Академический Документы
Профессиональный Документы
Культура Документы
UNOPAR
Segurana da
informao
Segurana da informao
Erika Coachman
ISBN 978-85-7605-832-8
CL ML LB LLB
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-1
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-2
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-3
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-4
CDD658.47207
ndices para catlogo sistemtico:
2010
Direitos exclusivos para lngua portuguesa cedidos
Pearson Education do Brasil, uma empresa do grupo Pearson Education
Rua Nelson Francisco, 26
CEP: 02712100 So Paulo SP
Tel.: (11) 21788686, Fax: (11) 21788688
email: vendas@pearsoned.com
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-5
Sumrio
Seo 2
Seo 2
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-6
vi
Segurana da informao
Seo 1
Seo 2
Seo 2
Seo 2
Sugestes de leitura......................................................179
Referncias...................................................................181
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-7
Carta ao aluno
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-8
viii
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-9
Apresentao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-10
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-11
Unidade 1
A (in)segurana
da informao
Objetivos de aprendizagem: durante a leitura desta unidade, voc vai
conhecer o processo de evoluo histrica do conceito de informa
o que culminou com o advento da globalizao, marco histrico
que atribuiu um papel principal s trocas econmicas, polticas e
sociais em escala mundial. Voc tambm ser capaz de entender
as condies que provocaram o desenvolvimento das tecnologias
da informao que visam facilitar seu intercmbio e protegla da
ao de criminosos.
Seo 1:
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-12
Segurana da informao
Seo 2:
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-13
A (in)segurana da informao 3
Introduo ao estudo
Embora o significado do termo informao seja controverso, poss
vel verificar que comunicao uma das palavras mais frequentemente
empregadas na busca por uma definio abrangente e satisfatria.
comum acreditar que a aproximao dos dois conceitos esteja ligada
ao carter dinmico que a informao vem assumindo na sociedade
contempornea. Sua importncia no se limita mais a disciplinas como
a arquivologia, a biblioteconomia e a diplomacia. Apesar do destaque
indiscutvel da informao nessas reas tradicionais, as fronteiras rgidas
das disciplinas no comportam hoje em dia o carter diversificado das
atividades relacionadas informao. inevitvel, portanto, a expanso
desse conceito para outros domnios.
Contudo, seria um erro ignorar que, embora a expresso sociedade da
informao designe um fenmeno contemporneo, a informao jamais
deixou de desempenhar uma funo central nos mais diversos segmentos
cientficos, sociais, polticos e econmicos. Mesmo h milhares de anos j
era possvel identificar sua importncia. Para ilustrar o papel diversificado
da informao desde os tempos mais remotos, sugerimos aqui um paralelo
com Hermes, um deus bastante peculiar da mitologia grega.
O nome Hermes de definio to controversa quanto o significado
de informao. Alguns tericos sustentam que ele deriva da palavra
hermeneus que, por sua vez, significa intrprete. Porm, as funes do
deus Hermes ultrapassavam as atribuies de um simples intrprete. Ao
pensarmos nesse deus grego, importante lembrarmos que ele era um dos
deuses mais ativos do Olimpo, exercendo tarefas das mais diversas. Sua
atuao pertencia ao domnio da linguagem, abrangendo a interpretao
e a transmisso de mensagens dos deuses sob a forma de sonhos. Por
isso mesmo, era considerado o deus de vrias atividades que dependiam
principalmente da comunicao verbal. Entre elas, destacavamse o
comrcio, a diplomacia, as trocas socioeconmicas e as viagens. Cabia
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-14
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-15
A (in)segurana da informao 5
Seo 1
importncia da informao
A
no curso das mudanas
histricas
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-16
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-17
A (in)segurana da informao 7
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-18
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-19
A (in)segurana da informao 9
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-20
10
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-21
a (in)segurana da informao
11
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-22
12
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-23
a (in)segurana da informao
13
clientes. Que informao deveria ser alvo de maior proteo por parte
da empresa: o projeto do seu mais novo lanamento ou a sua lista de
fornecedores? Sem dvida, em ambos os casos preciso tomar cautela e
proteger adequadamente as informaes. Porm, a empresa no deveria
titubear ao concentrar grandes esforos na segurana do sigilo acerca de
seu lanamento. Tal deciso seria baseada no critrio de hierarquia, pois
se entende que a segurana de alguns dados mais vital para a empresa
do que a de outros.
No toa que hoje em dia h diversas empresas especializadas em
segurana da informao. Alm do desenvolvimento de sistemas que
protegem de modo eficaz a produo e a transmisso dos dados, outro
servio comumente oferecido diz respeito categorizao da informao.
Durante esse processo de classificao, a empresa contratada providencia
a identificao dos nveis de importncia que cada conjunto de dados tem
para a empresa. Com base nas anlises desenvolvidas, so estabelecidos
critrios para acesso diferenciado s diversas informaes, evitando que
dados sigilosos caiam em mos erradas.
De acordo com Nakamura e Geus (2007), especialistas em segurana
da informao, um dos maiores erros que uma instituio pode cometer
negligenciar a categorizao dos seus dados. Para evitar que as organi
zaes sejam expostas a riscos desnecessrios, ele sugere uma primeira
classificao das informaes em funo de quatro aspectos fundamen
tais. Tais aspectos nada mais so do que elementos que devem caracterizar
as informaes de uma empresa saudvel. So eles: confidencialidade,
integridade, disponibilidade e reteno.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-24
14
Segurana da informao
1.3.1Confidencialidade
O primeiro aspecto apontado por Nakamura e Geus (2007) corres
ponde a um princpio bsico da manuteno de sigilo. Eles alertam que os
funcionrios no devem revelar uma informao secreta a qualquer pessoa,
sistema, entidade ou rgo no credenciado. Embora esta regra parea um
tanto bvia, comum observar casos em que informaes confidenciais
foram amplamente disseminadas, comprometendo, por vezes, os negcios
da empresa. Esse exemplo ilustra com clareza o alto potencial destrutivo
da quebra de confidencialidade. No entanto, no devemos ser radicais: h
informaes cujo teor exige maior sigilo, mas h outras cuja divulgao
pode ser feita sem causar problemas empresa. Alis, em alguns casos,
recomendvel manter a transparncia, divulgando amplamente determi
nadas informaes. A fim de hierarquizar o grau de confidencialidade dos
dados, Nakamura e Geus (2007) sugerem algumas classificaes:
Graus de
confidencialidade
Definio
Exemplo
Confidencial
Restrita
As informaes res
tritas s devem ser
manuseadas por
pessoas competentes,
previamente autoriza
das. Sua divulgao
tambm compromete
os negcios da em
presa.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-25
A ( i n ) s e g u r a n a d a i n f o r m a o 15
(continuao)
Interna
Constituem informa
es internas cujo
teor deve ser usado
exclusivamente no in
terior da empresa. O
acesso a informaes
internas pode causar
uma srie de danos,
provocando prejuzos
financeiros ou mesmo
danificando a imagem
da empresa perante o
pblico.
Pblica
1.3.2 Integridade
A segunda categoria proposta por Nakamura e Geus (2007) estabelece
o princpio de que a informao no deve ser alterada, corrompida ou
mesmo destruda durante seu processo de transmisso e armazenamento.
Porm, a importncia da integridade de uma informao pode variar. Em
alguns casos, imprescindvel que os dados no tenham sido modificados,
pois a mais simples alterao colocaria em risco a sobrevivncia de uma
empresa. J em outras situaes, possveis modificaes da informao
original no provocariam danos to graves. Por isso, Nakamura e Geus
(2007) sugere trs classificaes diferentes dependendo da importncia
que a integridade dos dados tem.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-26
16
Segurana da informao
Graus de
importncia da
integridade da
informao
Descrio
Exemplo
Vital
Esta categoria en
globa a informao
cujo teor original
deve ser preservado
a fim de no prejudi
car os negcios.
Relevante
Normal
Nesta categoria se
encaixam as infor
maes que no
exigem um controle
severo por parte da
empresa. Caso elas
sejam corrompidas,
no haver impactos
severos sobre as ati
vidades da empresa.
1.3.3Disponibilidade
A disponibilidade uma propriedade importante da informao, pois
garante que seu acesso e uso pelas pessoas ou empresas sero possveis
no momento em que desejarem. claro que h determinados tipos de
informao que demandam uma ateno especial. Existem dados, por
exemplo, que devem estar acessveis 24 horas por dia, pois poucos mi
nutos de indisponibilidade de certas informaes podem causar prejuzos
expressivos. Imagine, portanto, a situao de um banco com milhares de
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-27
A ( i n ) s e g u r a n a d a i n f o r m a o 17
1.3.4Reteno
O ciclo de vida til de uma informao no muito diferente da traje
tria do homem. Os dados nascem, crescem, amadurecem, envelhecem
e morrem. Por isso, devemos cuidar tanto da criao e preservao da
informao quanto do seu descarte. O acmulo desnecessrio de informa
es velhas, bem como falhas no armazenamento de dados importantes,
constituem erros fatais de organizao de uma empresa.
Tomemos como exemplo uma instituio com contratos envolvendo
grandes somas. Agora, tente imaginar o que aconteceria se um dos ad
ministradores responsveis pela reteno da informao descartasse o
documento em que esto explcitas as clusulas e condies do contrato
antes de sua expirao. Para piorar, suponha que a empresa contratada
tenha passado a violar as normas estabelecidas no contrato, se negando
a executar o servio da forma combinada. Sem dvidas, se a empresa
prejudicada tentasse recorrer Justia, seria indispensvel ter uma prova
documental. No caso de eliminao precoce do contrato, no haveria
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-28
18
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-29
A ( i n ) s e g u r a n a d a i n f o r m a o 19
Seo 2
(in)segurana da
A
informao e os crimes
virtuais
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-30
20
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-31
A ( i n ) s e g u r a n a d a i n f o r m a o 21
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-32
22
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-33
A ( i n ) s e g u r a n a d a i n f o r m a o 23
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-34
24
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-35
A ( i n ) s e g u r a n a d a i n f o r m a o 25
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-36
26
Segurana da informao
Links
No link abaixo voc encontrar
os princpios que orientam a
segurana da informao no
mbito do governo federal.
Alm de conceitos que voc
estudar nesta unidade, so
apresentados alguns critrios
bsicos para proteo dos da
dos do cidado que ficam sob
custdia do governo.
<http://www.redegoverno.gov.
br/eventos/arquivos/Mod_Seg_
Inf.pdf>.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-37
A ( i n ) s e g u r a n a d a i n f o r m a o 27
Aprofundando o conhecimento
Os avanos tecnolgicos chegaram para ficar. O problema
que eles no chegaram sozinhos. A informatizao de inmeros
setores da sociedade trouxe no apenas agilidade e conforto, mas
tambm um conjunto de ameaas que advm da nossa crescente
dependncia da tecnologia. Felizmente, algumas empresas j esto
dando um rumo seguro aos seus negcios na era digital.Veja no
texto a seguir, de Oliveira (2007, p.144146), como o Brasil se
insere nesse novo cenrio.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-38
28
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-39
A ( i n ) s e g u r a n a d a i n f o r m a o 29
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-40
30
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-41
A ( i n ) s e g u r a n a d a i n f o r m a o 31
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-42
32
Segurana da informao
Resumo
Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. Empresas e Estados precisam rever suas despesas urgentemente,
adotando uma poltica de conteno de gastos. Para tanto, reduzir
os custos com segurana da informao contribuir para um de
senvolvimento mais saudvel dos negcios, viabilizando um maior
investimento de capital para fins mais lucrativos. ( )
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-43
A ( i n ) s e g u r a n a d a i n f o r m a o 33
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-44
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-45
Unidade 2
A segurana da
informao: tendncias e
desaos contemporneos
Objetivos de aprendizagem: as novas tecnologias da informao
vieram para ficar. E, junto com elas, um conjunto de novos viles e
ameaas desafiam os sistemas de segurana, mudando diariamente
suas estratgias de invaso. Na Unidade 2, voc aprender mais
sobre as ferramentas tecnolgicas que revolucionaram o mercado,
prometendo garantir o trfego e armazenamento seguro dos dados.
Sero apresentados tambm alguns critrios que devem orientar a
escolha das ferramentas mais adequadas em diferentes situaes.
Seo 1:
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-46
36
Segurana da informao
Seo 2:
A segunda seo desta unidade aprofunda o debate iniciado na Seo 1. Durante a leitura, voc
vai conhecer as limitaes que tornaram os moldes
tradicionais em ferramentas incapazes de proteger
os dados. Por fim, alternativas como a integrao
das funes em um nico dispositivo e a terceirizao da gesto so indicadas como algumas
solues possveis para o problema da insegurana
da informao.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-47
A s e g u r a n a d a i n f o r m a o . . . 37
Introduo ao estudo
Aprendemos na Unidade 1 que a informao tem adquirido um valor
estratgico nos ltimos anos. No toa que muitos indivduos, empresas
e Estados tm despertado para a importncia de proteger seus dados ade
quadamente. Isto se deve a modificaes socioeconmicas profundas que
tornaram a informao um pontochave da sociedade contempornea.
Tais mudanas no ocorreram de uma hora para outra: elas atraves
saram milhares de anos, sofrendo uma forte acelerao do seu ritmo no
sculo XX. Essas transformaes ainda trouxeram consigo uma reformu
lao do conceito de poder. Pense no conceito de poder no passado.
Quais eram os homens mais poderosos? Possivelmente, voc pensou em
grandes imperadores. Muitos deles, acompanhados de grandes exrcitos,
conquistaram novos territrios e venceram guerras sangrentas. Como
podemos ver, antigamente o poder era medido pela fora, pelo tamanho
do exrcito e pelas conquistas feitas por meio da espada. Os homens te
midos eram, portanto, aqueles dotados de msculos mais fortes e melhor
desempenho no campo de batalha.
Hoje em dia, embora a posse de armas e exrcitos tambm seja
importante, o poder no mais alcanado simplesmente pelo uso de
msculos. Basta pensarmos nos homens poderosos e ricos do sculo XXI
para comprovar essa mudana. Bill Gates, por exemplo, foi o homem
mais rico do mundo por muitos anos. Certamente, a conquista dessa po
sio no foi feita atravs da fora, mas sim por meio do conhecimento.
Ele revolucionou o campo da informtica, desenvolvendo tecnologias
inovadoras na gigante Microsoft. Em 2010, Carlos Slim, empresrio me
xicano do ramo das telecomunicaes, assumiu a liderana da lista dos
homens mais ricos do mundo, com uma fortuna que ultrapassa a marca
dos 50 bilhes. interessante reparar que tanto Bill Gates quanto Carlos
Slim atuam no ramo das tecnologias ligadas transmisso e ao armaze
namento de informaes, o que ilustra bem o prestgio que o setor tem
no mundo de hoje. Em primeiro lugar, a riqueza de ambos bilionrios
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-48
38
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-49
A s e g u r a n a d a i n f o r m a o . . . 39
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-50
40
Segurana da informao
ainda no fazia parte do dia a dia das pessoas, e ainda suscitava fortes
suspeitas. O receio era compreensvel tratavase de confiar a uma
mquina tarefas at ento desempenhadas pelo homem. Podemos ver
que, com o passar do tempo, os computadores mostraramse muito mais
confiveis do que o homem, diminuindo consideravelmente a margem de
erro. No entanto, os desafios passaram a ser outros: proteger a informao
dos ataques da pirataria virtual.
Para tornar esse cenrio ainda mais complicado, o uso de dinheiro de
plstico (cartes de dbito e crdito) tem tido um aumento considervel
em compras online. H quem diga que os tales de cheque e o dinheiro
em papel e moeda j esto com os dias contados. Os benefcios das
transaes virtuais so inmeros, reduzindo os gastos da empresa com o
quadro de funcionrios, bem como as filas e o tempo de espera dos
clientes. No entanto, todas as vantagens deste sistema caem por terra
quando a transferncia de dados e valores no capaz de oferecer segu
rana absoluta.
Essas novas prticas tambm esto em sintonia com formas mais re
centes de prestao de servios, como
o outsourcing e o offshoring. A primeira
Saiba mais
consiste em terceirizar uma tarefa. A
segunda, por sua vez, ocorre quando
A pirataria virtual integra a lista
das maiores preocupaes das
uma empresa localiza uma determinada
organizaes que buscam cons
etapa do seu processo em outro pas.
truir sites seguros. Apesar dos
Pense, por exemplo, em uma monta
altos investimentos, hoje em dia
dora americana de carros que realoca
j virou rotina encontrar notcias
a produo de certas peas no Brasil
sobre vazamentos de informa
por questes como mo de obra barata,
o. Acesse o link abaixo e saiba
presena de matriaprima abundante e
o que aconteceu com a rede
leis ambientais mais flexveis. Em ambos
social Facebook:
os casos, a descentralizao dos servi
<http://www1.folha.uol.
com.br/folha/informatica/
os ou da produo impe uma intensa
ult124u725047.shtml>.
troca de dados online.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-51
a segurana da informao...
41
Seo 1
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-52
42
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-53
A s e g u r a n a d a i n f o r m a o . . . 43
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-54
44
Segurana da informao
1.2.1Firewall
O firewall uma importante medida de segurana que tem por obje
tivo controlar o fluxo de informao entre redes. Ele serve, por exemplo,
para regular o trfego de dados de uma rede ligada Internet, evitando
os efeitos nocivos que a ao desprecavida de alguns usurios pode pro
vocar. Alm disso, ele busca impedir o acesso no credenciado rede,
protegendoa de possveis invasores. O prprio nome ilustra bem a fun
o do firewall da mesma forma que uma parede cortafogo impede
o alastramento de incndios, o firewall computacional funciona como
uma barreira para as ameaas virtuais.
A instalao de um firewall pode ser feita com hardwares ou softwares.
H tambm firewalls mistos, que combinam ambos os tipos para um
controle mais intensivo das trocas. A funo desse dispositivo consiste
basicamente em rotear a comunicao, avaliando que mensagens, pro
gramas ou arquivos so seguros, podendo autorizar ou no seu trnsito.
Caractersticas como endereo de IP de origem e destino, bem como
o tamanho e o tipo dos dados, so alguns dos critrios utilizados para
restringir o fluxo da informao entre as redes.
Todo firewall deve ser configurado de acordo com o nvel de segurana
adequado s necessidades da empresa. preciso, por exemplo, estipular
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-55
a segurana da informao...
45
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-56
46
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-57
A s e g u r a n a d a i n f o r m a o . . . 47
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-58
48
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-59
a segurana da informao...
49
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-60
50
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-61
A s e g u r a n a d a i n f o r m a o . . . 51
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-62
52
Segurana da informao
ataque que est prestes a ocorrer por uma porta que o firewall no clas
sificou como perigosa. Nesse caso, o ataque ser concretizado porque o
firewall no foi capaz de entender o que ocorria por trs da tentativa de
intruso. Isso ocorre porque o seu funcionamento mecnico demais,
cruzando os braos diante de ameaas desconhecidas.
J o IDS um sistema bem mais esperto. Ele consegue identificar
o que est acontecendo do lado de fora da rede, mesmo que o ataque
esteja sendo articulado a partir de um IP que o firewall identifica como
inofensivo. E as vantagens no param por a: o IDS funciona como um
espio, fornecendo informaes sobre como a intruso organizada.
Logo, no por acaso que os especialistas em segurana da informao
Nakamura e Geus (2007) veem o IDS como um componente indispensvel
em ambientes cooperativos.
Por causa das diferentes necessidades dos sistemas de segurana,
foram desenvolvidos dois tipos principais de IDS: um deles conhecido
como networkbased intrusion detection system (NIDS), ao passo que o
outro se chama hostbased intrusion detection system (HIDS).
A especialidade do HIDS a proteo de apenas um host, ou seja,
de uma nica mquina. Por esse motivo, no consegue analisar o trfego
de pacotes espalhados pela rede. Ou seja, ele s pode se responsabilizar
pela entrada e sada de dados da mquina onde atua. O NIDS, por sua
vez, capaz de proteger todo o segmento de rede onde instalado. Por
isso, escolher onde posicionlo uma deciso importante, que deve se
basear em questes estratgicas. O NIDS formado por dois componentes
principais. Os sensores ou sondas so os mecanismos que permitem o
monitoramento da circulao de pacotes no segmento de rede protegido.
Eles lanam mo de um banco de dados sobre invasores conhecidos para
facilitar sua identificao imediata. J o gerenciador corresponde parte
do NIDs que articula a reao aos ataques. A resposta do gerenciador
solicitada mediante deteco de atividades suspeitas pelos sensores.
Logo, primordial que o gerenciador e os sensores sempre mantenham
um canal de comunicao disponvel. A fim de preservar essas trocas
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-63
A s e g u r a n a d a i n f o r m a o . . . 53
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-64
54
Segurana da informao
Outro ponto importante diz respeito ao que fazer com os dados pro
duzidos pelos sensores. Caso os critrios de segurana sejam exagerados,
o volume de informao coletado pelos IDS ser grande demais, dificul
tando o seu gerenciamento. A moderao um fator importante, para
que o sistema no emita alertas constantes sobre ameaas falsas. Dentre
os tipos de alertas disponveis, destacamse possibilidades sofisticadas
que incluem chamadas para celulares. Quando prconfigurado correta
mente, a reao do IDS pode ser rpida, bloqueando o IP envolvido com
a ameaa e suspendendo a conexo.
Apesar das vantagens listadas acima, no podemos nos esquecer que,
como qualquer outro sistema, esse dispositivo tambm tem seus pontos
fracos. Infelizmente, a maioria dos IDS ainda utiliza bancos de dados para
deteco de ameaas. Por isso, quando se deparam com ataques desco
nhecidos, muitos sistemas abrem as portas, julgandoos inofensivos.
Existe ainda o risco de sobrecarregar o sistema, uma vez que redes
muito ativas tendem a gerar muitos dados. Com isso, tornase complicado
detectar ameaas reais, j que elas se perdem em meio a um emaranhado
de informaes desnecessrias. J h crackers que se fazem valer dessa
fraqueza para invadir as redes com mais facilidade. s vezes, por exem
plo, eles lanam um ataque falso para distrair o sistema de segurana,
enquanto a ameaa real entra pela porta dos fundos.
Esses so alguns dos fatores que transformam o IDS em um sistema
complexo e, por vezes, caro. preciso, ento, manter em mente que os
custos envolvidos correspondem ao grau de segurana que a empresa
pretende implementar. Novamente, a classificao da informao tornase
uma ferramenta til, possibilitando que o nvel de proteo seja propor
cional importncia da integridade, confidencialidade e disponibilidade
dos dados.
possvel identificar ainda diferentes modalidades de IDS. De acordo
com o especialista Pinheiro (2007), existem dois tipos principais de meto
dologias usadas para deteco de ameaas. A primeira delas, conhecida
como knowledgebased intrusion detection ou misuse detection system,
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-65
a segurana da informao...
55
Caractersticas principais
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-66
56
Segurana da informao
(continuao)
Anomalia em padro de O foco de ateno do IDS se volta para questes rela
trfego
cionadas circulao de pacotes na rede. Esta cate
goria envolve anomalias como o volume das trocas,
no deixando de lado a anlise do remetente e do
destinatrio das importaes e exportaes de dados.
A deficincia dos sistemas que procuram este tipo
de anomalia que eles operam com base em estats
ticas. Por isso, ataques que usam variaes sutis do
padro de trfego podem passar impunes.
Anomalia em padro de O sistema que detecta anomalias deste tipo se dedica
protocolo
anlise de caractersticas dos protocolos. A vanta
gem desse modelo sua eficincia. Como os proto
colos restringem muito os moldes da circulao de
pacotes, eles so descritos em detalhes por um docu
mento de referncia, por exemplo. Sendo assim, cabe
ao IDS verificar se existe alguma divergncia entre
o modelo proposto para a comunicao e a forma
como ela est de fato ocorrendo.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-67
A s e g u r a n a d a i n f o r m a o . . . 57
Links
O especialista em segurana Altieres Rohr o criador do site Linha Defensiva,
onde voc encontra fruns para debate e inmeras dicas sobre como proteger
o seu PC. Alm disso, voc tambm pode utilizar as ferramentas do site para
remover vrus e outras pragas. No deixe de conferir as novidades do link abaixo:
<http://www.linhadefensiva.org/>.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-68
58
Segurana da informao
1.2.3Redes privadas
No poderamos abordar o tema da segurana nas trocas de informa
o sem discutir de forma mais aprofundada a funo das redes nesse
contexto. Para tanto, vamos fazer um pequeno passeio pela Histria, atra
vessando desde a primeira metade do sculo XX at os dias de hoje.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-69
A s e g u r a n a d a i n f o r m a o . . . 59
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-70
60
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-71
a segurana da informao...
61
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-72
62
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-73
a segurana da informao...
63
d) Autenticao
Embora tcnicas como tneis, criptografia e chave sejam indispens
veis, uma comunicao no pode ser classificada como segura s porque
o seu contedo foi protegido por elas. Por esse motivo, a autenticao foi
desenvolvida como um recurso responsvel por garantir outros aspectos
da segurana da informao, podendo verificar a identidade do usurio
e a procedncia dos pacotes. Podemos falar, ento, em autenticao dos
usurios e autenticao dos dados:
Tipo 1 Autenticao dos usurios: Imagine que duas empresas
esto utilizando redes privadas virtuais para prestar servios de as
sessoria tcnica. Como suas mensagens contm informaes sobre
tecnologias estratgicas, importante assegurar que o contedo da
mensagem permaneceu intocado durante seu transporte e garantir
que o remetente no um invasor, o que comprometeria o carter
confidencial do intercmbio de dados. Logo, quando a empresa X
recebe uma mensagem assinada pela empresa Y, ela busca rapida
mente se certificar de que o emissor dos dados realmente quem
ele diz ser. Para tanto, a empresa X faz um teste: ela manda uma
palavra criptografada para a empresa Y, sabendo que s a verdadeira
empresa Y tem a chave capaz de decodificar o contedo de sua
mensagem. Se a empresa Y realmente for autora da mensagem, ela
entender o recado de X e responder por meio de outra palavra
codificada que somente a empresa X consegue abrir. Finalizase
assim o ciclo de autenticao do usurio.
Tipo 2 Autenticao dos dados: Em primeiro lugar, o conceito de
hash fundamental para entendermos o processo de autenticao
dos dados. Ele funciona como a carteira de identidade de um dado,
comprovando sua autenticidade. Quando vamos mandar uma men
sagem com uma informao muito importante, devemos calcular o
seu valor de hash. Ao recebla, o destinatrio vai fazer suas contas
e comparar o hash do contedo recebido com aquele prescrito
pelo remetente. Caso os valores sejam divergentes, provvel que
deturpaes tenham ocorrido durante a transmisso de dados.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-74
64
Segurana da informao
1.2.4Antivrus e antispyware
O antivrus e o antispyware so softwares que defendem a mquina
de pragas digitais, como worms, vrus, cavalos de troia (trojan horses)
e spywares. Na Unidade 3, elas sero
apresentadas em detalhe, mas voc j
Para saber mais
pode conhecer aqui alguns dos danos
Em 2010, um antivrus da Mc
que elas provocam.
Affee enlouqueceu. Aps atua
Dentre os diversos efeitos nocivos,
lizao, o dispositivo de segu
destacamse o apagamento de arquivos,
rana destruiu um arquivo do
Windows porque o identificava
a corrupo de programas e, inclusive,
como vrus. Para piorar, o item
a utilizao da mquina infectada para
danificado era essencial para ini
contaminar outros computadores da rede.
ciar o sistema operacional, difi
Os spywares, por sua vez, podem mexer
cultando ainda mais o reparo.
na configurao da mquina, modificar a
pgina inicial do navegador, instalar componentes indesejados e at mesmo
detectar informaes confidenciais gravadas no seu computador. Eles so os
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-75
A s e g u r a n a d a i n f o r m a o . . . 65
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-76
66
Segurana da informao
1.2.5Antispam
Como a maioria das pessoas que utilizam o correio eletrnico, voc
tambm j deve ter ouvido falar em spam. O termo serve para designar,
por exemplo, aqueles emails indesejados que so enviados no apenas
para voc, mas para milhares de outros destinatrios. Os objetivos do
spam vo desde divulgao publicitria de produtos e servios a tentativas
malintencionadas de crackers.
A expresso spam zombies (zumbis de spam) tem a ver com o resultado
da ao maliciosa de vrus e spywares. Um computador pode se tornar um
zumbi quando passa a ser controlado pelo propagador do spam. Isso
ocorre em casos que o invasor consegue, entre outras coisas, disseminar
o spam a partir da mquina infectada, preservando sua identidade.
Alm de precaues simples como no fornecer o endereo de email
em qualquer cadastro online, importante acionar o servio antispam,
frequentemente oferecido pelo prprio provedor. Ele atua como um fil
tro, reduzindo consideravelmente o nmero de ameaas que chega at
o usurio.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-77
A s e g u r a n a d a i n f o r m a o . . . 67
Seo 2
ombinando tecnologias
C
em prol da segurana
computacional
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-78
68
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-79
A s e g u r a n a d a i n f o r m a o . . . 69
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-80
70
Segurana da informao
Benefcio
Consultoria
Instalao e
configurao dos
equipamentos de
segurana
Monitoramento
da rede
Realizao de
testes
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-81
A s e g u r a n a d a i n f o r m a o . . . 71
Aprofundando o conhecimento
Antigamente, a confidencialidade da informao no era um tema
to complexo. Bastava comprar um bom cofre ou contratar vigias. Com
o advento da Internet e a intensificao das trocas online, a segurana
passou a integrar a lista das principais preocupaes das grandes
empresas, como mostra o texto a seguir, de Stallings (2008, p.313).
1. Introduo
Os requisitos de segurana da informao dentro de uma organi
zao passaram por duas mudanas importantes nas ltimas dca
das. Antes do uso generalizado de equipamentos de processamento
de dados, a segurana da informao considerada valiosa para uma
organizao era fornecida principalmente por meios fsicos e admi
nistrativos. Um exemplo do primeiro o uso de robustos armrios
para arquivo com uma fechadura de segredo para armazenar docu
mentos confidenciais. Um exemplo do ltimo so os procedimentos
de seleo de pessoal usados durante o processo de contratao.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-82
72
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-83
A s e g u r a n a d a i n f o r m a o . . . 73
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-84
74
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-85
A s e g u r a n a d a i n f o r m a o . . . 75
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-86
76
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-87
a segurana da informao...
140.000
130.000
4500
4000
3500
120.000
110.000
3000
100.000
90.000
2500
80.000
70.000
2000
60.000
50.000
1500
40.000
1000
30.000
20.000
10.000
500
1995
1996
1997
1998
1999
2000
(a) Vulnerabilidades
2001
2002
2003
2004
1995
1996
relatadas
1997
1998
1999
(b) Incidentes
2000
2001
2002
2003
relatados
Conhecimento do intruso
Baixa
Conhecimento do intruso
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
F e:: CER
Font
CERT
77
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-88
78
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-89
a segurana da informao...
Ataques passivos
Os ataques passivos possuem a natureza de bisbilhotar ou
monitorar transmisses. O objetivo obter informaes que esto
79
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-90
80
Segurana da informao
Darth
L o contedo da mensagem
de Bob para Alice
Bob
Darth
Alice
Bob
Alice
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-91
A s e g u r a n a d a i n f o r m a o . . . 81
Ataques ativos
Ataques ativos envolvem alguma modificao do fluxo de dados
ou a criao de um fluxo falso e podem ser subdivididos em quatro
categorias: disfarce, repetio, modificao de mensagens e negao
de servio.
Um disfarce ocorre quando uma entidade finge ser uma entidade
diferente (Figura 1.4a). Um ataque de disfarce normalmente inclui
uma das outras formas de ataque ativo. Por exemplo, sequncias de
autenticao podem ser captadas e reproduzidas depois que houver
uma sequncia de autenticao vlida, permitindo assim que uma
entidade autorizada com poucos privilgios obtenha privilgios ex
tras, imitando uma entidade que tenha esses privilgios.
A repetio envolve a captura passiva de uma unidade de da
dos e sua subsequente retransmisso para produzir um efeito no
autorizado (Figura 1.4b).
A modificao de mensagens simplesmente significa que alguma
parte de uma mensagem legtima foi alterada ou que as mensagens
foram adiadas ou reordenadas para produzir um efeito no autorizado
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-92
82
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-93
A s e g u r a n a d a i n f o r m a o . . . 83
Mensagem de Darth
que parece ser de Bob
Darth
Bob
Alice
(a) Disfarce
Darth
Bob
Alice
(b) Repasse
Darth
Bob
Darth
Alice
Bob
Servidor
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-94
84
Segurana da informao
Autenticao
O servio de autenticao referese garantia de que uma comu
nicao autntica. No caso de uma nica mensagem, como uma
advertncia ou um sinal de alarme, a funo do servio de autenti
cao garantir ao destinatrio que a mensagem proveniente de
onde ela afirma ter vindo. No caso de uma interao de sada, como
a conexo de um terminal com um hospedeiro, dois aspectos esto
envolvidos. Primeiro, no momento do incio da conexo, o servio
garante que as duas entidades so autnticas, ou seja, que cada uma
a entidade que afirma ser. Segundo, o servio precisa garantir que
a conexo no sofra interferncia de modo que um terceiro possa
fingir ser uma das duas partes legtimas, para fins de transmisso
ou recepo no autorizada.
Dois servios de autenticao especficos so definidos na
X.800:
Autenticao da entidade par: Prov a confirmao da identidade
de uma entidade par de uma associao. O servio fornecido
para uso no estabelecimento de uma conexo ou, s vezes,
durante a fase de transferncia de dados. Ele tem a inteno
de garantir que uma entidade no est disfarada ou realizando
uma repetio no autorizada de uma conexo anterior.
Autenticao da origem de dados: Prov a confirmao da ori
gem de uma unidade de dados. No oferece proteo contra
a duplicao ou a modificao das unidades de dados. Esse
tipo de servio d suporte a aplicaes como correio eletrnico,
nas quais no existem interaes anteriores entre as entidades
que se comunicam.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-95
A s e g u r a n a d a i n f o r m a o . . . 85
IRRETRATABILIDADE
Oferece proteo contra negao, por parte de uma
das entidades envolvidas em uma comunicao, de ter
participado de toda ou parte da comunicao.
Irretratabilidade, Origem
Prova que a mensagem foi enviada pela parte especificada.
INTEGRIDADE DE DADOS
A garantia de que os dados recebidos esto exatamente como foram enviados por uma entidade autorizada
Irretratabilidade, Destino
Prova que a mensagem foi recebida pela parte especificada.
Controle de acesso
No contexto da segurana de redes, o controle de acesso a
capacidade de limitar e controlar o acesso aos sistemas e aplicaes
hospedeiras por meio de enlaces de comunicao. Para conseguir
isso, cada entidade precisa ser identificada antes de obter acesso,
ou autenticada, de modo que os direitos de acesso possam ser
ajustados ao indivduo.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-96
86
Segurana da informao
Confidencialidade de dados
Confidencialidade a proteo dos dados transmitidos contra
ataques passivos. Com relao ao contedo de uma transmisso de
dados, vrios nveis de proteo podem ser identificados. O servio
mais amplo protege todos os dados transmitidos entre dois usurios
por um perodo de tempo. Por exemplo, quando uma conexo TCP
estabelecida entre dois sistemas, essa ampla proteo impede a
divulgao de quaisquer dados do usurio transmitidos pela conexo
TCP. Formas mais estritas desse servio tambm podem ser defini
das, incluindo a proteo de uma nica mensagem ou at mesmo
campos especficos dentro de uma mensagem. Esses refinamentos
so menos teis do que a tcnica ampla e podem ainda ser mais
complexos e mais dispendiosos de implementar.
Outro aspecto da confidencialidade a proteo do fluxo de
trfego contra anlise. Isso exige que um atacante no consiga
observar a origem e o destino, a frequncia, o tamanho ou outras
caractersticas do trfego em um sistema de comunicao.
Integridade de dados
Assim como a confidencialidade, a integridade pode se aplicar a
um fluxo de mensagens, uma nica mensagem ou campos selecio
nados dentro de uma mensagem. Novamente, a tcnica mais til e
direta a proteo total do fluxo.
Um servio de integridade orientado conexo, que lida com
um fluxo de mensagens, garante que as mensagens so recebidas
conforme enviadas, sem duplicao, insero, modificao, reorde
nao ou repetio. A destruio dos dados tambm est includa
nesse servio. Assim, o servio de integridade orientada conexo
relacionase tanto modificao do fluxo de mensagens quanto
negao de servio. Por outro lado, um servio de integridade sem
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-97
A s e g u r a n a d a i n f o r m a o . . . 87
Irretratabilidade
A irretratabilidade impede que o emissor ou o receptor negue
uma mensagem transmitida. Assim, quando uma mensagem
enviada, o receptor pode provar que o emissor alegado de fato en
viou a mensagem. De modo semelhante, quando uma mensagem
recebida, o emissor pode provar que o receptor alegado de fato
recebeu a mensagem.
Servio de disponibilidade
Tanto a X.800 quanto a RFC 2828 definem a disponibilidade como
sendo a propriedade de um sistema ou de um recurso do sistema
ser acessvel e utilizvel sob demanda por uma entidade autorizada
do sistema, de acordo com especificaes de desempenho (ou seja,
um sistema estar disponvel se oferecer os servios de acordo com
o projeto do sistema sempre que os usurios os solicitarem). Diversos
ataques podem resultar na perda ou na reduo da disponibilidade.
Alguns desses ataques so favorveis a contramedidas automati
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-98
88
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-99
A s e g u r a n a d a i n f o r m a o . . . 89
MECANISMOS DE SEGURANA
ESPECFICOS
Podem ser incorporados camada de protocolo apropriada a fim de oferecer alguns dos servios de segurana OSI.
Cifragem
O uso de algoritmos matemticos para transformar os
dados em um formato que no seja prontamente decifrvel. A transformao e subseqente recuperao dos
dados depende de um algoritmo e zero ou mais chaves de
criptografia.
Certificao
O uso de uma terceira entidade confivel para garantir
certas propriedades de uma troca de dados.
MECANISMOS DE SEGURANA PERVASIVOS
Mecanismos que no so especficos a qualquer servio de
segurana OSI ou camada de protocolo especfica.
Assinatura digital
Dados anexados a (ou uma transformao criptogrfica de)
uma unidade de dados que permite que um destinatrio da
unidade de dados comprove a origem e a integridade da unidade de dados e proteja-se contra falsificao (por exemplo,
pelo destinatrio).
Funcionalidade confivel
Aquela que considerada como sendo correta em relao
a alguns critrios (por exemplo, conforme estabelecido por
uma poltica de segurana).
Rtulo de segurana
A marcao vinculada a um recurso (que pode ser uma
unidade de dados) que nomeia ou designa os atributos de
segurana desse recurso.
Controle de acesso
Uma srie de mecanismos que impem direitos de acesso
aos recursos.
Integridade de dados
Uma srie de mecanismos utilizados para garantir a integridade de uma unidade de dados ou fluxo de unidades de
dados.
Deteco de evento
Deteco de eventos relevantes segurana.
Registros de auditoria de segurana
Dados coletados e potencialmente utilizados para facilitar
uma auditoria de segurana, que uma reviso e exame
independentes dos registros e atividades do sistema.
Recuperao de segurana
Lida com solicitaes de mecanismos, como funes de
tratamento e gerenciamento de eventos, e toma medidas
de recuperao.
Preenchimento de trfego
A insero de bits nas lacunas de um fluxo de dados para
frustrar as tentativas de anlise de trfego.
Integridade Troca de
Preenchimento Controle de Notaride dado s info rma e s
de trfe go
ro te ame nto zao
S
S
S
S
S
S
S
S
S
S
S
S
S
S
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-100
90
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-101
A s e g u r a n a d a i n f o r m a o . . . 91
Canal de
informao
Destinatrio
Transformao
relacionada a
segurana
Mensagem
Transformao
relacionada
segurana
Mensagem
segura
Mensagem
Emissor
Mensagem
segura
Informao
secreta
Informao
secreta
Oponente
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-102
92
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-103
A s e g u r a n a d a i n f o r m a o . . . 93
Sistema de informaes
Recursos de computao
(processador, memria, E/S)
Oponente
humano (por exemplo, hacker)
Dados
Processos
Canal de acesso
Funo de
portaria
Software
Controles de segurana internos
Notas
1. Usamos o termo interrede para nos refe
rirmos a qualquer conjunto de redes inter
conectadas. Uma intranet corporativa um
exemplo de uma interrede. A Internet pode
ser um dos recursos usados por uma organi
zao para construir sua interrede.
2. International Telecommunication Union (ITU)
Telecommunication Standardization Sector
(ITUT) uma agncia patrocinada pelas
Naes Unidas que desenvolve padres, cha
mados de recomendaes, relacionados a
telecomunicaes e Open Systems Intercon
nection (OSI).
3. A arquitetura de segurana OSI foi de
senvolvida no contexto da arquitetura de
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-104
94
Segurana da informao
Resumo
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-105
A s e g u r a n a d a i n f o r m a o . . . 95
Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. Sem dvida, a terceirizao o melhor caminho para as organiza
es, uma vez que as empresas contratadas tomam para si o fardo do
monitoramento e gerenciamento dos dispositivos de segurana. ( )
2. Embora o nvel de segurana das chaves seja proporcional ao seu
tamanho, devemos resistir tentao de escolher sempre os maiores
modelos. ( )
3. As redes privadas virtuais no devem ser consideradas um canal
seguro, pois utilizam a Internet, uma rede pblica, para o trfego
dos seus dados. ( )
4. Os tneis so ferramentas teis no mbito da segurana da infor
mao. Eles s permitem um destino nico para todos os pacotes,
fazendo jus ao nome que recebem. ( )
5. O que permite a reversibilidade entre os textos claro e escuro so
os algoritmos, funes matemticas que permitem a converso da
mensagem de uma forma para a outra. ( )
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-106
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-107
Unidade 3
Principais
vulnerabilidades dos
sistemas computacionais
Objetivos de aprendizagem: quando o assunto segurana da
informao, no o bastante conhecer as estratgias que visam
sua proteo. cada vez mais indispensvel conhecer os riscos
que a utilizao da Internet trouxe para as trocas de dados. Por
isso, a Unidade 3 deste livro vai apresentlo s ameaas que esto
espreita. Alm de conhecer o perfil dos novos agressores, voc
aprender mais sobre as principais pragas virtuais. Ao entender o
que ocorre por trs das ameaas, voc ser capaz de utilizar melhor
os procedimentos disponveis para prevenilas e eliminlas.
Seo 1:
Combatendo o inimigo
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-108
98
Segurana da informao
Introduo ao estudo
Na Unidade 2, voc conheceu uma srie de novos dispositivos que
prometem garantir a segurana da informao. Porm, de pouco adian
tam as suas estratgias de preveno, deteco e recuperao quando
no acompanhadas de contnuo monitoramento e atualizao. Afinal
de contas, os inimigos no perdem tempo: os viles cibernticos no
param de aprimorar suas armas, explorando as fragilidades dos sistemas
de segurana. Por isso, tornase cada vez mais indispensvel ficar por
dentro dos ataques. Proteger bem os dados significa conhecer bem as
ameaas. Assustadas com os avanos da pirataria virtual, algumas empre
sas recorrem a hackers, que trabalham como consultores, denunciando
as vulnerabilidades dos mecanismos de segurana.
Dentre as ferramentas invasivas, o vrus indiscutivelmente a mais
famosa. Embora alguns estudiosos situem seu nascimento nos anos 70,
foi apenas na dcada seguinte que os vrus comearam a se espalhar
mundo afora. Sua disseminao acompanhou o ritmo da popularizao
dos personal computers (PCs). Como a Internet ainda no era acessvel
a todos, a infeco das mquinas dependia dos disquetes, discos flex
veis amplamente usados para transporte e armazenamento de dados
poca.
Criado em 1986 por dois irmos paquistaneses, o Brain foi o primeiro
vrus para PC. Como atacava a inicializao do sistema operacional, ele
entrava em atividade toda vez que a mquina era ligada. Pouco tempo
depois, surgia o primeiro antivrus, imunizando os computadores contra
a praga paquistanesa. No entanto, os agressores no paravam de propa
gar novos vrus. No final da dcada de 80, surgiu o Dark Avenger. Sua
forma de contgio tambm o tornava perigoso: abrir ou copiar o arquivo era
o bastante para ser infectado. Ele foi seguido por ameaas como o
Michelangelo, vrus que ficou famoso por lotar o disco rgido, criando pastas
e arquivos com a data 6 de maro, dia do nascimento do artista italiano.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-109
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 99
Seo 1
1.1Conhecendo o inimigo
A proliferao das pragas virtuais acrescentou diversas palavras ao
vocabulrio do dia a dia. Para quem usa computador, termos como
cavalo de troia, vrus e worms no causam surpresa. Porm, apesar da
popularidade das novas ameaas, pouco se sabe sobre quem est por
trs do ataque. Para os mais leigos, as generalizaes so frequentes.
comum ouvir o termo hacker, por exemplo, ser utilizado para designar
um cracker, e assim por diante. Pouco se sabe, na verdade, sobre as in
meras categorias em que os inimigos da segurana da informao podem
se encaixar. Diferencilos no mero preciosismo: uma tarefa que nos
ajuda a entender os objetivos que orientam cada tipo de ataque.
Dentre os diversos viles, os mais inexperientes so conhecidos
como script kiddies. Embora sejam novatos no mundo da pirataria vir
tual, subestimlos um erro grave: grande parte dos danos causados
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-110
100
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-111
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 101
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-112
102
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-113
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 103
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-114
104
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-115
105
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-116
106
Segurana da informao
1.2.1 Vrus
O vrus est entre as mais ilustres e antigas ferramentas usadas para
causar danos s mquinas. Tratase de um programa cuja execuo
essencial para infectar o computador.
Ao contrrio dos worms, todo vrus ne
Saiba mais
cessita encontrar um hospedeiro para
Sites de relacionamento como
causar qualquer tipo de estrago ou furto
Orkut e Facebook transforma
de dados.
ramse em um perigoso reposi
Percebendo o avano surpreendente
trio de pragas virtuais. o que
dos vrus, a indstria da computao no
mostra a reportagem do Globo
online, disponvel no endereo
perdeu a oportunidade de lanar no mer
abaixo:
cado softwares para combater as amea
<http://g1.globo.com/Noticias/
as. Nessa queda de brao, os crackers
Tecnologia/0,,MUL763146174
no deixaram barato eles rapidamente
,00ACUSACAO+DE+RACISM
modificaram os vrus, tornandoos mais
O+NO+ORKUT+ESCONDE+VIR
eficientes e imprevisveis. Dentre as novi
US.html>.
dades, cabe destacar trs caractersticas
que revolucionaram as pragas virtuais:
Polimorfismo: Inspirada na capacidade de mutao dos vrus bio
lgicos, o polimorfismo d maior imprevisibilidade ao malware.
Assim como difcil criar vacinas para prevenir gripes, esta nova
caracterstica dos vrus virtuais complica a ao dos antivrus.
Durante sua replicao, o vrus polimrfico consegue alterar o
cdigo de suas cpias, passando despercebido pelos dispositivos
de segurana menos eficazes.
Encriptao: Esta novidade dos vrus lana mo de um mecanismo
de segurana conhecido: a encriptao. Voc viu na Unidade 2 que
muitos sistemas utilizam a criptografia para encapsular seus dados,
evitando que intrusos tenham acesso aos dados que trafegam pela
rede. Aqui no diferente. O cdigo do vrus encriptado, dificul
tando a sua deteco.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-117
107
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-118
108
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-119
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 109
1.2.2 Worms
Embora provoquem estragos expressivos, os vrus apresentam uma
deficincia: eles precisam de um hospedeiro para infectar uma mquina
e contaminar outras. Nesse sentido, os worms surgem para sanar um
problema que limitava a ao dos vrus. Como so programas completos,
eles no dependem de um programa ou documento para se espalhar.
Para piorar, os worms herdaram dos vrus o poder de autorreplicao,
ampliando sua ao epidmica.
Entre as principais finalidades maliciosas dos worms, encontramse a
deleo de arquivos, o envio involuntrio de emails em grandes quanti
dades e a criao de brechas nos sistemas de segurana. Alis, em matria
de transtorno, a simples reproduo dos worms j seria o suficiente, pois
provoca uma lentido significativa no computador. Para os especialistas,
por exemplo, no restam dvidas de que a Internet seria muito mais
rpida se no houvesse milhares de arquivos maliciosos transitando por
ela. Por isso, quando voc solicita um servio de banda larga de 2 gigas,
por exemplo, no surpresa que sua velocidade real seja inferior quela
prevista no contrato.
Graas diversidade das suas funes, o que no faltam aos worms
so crackers interessados no seu uso. H programadores que lanam
mo deste malware para fragilizar as defesas do sistema de segurana,
instalando o que ficou conhecido como backdoors, termo ingls que
pode ser traduzido como brechas. Disparar emails por meio de worms
tambm oferece vantagens para o enviador de spam, que preserva sua
identidade ao usar o endereo eletrnico da vtima.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-120
110
Segurana da informao
1.2.3Cavalos de troia
Voc certamente j ouviu algo a respeito do cavalo de troia virtual ou,
como tambm conhecido, trojan horse. Para entender essa praga, nada
melhor do que recorrer histria que deu o seu nome. Conta a lenda
que o exrcito da Grcia usou de astcia para ganhar a guerra contra
os troianos. A fim de derrotar os inimigos, foi preparado um verdadeiro
presente de grego para os habitantes de Troia. Tratavase de um enorme
cavalo de madeira oca, em cujo interior se abrigavam soldados gregos.
Encantados com o presente, os troianos acreditaram que o povo da Gr
cia tinha se rendido, enviando o cavalo como pedido de misericrdia.
Ingnuos, os troianos conduziram o cavalo para o interior de seus muros,
tornando inevitvel a sua destruio. Uma vez infiltrados em Troia, os
gregos no tiveram dvidas saram do cavalo e venceram a guerra com
uma facilidade surpreendente.
A estratgia do cavalo virtual no muito diferente da lendria. Durante
a entrada no computador, ele apresenta uma funo inofensiva. Alm disso,
os seus programadores procuram darlhe um nome atraente, induzindo o
usurio a abrir o arquivo. Uma vez infiltrado, o cavalo de troia revela todo
seu potencial destrutivo. Os danos podem ser dos mais variados. H trojans
que podem formatam a mquina, executar comandos externos, coletar
dados e envilos para terceiros. Hoje em dia, muitos cavalos de Troia
so usados para roubar informaes sigilosas, como nmeros de carto
e senhas. Antigamente, o cavalo de troia era transportado junto com um
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-121
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 111
1.2.4 Botnets
O termo botnet designa um conjunto de robs que executa comandos
automaticamente. Os robs controlados podem ser tanto um grupo de
malwares quanto um conjunto de computadores zumbis, mquinas sob
o controle de um cracker. Em ambos os casos, o que garante o controle
comum a utilizao de um servidor, protegendo a rede botnet de inci
dentes como deteco ou intruso.
Para o jornalista portugus Nobrega (2010), os botnets so o canivete
suo dos piratas virtuais. O sucesso do instrumento entre os criminosos
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-122
112
Segurana da informao
1.2.5Time bombs
Os vrus pertencentes a esta categoria funcionam como verdadeiras
bombasrelgio: eles permanecem inativos at a data e o horrio esco
lhidos pelo seu programador. O vrus Michelangelo, por exemplo, ficava
adormecido at 6 de maro, dia do aniversrio do artista italiano. Outra
bombarelgio famosa da dcada de 90 se chamava sextafeira 13. A
data da sua ativao era aguardada com temor pelos usurios dos com
putadores. Uma vez acionado, o principal resultado da sua ao era a
lentido das mquinas.
1.2.6Scarewares
Conhecida como scareware, o nome desta ameaa formado pela
combinao das palavras software e scare, termo ingls que significa medo
ou susto. De fato, o nome cai como uma luva: os scarewares costumam
amedrontar usurios com alarmes falsos sobre uma infeco por vrus,
levandoos a comprar um programa que promete remover a ameaa. Ao
contrrio do que se espera, em vez da soluo, a vtima paga por um
novo problema, contaminandose a partir do scareware.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-123
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 113
1.2.7Hijackers
Como o prprio nome indica, os hijackers so programas que se
questram os browsers, modificando a pgina inicial do navegador sem
o consentimento do usurio. De modo geral, a sua ao se limita a fins
publicitrios, substituindo a pgina original por outras repletas de ann
cios. Alm disso, os hijackers frequentemente instalam novas barras de
ferramentas no browser e vetam o acesso do usurio a sites onde so
oferecidos tecnologias de combate s pragas virtuais.
1.2.8Exploit
Os criminosos virtuais encontram nos exploits uma importante ferra
menta, pois eles so programas capazes de identificar os pontos frgeis
de um sistema de segurana, colaborando com os agressores no plane
jamento de ataques.
1.2.9Grayware
Os graywares so mecanismos que se destinam a coletar informaes
sobre o usurio, vendendo posteriormente os dados obtidos a terceiros. Eles
tambm servem para colocar anncios publicitrios sem o consentimento
do administrador da mquina. Embora violem a privacidade do usurio, a
maioria dos graywares no causa danos to srios quanto os demais malwa
res. Seus efeitos se limitam a diminuir o desempenho da mquina, provo
cando lentido. Porm, eles expem o computador a riscos desnecessrios,
sinalizando as vulnerabilidades que permitiram sua instalao. Assim, outras
pragas virtuais malintencionadas podem usar a mesma brecha para infectar o
computador. Existem alguns graywares maliciosos, que capturam informaes
confidenciais, como senhas e nmeros de cartes de crdito. Os adwares e
os spywares pertencem categoria dos graywares.
1.2.9.1 Adwares
Se voc faz download de programas a partir da Internet, certamente
j esbarrou com um adware. Ele pode ser definido como um software
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-124
114
Segurana da informao
que traz com a sua instalao uma srie de janelas popups e banners
contendo anncios publicitrios. Alm de atrapalharem, as propagandas
sobrecarregam a mquina. No entanto, antes de culpar o programador do
software, preciso ler com cuidado os termos de licena dos programas,
porque muitas vezes os anncios esto previstos no contrato, sendo papel
do usurio desabilitlos. H ainda adwares mais nocivos, que funcionam
como spywares, violando a privacidade do internauta.
1.2.9.2 Spywares
So programas que funcionam como verdadeiros espies, intercep
tando pacotes durante o trfego de dados, por exemplo. Estes softwares
tambm so usados comercialmente, enviando propagandas que no
foram requisitadas pelo usurio. H ainda espies mais perigosos, como
os keyloggers, ferramenta que, conforme voc j viu, ajuda crackers na
identificao de senhas e nmeros de cartes de crdito das vtimas.
1.2.10Hoaxes
Se voc navega na Internet e tem correio eletrnico, bemvindo ao
mundo das lendas virtuais. Sua caixa de entrada j deve ter sido bom
bardeada com mensagens falsas, cujo apelo dramtico tentou induzilo a
passlas adiante. o caso de inmeras campanhas filantrpicas, pedidos
de socorro e outros alarmes falsos. a histria sobre uma empresa generosa
que vai doar alguns centavos por email enviado para pagar a cirurgia de
uma pobre moa, ou um alerta sobre os efeitos devastadores de novos
vrus terrveis. Bem, se j chegaram mensagens com esse teor sua caixa de
entrada, acredite: a maioria mentira. As pessoas crdulas so os principais
colaboradores das lendas virtuais. Como elas formam verdadeiras correntes,
os autores dos alarmes falsos conseguem entupir os servidores de emails
e construir um banco de dados invejvel para o envio de spam.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-125
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 115
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-126
116
Segurana da informao
Links
A revista PC World mais um servio que os internautas podem utilizar gratui
tamente. Alm de apresentar as principais novidades do mundo de informtica,
ela tambm oferece dicas e avaliaes sobre os produtos que voc encontra nas
lojas. Antes de fazer uma nova compra, no custa checar o que a revista tem a
dizer sobre sua escolha.
<http://www.guiademidia.com.br/acessar3.htm?http://www.pcworld.com.br>.
Seo 2
Combatendo o inimigo
Saiba mais
Graas popularizao da Internet
e dos computadores, j existem di
versas revistas sobre informtica.
Em uma rpida pesquisa na Web,
voc encontrar algumas deze
nas de exemplos. Entre as opes
brasileiras, merece um destaque
especial a Info, revista publicada
mensalmente pela Editora Abril.
Embora a revista impressa seja
paga, voc pode acessla gratui
tamente no site <http://info.abril.
com.br/arquivo/>. Boa leitura!
2.1A segurana da
informao e os novos
recursos
Voc conheceu na Unidade 2 alguns
dos principais componentes dos sistemas
de segurana da informao. Porm, no
pense que os recursos sua disposio
se limitam queles apresentados: ainda
existem outras armas disposio dos
administradores. Sero descritas aqui
algumas estratgias que podem ser muito
teis no combate s pragas dos viles
cibernticos.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-127
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 117
2.1.1Recursos Humanos
Ao contrrio do que pensam os leigos, no h apenas recursos tecno
lgicos para defender as redes de ataques maliciosos. Existem tambm
pessoas que podem ser especialmente eficientes para prevenir intruses.
Alm das equipes de TI e das empresas terceirizadas, voc ainda pode
encontrar um grupo bastante peculiar de ajudantes. Eles atendem pelo
nome de white hats.
Os hackers do bem, como so conhecidos, so especialistas em
ameaas que resolvem prestar servios s empresas. Acostumados a
explorar as vulnerabilidades dos sistemas de segurana, eles conseguem
penetrar nas fortalezas virtuais, explorando suas brechas. Com isso, eles
ajudam as organizaes na correo das falhas, tornando suas redes mais
robustas.
No devemos nos esquecer dos gray hats, crackers que ficam famo
sos por meio de livros e palestras sobre segurana da informao. As
organizaes costumam mostrar grande interesse por suas contribuies,
j que os gray hats so os grandes arquitetos dos crimes cibernticos.
o caso do exblack hat Kevin Mitnick, que cumpriu pena por prejuzos
milionrios envolvendo roubo de dados. Submetido a vrias punies,
Mitnick foi proibido de trabalhar com tecnologia da informao. S depois
de obter autorizao legal, ele pde ganhar a vida como palestrante em
conferncias sobre segurana da informao.
Entretanto, as organizaes devem resistir tentao de usar gray hats.
Contratar crackers para o papel de white hats pode ser um tiro que sai
pela culatra. Ao invs de ajudar, muitos crackers expuseram as fragilidades
encontradas em fruns malintencionados, frustrando as expectativas das
empresas. Os especialistas Nakamura e Geus (2007, p.76, grifo do autor)
no recomendam a participao de gray hats na anlise de vulnerabili
dades, como mostra o fragmento abaixo:
De fato, utilizar um hacker para cuidar da segurana
pode ser perigoso, justamente devido prpria cultura
dos hackers. Um exemplo disso foi a divulgao dos
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-128
118
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-129
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 119
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-130
120
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-131
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 121
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-132
122
Segurana da informao
Aprofundando o conhecimento
Graas proliferao das pragas digitais, os crackers vm desco
brindo novas brechas nos sistemas de segurana. No texto abaixo,
de Kurose e Ross (2009, p.4144), voc vai conhecer as tticas de
roubo de dados mais populares entre os viles cibernticos.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-133
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 123
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-134
124
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-135
125
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-136
126
Segurana da informao
Zumbi
Zumbi
Iniciar
ataque
Vtima
Zumbi
Atacante
Zumbi
Zumbi
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-137
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 127
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-138
128
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-139
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 129
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-140
130
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-141
P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 131
Resumo
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-142
132
Segurana da informao
Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. Embora tornem a mquina mais lenta, os graywares jamais causam
problemas graves aos computadores que infecta. At mesmo o
spyware se dedica coleta de dados pessoais com fins exclusiva
mente comerciais. ( )
2. Ao contrrio dos vrus, os worms no precisam de um hospedeiro
para se propagar, tornandose um malware muito contagioso. ( )
3. Embora sejam verdadeiros especialistas em ataques maliciosos, os
grayhats no devem ser contratados porque eles frequentemente
divulgam as fragilidades da empresa em fruns malintenciona
dos. ( )
4. Embora sejam computadores de pequenas dimenses, os celulares
jamais sero amplamente explorados pelos crackers. A ao dos
black hats nos aparelhos mveis ficar sempre restrita a atividades
como desconfigurao, exausto da bateria e envio de mensagens
com contedo publicitrio. ( )
5. A contratao de white hats pode ser muito benfica para as empresa,
pois esses hackers do bem sabem explorar suas vulnerabilidades do
ponto de vista de um possvel agressor. ( )
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-143
Unidade 4
Poltica de segurana
e auditoria
Objetivos de aprendizagem: hoje em dia, no basta construir muros
para manter os inimigos do lado de fora. Afinal, a evoluo verti
ginosa das tecnologias vai na contramo dessa tendncia, aproxi
mando cada vez mais os viles cibernticos dos sistemas de infor
mao. Suas armas j tornaram possvel interceptar dados e invadir
as fortalezas digitais. Diante da expanso dos desafios, no h como
ficar de braos cruzados. As empresas interessadas em proteger o
sigilo de seus dados no podem perder mais tempo: elas precisam
construir com urgncia regras que orientem a utilizao dos recursos
tecnolgicos, no podendo deixar de lado a realizao de auditorias,
a fim de verificar se as normas esto sendo cumpridas.
Seo 1:
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-144
134
Segurana da informao
Introduo ao estudo
Embora muitas empresas confiem no desempenho de seus equipa
mentos de segurana, de nada servem os dispositivos mais sofisticados,
quando no acompanhados de uma poltica que oriente o seu uso. Afinal,
a ausncia de instrues sobre sua implantao e configurao adequadas
pode colocar tudo a perder.
Infelizmente, a poltica de segurana da informao no se encontra
na pauta das prioridades de muitas organizaes. As justificativas para
esta negligncia variam: alguns apontam os custos como principais
obstculos para a implementao de um sistema de segurana eficaz.
Outros parecem simplesmente no entender como a empresa pode se
beneficiar da proteo adequada de seus dados. A miopia de muitos
executivos provocada com frequncia pelo carter preventivo das
medidas de segurana. Ao ignorar a centralidade das informaes para
os processos contemporneos, eles podem atrair consequencias muito
mais dispendiosas do que os custos que queriam evitar. Nakamura e
Geus (2007, p. 189) narram um episdio que ilustra bem os perigos
desta displicncia:
A poltica de segurana importante para evitar
problemas, como os que foram enfrentados pela
Omega Engineering Corp.A organizao demitiu
Timothy A. Lloyd, responsvel pela segurana de
sua rede e funcionrio da companhia durante 11
anos. Essa demisso causou srias e caras conse
quncias para a Omega. A falta de uma poltica
de segurana quanto ao acesso de funcionrios
demitidos fez com que Lloyd implantasse uma
bomba lgica na rede, que explodiu trs semanas
aps ele ter deixado a organizao. Os prejuzos
decorrentes dessa ao foram calculados em dez
milhes de dlares.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-145
P o l t i c a d e s e g u r a n a e a u d i t o r i a 135
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-146
136
Segurana da informao
Seo 1
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-147
137
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-148
138
Segurana da informao
Disponibilidade
Consistncia
Isolamento
Confiabilidade
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-149
139
Links
A segurana da informao
j tomou conta da agenda de
indivduos, organizaes e Es
tados pelo mundo. Antenada
s tendncias atuais, a SEBRAE,
agncia brasileira de apoio ao
empreendedor e pequeno em
presrio, no perdeu tempo. Ao
clicar no link indicado abaixo,
voc ter acesso ao Manual da
Sebrae, documento em que so
prescritas uma srie de recomen
daes para os usurios de TI.
<http://intranet.ma.sebrae.com.
br/fckeditor/userfiles/file/Ma
nual_Padroes_Usuarios_TI.pdf>.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-150
140
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-151
141
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-152
142
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-153
143
Crack
Password Guessing Este software tenta decodificar a senha, tomando por base
as informaes pessoais do usurio.
Fora bruta
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-154
144
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-155
P o l t i c a d e s e g u r a n a e a u d i t o r i a 145
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-156
146
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-157
147
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-158
148
Segurana da informao
Seo 2
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-159
149
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-160
150
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-161
P o l t i c a d e s e g u r a n a e a u d i t o r i a 151
2.2Nveis da auditoria
De forma geral, a auditoria dos sistemas de informao podem se
dividir em alguns ciclos, como mostram os itens abaixo:
2.2.1Armazenamento de dados
Ao longo do percurso de sofisticao tecnolgica, os dados foram
armazenados de diversas formas. A princpio, era comum organizlos em
arquivos individuais, dispersos na mquina. Pouco a pouco, os arquivos
agruparamse, estabelecendo relaes entre si. O aprimoramento desse
processo conduziu construo das primeiras bases de dados, onde eles
se apresentam interligados. Posteriormente, a crescente padronizao
dos dados permitiu o desenvolvimento dos sistemas de gesto de bases
de dados. Por fim, surgiram os sistemas de informao, que oferecem
uma ampla viso da informao de uma organizao, articulando suas
diferentes reas.
Mas o que essas formas de armazenamento tm a ver com a auditoria?
Ora, como o auditor precisa ter uma viso plena sobre a gesto da infor
mao, a sua fiscalizao exige o emprego de estratgias que verifiquem
a segurana dos dados nos diferentes nveis. De fato, a escolha de um
prisma para examinar os sistemas de informao um ponto decisivo
para o sucesso de uma auditoria.
2.2.2Software
Aps organizar a fiscalizao dos dados, o auditor passa para uma
importante etapa do seu trabalho: o monitoramento dos softwares. Alm
de avaliar a resistncia dos programas aos ataques das pragas virtuais, a
auditoria tambm deve cruzar os resultados das anlises dos dados e dos
softwares, verificando se a utilizao feita dos recursos est de acordo
com a poltica de segurana.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-162
152
Segurana da informao
2.2.3Sistemas operacionais
Como podamos supor, o monitoramento do sistema operacional
uma peachave da auditoria bemsucedida. Afinal, ele o conjunto de
programas que tornam possvel o gerenciamento do computador. No
por acaso que tantos vrus procuram infectlo, comprometendo o fun
cionamento normal da mquina.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-163
P o l t i c a d e s e g u r a n a e a u d i t o r i a 153
Aprofundando o conhecimento
Embora seja o mais frgil de todos os componentes de segurana,
o homem parte indispensvel do processo. Partindo do exemplo
eleitoral, o texto a seguir, de Oliveira (2007, p.15355) mostra que
a ao humana essencial em diversos nveis.
Fator humano
Quando tratamos a questo da segurana, conclumos que o elo
mais frgil do processo o fator humano.
A qualidade da tecnologia e do processo empregado decisiva
quando tratamos de etapas que podem ser sistematizadas, isto ,
que podem ser realizadas sem a interferncia direta do homem.
Porm, a presena do homem inevitvel nos momentos identi
ficados como a fase de criao e de deciso. Essas duas fases esto
presentes em todos os momentos do emprego da tecnologia, pois a
seleo da tecnologia, a forma de emprego, os controles e a avalia
o esto diretamente associados dinmica do avano tecnolgico
e da vontade humana.
Nesse cenrio, o fator humano passa a ter relevncia no quesito
segurana do processo.
No Quadro 8.2 temos uma breve descrio da correlao fator
humano e tecnologia. Notese que o homem est presente em
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-164
154
Segurana da informao
Fator humano
Execuo = Homem + Equipamentos (tecnologia)
Controle dos sistemas
Instalador / Administrado / Suporte
Operador
Controle de aplicativos
Oficializao (ativao)
Armazenamento
Conferncias de equipamentos e mdia
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-165
P o l t i c a d e s e g u r a n a e a u d i t o r i a 155
}{
Procedimentos
Aes
Resultados
Concluso
Este trabalho fez uma breve descrio dos conceitos empregados
pela Justia Eleitoral na elaborao dos projetos de modernizao
do processo eleitoral. Os controles empregados esto associados
arquitetura da soluo adotada, fortemente correlacionada com
os conceitos primrios de segurana da informao: a relao do
homem com a tecnologia.
No h tecnologia, nem haver, que dispense a participao hu
mana nos processos. O avano da tecnologia tambm no pode ser
desprezado, pois no h evoluo sem que o homem tenha tempo
para se dedicar s tarefas que so da sua competncia.
Refletir esse conceito na poltica de segurana foi a diretriz ado
tada pela Justia Eleitoral na elaborao dos projetos e processos
para a modernizao das eleies no Brasil.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-166
156
Segurana da informao
Referncias bibliogrficas
BRASIL. Leis n 9.504, n 10.408 e n 10.740 e
resolues do Tribunal Superior Eleitoral. Dispo
nvel em: <www.tse.gov.br>.
BRASIL. Medida Provisria n 2.2002, de 24
de agosto de 2001, institui a InfraEstrutura de
Chaves Pblicas Brasileira ICPBrasil, e do
cumentos correlatos. Disponvel em: <www. icp
brasil.gov.br>.
CMM (Capability Maturity Model) e CERT Co
ordination Center (segurana na internet). Dispo
nvel em: <www.sei.cmu.edu>.
COBIT (Control Objectives to Information and
Related Technologies). 4.0, IT Governance Insti
tute, Rolling Meadows, IL, USA.
KING, C.; OSMANOGLU, E.; DALTON, C.
Security architecture: design, deployment and
operations. Nova York: Osborne/McGraw Hill,
2001.
NORMA ISO15408 (Information Technology
Security Techniques Evaluation Criteria for IT
Security). Partes 1, 2 e 3, International Standard
Organization, Genebra, Sua, 1999.
NORMA ISO15554 (Software Process Assess
ment/Capability Maturity Model for Software).
Partes 1 a 9, International Standard Organization,
Genebra, Sua.
NORMA NBR ISO/IEC 17799. (Tecnologia da
informao Tcnicas de segurana Cdigo
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-167
P o l t i c a d e s e g u r a n a e a u d i t o r i a 157
Resumo
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-168
158
Segurana da informao
Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. A criao de ambientes cooperativos no nvel digital impossvel.
Afinal, obstculos como a falta de consenso e confiana mtua
tornam impraticvel a elaborao de uma poltica de segurana
conjunta. ( )
2. A terceirizao das auditorias um passo importante para todas as
empresas. O olhar de um auditor externo costuma trazer contribui
es muito importantes, que dificilmente seriam obtidas por meio
da fiscalizao interna. ( )
3. A implementao de uma poltica de segurana para firewall pre
cisa estar atenta s necessidades de cada empresa. Dependendo da
confiana depositada nos funcionrios, as medidas adotadas podem
variar de forma brusca. ( )
4. As auditorias no devem considerar os aspectos estruturais do sis
tema de informao fiscalizado. Como o foco de suas anlises o
acesso aos dados, os auditores devem concentrar seus esforos no
monitoramento dos controles de log. ( )
5. Como os funcionrios no costumam provocar prejuzos s empre
sas, os sistemas de segurana devem se dedicar exclusivamente
deteco de ameaas externas. ( ).
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-169
Unidade 5
Ataque s
informaes
Objetivos de aprendizagem: preparese para conhecer o mundo
dos invasores. Ao ler esta unidade, voc vai entender as diferentes
tcnicas usadas para obter acesso no autorizado informao.
Elas podem tomar diversas formas, abrangendo invases fsicas e
tecnolgicas. Os recursos explorados pelos agressores tambm so
surpreendentes. Eles podem manipular dispositivos de segurana,
funcionrios e at o lixo em busca dos dados que procuram.
Seo 1:
Ataques fsicos
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-170
160
Segurana da informao
Introduo ao estudo
De um lado, os administradores de segurana. Do outro, os hackers.
Uma eterna briga de gato e rato que no tem data para acabar. A cada
novo dispositivo de proteo dos dados, a cada antivrus lanado, a pira
taria virtual sempre encontra uma brecha a ser explorada, aperfeioando
suas armas.
Alm do curto prazo de vida til dos mecanismos, os CIOs ainda en
caram outro problema grave: o que fazer quando a ameaa segurana
parte de dentro da empresa? O elo humano parece ser o mais frgil de
toda a corrente de proteo. Cientes dessa fragilidade, j existem black
hats que somam aos seus trabalhos tecnolgicos a explorao da fragili
dade dos funcionrios.
Nesta unidade, voc vai aprender mais sobre alguns ataques que
provocam profundas dores de cabea nas empresas. Para surpresa de
muitos, alguns no tm nada a ver com tecnologia. s vezes muito
mais fcil jogar uma pedra na janela da empresa e invadila fisicamente
ou convencer um funcionrio ingnuo que lhe passe sua senha do que
romper os elos tecnolgicos que a protegem.
Sem dvida, gerenciar vulnerabilidades fsicas, humanas e tecnolgi
cas ao mesmo tempo no tarefa fcil. Alis, praticamente impossvel
vedar todas as brechas de segurana. Imagine, por exemplo, uma empresa
dedicada proteo de seus dados. Ela s usa os lanamentos do mercado:
seu carrinho de compras inclui os ltimos antivrus, firewalls e IDS. Alm
disso, ela prontamente instalou ferramentas como PGP, antispam, entre
outras, para garantir a segurana de sua fortaleza. Mesmo dispondo de
um verdadeiro arsenal, ela no deve se esquecer que, atrs das linhas
inimigas, seus adversrios tambm desenvolvem novas armas.
O hacker mais famoso do mundo, Kevin Mitnick, fala que no exis
tem sistemas fortes ao ponto de se tornarem impenetrveis. Durante uma
entrevista, ele deixou claro que garantir segurana muito desafiador.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-171
A t a q u e s i n f o r m a e s 161
Para entrar, basta descobrir uma nica falha. E ela sempre existe (CESAR;
ONAGA, 2007). Realmente, na queda de brao entre administradores
e hackers, os agressores parecem estar numa posio mais confortvel.
Como no sabem qual brecha ser usada pelos black hats, as organizaes
dispersam seus esforos, numa tentativa desesperada de encobrir suas
fragilidades. Ao que tudo indica, ser vilo mais fcil que ser mocinho
no mundo da informtica.
Para piorar, a segurana apropriada da informao demanda inves
timentos contnuos para a adoo e o aprimoramento dos dispositivos
de proteo. Porm, como os recursos financeiros e humanos no so
ilimitados, muitos CEOs no atendem aos pedidos da equipe de TI. Muitos
executivos, por exemplo, no so a favor de investimentos robustos em
segurana. Como no enxergam a relao entre proteo dos dados e
produtividade, eles preferem reagir a prevenir, acreditando que cooperam
para a sade da empresa quando contm custos.
Como voc j viu nas unidades anteriores, empresas que respondem
s ameaas quando elas j se transformaram em ataques comprometem o
andamento de seus negcios. Elas colocam em risco no apenas as suas
informaes confidenciais, mas tambm a confiana de seus investidores
e clientes. No toa que segurana deve ser parte integrante da poltica
da organizao.
Felizmente, algumas empresas j despertaram para a relevncia de
proteger seus dados. Pertencente a um dos setores mais visados pela pi
rataria virtual, o ramo brasileiro do Banco Santander j conta com uma
equipe de 40 pessoas dedicada segurana. Como outras organizaes,
a direo do banco j entendeu que ataques aos seus dados e s suas
transaes financeiras colocam em xeque a sade da empresa como um
todo.
Porm, enquanto a segurana no integra a pauta de todas as organi
zaes, os hackers ainda tero muito trabalho a fazer. Durante a leitura,
voc vai conhecer as principais falhas humanas, fsicas e tecnolgicas
que facilitam os ataques informao.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-172
162
Segurana da informao
Seo 1
Explorando as falhas
tecnolgicas
Muitos internautas acham que esto a salvo das pragas virtuais simples
mente por que contam com um kit bsico de segurana. Ao contrrio do
que pensam, eles esto expostos. Certamente, no to vulnerveis quanto os
usurios mais inadvertidos, mas ainda assim expostos. Voc ver aqui algumas
estratgias desenvolvidas pelos piratas da rede para driblar essas barreiras de
segurana e obter as informaes que buscam de qualquer jeito.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-173
A t a q u e s i n f o r m a e s 163
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-174
164
Segurana da informao
1.2Packet sniffing
Quando usada em prol da segurana, a tcnica de farejamento de
pacotes ou packet sniffing muito til, pois ajuda a identificar proble
mas no trnsito de dados, interceptando pacotes suspeitos. No entanto,
quando cai nas mos dos black hats, o packet sniffing transformase em
uma estratgia muito perigosa. Esses criminosos tiram proveito de sua
capacidade de capturar informaes para roubar dados importantes.
Os invasores costumam utilizar diversos tipos de filtro. Entre os mais
comuns, destacamse aqueles que tm por objetivo violar a privacidade
do correio eletrnico e identificar senhas que circulam pela rede sem
criptografia.
Se pensarmos na segurana das redes como um todo, a prtica de
farejamento de dados pode se tornar anda mais perigosa. Afinal, todas as
mquinas conectadas rede com sniffing ficam acessveis, facilitando o
trnsito da ao criminosa. O que poderia parecer uma infeco isolada
contamina toda a rede, comprometendo o sigilo das informaes que
circulam nela. um prato cheio para os crackers, que passam a ter acesso
a diversas senhas, nmeros de carto de crdito entre outros dados de
seu interesse.
A fim de impedir que uma possvel contaminao se espalhe, muitos
administradores utilizam switches. Os comutadores, como tambm so
conhecidos, segmentam a rede internamente, evitando a generalizao
do contgio. Eles podem, por exemplo, fragmentar uma nica rede em
vrias VLANS (Virtual Local Area Networks), dificultando a expanso do
ataque. A segmentao no uma soluo definitiva, at porque ela no
impede que os sniffers consigam capturar dados dentro de um segmento.
A vantagem dos switches que eles no permitem que o sistema seja
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-175
A t a q u e s i n f o r m a e s 165
1.3Port scanning
O port scanning mais um daqueles de casos de tcnicas de segurana
que caram no gosto dos crackers. E no foi por acaso. Os port scanners
so responsveis por encontrar os pontos fracos do sistema operacional
e dos protocolos de comunicao, por exemplo. Eles funcionam como
verdadeiros auditores, identificando vulnerabilidades. Durante o processo,
eles no deixam de lado o monitoramento das falhas de importantes
mecanismos de segurana, como os firewalls e o sistema de deteco
de intruses (IDS). O que torna a ferramenta ainda mais irresistvel para
os crackers, que ela tambm procura possveis falhas no protocolo de
comunicao TCP/IP, mapeando tambm as portas TCP e UDP abertas.
Para entender por que to tentador para um black hat monitorar as
portas de um sistema, importante revisar o prprio conceito de porta.
Como a prpria palavra indica, a porta de uma conexo virtual no
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-176
166
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-177
ataque s informaes
167
1.5 IP spoofing
Outra tcnica popular entre os crackers chamase IP spoofing. Para
entender seu funcionamento, importante que voc conhea algumas
caractersticas do IP. Muitos sistemas permitem ou vetam o trnsito de
dados com base nesse endereo. Isto , uma vez identificado um endereo
de IP confivel, a comunicao autorizada. Infelizmente, a maioria do
trfego de pacotes chega ao seu receptor sem verificar se o remetente
mesmo quem ele diz ser.
Uma vez identificado um endereo de IP confivel, a comunicao
autorizada sem que ocorra uma tentativa concreta de validao. Nos casos
de ataque rede interna, o falsificador costuma usar um endereo de IP
interno. Por isso, muitos black hats camuflam seu verdadeiro endereo de
IP, escondendose sob um disfarce que os faz parecer inofensivos. Como
golpes assim so comuns, os sistemas de segurana que confiam cega
mente no endereo de IP tornamse presas fceis de ataques desse tipo.
Como voc pode ver, o IP spoofing oferece muitas vantagens. Alm de
facilitar a ao criminosa, ele tambm protege a identidade do agressor.
A tcnica muito usada em diversos ataques, especialmente naqueles
envolvendo negao de servio. Como ele opera em nvel de conexo,
o IP spoofing funciona em todos os sistemas operacionais, interceptando
pacotes no Windows, Linux, entre outros.
Ora, se essa agresso to eficiente, como possvel proteger a
rede? Uma das melhores sadas a aplicao de filtros configurados
para bloquear tentativas de conexo externa com endereos de IP da
rede local.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-178
168
Segurana da informao
1.6 Firewalking
Como j era de se imaginar, o firewalking uma estratgia que busca
driblar o dispositivo de proteo com nome parecido, o firewall. Para
entendlo melhor, convm saber um pouco mais sobre sua principal
fonte de inspirao, a ferramenta traceroute. Utilizada para solucionar
problemas na rede, ela permite a identificao do caminho que um pacote
percorre at chegar ao seu destino. Enquanto a Internet ainda era novi
dade, o seu uso era seguro, ajudando os profissionais de TI a identificar
falhas. Depois, como outros mecanismos de segurana, o traceroute foi
mais um feitio que se virou contra o feiticeiro. Hoje ele popular entre
os black hats, que buscam saber mais sobre o funcionamento da rede
antes da invaso.
As funes dos firewalkings se assemelham espionagem dos tracerou
ters. Eles so bastante utilizados para colher informaes sobre sistemas
protegidos por firewall. Eles tornaramse famosos por testlos, podendo
oferecer tambm o mapeamento dos roteadores da rede. As informaes
obtidas pela tcnica de firewalking so muito relevantes para os agres
sores. Afinal, elas revelam, entre outras coisas, os critrios de filtragem
usados pelo firewall, revelando assim as brechas de segurana. Com isso,
o firewalking capaz de indicar quais so as portas abertas, indicando
um possvel ponto de partida do ataque.
Para combater o firewalking, comum instalar servidores proxy, ins
trumentos de segurana que voc estudou na Unidade 2.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-179
ataque s informaes
Seo 2
169
Ataques fsicos
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-180
170
Segurana da informao
2.2Engenharia social
Por causa do aperfeioamento das fortalezas digitais, muitos
hackers passaram a explorar outras fraquezas das organizaes: o elo
humano. Pode at soar inacreditvel, mas alguns invasores encontra
ram na engenharia social uma ferramenta fundamental para a obteno
de informaes sigilosas. Essa tcnica composta por uma srie de
estratgias de persuaso que visam convencer um funcionrio, por
exemplo, que ele deve revelar dados confidenciais, como senhas e
dados bancrios.
Afinal, por que perder tempo com tcnicas complexas de permuta
o e fora bruta quando tudo o que voc quer pode ser obtido durante
um simples batepapo? Seja atravs de uma conversa telefnica, trocas
de mensagens instantneas ou at pessoalmente, o engenheiro social
consegue ser convincente, extraindo da vtima as informaes que
deseja. Veja como Nakamura e Geus (2007, p.85) definem essa arte
de persuadir:
Ela (a engenharia social) capaz de convencer a
pessoa que est do outro lado da porta a abrila,
independente do tamanho do cadeado. O enge
nheiro social manipula as pessoas para que elas
entreguem as chaves ou abram o cadeado, explo
rando caractersticas humanas como reciprocidade,
consistncia, busca por aprovao social, simpatia,
autoridade e medo.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-181
A t a q u e s i n f o r m a e s 171
Saiba mais
Mitnick: ameaa a engenharia
social
Kevin Mitnick, o mais famoso
hacker do mundo, deu o alerta
de que no adianta nada as
empresas se preocuparem com
seus sistemas de segurana e
deixarem de lado o principal pe
rigo: a engenharia social.
Leia a entrevista completa
acessando o seguinte ende
reo: <http://forumhacker.
com.br/forum/archive/index.
php/t12679.html>.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-182
172
Segurana da informao
Links
Se voc quer saber mais sobre as normas brasileiras para gesto da segurana
da informao, no deixe de acessar o link abaixo. L voc encontrar diretrizes
importantes, que podem orientlo na implantao e monitoramento do sistema
de proteo aos dados.
<http://cavalcante.us/normas/ABNT/ABNTNBRISO_IEC27001.pdf>.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-183
A t a q u e s i n f o r m a e s 173
Aprofundando o conhecimento
A segurana da informao um processo complexo, e exige
constante monitoramento. De todas as suas fragilidades, possvel
que o elo humano seja justamente o mais fraco. Por isso, primor
dial que as organizaes invistam em treinamento, compartilhando
a tarefa de proteger a informao entre todos os colaboradores. Ao
ler o texto a seguir, de Oliveira (2007, p.166168), voc encontrar
diversas dicas importantes para superar essa vulnerabilidade.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-184
174
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-185
ataque s informaes
175
Concluso
As ameaas e vulnerabilidades da tecnologia, dos cdigos dos
sistemas, dos sistemas operacionais, dos processos e das pessoas
constituem a grande oportunidade para o desenvolvimento e a
evoluo da prtica da segurana da informao.
medida que o ambiente corporativo e de negcios fica de
pendente da tecnologia e dos processos automatizados, ganham
importncia a prtica adequada da segurana da informao e a
aderncia desta estratgia de negcio.
Esses e outros aspectos vm exigindo dos executivos de segurana
da informao mais do que o conhecimento tcnico, e, por isso, esses
profissionais vm investindo em suas carreiras e tornandose cada
vez mais versteis e completos.
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-186
176
Segurana da informao
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-187
A t a q u e s i n f o r m a e s 177
Resumo
Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. Os switches ou comutadores so ferramentas muito teis no combate
ao packet sniffing. medida que fragmentam a rede, eles impedem
que invasores consigam acesso s informaes sigilosas. ( )
2. Cuidados mnimos como fazer logoff ao se afastar da estao de
trabalho podem evitar o acesso no credenciado a informaes
sigilosas. ( )
3. A estratgia de traceroute identifica o caminho que um pacote per
corre at atingir seu destino final. Por isso, uma ferramenta que
deve fazer parte de todo sistema de segurana. ( )
4. Os dumpster divers so todos aqueles que no procuram no lixo
meios para sua sobrevivncia, mas sim informaes valiosas. ( )
5. Casos como o traceroute e o port scanning mostram que dispo
sitivos de segurana podem ser usados contra os interesses da
empresa. ( )
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-188
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-189
Sugestes de leitura
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-190
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-191
Referncias
88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-192