente, que serão
então usadas para roubo de identidade, fraudes financeiras a contas.
Ex:
1. E-mail de Phishing: um e-mail falso que parece ser de um banco
solicita que o destinatário clique em um link e insira suas
informações de login, que são então capturadas pelo fraudador.
2. SMS de Phishing: uma mensagem de texto falsa informa ao
destinatário que ele ganhou um prêmio e solicita informações
pessoais ou pagamento de taxas para resgatá-lo.
3. Phishing de Redes Sociais: uma mensagem falsa em uma rede
social solicita que o usuário clique em um link e faça login, mas na
verdade direciona para um site falso que rouba as credenciais de
login.
4. Phishing por Telefone: um golpista liga para a vítima fingindo ser de
uma empresa legítima e solicita informações pessoais ou de
pagamento.

Vantagens do phishing

1. Obtenção de informações confidenciais: o phishing pode permitir

que os criminosos obtenham informações valiosas, como credenciais
 de login, que podem ser usadas para acessar contas bancárias,
contas de e-mail, sistemas corporativos e outros recursos sensíveis.
2. Lucro financeiro: os criminosos podem lucrar financeiramente com o
phishing, vendendo informações confidenciais no mercado negro,
realizando fraudes financeiras, roubando identidades ou extorquindo
dinheiro das vítimas.
3. Acesso não autorizado a sistemas: o phishing pode fornecer aos
criminosos acesso não autorizado a sistemas e redes corporativas,
permitindo que eles coletem informações adicionais, distribuam
malware ou realizem outras atividades maliciosas.
4. Disseminação de malwere: em muitos casos, os ataques de phishing
são usados como vetores para distribuir malware, como ransomware,
spyware ou keyloggers, que podem ser usados para comprometer
ainda mais os sistemas das vítimas.

Desvantagens

1. Roubo de identidade: as vítimas de phishing podem ter suas

informações pessoais e confidenciais, como nomes de usuário,
senhas, números de cartão de crédito e informações bancárias,
roubadas e usadas para cometer fraudes ou roubo de identidade.
2. Perda financeira: muitas vezes, o phishing é usado para enganar as
vítimas a divulgar informações financeiras, levando a perdas
monetárias diretas, como roubo de fundos de contas bancárias ou uso
não autorizado de cartões de crédito.
3. Danos à reputação: se informações confidenciais, como credenciais
de login ou dados pessoais, forem comprometidas como resultado de
um ataque de phishing, a vítima pode sofrer danos à reputação
pessoal ou profissional, especialmente se os dados forem usados para
realizar atividades fraudulentas em seu nome.
4. Disseminação de malware: muitos ataques de phishing são
acompanhados pelo envio de links ou anexos maliciosos que, quando
abertos, podem infectar o dispositivo da vítima com malware,
comprometendo sua segurança e privacidade.
 5. Prejuízos para empresas: o phishing pode causar danos
significativos a empresas e organizações, incluindo perda de dados
sensíveis, interrupção das operações comerciais, custos de reparação
de segurança cibernética e danos à reputação da empresa.
6. Ameaças à segurança cibernética: o sucesso contínuo de ataques
de phishing pode minar a confiança nas comunicações eletrônicas
legítimas e enfraquecer a postura de segurança cibernética de
indivíduos, empresas e organizações em geral.

Como identificar um ataque de phishing

Identificar um ataque phishing nem sempre é fácil, mas existem algumas

dicas que podem ajudar a reconhecer e evitar esse tipo de golpe.
Algumas práticas são:
- Desconfiar de mensagens que parecem muito boas ou muito ruins para
ser verdade, como prêmios milionários, ofertas imperdíveis ou ameaças de
bloqueio de contas;
- Observar o remetente e o destinatário do e-mail ou da mensagem, e
ver se eles correspondem à pessoa ou organização que dizem representar;
- Identificar se há erros de ortografia, gramática ou formatação na
mensagem, pois isso pode indicar que ela não foi escrita por um profissional.

Medidas de prevenção contra o phishing

 - Educação do usuário: treine os usuários para reconhecer sinais de
phishing, como URLs suspeitas, erros gramaticais e solicitações de
informações confidenciais por e-mail.
- Verificação de remetentes: sempre verifique o endereço de e-mail do
remetente e examine cuidadosamente o conteúdo do e-mail antes de clicar
em links ou fornecer informações pessoais.
- Autenticação de e-mail: implemente tecnologias como SPF, DKIM e
DMARC para ajudar a autenticar e-mails legítimos e identificar e-mails falsos
- Firewalls e software de segurança: mantenha firewalls e software de
segurança atualizados para bloquear sites de phishing conhecidos e
detectar atividades suspeitas.
- Políticas de segurança: estabeleça políticas claras de segurança
cibernética e oriente os usuários sobre práticas seguras de navegação de
internet e de proteção de informações pessoais.

Conclusão
 Os sistemas de controle de acesso desempenham um papel fundamental
na proteção de recursos e dados sensíveis contra acesso não autorizado.
Ao implementar medidas como autenticação multifatorial, autorização
granular e monitoramento contínuo, as organizações podem fortalecer sua
postura de segurança cibernética e garantir o cumprimento das
regulamentações de proteção de dados. Embora nenhum sistema seja
infalível, a integração de tecnologias emergentes e a educação dos usuários
são cruciais para uma defesa eficaz contra ameaças internas e externas.
Em resumo, os sistemas de controle de acesso são uma parte vital da
estratégia de segurança cibernética, garantindo uma proteção robusta
contra violações de segurança.