Defesa ciberntica: um estudo sobre a proteo da infra-estrutura e o software seguro Eduardo Amadeu Dutra Moresi moresi@ucb.

br Universidade Catlica de Braslia QS 07 Lote EPCT - 71999-700 Braslia DF Brasil Nelson Santini Jnior njunior@ucb.br Universidade Catlica de Braslia QS 07 Lote EPCT - 71999-700 Braslia DF Brasil Rodrigo Jonas Fragola rodrigo.fragola@aker.com.br Aker Security Solutions SHCGN 710/711 Bloco E Loja 53 - 70750-650 Braslia DF Brasil Marco Csar Bassi mcbassi@grupohdi.com Grupo HDI Rua Joaquim Moreira Dias, 120 - 03226-050 - So Paulo SP Brasil Jos Eduardo Teixeira Alonso jeduardoalonso@gmail.com Universidade Catlica de Braslia Grupo HDI QS 07 Lote EPCT - 71999-700 Braslia DF Brasil RESUMO Os ataques cibernticos apresentam escala mundial crescente e se caracterizam como um dos grandes desafios do sculo. Este artigo objetiva analisar conceitos de ciberespao e operaes cibernticas. Esse novo cenrio tem obrigado os pases a se prepararem para proteger suas redes e seus sistemas de informao de ataques cibernticos. Portanto, o objetivo desse trabalho apresentar a conceituao do espao ciberntico como um ambiente informacional, alm de analisar alternativas para minimizar os efeitos de ataques cibernticos. Palavras-chave: Ciberespao; Operaes Cibernticas; Segurana da Informao; Segurana da Aplicao; Defesa Ciberntica. 1. INTRODUO Os avanos cientficos e tecnolgicos dos ltimos 30 anos promoveram um aumento substantivo por produtos e servios baseados em tecnologia, especialmente os relacionados com computao, telecomunicaes, automao, robtica, bioinformtica, mecatrnica, nanotecnologia, dentre outras [1]. Tal demanda se apia nos seguintes fenmenos: elevada convergncia tecnolgica; aumento significativo de sistemas e redes de informao, bem como da interconexo e interdependncia dos mesmos; aumento crescente e bastante substantivo de acesso Internet e das redes sociais; avanos das Tecnologias de Informao e Comunicao (TICs); aumento das ameaas e das vulnerabilidades de segurana ciberntica; e ambientes complexos, com mltiplos atores, diversidade de interesses, e em constantes e rpidas mudanas. As ameaas por fora da natureza ou as intencionais (sabotagens, crimes, espionagem, terrorismo e guerra) ganham uma conotao e dimenso muito maior quando se trata do uso do espao ciberntico. A comunicao passa a exercer uma influncia muito diferente da mdia clssica, porque nesse espao que a mensagem se torna interativa, ganha uma plasticidade e tem uma possibilidade de mutao imediata. Assim, cada pessoa pode se tornar um sensor ativo, ou seja, recebendo, interpretando e propagando informaes, situao oposta ao que acontece com as mdias tradicionais. Os ataques cibernticos apresentam escala mundial crescente e se caracterizam como um dos grandes desafios do sculo. A Segurana e a Defesa Ciberntica vm se caracterizando cada vez mais como uma funo estratgica de Governo em Economias desenvolvidas, ou no, incluindo questes de: proteo das infraestruturas crticas; segurana da informao e comunicaes; cooperao internacional; construo de marcos legais; e capacitao de recursos humanos. Em relao aos conceitos tanto de Segurana Ciberntica quanto de Defesa Ciberntica, cabe colocar que estes vm sendo construdos. Entende-se que o propsito de atuao da Segurana Ciberntica compreende aspectos e atitudes tanto de preveno quanto de represso. E para a Defesa Ciberntica entende-se que a mesma compreende aes operacionais de combates ofensivos [1]. Contudo, a Segurana Ciberntica tem marcado um dos grandes desafios a ser enfrentado pelos Governos dos diversos pases, particularmente no que se refere garantia do funcionamento de infraestruturas crticas tais como Energia, Defesa, Transporte, Telecomunicaes, Finanas, dentre outras. Esse novo cenrio tem obrigado os pases a se prepararem para proteger suas redes e seus sistemas de

Segunda Conferencia Iberoamericana de Complejidad, Informtica y Ciberntica: CICIC 2012 Orlando FL USA.

informao de ataques cibernticos, bem como todos os demais segmentos da sociedade. Portanto, o entendimento das ameaas oriundas do espao ciberntico passa a ser um tema estratgico para a proteo do pas, de suas organizaes e de seus habitantes. Nesse contexto, o objetivo desse trabalho apresentar a conceituao do espao ciberntico como um ambiente informacional, alm de analisar alternativas para minimizar os efeitos de ataques cibernticos. 2. O ESPAO CIBERNTICO Esta seo aborda a natureza evolutiva do ciberespao, focalizando especificamente a sua influncia, e implicaes para todos os instrumentos de proteo de uma organizao. O Departamento de Defesa norte-americano (DoD) define o espao ciberntico ou ciberespao como um domnio global dentro do ambiente de informao que consiste na infraestrutura de tecnologia da informao, incluindo a Internet, as redes de telecomunicaes, sistemas de informao e sistemas computacionais dotados de processadores embutidos e controladores, incluindo os seus respectivos operadores [2]. Num sentido mais amplo, o ciberespao um novo espao estratgico e comum a todos os pases, organizaes e pessoas. Em sua forma mais simples, o ciberespao consiste de elementos dentro das trs dimenses do ambiente de informao global - cognitivo, informaes e fsico [3]. Por exemplo, algum gera e articula um pensamento (cognitivo). Para transmit-lo, ele usa um dispositivo de comunicao (fsica) onde esse pensamento assume uma representao sistemtica de dados (informao), possivelmente representados digitalmente por meios eletrnicos. Em seguida, os dados viajam atravs de uma variedade de linhas fsicas de comunicao (por exemplo, telefone, cabo, fibra tica, rdio, microondas, etc) at um dispositivo de recepo para ser utilizado por outro usurio para fins cognitivos, ou talvez at um dispositivo fsico para executar uma operao (por exemplo, acender uma luz, abrir uma vlvula, etc). A estrutura fundamental de processos do ciberespao duradoura, mas a sua prpria configurao se transforma em funo de elementos especficos que produzem as transformaes. O Ciberespao, como um ambiente global comum, compreende a sinergia de elementos e eventos que criam uma nova estratgia compartilhada por pases, organizaes e pessoas [2]. Considerando esses bens comuns globais, o ciberespao tem pelo menos cinco caractersticas nicas de preocupao pelos responsveis pela segurana estratgica: - custo de acesso extremamente baixo, basicamente, despesas com um microcomputador e com a taxa de um cibercaf;

- alto grau de anonimato, que impe esforos para detectar, rastrear e identificar um usurio especfico que deseja se esconder; - capacidade de iniciar uma grande variedade de efeitos fsicos independentes de distncias e velocidades quase instantneas; - um ambiente em expanso, onde cada novo computador ou telefone celular com acesso Internet pode expandir suas fronteiras; - o ciberespao no tem dimenses tradicionais de altura, profundidade e comprimento, mas ele tem mtricas nicas que podem ser usadas para mapear seus limites e operaes. A natureza dinmica do ciberespao se baseia na conectividade. As inovaes tecnolgicas em computadores e dispositivos mveis tm ampliado a capacidade do cidado comum para operar livremente nesse espao virtual. As velocidades de processamento de dados e as mdias de armazenamento digital continuam a crescer exponencialmente [4], devido aos mercados competitivos que impulsionam os preos para baixo. Com 216 pases com acesso Internet, 86 dos quais compelo menos um milho de usurios [5], est se tornando difcil encontrar algum lugar do mundo que no seja afetado pelo ciberespao. Como os processos do ciberespao incluem elementos fsicos, os governos tm buscado ampliar a capacidade de acesso remoto para controlar sua infraestrutura. Geralmente chamado de Controle de Superviso e Aquisio de Dados (SCADA - Supervisory Control and Data Acquisition), esses processos de controle buscam aumentar a eficcia operacional e a eficincia para muitas aplicaes que incluem sistemas como energia eltrica, petrleo, gs, transporte e telecomunicaes [6]. Cabe lembrar que os dispositivos SCADA mais antigos foram projetados e instalados sem levar em conta a segurana. Por outro lado, a maioria dos novos sistemas SCADA usam a Internet para transmitir informaes de controle. Nesse ponto, cabe a seguinte questo: que tipos de ameaas existem nesse novo espao comum o ciberespao? Em geral, os ataques se enquadram em uma das seguintes categorias: a interceptao, a modificao ou a negao da informaao[7]. Os ataques podem ser abertos ou dissumulados com efeitos fsicos ou no. Os danos resultantes variam muito: de sites desfigurados a milhes de dlares de perdas financeiras; ou de danos fsicos reais a equipamentos cujo controle est conectado ao ciberespao. Mas, quem so os autores de atividades ilegais no ciberespao? A grande diversidade de infratores pode ser dividida em quatro categorias de indivduos (que tambm podem atuar em grupos): ciber-delinqentes, ciber-criminosos, os ciber-espies e os ciberterroristas. Cada conjunto de autores difere em suas atitudes e aes de acordo com a sua ideologia (por exemplo, poltica ou religiosa), o ganho finaceiro

Segunda Conferencia Iberoamericana de Complejidad, Informtica y Ciberntica: CICIC 2012 Orlando FL USA.

pretendido, a atribuio dentro da organizao criminosa, o compartilhamento de conhecimento e a destruio de estruturas sociais [7]. Indivduos ou grupos de categorias diferentes podem se associar para alcanar benefcios mtuos. H casos documentados em que cyber-terroristas empregaram ciber-criminosos para roubar informaes de cartes de crdito e apoiar traficantes de drogas, todos com o objetivo de financiamento de operaes terroristas tradicionais [7]. O que ainda no muito claro como atores estatais e privados usam o ciberespao para perseguir os seus objetivos estratgicos. Os contnuos avanos no ciberespao torna disponvel para adversrios polticos ou no, a conectividade que pode ser empregada como meio para atacar, degradar e romper as comunicaes e o fluxo de informaes [8]. Portanto, as operaes cibernticas descrevem os desafios de governos e de organizaes privadas para enfrentar uma ampla gama de ameaas e oportunidades que incluem o emprego sustentvel de ambientes globais comuns, incluindo o ciberespao [9]. A tendncia contnua de melhora significativa nas tecnologias cibernticas continuar a mudar a forma como sero planejadas e executadas as operaes empregando a informao. H uma forte expectativa de que conflitos futuros no s incluiro operaes no ciberespao, mas tambm que este espao comum poder se tornar a principal frente para conflitos irregulares e tradicionais. Ainda no existe uma definio internacionalmente aceita de quando as aes hostis no ciberespao sero reconhecidas como ataques, muito menos como atos de guerra. No entanto, os estudiosos esto obtendo progressos nesta rea, tais como a aplicao de um quadro analtico para determinar se um ataque ciberntico equivale ao uso da fora de acordo com o preconizado pelas Naes Unidas [10]. A anlise de Schmitt considera a intensidade dos danos em cada uma das sete reas (gravidade, urgncia, objetividade, mensurabilidade invasividade, legitimidade presumida e a responsabilidade) para fornecer uma avaliao composta dos efeitos de um atauqe ciberntico [11]. As aes ofensivas no ciberespao so iniciadas usando a infraestrutura da internet e, de acordo com seu carter transnacional, podem ter origem no estado inimigo ou em outros estados em que existam grupos que se simpatizem com a causa do inimigo ou ainda que possuam redes que possam ser usadas como escravas (slave) em um ataque. Estas caractersticas, no plano ofensivo de uma operao ciberntica, permitem ao atacante o emprego macio de todos os recursos e meios disponibilizados com o uso das redes de computadores, bem como incentiva a criao de tcnicas mais sofisticadas e a sua divulgao em sites.

Alvos vantajosos para uma operao ciberntica, segundo a importncia das suas infraestruturas, so as redes de computadores e sistemas que gerenciam e controlam os servios crticos de: Redes de Telecomunicaes; Energia Eltrica; Sade Pblica, Emergncia e gua potvel; Sistema Financeiro; e Redes Governamentais. 3. AS DIMENSES DO AMBIENTE DE INFORMAO Nesse ponto, torna-se importante responder a seguinte questo: a informao um domnio ou um ambiente? Os manuais americanos de Operaes de Informao [8,9] definem a informao como um ambiente informacional, que compreende pessoas, organizaes e sistemas que coletam, processam, disseminam ou atuam com informao. O ambiente informacional compreende quatro dimenses distintas, mas interligadas fsica, informacional, cognitiva e social, conforme apresentado na Figura 1. A dimenso fsica engloba os elementos do mundo real e tangvel. nessa dimenso que ocorrem os conflitos cibernticos. Sistemas de comunicaes e de informao existem dentro dessa dimenso e possibilitam que as operaes cibernticas ocorram. A dimenso informacional representa a prpria informao, ou seja, onde a informao criada, manipulada, armazenada e compartilhada. nessa dimenso que as decises so comunicadas e onde as intenes dos decisores so transmitidas, protegidas e defendidas para ampliar o poder de ao de uma organizao. Esta dimenso liga o mundo fsico real com a conscincia humana da dimenso cognitiva, tanto como fonte de entrada (estmulo, sentidos, etc) e para transmitir a sada (inteno, direo, decises, etc.). Estas ligaes so mostradas como setas na figura 1.

Figura 1 Modelo conceitual das operaes cibernticas. A dimenso cognitiva tambm abstrata e terica, por estar focada nos modelos mentais do tomador de deciso, amigo ou inimigo. nessa dimenso que o indivduo processa as informaes recebidas de acordo com um conjunto prprio de percepes (interpreta a informao), opinies (dentro de um contexto maior

Segunda Conferencia Iberoamericana de Complejidad, Informtica y Ciberntica: CICIC 2012 Orlando FL USA.

de como ele percebe o mundo) e crenas (sobre uma base de valores fundamentais). Esses atributos funcionam como uma janela para filtrar as informaes e fornecem uma sensao de significado e contexto. As informaes so avaliadas e processadas para formar decises que so comunicadas para o mundo fsico atravs da dimenso de informao. Note-se que esta dimenso no pode ser diretamente atacada, mas pode ser influenciada indiretamente atravs das dimenses fsicas e de informao. Essa a dimenso dos intangveis: opinio, conscincia situacional, liderana, experincia e moral. Esta a mais importante de todas, por impactar os modelos mentais dos tomadores de deciso. No foi mostrada na figura uma dimenso adicional que a social, que liga o indivduo a outros, formando uma rede social maior. Esta rede social tem um papel crtico no processo de tomada de deciso humana. A defesa no espao ciberntico planejada para assegurar as necessidades de proteo e de defesa da infraestrutura crtica de uma organizao ou de um Estado. Os ataques cibernticos so direcionados para as dimenses fsica e informacional. Para proteg-las destes tipos de ameaas devem ser observadas quatro metas principais [12]: estabelecer proteo da infraestrutura de tecnologia da informao e da aplicao, visando permitir o uso das redes e sistemas de informao; detectar ataques, para associar contramedidas passivas de proteo; restaurar de forma rpida e eficiente os sistemas que foram comprometidos; resposta de ataque, associando contramedidas ativas. As aes de proteo enquadram-se em uma das cinco categorias abaixo: confidencialidade - assegurar que as informaes no sero divulgadas a pessoas no autorizadas; integridade - garantir a coerncia das informaes impedindo criao no autorizada, alterao ou destruio de dados; disponibilidade - garantir que usurios legtimos no sejam impedidos indevidamente de ter acesso a recursos computacionais, informaes e recursos de comunicaes; no-repdio assegurar que as informaes transmitidas foram recebidas pelo destinrio final; autenticao de sistemas amigos garantir a identidade do requisitante de uma transao. Os prximos itens trataro da proteo da infraestrutura e da identificao de vulnerabilidades emaplicaes de software. 4. A PROTEO DA INFRAESTRUTURA DE TECNOLOGIA DA INFORMAO A proteo fsica hoje constituda por dispositivos de segurana de sistema que visam isolar os sistemas crticos do mundo exterior ou de parte do mundo

exterior com o intuito de minimizar as possibilidades de ataques bem sucedidos. Esse isolamento e mais restritivo quando se trata de sistema de defesa. Entende-se por sistema, toda e qualquer parte interconectada necessria para a execuo de uma determinada operao. Alm disso, sistemas podem envolver pessoas, mquinas e software. Com a atual introduo de CLOUD, dispositivos remotos (celulares e PDAs), maior complexidade dos dispositivos de automao (cmeras IP, componentes de gesto industriais remotos), aumenta a complexidade para a elaborao de projetos de isolamento destes componentes. Estes trs fatores esto contribuindo e muito para dificultar aes de segurana, principalmente para solues crticas ou de defesa. A proteo fsica hoje dividida em quatro tipos de solues: - solues baseadas em filtros estticos, como Firewalls, filtros de sites ou regras de email ou regras de acesso a estao de trabalho ou dispositivos remotos. Utilizados para gerar um funil de dados, evitando ataques em sistemas no relacionados com a operao. Estes filtros devem ser feitos tanto de dentro para fora quanto de fora para entro da estrutura ou componente da estrutura; - solues adaptativas que tem suas regras montadas a partir de bases de conhecimento dinmicas, como analisadores de URLs, IDS/IPS, anti-spam e detectores de anomalias comportamentais (redes e estao de trabalho). Utilizados para evitar a penetrao atravs de dispositivos que entram na rede com a permisso dos usurios e administradores, seja intencional ou acidental e erros de operao; - controle de acesso e criptografia de fluxo de dados, como solues de autenticao forte e VPN (HTTPS ou IPSEC); - solues de cruzamento de dados, monitoramento e tratamento de incidentes, de preferncia integradas, para o acompanhamento de solues rpidas e integradas de potenciais eventos de segurana, alm de alarmes para situaes suspeitas. Estas solues devem ser levadas em considerao na execuo do projeto e em sua concepo inicial, principalmente com a entrada de novas tecnologias citadas anteriormente. Em relao a aspectos de Defesa, deve-se levar em considerao quatro pontos fundamentas e obrigatrios: - criptografia e autenticao integral de toda comunicao entre componentes no nvel de rede e aplicao, tanto entre mquinas (automatizado), entre pessoas e mquinas, e entre pessoas; - isolamento completo da infraestrutura quando possvel ou de parte da infraestrutura com implementao de barreiras sucessivas;

Segunda Conferencia Iberoamericana de Complejidad, Informtica y Ciberntica: CICIC 2012 Orlando FL USA.

- isolamento completo dos sistemas embarcados ou sistemas operacionais de forma a bloquear o acesso interno e externo a portas e aplicaes no utilizadas por caminhes no convencionais; - controle da tecnologia, sobre o cdigo fonte ou sobre a produo dos sistemas que compem a operao, atravs de acordos tcnicos. A Auditoria se faz necessria neste tipo de ambiente. O controle dos componentes responsveis pela segurana obrigatrio. As ameaas cibernticas e as disputas comerciais no mbito global transformaram as portas de entrada no autorizadas em ferramentas corporativas e de controle do estado. Estas portas podem ser inseridas por artefatos externos gerados especificamente para esta funo ou inseridas propositalmente em dispositivos eletrnicos, seja em software ou at mesmo em hardware para causar parada de operao ou controle e coleta de informao. 5. IDENTIFICANDO VULNERABILIDADES EM SOFTWARE A importncia da segurana da informao cresceu significativamente com aumento de atividades que so realizadas atravs da Internet. Troca de informaes entre indivduos e organizaes, Internet Banking e comrcio eletrnico so exemplos de situao onde a segurana da informao pode ser decisiva na construo imagem pblica e obteno de resultados. As organizaes focaram fortemente em resolver as questes de segurana na camada de infraestrutura, com firewall, anti-spam, controles de acesso, antivrus etc., e com isso reduziram significativamente sua exposio a riscos e vulnerabilidades. No entanto, a segurana no nvel da aplicao despontou como principal origem das vulnerabilidades. So falhas que permitem a obteno de dados privilegiados, a execuo de programas maliciosos, roubo de identidade e at o total comprometimento de servios, e tudo isto tem como porta de entrada aplicaes legtimas das empresas. Tomar conhecimento destas falhas e agir para solucion-las em conjunto com as reas de infraestrutura e desenvolvimento so imprescindveis para a gesto de qualquer organizao. Organizaes internacionais de apoio e normalizao do acesso Internet tm trabalhado incessantemente parra identificar e mapear as possibilidades de ataque, bem como as contramedidas a serem adotadas em cada caso, entre elas a OWASP (The Open Web Application Security Project) [13]. Trata-se de uma organizao sem fins lucrativos que tem a misso de tornar a segurana de aplicaes visvel para que pessoas e organizaes possam tomar decises sobre reais riscos de segurana de aplicaes, organizando listas de referncias sobre riscos, vulnerabilidades e ataques, alm de disponibilizar este material para todos os pblicos interessados.

Outra organizao o W3C (World Wide Web Consortium) [14], que uma comunidade internacional responsvel por definir padres da Web Internet, com o objetivo de levar a Web a seu potencial mximo, e por publicar padres e referncias sobre o funcionamento das tecnologias Web. As vulnerabilidades so catalogadas por tipo crescente de impacto (do menos invasivo ao mais invasivo) e proposta apresentada nesse trabalho visa contextualizar como deve ser testada cada uma das vulnerabilidades, bem como identificar que contramedida mais simples deve ser executada parra que a vulnerabilidade no seja explorada por ataques cibernticos. Algumas das vulnerabilidades que so citadas pela OWASP so as seguintes: entrada de dados no validada; quebra da administrao de autenticao e sesso (uso das credenciais da conta e cookies da sesso); ataques ao cross-site scripting (XSS); overflow do buffer; defeitos de injection (por exemplo, structured query language (SQL injection); administrao incorreta dos erros; armazenagem insegura; recusa de servio; administrao de configurao insegura; autenticao; autorizao (separao de privilgios); gerenciamento de sesso (gerenciamento de cookies); validao de entrada/dados (troca de dados entre aplicaes); auditoria (logging); criptografia (armazenamento inseguro de dados); configurao insegura. Cada uma destas vulnerabilidades pode ser identificada de maneira automatizada ou semiautomatizada, permitindo que se possa adotar medidas preventivas na fase de elaborao e construo da aplicao (desenho e programao) e tambm podem ser detectadas em aplicaes j construdas (como trabalho de deteco de defeitos e certificao de segurana de aplicaes). Em ambos os casos, pode-se utilizar tcnicas de automao manual ou de alta automao. Com o uso de alta automao [15], as vulnerabilidades e os modelos de ataque j esto disponveis em bancos de conhecimento que so utilizados por ferramentas de auto-programao de robs de testes existentes no mercado (tais como HP Mercury, IBM Rational, Compuware etc) para que esses robs identifiquem possveis falhas e para que, aps a identificao e os ajustes necessrios, se possa reutilizar os robs em retestes at a completa certificao da aplicao. Um servio de certificao neste caso composto pelas seguintes fases: entendimento de arquitetura da aplicao; entendimento funcional da aplicao; desenvolvimento da estratgia de verificao; modelagem do sistema na ferramenta de altaautomao; execuo automatizada ou semiautomatizada; elaborao de relatrio de concluses e orientaes para ajustes e correes.

Segunda Conferencia Iberoamericana de Complejidad, Informtica y Ciberntica: CICIC 2012 Orlando FL USA.

Cabe ressaltar que a identificao de vulnerabilidades manual de grande ajuda, mas que, por si s, no atende a todas as necessidades de certificao de segurana, tendo em vista que a quantidade de casos a serem testados em aplicaes de grande porte quase sempre muito maior do que a capacidade, em recursos e tempo, da rea de segurana de qualquer empresa ou organismo de estado. Alem disso, o volume de legados computacionais, nestes casos, enorme, o que impede que todos os sistemas existentes sejam homologados e testados de maneira completa. Diante do crescente volume de problemas de segurana da informao encontrado em organizaes pblicas e privadas e que seguem sendo tratados imaturamente como defeitos de infraestrutura, perpetuando o problema e tornando a soluo cada vez mais complexa, j que os sistemas seguem sendo desenvolvidos e novas funcionalidades seguem sendo adicionadas sem o devido foco em constru-las de maneira mais segura. 6. CONCLUSO O objetivo do trabalho foi apresentar a conceituao de espao ciberntico como um ambiente global comum a Estados, organizaes e pessoas. O desenvolvimento das tecnologias de informao e comunicao ampliou as condies de acesso a esse ambiente. Todavia, criou uma nova concepo de embates as operaes cibernticas, onde ataque e defesa acontecem utilizando a informao. Para se opor a tais ameaas preciso proteger trs dimenses: a fsica, a informacional e a cognitiva. A proteo fsica permite impedir ou minimizar os efeitos de ataques infraestrutura de uma organizao. A proteo informacional visa deter ataques diretos ou indiretos. Os ataques diretos so prevenidos por meio de tecnologias que esto na interface entre as dimenses fsica e informacional. As possibilidades de ataques indiretos podem ser minimizadas empregando tcnicas de desenvolvimento de software seguro. REFERNCIAS BIBLIOGRFICAS [1] MANDARINO JUNIOR, R.; CANONGIA, C. (Org.). Livro Verde: segurana ciberntica no BRASIL. Braslia: GSIPR/SE/DSIC, 2010. [2] CEBROWSKI, A. K. Transformation and the Changing Character of War? Transformation Trends, June 17, 2004. Disponvel em: www.hsdl.org/?view&did=448180. Acesso em: 27/03/2011. [3] WOOLLEY, P. L. Defining Cyberspace as a United States Air Force Mission - Graduate Research Project. Wright-Patterson Air Force Base, OH: Air Force Institute of Technology, June 2006. [4] EKMAN, M.; WARG, F.; NILSSON, J. An InDepth Look at Computer Performance Growth. Technical Report 2004-9 (Goteborg: Chalmers

University of Technology, 2004). Disponvel em: www.ce.chalmers.se/research/group/hpcag/publ/2004/ EWN04/. Acesso em: 10/04/2011. [5] USA. Country ComparisonsInternet Users. The World Factbook, Washington, DC: Central Intelligence Agency, 2009, Disponvel em: https://www.cia.gov/library/publications/the-worldfactbook/rankorder/2153rank.html. Acesso em: 20/06/2011. [6] VARNADO, S. G. SCADA and the Terrorist Threat: Protecting the Nations Critical Control Systems. Washington, DC: U.S. House of Representatives, 2005. [7] ARQUILLA, J.; RONFELDT, D. Networks and Netwars: The Future of Terror, Crime, and Militancy. Rand Corporation, 2001. [8] USA. U.S. Joint Forces Command, Joint Operating Environment (JOE). Norfolk, VA: U.S. Joint Forces Command, 2008. [9] USA. Department of Defense Dictionary of Military and Associated Terms. Joint Publication (JP) 1-02, Washington: DC, 2010. [10] BEIDLEMAN, S. W. Defining and Deterring Cyber War - Strategy Research Project. Carlisle Barracks, PA: U.S. Army War College, 2009 [11] MICHEL, J. B.; WINGFIELD, T. C.; WIJESEKERA, D. Measured Responses to Cyber Attacks Using Schmitt Analysis: A Case Study of Attack Scenarios for a Software-Intensive System. Proceedings of Twenty-seventh Annual International Software and Applications Conference, Dallas, TX: Institute of Electrical and Electronics Engineers, November, 2003. [12] OHARA, T. F. Cyber warfare/cyber terrorism. Master of Strategic Studies Degree Project. CARLISLE BARRACKS: U.S. Army War College, 2004. [13] OWASP. The Open Web Application Security Project. Disponvel em: <https://www.owasp.org>. Acesso em 19/09/2011. [14] W3C. World Wide Web Consortium. Disponvel em: < http://www.w3.org>. Acesso em: 19/09/2011. [15] STARC. Sistema de Teste Automatizado por Reutilizao de Cdigo. Disponvel em: < http://www.grupohdi.com>. Acesso em: 25/09/2011.

Segunda Conferencia Iberoamericana de Complejidad, Informtica y Ciberntica: CICIC 2012 Orlando FL USA.