Segurana da Informao

Fernando Alberto, Otavio Bianchi, Ronni Cleverson Duarte, Orlei Jos Pombeiro Grupo de Pesquisa em Informtica, Bacharelado em Sistemas de Informao, Sociedade Paranaense de Ensino e Informtica - Faculdades SPEI Fone(41)3321-3131, Fax (41)3321-3142 billiegdjoe@gmail.com , otaviobianchi@hotmail.com, ronnibom@ig.com.br, orlei@spei.br Resumo A informao, os processos de apoio, sistemas e redes so importantes ativos e tambm, estratgicos para os negcios. Confiabilidade, integridade e disponibilidade, so caractersticas chave para a segurana da informao, atravs dessas caractersticas que possvel preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao no mercado. As organizaes esto extremamente preocupadas com a segurana nos sistemas de informao e redes de computadores. necessrio garantir a confiabilidade e segurana de suas transaes e combater os ataques causados por vrus, hackers e phishings, que esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. Palavras-chave: Segurana da informao, criao de senhas, estratgias de segurana.

Introduo Com o crescimento da globalizao, o acesso informao est mais fcil. O reflexo deste novo panorama traduz-se em episdios cada vez mais freqentes de saques eletrnicos indevidos, clonagem de cartes de crdito, acesso a bases de dados confidenciais, dentre inmeras outras ameaas. A segurana da informao vem sendo tema de grande debate neste novo milnio. As organizaes esto buscando solues prticas e efetivas, que possam trazer otimizao de suas atividades, mas ao mesmo tempo segurana em operar seus mecanismos de trabalho. Existem tcnicas de como escapar ou evitar os ataques mais comuns informao, fazendo um paralelo entre os problemas, sintomas, prevenes e solues. Navegao pela Internet A exploso dos ataques online est longe de esfriar e parece haver cada vez menos lugar para correr. De acordo com a consultoria Sophos, o ano passado teve um aumento de 48% na atividade dos chamados malwares, que englobam toda gama de praga virtual [1]. O problema no s dos vrus. Somente em 2005 foram encontradas 5198 vulnerabilidades diferentes em Sistemas Operacionais (S.O.), como Windows, Mac-OS X e Unix/Linux, e segundo o Computer Emergency Readiness Team (Cert), nem todos foram corrigidos [1]. Engana-se quem imagina que esse tipo de problema somente do exterior. Aqui no Brasil as fraudes on-line aumentaram quase 600% em 2005, segundo dados do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (Cert.br) [1]. Mais esse tipo de problema no esta disponvel somente para PCs e seus S.O.. As pragas para celulares, j atingia o nmero de 87, em setembro de

2005 segundo a F-Secure. Assim como os Vdeo-Games Nintendo DS e Playstation Portable, eles tambm j tm seus vrus (caso sejam infectados, no servem mais para nada) [1]. Como criar senhas seguras Senha fcil a porta de entrada para ataques bem sucedidos por pessoas mal-intencionadas. E enquanto a biometria no se torna uma realidade, temos que garantir que a velha e boa senha continue protegendo as informaes. Porm, mesmo sendo antiga, ela deve estar sempre atualizada. Antigamente, as senhas consideradas fortes eram as que tinham 6 caracteres numricos, mais com o avano da tecnologia, hoje em dia isso muito fcil de ser quebrada. Na Tabela 1: Como criar senhas, existem dicas de como se deve e como no se deve criar uma senha. Tambm pode ser usada a criatividade, utilizando-se da primeira letra de uma frase unida com a pontuao, ou ainda, usar software que geram senhas aleatrias para o usurio. O que no pode ser esquecido, que 80% dos problemas de segurana que temos, so causadas por senhas fracas, conforme estimativa do CERT [2]. Outra dica usar uma senha com, no mnimo, 8 caracteres, tendo sempre nela, obrigatoriamente, uma letra, um nmero e um caractere especial como: @, %, &, ou +, e se usar uma palavra apenas, escreve-la de forma incorreta, exemplo: No momento em que for criada, troque o A por 4, L por 1 e adicione um caractere especial no inicio, meio e final, como um @. Se fosse escolhida a palavra casamento, escrevendo errado, ela ficaria #k4sa^m3nt0&. Isso j dificultaria bastante os aplicativos brute force[2] , programas para decifrar senhas, usando todas as alternativas para descobrir-la[2]. Outra regra para manter as senhas mais seguras, troca-las regularmente. As mais importantes, como as de Internet Banking, devem ser alteradas

mensalmente, assim garantindo a segurana do acesso. Outra dica, bastante fcil ser aplicada, quando acessar o Banco on-line, na hora de digitar-la, escreva-a totalmente errada na primeira tentativa de acesso, se por acaso no der nenhum erro de senha invalida, significa que um site falso. Saia imediatamente dele e comunique o seu banco o mais rpido possvel.
Tabela 1: Como criar senhas

O que fazer com a sua senha Misture letras em maisculo e minsculo alm de nmeros e caracteres especiais

O que NO fazer com a sua senha No utilize nenhuma palavra do dicionrio, mesmo em outra lngua, acrnimos e abreviaes.

perigosos, migrando das cidades do interior para qualquer micro conectado a Web. Para funcionar, o cracker joga uma isca (da o nome phishing), como um e-mail de um banco idntico ao original, para que o usurio baixe o sistema malicioso que envia tudo o que ele digitar em seu PC ou envia informaes sigilosas pela Web, como senhas de banco. E um aspecto que ajuda esse tipo de crime a curiosidade do usurio. O pior de tudo, que esse tipo de praga no traz cdigos maliciosos integrado a ele, o prprio usurio tem que clicar e instala-lo sendo enganado pela engenharia social. Portanto, para evitar mais esse incomodo, o usurio que tem que ficar atento. Vrus e Pragas Os vrus foram os primeiros a comear o pnico na Internet. A infeco acontece geralmente por e-mail, que contem um arquivo malicioso, anexado a ele, enviado para o usurio. Mesmo tendo diminudo com o tempo, esse tipo de recurso ainda bastante usado, e para evitar a contaminao, o usurio deve seguir 3 dicas importantes: Ter sempre um antivrus atualizado, nunca abrir arquivos de pessoas desconhecidas ou que achar estranho e ter um firewall no seu PC. Assim ele evita, porm, no soluciona totalmente, a infeco. Fora os aplicativos, todas as velhas dicas sobre segurana continuam valendo, at meio clich, mas tem que desconfiar de e-mails de pessoas desconhecidas e ter cuidado ao visitar sites pouco famosos [4]. Alem do e-mail Porm, no so s os e-mails que podem infectar um PC. As redes P2P de troca de arquivo e as paginas Web tambm podem esconder cdigos maliciosos. Quem baixa musica em programas de compartilhamento deve estar bem mais atento. fcil baixar uma cano com um vrus integrado, sem que se desconfie [4]. Essa tcnica conhecida como morphin, em que o Craker acopla um vrus no arquivo em MP3. Com uma simples navegao, o usurio pode ser infectado. Ao contrario dos ataques tradicionais, a praga contamina o PC sem que o usurio o instale. Para esses casos, exige medidas um pouco mais drsticas. necessrio observar o cadeado que o Internet Explorer mostra sempre que se visita uma pagina segura e nunca clicar em links desconhecidos [4]. Outra ameaa, que tambm se instala sem que o usurio saiba, o Spyware, que tem a funo de roubar as senhas e dados pessoais, fazendo com que aumente de 3 para 4 dicas de segurana importante: instalar um software anti-Spyware. O CISO (Chief Information Security Officer) da Universidade da Gergia (EUA), Stan Gatewood, em parceria com o Computerworld, reuniu os principais passos para construir ou mesmo reestruturar o

Utilize caracteres No use seu nome, apelido ou alfanumricos com suas iniciais como base para pontuao quando suportado criao de senha. pelo sistema. Utilize mais letras em maisculo do que apenas na primeira posio. Troque obrigatoriamente sua senha se suspeitar de algum vazamento ou do comprometimento do seu sigilo. Forme uma senha aparentemente randmica, sem q ela tenha significado lgico. Forme uma senha que se possa digitar rapidamente sem ter que olhar no teclado. Troque sua senha regularmente. A freqncia deve acompanhar a criticidade do bem protegido. Evite associaes quando forma de senha. Forte a senha que no se consegue descobrir por deduo. Memorize a senha, mais se tiver de escrever, escreva apenas algo que faa lembra-la. Use pelo menos 8 caracteres, aumentando preferencialmente para 10.
Fonte: Marcos Smola [2]

No utiliza nenhuma variao do seu login de rede. No utilize nenhuma outra informao sobre voc que possa ser facilmente obtida. Incluindo nome de animais de estimao, nmeros de telefone, marca de automveis, nome de ruas. No utilize seqncias de teclas do teclado. No utiliza datas ou combinao de datas como base para formao e senhas. No utilize senhas formadas somente por nmeros ou caracteres alfanumricos, quando o sistema permitir. No use exemplo de senhas mencionadas em livros sobre segurana ou qualquer outra literatura, por mais forte que possa parecer. No escreva as senhas em papeis, notas, calendrios ou em ambiente on-line se outros usurios puderem acessar. No compartilhe contas de acesso e senhas e no revele sua senha para ningum.

Phishing: conto do vigrio digital No delrio dizer que a verso digital do conto do vigrio o phishing [3]. Alm disso, com o avano da Internet, os golpes ficaram mais vastos e

departamento de segurana da informao da sua empresa. [5] Conhea 13 dicas para criar sua estratgia de segurana: 1. Identifique um executivo lder. Um executivo patrocinador precisa defender a nova estratgia do programa de segurana. 2. Selecione uma pessoa principal. O CISO ou outro lder de segurana devem gerenciar diariamente as atividades. 3. Defina ou priorize os objetivos. Tente amarrar os objetivos de negcio aos de segurana. 4. Estabelea um mecanismo de reviso. Um processo revisto pela diretoria, por executivos de tecnologia da informao, segurana fsica, recursos humanos, jurdico, auditoria e pela rea de segurana da informao avaliar e aprimorar as iniciativas. 5. Estime o estado corrente da segurana. Considere poltica, processos, sugestes, padres, tecnologias existentes (hardware e software), treinamento e educao. 6. Estabelea ou restabelea a organizao da segurana. O grupo deve ter o foco na segurana das informaes, no s as limitaes das tecnologias que possui. 7. Revise a posio existente e desenvolva novas de acordo com as necessidades. Isso pode incluir uma poltica aceitvel e configurao de segurana mnima para qualquer equipamento da rede. 8. Monte times de implementao. Coloque juntos grupos com funes complementares, com funes tcnicas e de negcio para orquestrar os planos as novas polticas, iniciativas, ferramentas e processos. 9. Tenha um executivo da diretoria de segurana revisando os planos. Este grupo deve considerar o oramento, tempo de execuo e prioridades. 10. Revise as possibilidades tcnicas. Isto pode ser feito por um tcnico de segurana que represente o escritrio do CIO e do CTO, mais o pessoal de operaes, servios de produo e suporte. 11. Determine, faa a programao, execute e discute o que pode ser feito e entregue. D claras responsabilidades individuais e de grupo. 12. Coloque toda a equipe de trabalho no plano estratgico. Cada um do departamento de segurana deve estar apto a introduzir e explicar os objetivos do plano de segurana e detalhar como os projetos esto contribuindo para a meta da empresa. 13. Mensure resultados com mtricas e estas mtricas de segurana de TI devem estar baseadas em objetivos que terminem em decises certas e melhorias de negcio

tomadas sem maiores impactos em nossa vida, como mudar uma senha a cada 3 meses ou quando for conveniente. Nota-se que a maioria dos casos de infeco acontece por falha do usurio ao no tomar cuidado ao ver e-mails ou deixar o antivrus desatualizado ou por falhas na poltica de segurana das empresas, aonde os invasores se aproveitam de tcnicas de engenharia social para conseguir as informaes que necessita. J nos casos de roubo de senhas, normalmente so causados por programas maliciosos instalados no computador da vtima sem que a mesma tenha conscincia disso. Concluses Por mais que os melhores softwares esto instalados nos PCs, sempre manter a ateno em relao a segurana da informao fundamental, pois, uma boa parte das pragas que infectam os sistemas, so pegas simplesmente pela falta de cuidado ao ver e-mails ou usar o Internet Banking. A frase melhor prevenir do que remediar cabe muito bem quando o assunto a preveno, ou seja, tomar cuidado ao visitar um site desconhecido, ver e-mail de pessoas estranhas ou digitar senhas em lugar que no so seguros como lan- house.. Referncias [1]http://idgnow.uol.com.br/seguranca/2006/02/24/idgn oticia.2006-02-24.2994903364/IDGNoticia_view [2]http://idgnow.uol.com.br/seguranca/firewall/idgcolun a.2006-08-18.5368218714/IDGColuna_view [3]http://idgnow.uol.com.br/seguranca/2006/02/24/idgn oticia.2006-02-24.7680983941/IDGNoticia_view [4]http://idgnow.uol.com.br/seguranca/2006/02/24/idgn oticia.2006-02-24.5481078781/IDGNoticia_view [5]http://idgnow.uol.com.br/seguranca/2006/09/18/idgn oticia.2006-09-18.8251518357/IDGNoticia_view [6]http://idgnow.uol.com.br/seguranca/2006/02/24/idgn oticia.2006-02-24.1177261050/IDGNoticia_view

Resultados Atravs das prticas aqui discutidas, possvel estar mais protegido quanto aos mais diversos tipos de ameaas digitais. Algumas delas requerem um estudo aprofundado de como a informao est estruturada, j outras requerem apenas simples medidas que podem ser