Sei sulla pagina 1di 193

88797-978-85-7605-832-8_CAPA.pdf, page 1 @ Preflight Server ( 978-85-7605-832-8_Unopar_1aProva.

indd ) - 02:17:25 - January 10, 2014 - PG-1

UNOPAR

Segurana da
informao

Segurana da informao

Erika Coachman

ISBN 978-85-7605-832-8

CL ML LB LLB

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-1

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-2

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-3

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-4

2010 by Pearson Education do Brasil e Unopar


Todos os direitos reservados. Nenhuma parte desta publicao
poder ser reproduzida ou transmitida de qualquer modo
ou por qualquer outro meio, eletrnico ou mecnico, incluindo fotocpia,
gravao ou qualquer outro tipo de sistema de armazenamento e transmisso
de informao, sem prvia autorizao, por escrito, da Pearson Education do Brasil.
Diretor editorial: Roger Trimer
Gerente editorial: Sabrina Cairo
Supervisor de produo editorial: Marcelo Franozo
Editor: Equipe Casa de Ideias
Reviso: Viviane Oshima
Capa: Rafael Mazzo
Diagramao: Casa de Ideias

Dados Internacionais de Catalogao na Publicao (CIP)


(Cmara Brasileira do Livro, SP, Brasil)
Coachman, Erika
Segurana da informao / Erika Coachman. So Paulo : Pearson
Education do Brasil, 2010.
Bibliografia
ISBN 9788576058328
1. Centros de processamento de dados Medidas de segurana Estudo
e ensino 2. Computadores Medidas de segurana 3. Informao
Sistemas de armazenagem e recuperao Medidas de segurana
4. Informtica Medidas de segurana 5. Sistemas de informao
gerencial Medidas de segurana 6. Tecnologia da informao I. Ttulo.
1004582

CDD658.47207
ndices para catlogo sistemtico:

1. Ambientes de informaes : Segurana : Administrao de empresas : Estudo e ensino 658.47207


2. Informaes : Ambientes : Segurana : Administrao de empresas : Estudo e ensino 658.47207
3. Segurana de informaes : Administrao de empresas : Estudo e ensino 658.47207

2010
Direitos exclusivos para lngua portuguesa cedidos
Pearson Education do Brasil, uma empresa do grupo Pearson Education
Rua Nelson Francisco, 26
CEP: 02712100 So Paulo SP
Tel.: (11) 21788686, Fax: (11) 21788688
email: vendas@pearsoned.com

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-5

Sumrio

Unidade 1 A (in)segurana da informao....................1


Introduo ao estudo............................................................................. 3
Seo 1 A importncia da informao no curso das
mudanas histricas............................................................ 5
1.1 A evoluo das trocas de informao: uma saga do homem............... 5
1.2 Afinal de contas, o que informao?................................................ 8
1.3 As classificaes da informao........................................................ 12

Seo 2

A (in)segurana da informao e os crimes virtuais...... 19

2.1 O que segurana da informao?................................................... 19


2.2 A insegurana da informao no Brasil e os crimes cibernticos....... 21
2.3 Crimes cibernticos e algumas de suas ferramentas.......................... 25

Unidade 2 A segurana da informao: tendncias


e desafios contemporneos.......................35
Introduo ao estudo........................................................................... 37
Seo 1 Como proteger a informao: conhecendo o
passo a passo...................................................................... 41
1.1 As etapas do sistema de segurana: prevenir, detectar e recuperar.... 41
1.2 Conhecendo os dispositivos do sistema de segurana....................... 44
1.3 Como construir um sistema de segurana?........................................ 67

Seo 2

Combinando tecnologias em prol da segurana


computacional................................................................... 67

2.1 Integrao e centralizao: um caminho para o


gerenciamento da segurana............................................................. 67
2.2 Terceirizar ou no: um dilema contemporneo................................. 69

Unidade 3 Principais vulnerabilidades dos sistemas


computacionais.........................................97
Introduo ao estudo........................................................................... 98

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-6

vi

Segurana da informao

Seo 1

Por dentro do ataque......................................................... 99

1.1 Conhecendo o inimigo..................................................................... 99


1.2 Conhecendo seus instrumentos....................................................... 105
1.3 Novas tecnologias, novos ataques................................................... 114

Seo 2

Combatendo o inimigo. .................................................. 116

2.1 A segurana da informao e os novos recursos............................. 116

Unidade 4 Poltica de segurana e auditoria............133


Introduo ao estudo......................................................................... 134
Seo 1 Poltica de segurana para empresas............................. 136
1.1 Criando sistemas sob medida: cada caso um caso........................ 136
1.2 Definindo uma poltica de segurana da informao...................... 139
1.3 Integrando os componentes da poltica de segurana..................... 148

Seo 2

Auditoria: seus objetivos e procedimentos................... 148

2.1 Examinando a sade das empresas................................................. 148


2.2 Nveis da auditoria.......................................................................... 151
2.3 Arquiteturas dos sistemas de informao......................................... 152
2.4 Controles de acesso lgico............................................................. 152
2.5 Entendendo a importncia da auditoria.......................................... 152

Unidade 5 Ataque s informaes............................159


Introduo ao estudo......................................................................... 160
Seo 1 Explorando as falhas tecnolgicas................................. 162
1.1 Informaes livres........................................................................... 162
1.2 Packet sniffing................................................................................. 164
1.3 Port scanning.................................................................................. 165
1.4 Scanning de vulnerabilidades......................................................... 166
1.5 IP spoofing...................................................................................... 167
1.6 Firewalking..................................................................................... 168

Seo 2

Ataques fsicos. ................................................................ 169

2.1 Dumpster diving ou trashing........................................................... 169


2.2 Engenharia social............................................................................ 170
2.3 Invases na infraestrutura fsica....................................................... 171

Sugestes de leitura......................................................179
Referncias...................................................................181

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-7

Carta ao aluno

O crescimento e a convergncia do potencial das tecnologias da in


formao e da comunicao fazem com que a educao a distncia, sem
dvida, contribua para a expanso do ensino superior no Brasil, alm de
favorecer a transformao dos mtodos tradicionais de ensino em uma
inovadora proposta pedaggica.
Foram exatamente essas caractersticas que possibilitaram Unopar
ser o que hoje: uma referncia nacional em ensino superior. Alm de
oferecer cursos nas reas de humanas, exatas e da sade em trs campi
localizados no Paran, uma das maiores universidades de educao a
distncia do pas, com mais de 350 polos e um sistema de ensino dife
renciado que engloba aulas ao vivo via satlite, Internet, ambiente Web e,
agora, livrostexto como este.
Elaborados com base na ideia de que os alunos precisam de instru
mentos didticos que os apoiem embora a educao a distncia tenha
entre seus pilares o autodesenvolvimento , os livrostexto da Unopar
tm como objetivo permitir que os estudantes ampliem seu conhecimento
terico, ao mesmo tempo em que aprendem a partir de suas experincias,
desenvolvendo a capacidade de analisar o mundo a seu redor.
Para tanto, alm de possurem um alto grau de dialogicidade ca
racterizado por um texto claro e apoiado por elementos como Saiba
mais, Links e Para saber mais , esses livros contam com a seo
Aprofundando o conhecimento, que proporciona acesso a materiais de
jornais e revistas, artigos e textos extrados de livros de autores consagra
dos, como Philip Kotler, Lawrence Gitman e Stephen Robbins.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-8

viii

Segurana da informao

E, como no deve haver limites para o aprendizado, os alunos que


quiserem ampliar seus estudos podero encontrar na ntegra, na Biblioteca
Digital, acessando a Biblioteca Virtual Universitria disponibilizada pela
instituio, a grande maioria dos livros indicada na seo Aprofundando
o conhecimento.
Essa biblioteca, que funciona 24 horas por dia durante os sete dias da
semana, conta com mais de mil ttulos em portugus, das mais diversas
reas do conhecimento, e pode ser acessada de qualquer computador
conectado Internet.
Somados experincia dos professores e coordenadores pedaggicos
da Unopar, esses recursos so uma parte do esforo da instituio para
realmente fazer diferena na vida e na carreira de seus estudantes e tam
bm por que no? para contribuir com o futuro de nosso pas.
Bom estudo!
Prreitoria

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-9

Apresentao

A evoluo tecnolgica criou um novo mundo dos negcios. As eras


comercial, industrial e financeira abrem espao para a inaugurao do
capitalismo informacional. Afinal, tem mais poder no sculo XXI quem
tem acesso informao. O impacto dessa transformao gigantesco.
Impulsionado pela expanso global da Internet, os novos tempos chega
ram para ficar. Junto com eles, uma srie de novas demandas invadem
o mbito empresarial. Graas informatizao dos processos, os cofres
j no do conta mais da segurana dos dados. o fim da metfora da
fortaleza: a informao no pode mais ficar presa a sete chaves. Os novos
moldes de comunicao lhe deram um carter fluido: os dados esto em
trnsito constante.
Preparese para entender as regras desse novo mundo. Na Unidade 1,
voc ser apresentado ao conceito de informao. Por meio de um breve
passeio histrico, voc entender as circunstncias que garantiram
informao um papel to importante nos dias atuais. Porm, o advento
do capitalismo informacional tambm trouxe novas demandas: j que os
dados so o cerne dos negcios contemporneos, eles merecem ser pro
tegidos. Voc vai conhecer na Unidade 2 os dispositivos que prometem
dar conta da sua segurana. Por isso, firewalls, IDS, antivrus e antispam
tm se tornado itens obrigatrios para qualquer empresa. No entanto, no
basta s proteger: preciso conhecer o inimigo. Na Unidade 3, voc ser
apresentado aos principais adversrios da segurana da informao: os
piratas cibernticos e suas pragas digitais. A ao desses novos criminosos
j provocou prejuzos milionrios e no d sinais de enfraquecimento.
No toa que muitas empresas tm reforado suas defesas. Na Uni

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-10

Segurana da informao

dade 4, voc entender por que to importante elaborar uma poltica


de segurana empresarial. Por fim, a Unidade 5 vai lhe apresentar o uni
verso dos invasores. Preparese para explorar os desafios e as ameaas
da segurana da informao.
Boa leitura!

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-11

Unidade 1

A (in)segurana
da informao
Objetivos de aprendizagem: durante a leitura desta unidade, voc vai
conhecer o processo de evoluo histrica do conceito de informa
o que culminou com o advento da globalizao, marco histrico
que atribuiu um papel principal s trocas econmicas, polticas e
sociais em escala mundial. Voc tambm ser capaz de entender
as condies que provocaram o desenvolvimento das tecnologias
da informao que visam facilitar seu intercmbio e protegla da
ao de criminosos.

Seo 1:

A importncia da informao no curso das mudanas histricas

Esta seo oferece uma viso historicamente situada


dos eventos que conduziram a informao ao seu
status atual, criando o rtulo sociedade da infor
mao para descrever o momento em que vivemos.
Voc conhecer as dificuldades que os estudiosos
enfrentam em suas tentativas de definir o que in
formao. Em seguida, ser apresentada uma forma
eficaz de entender esse termo to amplo. Nesta seo
voc tambm encontrar diferentes critrios para
classificar a informao e descobrir o modo como
essas categorias contribuem para o desenvolvimento
de nveis de segurana adequados s necessidades
de cada caso.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-12

Segurana da informao

Seo 2:

A (in)segurana da informao e os crimes


virtuais

Se no mundo globalizado a informao ocupa uma


posio privilegiada, preciso tomar cuidado com o
seu uso, monitorando etapas como a produo, o
transporte e at mesmo o descarte. Sem dvida, essa
necessidade surge como resposta s tentativas criminosas de conseguir acesso a informaes secretas a
todo custo. Voc conhecer aqui as estratgias que
os crimes virtuais utilizam para desafiar as barreiras
de segurana.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-13

A (in)segurana da informao 3

Introduo ao estudo
Embora o significado do termo informao seja controverso, poss
vel verificar que comunicao uma das palavras mais frequentemente
empregadas na busca por uma definio abrangente e satisfatria.
comum acreditar que a aproximao dos dois conceitos esteja ligada
ao carter dinmico que a informao vem assumindo na sociedade
contempornea. Sua importncia no se limita mais a disciplinas como
a arquivologia, a biblioteconomia e a diplomacia. Apesar do destaque
indiscutvel da informao nessas reas tradicionais, as fronteiras rgidas
das disciplinas no comportam hoje em dia o carter diversificado das
atividades relacionadas informao. inevitvel, portanto, a expanso
desse conceito para outros domnios.
Contudo, seria um erro ignorar que, embora a expresso sociedade da
informao designe um fenmeno contemporneo, a informao jamais
deixou de desempenhar uma funo central nos mais diversos segmentos
cientficos, sociais, polticos e econmicos. Mesmo h milhares de anos j
era possvel identificar sua importncia. Para ilustrar o papel diversificado
da informao desde os tempos mais remotos, sugerimos aqui um paralelo
com Hermes, um deus bastante peculiar da mitologia grega.
O nome Hermes de definio to controversa quanto o significado
de informao. Alguns tericos sustentam que ele deriva da palavra
hermeneus que, por sua vez, significa intrprete. Porm, as funes do
deus Hermes ultrapassavam as atribuies de um simples intrprete. Ao
pensarmos nesse deus grego, importante lembrarmos que ele era um dos
deuses mais ativos do Olimpo, exercendo tarefas das mais diversas. Sua
atuao pertencia ao domnio da linguagem, abrangendo a interpretao
e a transmisso de mensagens dos deuses sob a forma de sonhos. Por
isso mesmo, era considerado o deus de vrias atividades que dependiam
principalmente da comunicao verbal. Entre elas, destacavamse o
comrcio, a diplomacia, as trocas socioeconmicas e as viagens. Cabia

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-14

Segurana da informao

a Hermes tambm conduzir as almas ao Hades, mundo dos mortos da


mitologia grega.
Mais do que um deus grego, Hermes ainda hoje uma metfora do
carter dinmico e diversificado da informao, cuja atuao tem sido im
portante desde os primrdios da existncia humana. curioso pensar que
a relevncia da informao resistiu ao implacvel das transformaes
histricas. Sua permanncia devese necessidade milenar do homem de se
comunicar e transmitir o conhecimento adquirido ao longo de sua vida para
as geraes futuras. Podemos identificar essa caracterstica nos primrdios da
existncia do homo sapiens, h surpreendentes 40 mil anos a.C. As pinturas
encontradas em rochas de abrigos e cavernas so algumas das poucas pistas
que remontam vida e aos saberes de culturas hoje extintas.
Devido precariedade da informao veiculada oralmente, o homem
sempre se preocupou com o desenvolvimento de tcnicas e materiais
que eternizassem as informaes herdadas. Foi essa preocupao, por
exemplo, que motivou os egpcios por volta de 2500 a.C., quando eles
desenvolveram o papiro, planta cuja parte interna constituiu um dos pri
meiros precursores do papel. Ainda compelido pelo mesmo cuidado com
a informao, o homem da Antiguidade adotou o pergaminho, material
preparado para a escrita a partir da pele de animal.
A criao de bibliotecas, instituies cuja origem nos remete ao sculo
VII a.C., so outra prova concreta de que o homem sempre procurou pre
servar o legado cultural de seus antepassados. Seja sob a forma de pintura,
escultura ou livros, a humanidade soube encontrar os meios necessrios
para promover o acmulo de conhecimento. Como era de se imaginar, hoje
em dia a consolidao dos pases e as relaes diplomticas intensificaram
a necessidade de documentar as decises obtidas por meio de alianas e
tratados. O registro de tais informaes um ponto crucial, pois evita que
no futuro sejam cometidas distores dos acordos originais.
Por sua vez, quando Estados atravessam momentos de conflito, a infor
mao ganha uma nova importncia. A posse de determinados dados pode
definir o desfecho do embate, oferecendo vantagem estratgica parte

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-15

A (in)segurana da informao 5

bem informada. No toa que, em perodos de guerra, a espionagem


tornase to frequente. Prticas semelhantes podem ser detectadas no meio
empresarial, onde a pirataria recorrente. Em tais circunstncias, proteger
o sigilo de uma tecnologia, por exemplo, ou a frmula de um determinado
produto pode definir o sucesso ou o fracasso de uma empresa.
Do mesmo modo, importante lembrarmos que a informao tam
bm um temachave das relaes interpessoais e do crescente uso da
Web nos dias de hoje. Porm, em se tratando desse assunto, a situao j
assume um carter contraditrio: se por um lado so as prprias pessoas
que voluntariamente compartilham informaes na Internet, por outro,
h tambm um forte receio por conta das consequncias desastrosas que
o excesso de exposio pode provocar.
Por meio deste breve relato histrico, podemos concluir que o ac
mulo de informaes corresponde a uma necessidade histrica do ser
humano garantir a preservao dos saberes e da experincia cons
trudos ao longo do seu percurso atravs do tempo. Mais do que uma
arrogante tentativa de se fazer eterno, a organizao do conhecimento
configura uma iniciativa de autopreservao. O homem busca, ento,
aprender com os saberes construdos por seus antepassados, adquirindo
assim uma vantagem decisiva na luta por sua sobrevivncia. Por outro
lado, h situaes em que a mesma informao em mos erradas pode
assumir alto potencial destrutivo, causando danos graves s instituies
ou pessoas cuja privacidade foi invadida.

Seo 1

 importncia da informao
A
no curso das mudanas
histricas

1.1A evoluo das trocas de informao: uma saga


do homem
Como voc acabou de ver, a importncia da comunicao vem aumen
tando no curso das mudanas histricas, devido ao seu estreito vnculo

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-16

Segurana da informao

com uma caracterstica bsica do ser humano: sua sociabilidade. Sendo


um ser social, o homem tem na comunicao uma necessidade primordial.
Dessa forma, o crescimento das civilizaes e sua disperso pelo mundo
afora impuseram um importante desafio para a humanidade: a criao de
meios eficazes para a comunicao longa distncia. Inicialmente, nossos
ancestrais responderam a essa demanda com formas ainda rudimentares
de transmisso de informao. Entre elas, destacamos o uso do sinal de
fumaa, o envio de mensageiros e pomboscorreio, por exemplo.
O sculo XIX trouxe uma importante inovao no ramo da transmisso
das informaes. Ao inventar o telgrafo em 1835, Samuel Morse revolu
cionou os meios de comunicao de sua poca, permitindo o envio de
mensagens para um destinatrio distante. Desde ento, as empresas e os
governos no cessaram de investir grandes somas no aprimoramento dos
equipamentos responsveis por processar, armazenar e transmitir informa
es. Um sculo depois, durante a Segunda Guerra Mundial, a inveno
do computador tornou realidade o sonho de construir uma mquina
com capacidade de processamento e armazenamento de informaes.
Inicialmente, as mquinas conhecidas como crebros eletrnicos eram
equipamentos carssimos, acessveis somente a empresas de grande porte.
S com a criao dos computadores pessoais (PC personal computers)
e sua contnua reduo de custo houve a popularizao da nova ferra
menta. O preo de um computador simples nos anos 1980, por exemplo,
era sete vezes superior ao valor atual de uma mquina equivalente, hoje
vendida at em supermercados.
J a dcada de 1960, marcada pela rivalidade entre duas potncias
(Estados Unidos e Unio Sovitica), acrescentou novos desafios comuni
cao internacional. Por causa das fortes tenses da Guerra Fria, os Estados
Unidos perceberam a importncia do sigilo de suas informaes, sob o
risco de se tornar vulnervel caso elas cassem em mos inimigas. Estocar
todas as informaes secretas no Pentgono, departamento de guerra
norteamericano, era um gesto bvio demais. Caso o local fosse atacado
por foras soviticas e as informaes secretas fossem divulgadas, a prpria

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-17

A (in)segurana da informao 7

segurana nacional estaria em xeque. Com isso, era preciso descentralizar


as informaes, criando um mecanismo mais eficiente e seguro para seu
compartilhamento e armazenamento. Foram essas as circunstncias que
levaram ao desenvolvimento da primeira rede de computadores. Na poca,
o Departamento de Defesa dos Estados Unidos sequer suspeitava que es
tivesse prestes a revolucionar definitivamente os meios de comunicao.
Mas foi s na dcada de 1970, com a diminuio das tenses entre os
Estados Unidos e a Unio Sovitica, que o governo decidiu liberar aos pes
quisadores universitrios o acesso rede de computadores. Posteriormente,
os alunos das universidades tambm aderiram rede, seguidos por seus
amigos e pelos amigos dos seus amigos. O resto da histria voc j pode
deduzir: houve um boom no uso da nova ferramenta de comunicao, o
que levou ao advento da Internet que conhecemos.
Com o surgimento da World Wide Web (www), os computadores pas
saram de sistemas isolados (standalone) a sistemas abertos (offtheshelf),
graas constante interao oferecida pela Internet. Porm, qualquer
mecanismo sempre tem suas vantagens e desvantagens. A Internet no
foge regra: por um lado ela oferece maior velocidade para as trocas
locais e internacionais, mas, se olharmos por outro prisma, veremos que
ela expe informaes importantes ao de hackers e crackers, grandes
viles do mundo ciberntico. Essa exposio perigosa; afinal, a maioria
dos computadores no oferece resistncia s habilidades dos piratas da
rede, que conseguem identificar senhas bancrias e outras informaes
sigilosas que ficam registradas na memria de nossas mquinas.
Em se tratando de empresas, os danos causados por invases do sis
tema podem ser ainda mais desastrosos. O que poderia acontecer a uma
indstria se o sigilo das tecnologias de seu mais importante produto
quebrado? Pior ainda, o que aconteceria se essa informao casse nas
mos do seu maior concorrente? O que aconteceria a um pas que, em
dias de guerra, tem sua estratgia revelada ao inimigo? Com certeza,
no difcil imaginar as consequncias nefastas que tais acontecimen
tos provocariam. No por acaso que, nos dias de hoje, a segurana da

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-18

Segurana da informao

informao consta na pauta das prioridades das grandes empresas e dos


Estados, por exemplo.
Infelizmente, no raro o descaso com que algumas instituies
ainda veem a importncia da segurana da informao. Frequente
mente a escolha de um sistema de informao no leva em conta a
segurana como um benefcio de longo prazo, priorizando a reduo
dos custos. Na mesma linha, h empresas que no oferecem treina
mento adequado para suas equipes, que acabam por cometer erros
fatais na transmisso e no armazenamento seguros de informaes
importantes. No entanto, decises pautadas em preos se esquecem
que a segurana da informao no pode mais ser encarada como
um gasto suprfluo: muito pelo contrrio, preservar o sigilo de
dadoschave de uma empresa significa garantir sua competitividade
no mercado.
Vivemos em um mundo em que a cooperao e as trocas longa
distncia so atividades do nosso dia a dia. Com isso, o comparti
lhamento em rede de dados entre filiais de uma mesma corporao,
por exemplo, no para de crescer. justamente esse aumento da
informatizao e das trocas online que tem tornado a segurana das
empresas mais vulnervel a cada dia. Quanto mais compartilhamos
dados com o auxlio da Internet, mais expostos ficamos ao dos
hackers e crackers. Por isso mesmo, as instituies que negligenciam o
aprimoramento das tecnologias de segurana da informao deveriam
rever suas prticas urgentemente.

1.2Afinal de contas, o que informao?


Voc estudou nos itens anteriores o papel importante que as
trocas de informaes exerceram ao longo da Histria do homem.
Analisamos que sua relevncia se aplica tanto a pessoas e empresas
como a Estados. Porm, at agora, no chegamos a uma definio de
informao. Para muitos, o significado das palavras pode parecer um
dado irrelevante, pois consideram apenas o valor que elas adquirem

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-19

A (in)segurana da informao 9

na prtica. No entanto, quando o assunto informao, primordial


chegarmos a um consenso a respeito de sua definio. Tomemos como
exemplo o caso dos direitos autorais. Eles se aplicam a uma vasta gama
de produtos: filmes, livros, msicas etc. Com o surgimento da Internet,
tornouse comum fazer download de msicas ao invs de comprar
CDs. Da mesma forma, muitas pessoas no vo mais ao cinema porque
os filmes j esto disponveis na Web. H at mesmo quem diga que
no futuro ningum comprar livros, pois todos eles estaro compilados
online. O problema dessas prticas que frequentemente os donos
dos direitos autorais no so contemplados com a propagao virtual
de suas obras. So poucos os internautas que buscam sites onde
preciso pagar pelo download de msicas, por exemplo. A definio de
informao surge, ento, como uma necessidade indispensvel para
a elaborao de leis sobre sua autoria e posse. Conclumos, assim,
que o interesse no significado de informao no exclusivamente
lingustico ou filosfico, uma vez que sua definio tem uma aplicao
prtica importante.
Apesar disso, o sentido do termo informao permanece controverso
at os dias de hoje. Veja, por exemplo, como vaga a descrio do Di
cionrio Aurlio (FERREIRA, 2001, p.478):
[...] s.f. Ao de informar ou informarse. / Notcia rece
bida ou comunicada; informe. / Espcie de investigao
a que se procede para verificar um fato (neste sentido,
empregase geralmente no plural): ir s informaes. /
Dir. Conjunto dos atos que tm por objeto fazer prova
de uma infrao e conhecerlhe o autor. / Cibern. Fator
qualitativo que designa a posio de um sistema, e
eventualmente transmitido a outro. // Quantidade de
informao, medida quantitativa da incerteza de uma
mensagem em funo do grau de probabilidade de
cada sinal que compe essa mensagem. // Teoria da
informao, v. INFORMTICA.

As definies sugeridas acima para informao no nos distanciam


muito do nosso ponto de partida. Conceituar informao como ao de

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-20

10

Segurana da informao

informar ou informarse simplesmente apontar para o seu carter din


mico, associado comunicao. Observamos algo semelhante quando
o Dicionrio Aurlio recorre a palavras como mensagem e a ao de
transmitir. J a explicao do termo atravs da aluso cincia que estuda
a informao nada mais do que uma redundncia, que no nos ajuda
a definir o conceito em questo. O que vimos at agora foram simples
mente tentativas de explicar informao atravs do prprio termo, sem
oferecer um detalhamento de suas caractersticas e ao. Essas definies
fazem com que andemos em crculo, sem acrescentar algo novo sobre a
definio que buscamos.
Afinal de contas, o que informao? Hoje em dia, recebemos, pro
duzimos e transmitimos dados o tempo todo. Seja quando lemos um livro,
ouvimos uma msica ou escrevemos um email: a informao est presente
em todas as atividades humanas. Nossa dificuldade ao tentar responder
pergunta prova de que simplesmente no pensamos sobre o tema. cu
rioso que justamente os membros da sociedade contempornea, conhecida
tambm como sociedade da informao, no disponham de uma definio
satisfatria para o termo. A verdade que como ela faz parte do nosso dia a
dia, ns nunca paramos para refletir a seu respeito. Julgamos suficiente uma
definio intuitiva que no conseguimos expressar com clareza em palavras
sem recorrer a redundncias, como faz o Dicionrio Aurlio.
Ao abordarem esse controverso tema, os pesquisadores Capurro e
Hjorland (2007) sugerem que a definio do conceito de informao leve
em conta o modo como ela age no mundo. Em primeiro lugar, os auto
res destacam que o conhecimento e a sua comunicao so elementos
fundamentais da sociedade atual. Com o advento da Internet e a intensi
ficao da globalizao, a informao digital passou a ocupar um papel
privilegiado, tornandose uma condio bsica para o desenvolvimento
econmico. Ela tornouse assim um elemento to indispensvel para as
trocas comerciais quanto a matria prima, o dinheiro e a mo de obra.
Tente imaginar o que aconteceria ao comrcio nacional e internacional
se as linhas telefnicas, os servios de correio e a Internet simplesmente

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-21

a (in)segurana da informao

11

deixassem de funcionar por um dia em todo o mundo. Com certeza, o


ritmo das atividades econmicas sofreria uma reduo brusca ou at
mesmo um colapso, pois nos dias atuais elas dependem da agilidade da
recepo e transmisso de informaes.

Questes para reflexo


De que forma as tecnologias da informao esto presentes
em sua vida cotidiana? D exemplos.

Ora, se hoje em dia a informao to importante assim, no ser


mos capazes de definila uma grande incoerncia. Um dos principais
obstculos que nos impede de desenvolver uma definio plausvel para
o termo a nossa busca insistente por um nico significado capaz de
abranger a vasta gama de atribuies da informao no mundo globali
zado. Por isso mesmo, Capurro e Hjorland (2007) propem que vejamos
a questo por outro ngulo. Ao invs de pensar em definies corretas ou
erradas, poderamos pensar em definies de informao mais ou menos
produtivas de acordo com o contexto em que o termo empregado.
Wittgenstein (1958) tambm corrobora esse ponto de vista em sua Teoria
do Significado, quando afirma que os termos devem ser definidos com
base no seu emprego cotidiano pelas pessoas.
No apenas o uso concreto da palavra, mas tambm a origem do termo
informao constitui uma pista relevante para nossa busca por um signi
ficado. Ele tem suas razes na palavra latina informatio, cujo significado
corresponde s aes de delinear, conceber uma ideia e moldar a
mente (CAPURRO; HJORLAND, 2007). Tanto uma atividade como a outra
esto atreladas construo ou transmisso de conhecimento. De uma
forma ou de outra, inegvel que o sentido de informao tem vnculo
estreito com a ideia de comunicao. Sendo assim, poderamos abraar

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-22

12

Segurana da informao

a definio de informao como uma mensagem que enviada para um


ou mais destinatrios. Dessa forma, tarefas como a produo cientfica
(delinear e conceber uma ideia) e o processo de ensinoaprendizagem
(moldar a mente) esto dentro da rea da informao.
Porm, por conta dos diferentes contextos em que a informao est
presente, uma nica definio jamais daria conta das inmeras atividades
em que ela est envolvida. Logo, como a informao pode ser produzida e
comunicada em condies variadas, ela pode assumir formas bastante dis
tintas. Tomemos por exemplo os nossos sentidos olfato, viso, audio,
tato e paladar. Eles enviam constantemente diversos dados para o nosso
crebro, os quais orientam a forma como interagimos com o espao a
nossa volta. H ainda os relatrios financeiros de uma empresa, os tratados
firmados entre dois pases e a ata de uma reunio. Eles comprovam que a
informao, por vezes, pode assumir a forma de registros ou documentos.
Tambm no podemos descartar a importncia dos smbolos, retratos e
pinturas como modos de apresentao de uma informao. Sem dvida, o
que todos esses casos tm em comum que em todos eles podemos iden
tificar nada mais do que a prpria informao sob diferentes disfarces,
adequandose com perfeio ao contexto em que est inserida.

1.3As classificaes da informao


Conforme vimos nos itens anteriores, a informao faz parte de todos
os setores em que o homem atua. Seu valor tem assumido importncia
crescente, seja no escritrio, na vida pessoal ou nos gabinetes de Estado.
Com isso, surge a necessidade de proteger a informao, desde a produ
o at a transmisso e o armazenamento dos dados.
No entanto, como poderamos supor, h algumas informaes que so
mais valiosas do que outras. Considere, por exemplo, uma empresa mon
tadora de automveis que vai introduzir um novo modelo no mercado.
Imagine que esse lanamento apresenta diversas vantagens competitivas,
que vo desde o design e especificaes tcnicas do carro at promoes
de marketing que se pretendem adotar nas primeiras semanas para atrair

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-23

a (in)segurana da informao

13

clientes. Que informao deveria ser alvo de maior proteo por parte
da empresa: o projeto do seu mais novo lanamento ou a sua lista de
fornecedores? Sem dvida, em ambos os casos preciso tomar cautela e
proteger adequadamente as informaes. Porm, a empresa no deveria
titubear ao concentrar grandes esforos na segurana do sigilo acerca de
seu lanamento. Tal deciso seria baseada no critrio de hierarquia, pois
se entende que a segurana de alguns dados mais vital para a empresa
do que a de outros.
No toa que hoje em dia h diversas empresas especializadas em
segurana da informao. Alm do desenvolvimento de sistemas que
protegem de modo eficaz a produo e a transmisso dos dados, outro
servio comumente oferecido diz respeito categorizao da informao.
Durante esse processo de classificao, a empresa contratada providencia
a identificao dos nveis de importncia que cada conjunto de dados tem
para a empresa. Com base nas anlises desenvolvidas, so estabelecidos
critrios para acesso diferenciado s diversas informaes, evitando que
dados sigilosos caiam em mos erradas.
De acordo com Nakamura e Geus (2007), especialistas em segurana
da informao, um dos maiores erros que uma instituio pode cometer
negligenciar a categorizao dos seus dados. Para evitar que as organi
zaes sejam expostas a riscos desnecessrios, ele sugere uma primeira
classificao das informaes em funo de quatro aspectos fundamen
tais. Tais aspectos nada mais so do que elementos que devem caracterizar
as informaes de uma empresa saudvel. So eles: confidencialidade,
integridade, disponibilidade e reteno.

Questes para reflexo


Como a classificao da informao pode auxiliar o ge
renciamento da segurana em uma empresa?

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-24

14

Segurana da informao

1.3.1Confidencialidade
O primeiro aspecto apontado por Nakamura e Geus (2007) corres
ponde a um princpio bsico da manuteno de sigilo. Eles alertam que os
funcionrios no devem revelar uma informao secreta a qualquer pessoa,
sistema, entidade ou rgo no credenciado. Embora esta regra parea um
tanto bvia, comum observar casos em que informaes confidenciais
foram amplamente disseminadas, comprometendo, por vezes, os negcios
da empresa. Esse exemplo ilustra com clareza o alto potencial destrutivo
da quebra de confidencialidade. No entanto, no devemos ser radicais: h
informaes cujo teor exige maior sigilo, mas h outras cuja divulgao
pode ser feita sem causar problemas empresa. Alis, em alguns casos,
recomendvel manter a transparncia, divulgando amplamente determi
nadas informaes. A fim de hierarquizar o grau de confidencialidade dos
dados, Nakamura e Geus (2007) sugerem algumas classificaes:
Graus de
confidencialidade

Definio

Exemplo

Confidencial

Esta categoria diz res


peito s informaes
sigilosas que, quando
se tornam conheci
mento pblico, com
prometem seriamente
as atividades da orga
nizao.

Em 2001, O governo da Califrnia en


viou por engano um email contendo
informaes sobre a compra de uma em
presa no setor energtico para uma lista
de contatos que inclua jornalistas. O
vazamento da informao acabou preju
dicando as negociaes e comprometeu
a imagem dos polticos envolvidos.

Restrita

As informaes res
tritas s devem ser
manuseadas por
pessoas competentes,
previamente autoriza
das. Sua divulgao
tambm compromete
os negcios da em
presa.

Considere as folha de pagamento de


uma empresa como exemplo de infor
mao restrita. muito comum em am
bientes profissionais que um profissional
tente insistentemente descobrir quanto
o seu chefe ou os seus colegas ganham.
Agora pense nos danos que a divulgao
desses dados poderia causar. Em alguns
casos, um desnvel salarial entre um
funcionrio e seus colegas pode gerar
um clima de hostilidade, atrapalhando
os negcios da empresa.
(continua)

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-25

A ( i n ) s e g u r a n a d a i n f o r m a o 15

(continuao)
Interna

Constituem informa
es internas cujo
teor deve ser usado
exclusivamente no in
terior da empresa. O
acesso a informaes
internas pode causar
uma srie de danos,
provocando prejuzos
financeiros ou mesmo
danificando a imagem
da empresa perante o
pblico.

Em 2009, a Petrobras enfrentou um


grave problema relacionado ao vaza
mento de informao interna. A Co
misso de Valores Mobilirios (CVM),
rgo que fiscaliza o mercado de aes
brasileiro, estabelece que o desempenho
financeiro de uma empresa s deve ser
divulgado aps o fechamento do mer
cado de aes. A Petrobras cumpriu as
normas da CVM, fazendo seu pronun
ciamento oficial aps o fim dos preges.
Porm, alguns investidores j tinham
acesso aos dados sobre a performance
da Petrobras antes do encerramento da
bolsa de valores. possvel que funcio
nrios tenham divulgado antecipada
mente a informao.

Pblica

Esta categoria diz res


peito s informaes
que podem ser divul
gadas publicamente
sem efeitos nocivos
para a instituio.

O governo brasileiro criou o portal da


transparncia, um site onde so divul
gados os gastos do Poder Executivo e as
transferncias dos recursos pblicos. Ao
invs de prejudicar o Estado, o portal d
maior credibilidade para as aes e as
despesas governamentais.

1.3.2 Integridade
A segunda categoria proposta por Nakamura e Geus (2007) estabelece
o princpio de que a informao no deve ser alterada, corrompida ou
mesmo destruda durante seu processo de transmisso e armazenamento.
Porm, a importncia da integridade de uma informao pode variar. Em
alguns casos, imprescindvel que os dados no tenham sido modificados,
pois a mais simples alterao colocaria em risco a sobrevivncia de uma
empresa. J em outras situaes, possveis modificaes da informao
original no provocariam danos to graves. Por isso, Nakamura e Geus
(2007) sugere trs classificaes diferentes dependendo da importncia
que a integridade dos dados tem.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-26

16

Segurana da informao

Graus de
importncia da
integridade da
informao

Descrio

Exemplo

Vital

Esta categoria en
globa a informao
cujo teor original
deve ser preservado
a fim de no prejudi
car os negcios.

Imagine os cuidados necessrios para


a construo de um prdio. O estudo
do terreno e os clculos necessrios
para sedimentar uma estrutura s
lida so essenciais para a segurana
do empreendimento. Sendo assim,
quanto mais preciso, menores as
chances de acidentes.

Relevante

Alteraes dos dados


deste grupo podem
gerar problemas de
dimenses menores
que aqueles causa
dos por informaes
vitais.

Um bom exemplo a lista de paga


mentos de uma empresa. Se os valo
res dos salrios de seus funcionrios
forem alterados, no haver proble
mas de grande porte. Provavelmente,
ser preciso recalcular todos os
salrios e depositar as somas devidas
nas contas dos empregados.

Normal

Nesta categoria se
encaixam as infor
maes que no
exigem um controle
severo por parte da
empresa. Caso elas
sejam corrompidas,
no haver impactos
severos sobre as ati
vidades da empresa.

Imagine que, na lista de chamada de


um curso universitrio, o nome de
um aluno foi escrito de forma errada.
Suponhamos, por exemplo, que a
grafia correta apresentava duas letras
l, mas que no documento cons
tava apenas uma. Certamente esse
pequeno erro no causar grandes
transtornos para o aluno e tampouco
para a empresa.

1.3.3Disponibilidade
A disponibilidade uma propriedade importante da informao, pois
garante que seu acesso e uso pelas pessoas ou empresas sero possveis
no momento em que desejarem. claro que h determinados tipos de
informao que demandam uma ateno especial. Existem dados, por
exemplo, que devem estar acessveis 24 horas por dia, pois poucos mi
nutos de indisponibilidade de certas informaes podem causar prejuzos
expressivos. Imagine, portanto, a situao de um banco com milhares de

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-27

A ( i n ) s e g u r a n a d a i n f o r m a o 17

clientes pelo mundo todo. preciso assegurar que o sistema no sair


do ar em momento algum, afinal, quando inoperante por poucas horas,
o banco tem que arcar no apenas com o prejuzo financeiro das transa
es que deixou de fazer, mas tambm com a perda da credibilidade de
seus clientes. J o blog de uma microempresa no necessita ser alvo dos
mesmos recursos e esforos que o sistema de um banco de grande porte,
afinal de contas, se o servidor ficar um dia fora do ar, os prejuzos gerados
no causaro transtornos incontornveis para o pequeno negcio.
Portanto, como nos demais casos, preciso classificar a informao de
acordo com o tempo que sua indisponibilidade pode ser tolerada. Uma
alternativa a construo de uma tabela que facilite a visualizao do
tempo mximo que certos dados podem estar indisponveis sem causar
danos significativos para a instituio. Dessa forma, o setor responsvel
por gerir a informao e cuidar de sua segurana saber exatamente onde
concentrar seus esforos.

1.3.4Reteno
O ciclo de vida til de uma informao no muito diferente da traje
tria do homem. Os dados nascem, crescem, amadurecem, envelhecem
e morrem. Por isso, devemos cuidar tanto da criao e preservao da
informao quanto do seu descarte. O acmulo desnecessrio de informa
es velhas, bem como falhas no armazenamento de dados importantes,
constituem erros fatais de organizao de uma empresa.
Tomemos como exemplo uma instituio com contratos envolvendo
grandes somas. Agora, tente imaginar o que aconteceria se um dos ad
ministradores responsveis pela reteno da informao descartasse o
documento em que esto explcitas as clusulas e condies do contrato
antes de sua expirao. Para piorar, suponha que a empresa contratada
tenha passado a violar as normas estabelecidas no contrato, se negando
a executar o servio da forma combinada. Sem dvidas, se a empresa
prejudicada tentasse recorrer Justia, seria indispensvel ter uma prova
documental. No caso de eliminao precoce do contrato, no haveria

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-28

18

Segurana da informao

meios de comprovar que foi cometida uma infrao, ficando impune a


empresa desonesta. Por outro lado, armazenar informaes de forma
irrestrita tambm prejudicial, pois gera um excesso de dados. Logo,
preciso adotar uma posio equilibrada, evitando os exageros e estabe
lecendo critrios e prazos para a reteno de cada informao. No caso
de contas, importante saber quando elas prescrevem, ou seja, quando
o credor no ter mais o direito de cobrar aquela dvida. Esses prazos
so estabelecidos pelo Cdigo Civil. Dessa forma, comprovantes de pa
gamento de contas como luz, gs, telefone e IPVA no tm serventia aps
cinco anos, devendo ser devidamente descartados aps esse perodo.

1.3.5Classificao e segurana da informao: a


necessidade de articulao
Conforme estudamos nos itens anteriores, a classificao da infor
mao nos ajuda a visualizar os diferentes nveis de confiabilidade e
integridade, tornando mais simples lidar de forma equilibrada e eficaz
com temas como a disponibilidade e a reteno dos dados. Porm, a
sistematizao da informao ser completamente em vo, se no for
acompanhada por ajustes na poltica de segurana da empresa. Entre
os benefcios da articulao entre classificao e segurana, destacase
a possibilidade de desenvolver um esquema de proteo adequado ao
nvel de confidencialidade e integridade recomendado. Uma vez de
posse de sua classificao, o responsvel pela segurana da informao
saber exatamente que procedimentos adotar, agindo em conformidade
com o grau de importncia dos dados que manuseia. Ao receber um
arquivo com contedos confidenciais, por exemplo, um administrador
consciente jamais o salvaria em uma pasta de acesso irrestrito. Por sua
vez, o procedimento seria oposto, se a informao fosse pblica. Uma
planilha com informaes gerais sobre o bom desempenho da empresa,
por exemplo, poderia ser amplamente divulgada, como forma de parabe
nizar e motivar seus funcionrios, bem como para despertar o interesse
de possveis investidores.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-29

A ( i n ) s e g u r a n a d a i n f o r m a o 19

Infelizmente, muitas empresas recorrem a polticas de segurana mais


simples, tomando o grau de sigilo da informao como nico critrio. Em
bora seja eficaz em alguns casos, essa estratgia de segurana subestima
a complexidade dos tipos de dados e os tratamentos diferenciados que
eles demandam. Por isso mesmo, as tcnicas mais simples de proteo
informao apresentam falhas graves, uma vez que no cuidam com a
cautela necessria de suas especificidades.
A complexidade da classificao vai alm das categorias apresentadas
nesta unidade. Dependendo das circunstncias, outras caractersticas po
dem ganhar relevncia, como o nome do gestor da informao e o modo
como ela deve ser descartada. Dados secretos, por exemplo, no podem
virar folhas de rascunho ou tampouco serem amassados e depositados
na lixeira. Como no deixa rastros, a incinerao seria a alternativa mais
sensata nesses casos.
Podemos concluir, ento, que a classificao da informao influencia
todas as etapas, desde sua criao e manuseio at a sua eliminao. Alm
disso, essas mesmas classificaes devem ser alvo de reviso constante,
afinal de contas, o valor estratgico dos dados pode variar dependendo
da fase que a empresa est atravessando. No toa que hoje em dia
as instituies reconhecem a relevncia desses processos para o bom
desenvolvimento de suas atividades, aumentando consideravelmente os
investimentos destinados aos setores de gesto da informao.

Seo 2

 (in)segurana da
A
informao e os crimes
virtuais

2.1O que segurana da informao?


Voc viu na seo anterior que a informao faz parte de diversas
atividades humanas. O aumento contnuo do valor estratgico dos

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-30

20

Segurana da informao

dados tem levantado questes importantes sobre a necessidade de


proteglos adequadamente. nesse contexto que a segurana da infor
mao surge como uma medida importante, respondendo s ameaas
com tcnicas desenvolvidas para defender os dados sigilosos de aes
no autorizadas.
nesse contexto que a segurana da informao tem expandido suas
fronteiras, acompanhando a ampliao ilimitada dos meios de comuni
cao nas ltimas dcadas. Com a intensificao das trocas via Internet,
nenhum dado virtual est totalmente a salvo da ao dos hackers e
crackers. A segurana da informao surge ento como o grande heri
no combate pirataria ciberntica. Porm, importante lembrarmos
que, para ser eficiente, o desenvolvimento de tcnicas para proteo
dos dados deve acompanhar o ritmo vertiginoso da produo de novos
vrus e estratgias de infiltrao. Caso contrrio, nossas ferramentas de
segurana deixaro sempre brechas para a ao insistente daqueles que
desejam romper o sigilo e perturbar a ordem.
A necessidade de atualizao constante no campo da segurana da
informao pode ser comparada fabricao de novas vacinas. Isso
se deve rpida capacidade de mutao que os vrus reais e virtuais
parecem compartilhar. Assim como vacinas ultrapassadas falham em
suas tentativas de nos manter imunes aos diferentes vrus da gripe, os
mecanismos de segurana no submetidos reviso contnua se rendem
diante de novos vrus e estratgias aperfeioadas por seus criadores.
No surpresa, portanto, que os incidentes envolvendo a segurana da
informao em diversos setores tendem a crescer de forma ininterrupta
nos prximos anos.
Ao contrrio da rigidez dos dispositivos de segurana tradicionais, os
ataques malintencionados so flexveis, podendo tomar formas diversi
ficadas. Seja por meio de vrus, invaso de sistemas, acesso no autori
zado ou aes fraudulentas de funcionrios desonestos; os incidentes de
segurana tm se multiplicado no interior das empresas, ameaando o
seu funcionamento.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-31

A ( i n ) s e g u r a n a d a i n f o r m a o 21

extensa a lista de fatores que favoreceram a criao desse cenrio.


O primeiro lugar absoluto pertence ao uso desprecavido da Internet, que
equivale a um verdadeiro convite para toda sorte de vrus e espies. H
tambm casos de sistemas de segurana mais robustos que, no entanto,
apresentam uma ou outra oportunidade para as ltimas inovaes dos
hackers e crackers. Alm disso, h ainda instituies que, ao optar pelo
barateamento dos custos, escolhem sistemas incompletos e defasados,
poupando os esforos dos invasores. Existe tambm um quarto obstculo
que diz respeito ao trabalho rduo por trs da segurana eficiente. Diante
da sofisticao permanente do lado inimigo, a manuteno e a atualiza
o contnuas dependem de tarefas complexas que muitas vezes exigem
cuidados no apenas com a rede, mas
tambm com cada mquina. Indepen
dente das medidas tomadas, preciso
Saiba mais
ainda ter conscincia de que a batalha
As tecnologias da informao
contra os viles cibernticos nunca es
esto em alta. O tema j che
tar ganha. Talvez s consigamos estar
gou, inclusive, s telas do ci
um passo a frente deles quando dispen
nema com Hackers: Piratas
sarmos o mesmo afinco e dedicao
de Computador. Estrelado por
que os criminosos virtuais em prol da
Jonny Lee Miller, o filme conta
a histria de Zero Cool, nome
preveno e soluo dos problemas de
como conhecido um menino
segurana causados por eles. Logo, en
de 11 anos que se tornou dolo
quanto as empresas tratarem com dis
dos hackers ao invadir compu
plicncia a segurana de seus dados
tadores em Wall Street.
confidenciais, eles estaro sob contnua
ameaa dos crimes cibernticos.

2.2A insegurana da informao no Brasil e os


crimes cibernticos
Conforme vimos no item anterior, o crime virtual tem ampliado sua
ao rapidamente, motivado em grande parte pelos mtodos ineficazes de
proteger a informao. Pior ainda sabermos que essas infraes no so

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-32

22

Segurana da informao

combatidas apropriadamente pelas autoridades, permitindo que crimino


sos fiquem em liberdade. A Polcia Federal brasileira admitiu recentemente
que o crime ciberntico, praticado sem o auxlio de fuzis ou granadas,
j gera mais lucros que o narcotrfico (VICTOR, 2008). Apesar das gran
des somas envolvidas nessas transaes criminosas, o governo brasileiro
ainda no criou uma legislao especfica que prescreva punies para
o ladro do sculo XXI. Sendo assim, se uma pessoa no autorizada for
detectada ao invadir a rede de um banco, por exemplo, nada poder ser
feito contra ela judicialmente at que ela provoque algum dano real. Com
isso, a Polcia Federal fica de mos atadas, pois no pode impedir que
esses crimes ocorram. Como frequentemente a devoluo dos prejuzos
provocados no vivel, os danos causados a bancos e pessoas tornamse
irreversveis, sem que haja amparo legal para sua preveno.

Questes para reflexo


Que prticas virtuais voc gostaria que fossem proibidas
por lei?

Antes de mais nada, primordial fazermos uma importante distino.


Dentre os viles no mundo ciberntico, h dois grupos que atuam de
formas diferentes. So eles os hackers e os crackers. O primeiro grupo
tem por objetivo usar suas habilidades para invadir sistemas supostamente
seguros. Muitos deles dedicamse a essa atividade por gostarem de de
safiar as barreiras do sistema de segurana de bancos, empresas e at
governos. Os hackers, ao contrrio dos crackers, acessam esses bancos
de informao sem causar danos. J o segundo grupo dribla os sistemas
de segurana para provocar prejuzos e roubar informaes. Embora
suas condutas sejam diferentes, os hackers e os crackers no devem ser
vistos como mocinhos e viles respectivamente. De uma forma ou de

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:36 - January 10, 2014 - PG-33

A ( i n ) s e g u r a n a d a i n f o r m a o 23

outra, ambos desenvolvem tcnicas para invadir sistemas alheios e obter


acesso no credenciado a dados confidenciais. Portanto, tantos os hackers
como os crackers devem ser encarados como criminosos perante a lei.
Porm, at o momento, a legislao brasileira no forneceu a munio
necessria para que, em seu nome, os policiais possam ter amparo legal
para combater esses crimes.
O advogado Coriolano Aurlio, presidente da Comisso de Direito na
Sociedade da Informao da OAB de So Paulo, alerta para a expanso
irrestrita dos crimes cibernticos. Ele revela que, recentemente, uma qua
drilha conseguiu retirar cem milhes de reais em certides falsas por meio
da manipulao de dados da Receita Federal. Esses documentos falsos
extrados ilegalmente certificavam a quitao das dvidas com a Receita.
As fraudes envolvendo cartes de crdito e o extravio de emails ou
tro campo em que esse tipo de crime tem obtido cifras impressionantes. As
tcnicas mais empregadas para esse tipo de crime so conhecidas como
phishing e pharming. Voc mesmo j deve ter recebido vrios emails de
destinatrios conhecidos ou no, convidandoo a visitar um determinado
site. Os pretextos so os mais diversos: os remetentes afirmam que voc
ganhou um prmio ou que sua foto est disponvel em um determinado
site, por exemplo. Se a mensagem for uma tentativa de phishing, ao clicar
no link, sua mquina ser automaticamente infectada e suas informaes
roubadas por um cracker. Outro mtodo bastante eficiente conhecido
como pharming. Ele ocorre toda vez que voc deseja acessar uma deter
minada pgina, mas conduzido a outra, onde ao clicar inadvertidamente
em um link, voc poder ser exposto a inmeros riscos.
Os bancos, por sua vez, no so mais saqueados por bandidos
armados, mas por crackers cuja ao corresponde a 80% dos seus
prejuzos. Isso explica as cifras milionrias que os crimes cibernticos
tm atingido nos ltimos anos. As quantias exatas roubadas por meio
de crimes virtuais no so divulgadas para no denegrir a imagem das
empresas perante o pblico. Talvez, se os nmeros fossem amplamente
divulgados, muitas pessoas no confiariam mais nos recursos virtuais

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-34

24

Segurana da informao

que os bancos disponibilizam para transaes financeiras. Para comba


ter essas perdas, as empresas de grande porte tm gasto o equivalente
a 4,9% de seus lucros com tecnologia a informao (TI). J os bancos,
segundo dados da Federao Brasileira de Bancos (FEBRABAN), investi
ram 4,2 bilhes de reais para aprimorar suas tecnologias de informao
(FERRAZ; PADULA, 2005).
Em entrevista ao Portal G1, o perito de Informtica da Polcia Federal,
Paulo Quintiliano (apud VICTOR, 2008), declarou que os hackers muitas
vezes utilizam provedores de vrios pases para dificultar o rastreamento
das transaes. Ele ainda cita um exemplo de como a ao dos crimi
nosos planejada para despistar as autoridades:
Por exemplo, um hacker dos Estados Unidos manda
um email para um brasileiro indicando um falso
site, que est hospedado em um provedor da China.
Se o brasileiro acessar o site, poder ter suas infor
maes roubadas, que podem ser enviadas para um
provedor da Europa. Como envolve vrios pases,
fica difcil promovermos uma investigao. Teria que
envolver a polcia de vrios pases (QUINTILIANO
apud VICTOR, 2008).

E agora, como devemos proceder diante da disseminao do crime


virtual e da impotncia das autoridades? No restam dvidas de que a
ao criminosa virtual tem prejudicado uma utilizao mais ampla da
Internet. difcil, por exemplo, pensar em expandir o uso de documen
taes virtuais, se a adulterao dos seus dados fcil. A falta de leis
para punir os responsveis agrava ainda mais a situao, tornando no
recomendvel a utilizao da Web para armazenamento e transmisso
de informaes muito sigilosas e de forte valor legal.
No entanto, devemos destacar tambm um dos primeiros gestos das
autoridades em prol de um maior monitoramento das atividades na Web.
A criao de delegacias e ncleos de investigao especializados em
reprimir os crimes de informtica j esboa um interesse do governo em
travar guerra contra os crimes cibernticos.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-35

A ( i n ) s e g u r a n a d a i n f o r m a o 25

2.3Crimes cibernticos e algumas de suas


ferramentas
Evitar crimes virtuais exige adotar uma srie de cuidados. Em primeiro
lugar, a constante conectividade das empresas modernas com o mundo ex
terior por meio da Internet traz uma srie
de desafios inditos para a segurana da
Para saber mais
informao. Como se no bastassem os
Voc sabia que hoje em dia j
problemas fsicos, como barrar a entrada
existe um grupo de certificaes
de pessoas no autorizadas em suas ins
ISO relacionado tecnologia da
talaes, agora a vigilncia tambm tem
informao? Criado em 2005,
que dar conta de infiltraes que podem
o ISO 27001 foi o primeiro da
srie, estipulando um padro
ocorrer por meio da Web e outras ferra
para a gesto da segurana dos
mentas tecnolgicas.
dados. Para receberem a certi
A fim de desenvolver estratgias efi
ficao, as empresas interessa
cientes para o combate a delitos ligados
das devem seguir o conjunto de
informao, importante listar alguns
normas prescritas pelo ISO. Uma
dos principais inimigos. Em primeiro
vez certificadas, elas passam a
lugar, podemos identificar o correio ele
ocupar uma posio diferen
ciada no mercado, ostentando
trnico. Diariamente, milhes de tenta
um importante comprovante de
tivas de phishing so concretizadas. O
que merecem a confiana de
uso inadvertido da Internet transforma
seus clientes.
os computadores em presas fceis para
essas tcnicas. Abrir emails com ofertas
de promoo e prmios so algumas das estratgias mais comuns para
enganar os mais ingnuos. Mensagens com ttulos suspeitos e atraentes
frequentemente fisgam a ateno dos mais curiosos.
Alm da Internet, h outros dispositivos tecnolgicos que oferecem
altos riscos para a segurana das empresas. Telefones celulares com c
meras, MP3 players e pen drives so alguns dos mecanismos que facilitam
o transporte de informaes. Eles so eficazes por dois motivos principais.
Em primeiro lugar, pen drives e MP3 players possuem tamanhos mnimos,
fazendo com que seu manuseio passe despercebido. tambm impres

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-36

26

Segurana da informao

sionante a grande capacidade de armazenamento de dados desses dis


positivos, que possibilitam uma transferncia volumosa por meio de
ferramentas bastante discretas.

Links
No link abaixo voc encontrar
os princpios que orientam a
segurana da informao no
mbito do governo federal.
Alm de conceitos que voc
estudar nesta unidade, so
apresentados alguns critrios
bsicos para proteo dos da
dos do cidado que ficam sob
custdia do governo.
<http://www.redegoverno.gov.
br/eventos/arquivos/Mod_Seg_
Inf.pdf>.

H ainda meios mais eficazes e in


visveis de furtar informaes. O uso de
redes sem fio (WiFi) pode conectar um
laptop credenciado a um computador
no autorizado, viabilizando seu acesso
remoto irrestrito a dados confidenciais
de uma empresa. Embora seja fcil
diagnosticar a invaso de um computa
dor, preciso que as empresas tomem
conscincia da importncia de prevenir
tais aes. A utilizao de firewalls e
softwares de criptografia uma medida
que tem se mostrado eficiente no com
bate a invasores.

O uso criminoso de servios conhe


cidos como peertopeer outra prtica
clandestina que desafia a segurana da informao. Eles permitem o
compartilhamento de arquivos atravs de troca de mensagens instant
neas (MSN, Google Talk, ICQ etc.), comunicadores VOIP e aplicaes
de acesso remoto. Em todos os casos, funcionrios malintencionados
podem instalar esses dispositivos facilmente em seus computadores,
comprometendo no apenas a segurana de sua prpria mquina, mas
tambm o sigilo de toda a informao disponvel na rede.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-37

A ( i n ) s e g u r a n a d a i n f o r m a o 27

Aprofundando o conhecimento
Os avanos tecnolgicos chegaram para ficar. O problema
que eles no chegaram sozinhos. A informatizao de inmeros
setores da sociedade trouxe no apenas agilidade e conforto, mas
tambm um conjunto de ameaas que advm da nossa crescente
dependncia da tecnologia. Felizmente, algumas empresas j esto
dando um rumo seguro aos seus negcios na era digital.Veja no
texto a seguir, de Oliveira (2007, p.144146), como o Brasil se
insere nesse novo cenrio.

Apreciando o crescimento do governo


eletrnico
Abordarei neste texto o crescimento do comrcio eletrnico,
pois considero que resume a percepo atual sobre os negcios na
Internet. O crescimento no acontece apenas na relao B2B ou
B2C, mas tambm na digitalizao dos processos da gesto das
empresas.
Primeiramente, o que Cmara Brasileira de Comrcio Eletr
nico? um rgo que tem como misso discutir, posicionar, pro
mover, representar e defender os interesses coletivos de empresas
e entidades e usurios envolvidos em atividades de comrcio eletr
nico. So vrios movimentos dentro da Internet junto ao governo,
s empresas, a entidades sociais e prpria sociedade, fazendo com
que a Internet cresa de forma responsvel e alcance a percepo
de segurana adequada.
Suas principais aes so: construo de polticas pblicas regula
trias, promoo do varejo online, incluso empresarial, segurana

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-38

28

Segurana da informao

da informao com o movimento Internet segura, mtodos de co


nhecimento, negociaes internacionais, eventos e publicaes da
Cmarae Net. Hoje a Cmara conta com 150 organizaes lderes
dos principais setores da economia que esto participando conosco,
incluindo empresas de telecomunicaes, varejo online, empresas
de hardware e do servio pblico s para se ter a dimenso de
que no uma particularidade de empresa de tecnologia ou daque
las que vendem pela Internet. O interesse da Cmara Brasileira de
Comrcio Eletrnico o bemestar dos participantes e usurios da
Internet como um todo.
H 1,5 bilho de internautas em todo o mundo e 2,3 bilhes de
linhas de telefonia celular. No Brasil, a previso de 100 milhes
de celulares at 2007 e 100 milhes de usurios de VoIP. Dezesseis
bilhes de reais so investidos em publicidade online, algo que
vem crescendo bastante nos ltimos tempos. Antes era s a cate
goria dos varejistas que procurava na Internet um meio de escoar
sua linha de produtos. Agora existem empresas posicionando a
sua marca com campanhas fortes na Internet. Um exemplo so os
prprios bancos: o Ita tem uma campanha impactante na Inter
net, patrocinando os principais portais da Web. A Ford, da mesma
forma, divulga peas e campanhas nos grandes portais, investindo
consideravelmente.
O tamanho de mercado de software no Brasil corresponde a
25 milhes de computadores em uso. Pelos dados do VOL (Varejo
Online), o mercado de software ultrapassou a casa de 7 bilhes em
volume no pas. No que se refere a B2C, vendas a consumidor final,
a participao de bens de consumo, em geral, muito forte, maior
do que o setor de turismo. Mas no supera o setor automobilstico,
por conta do ticket mdio do produto comercializado. Hoje em dia
voc monta o seu carro pedao a pedao e faz todos os clculos no
prprio ambiente Web. O mercado B2C cresce a um ritmo de 40 por

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-39

A ( i n ) s e g u r a n a d a i n f o r m a o 29

cento ao ano e j h empresas lderes no mercado que comearam


a ganhar grande importncia, inclusive abrindo seu capital na bolsa
de valores. Exemplo: Submarino.
Analisando o perfil dos internautas, percebemos algumas
caractersticas: 5 por cento possuem psgraduao, mais de 25
por cento cursaram ou esto cursando alguma faculdade. Ou
seja, podemos concluir que mais de 35 por cento tm nvel de
escolaridade alto. At porque partese do princpio de que para
o acesso Internet voc precisa ter computador, e adquirir um
computador hoje no Brasil ainda caro. Ento, apesar de a C
mara do Comrcio Eletrnico estar realmente junto ao governo
brasileiro trabalhando em prol do aumento da insero da popu
lao no mercado digital, a participao das classes mais baixas
ainda incipiente. Destaco que colocar computador nas mos das
pessoas muito fcil, mas no adianta se temos uma sociedade
de analfabetos digitais, que no sabem realmente o que fazer no
sentido de tornar a Web uma ferramenta efetiva para o seu dia a
dia e o da sua empresa.
No que se refere a relaes B2B (entre empresas usando ferra
mentas Web), hoje h 3 milhes de empresas nesse universo. As
grandes e mdias empresas respondem por 75 por cento do volume
gerado, mas so apenas 157 mil. As pequenas e as microempresas,
18 e 5 por cento, respectivamente, ou seja, a participao delas
ainda muito baixa perto das participaes das grandes e mdias
empresas. Essa realmente uma preocupao da Cmara Brasileira
de Comrcio Eletrnico, porque fcil as grandes empresas entrarem
no mercado Web de forma adequada, mas as pequenas e mdias
empresas precisam acompanhar esse processo.
Outro ponto: quanto os negcios na Internet representam no
faturamento da sua empresa hoje? Na maioria delas, no representa

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-40

30

Segurana da informao

mais de 2 por cento, o que demonstra um caminho largo ainda


pela frente.
A Internet no Brasil:
40 milhes de usurios em 2006;
Mais de 1 milho de domnios;
25 por cento dos lares brasileiros possuem computador;
64 por cento dos lares com Internet esto no Sudeste e no Sul do Pas.

Um fator interessante o crescimento muito grande da banda


larga nos ltimos anos os portais divulgam essa informao como
algo relevante para serem valorizados. Os portais Terra e UOL (os
maiores do Pas) informam que mais de 60 por cento de sua base de
assinantes possui banda larga, sinal de que usam esse argumento
como fonte de credibilidade para seus sites, partindo do princpio
de que quem tem banda larga possui melhor poder aquisitivo, usa
mais e melhor a Internet etc. O Brasil o pas com maior tempo de
navegao por usurio ao ms do mundo, frente do Japo, Frana
e EUA. O Brasil o segundo pas em nmero de internautas; 56 por
cento dos usurios so homens. A banda larga impacta cerca de 10
milhes de usurios, direta ou indiretamente.
O crescimento do Internet banking foi o que respaldou muito
esse crescimento. Hoje temos mais usurios de Internet banking do
que efetivos compradores de Internet. Isso cria uma base ainda mais
ampla para crescer, ou seja, h pessoas que fazem transaes pela
Web, pagam suas contas, investem, mas no compram.
O varejo eletrnico cresceu 43 por cento em 2005 e representa
1,36 por cento do total do varejo nacional. O valor mdio gasto pelo
econsumidor de 272 reais, contra 70 dlares do maior pblico
de consumidores online, os Estados Unidos. Apesar de ainda estar
concentrado em CDs, DVDs e livros, a venda de eletroeletrnicos e
informtica muito expressiva.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-41

A ( i n ) s e g u r a n a d a i n f o r m a o 31

Felizmente as empresas esto se posicionando bem para vender


pela Internet. Esto deixando os clientes satisfeitos o grau de
satisfao chega a 90 por cento.
Hoje em dia os melhores negcios esto na Internet. No um
negcio do futuro, um negcio do presente. A nica coisa que as
pessoas precisam entender que necessrio se posicionar de forma
muito adequada do ponto de vista tecnolgico e de comunicao.
Como disse Bill Gates: No h vida fora da Internet!.

Na era da informao, o destino das empresas ser determinado pelo


zelo com que cuidam dos seus dados mais valiosos. Por isso, os investi
mentos na rea de TI no param de crescer, tornando esse novo mercado
cada vez mais promissor.

Para concluir o estudo da unidade

Na sociedade da informao, economizar recursos em tecno


logia de informao no uma prtica sensata. Possuir dados
sigilosos uma vantagem estratgica que pode desequilibrar a
concorrncia entre empresas ou mesmo decidir o desfecho de um
conflito entre Estados. Por isso, o desenvolvimento de tcnicas efi
cazes de proteo deve acompanhar o ritmo vertiginoso com que
hackers e crackers criam novos meios de contornar os dispositivos
de segurana.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-42

32

Segurana da informao

Resumo

Nesta unidade voc acompanhou a evoluo histrica que


tornou possvel a ascenso da informao ao seu status privile
giado na sociedade contempornea. Como consequncia dessas
transformaes socioeconmicas, a informao ganhou importante
valor estratgico, seja no meio empresarial ou nos conflitos entre
Estados. nesse contexto que o cuidado com a organizao e a
classificao dos dados adquire importncia mxima, pois esses
processos definem os procedimentos de segurana que devem
ser aplicados em cada caso. No apenas o desenvolvimento de
novas tecnologias, mas tambm uma categorizao minuciosa da
informao primordial para protegla de forma adequada em
diferentes circunstncias. Portanto, os dados devem ser devidamente
protegidos durante toda sua vida til, que se estende desde sua
criao e transferncia at o seu descarte. A cautela no manuseio
da informao constitui, ento, a principal ferramenta no combate
ao de criminosos cibernticos.

Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. Empresas e Estados precisam rever suas despesas urgentemente,
adotando uma poltica de conteno de gastos. Para tanto, reduzir
os custos com segurana da informao contribuir para um de
senvolvimento mais saudvel dos negcios, viabilizando um maior
investimento de capital para fins mais lucrativos. ( )

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-43

A ( i n ) s e g u r a n a d a i n f o r m a o 33

2. O uso da Internet s trouxe problemas no que tange gesto da


informao. Hoje em dia, preciso monitorar todas as etapas da
vida til dos dados, acompanhandoos desde sua criao at o seu
descarte. ( )
3. Os crimes cibernticos tornaramse mais vantajosos em todos os
sentidos. Em primeiro lugar, existe a possibilidade de lucros altos
devido falta de proteo da informao em diversos setores socioe
conmicos. No toa que, em resposta ao surgimento desse novo
tipo de crime, a legislao brasileira apressouse ao desenvolver leis
especficas que prescrevem as punies adequadas para cada tipo
de infrator. ( )
4. Alm de todos os desafios segurana provocados pela Internet, as
empresas ainda precisam se preocupar com o uso inadequado de
outros dispositivos que podem comprometer a confidencialidade e
integridade da informao. Os MP3 players e os pen drives so ape
nas alguns exemplos das diversas ferramentas que tornam possvel
uma transferncia volumosa e discreta dos dados. ( )
5. Classificar a informao no mero preciosismo: a hierarquizao
dos dados ajuda as organizaes a entender quais informaes re
querem maior nvel de proteo. ( )

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-44

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-45

Unidade 2

A segurana da
informao: tendncias e
desaos contemporneos
Objetivos de aprendizagem: as novas tecnologias da informao
vieram para ficar. E, junto com elas, um conjunto de novos viles e
ameaas desafiam os sistemas de segurana, mudando diariamente
suas estratgias de invaso. Na Unidade 2, voc aprender mais
sobre as ferramentas tecnolgicas que revolucionaram o mercado,
prometendo garantir o trfego e armazenamento seguro dos dados.
Sero apresentados tambm alguns critrios que devem orientar a
escolha das ferramentas mais adequadas em diferentes situaes.

Seo 1:

Como proteger a informao: conhecendo o


passo a passo

A segurana da informao um tema complexo.


Por isso mesmo, uma variedade expressiva de produtos tem inundado as lojas de informtica, deixando
consumidores cada vez mais confusos. Afinal de
contas, qual a arma mais eficaz no combate pirataria virtual? A resposta a esta pergunta no to
simples. Nesta seo, voc vai estudar dispositivos
de segurana que apresentam vantagens e vulnerabilidades diferentes, inviabilizando a escolha de um
nico mecanismo.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-46

36

Segurana da informao

Seo 2:

Combinando tecnologias em prol da segurana


computacional

A segunda seo desta unidade aprofunda o debate iniciado na Seo 1. Durante a leitura, voc
vai conhecer as limitaes que tornaram os moldes
tradicionais em ferramentas incapazes de proteger
os dados. Por fim, alternativas como a integrao
das funes em um nico dispositivo e a terceirizao da gesto so indicadas como algumas
solues possveis para o problema da insegurana
da informao.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-47

A s e g u r a n a d a i n f o r m a o . . . 37

Introduo ao estudo
Aprendemos na Unidade 1 que a informao tem adquirido um valor
estratgico nos ltimos anos. No toa que muitos indivduos, empresas
e Estados tm despertado para a importncia de proteger seus dados ade
quadamente. Isto se deve a modificaes socioeconmicas profundas que
tornaram a informao um pontochave da sociedade contempornea.
Tais mudanas no ocorreram de uma hora para outra: elas atraves
saram milhares de anos, sofrendo uma forte acelerao do seu ritmo no
sculo XX. Essas transformaes ainda trouxeram consigo uma reformu
lao do conceito de poder. Pense no conceito de poder no passado.
Quais eram os homens mais poderosos? Possivelmente, voc pensou em
grandes imperadores. Muitos deles, acompanhados de grandes exrcitos,
conquistaram novos territrios e venceram guerras sangrentas. Como
podemos ver, antigamente o poder era medido pela fora, pelo tamanho
do exrcito e pelas conquistas feitas por meio da espada. Os homens te
midos eram, portanto, aqueles dotados de msculos mais fortes e melhor
desempenho no campo de batalha.
Hoje em dia, embora a posse de armas e exrcitos tambm seja
importante, o poder no mais alcanado simplesmente pelo uso de
msculos. Basta pensarmos nos homens poderosos e ricos do sculo XXI
para comprovar essa mudana. Bill Gates, por exemplo, foi o homem
mais rico do mundo por muitos anos. Certamente, a conquista dessa po
sio no foi feita atravs da fora, mas sim por meio do conhecimento.
Ele revolucionou o campo da informtica, desenvolvendo tecnologias
inovadoras na gigante Microsoft. Em 2010, Carlos Slim, empresrio me
xicano do ramo das telecomunicaes, assumiu a liderana da lista dos
homens mais ricos do mundo, com uma fortuna que ultrapassa a marca
dos 50 bilhes. interessante reparar que tanto Bill Gates quanto Carlos
Slim atuam no ramo das tecnologias ligadas transmisso e ao armaze
namento de informaes, o que ilustra bem o prestgio que o setor tem
no mundo de hoje. Em primeiro lugar, a riqueza de ambos bilionrios

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-48

38

Segurana da informao

devese ao conhecimento estratgico e tecnolgico que possuam em


suas respectivas reas. Foi justamente esse conjunto de informaes que
possibilitou a ampla vantagem de suas empresas em relao s concor
rentes e a obteno de lucros extraordinrios.
Se a posse de informaes importantes tornouse sinnimo de poder,
elas devem ser protegidas a sete chaves. No entanto, defender o sigilo de
dados no mundo atual no tarefa fcil. Enquanto no passado a preservao
de informaes confidenciais era uma questo fsica, rapidamente resolvida
pela utilizao de um cofre, por exemplo; os dias de hoje no permitem
mais solues simples. Muito pelo contrrio: no h padro preestabelecido
que atenda s necessidades de todas as instituies. Desenvolver um sis
tema de segurana eficaz depende de um processo complexo que envolve
a anlise das prioridades e dos objetivos de cada empresa.
Ora, se a segurana da informao um prrequisito para o sucesso
de uma organizao, o que explica os frequentes vazamentos de dados
confidenciais? Embora a importncia da proteo informao seja in
discutvel, h muitos lderes e empregados que delegam essa tarefa aos
funcionrios do setor de TI. Ao buscarem se isentar de responsabilidade
pela custdia adequada dos dados, eles interpretam a segurana da in
formao como dever exclusivo das reas relacionadas a esse suporte
tecnolgico. Essa viso bastante mope, uma vez que a proteo da
informao deve ser encarada como uma atividade compartilhada. A
perda da confidencialidade dos dados pode afetar qualquer setor, seja
ele o departamento de recursos humanos, marketing ou o setor financeiro
da empresa. Diante de riscos to coletivos, nada mais justo do que des
centralizar as responsabilidades. Dessa forma, cada funcionrio deve se
sentir corresponsvel pela segurana das informaes que manuseia.
Para garantir a adeso dos funcionrios s tcnicas de segurana da
informao, nada melhor do que o exemplo dos chefes. preciso que os
lderes induzam seus colaboradores a abraar a proteo confidencia
lidade dos dados como um dever coletivo de toda a equipe, e no uma
atribuio restrita aos funcionrios de TI.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-49

A s e g u r a n a d a i n f o r m a o . . . 39

Os resultados de tais iniciativas no poderiam ser mais positivos. Or


ganizaes que defendem o sigilo de seus dados certamente despertam
o interesse de novos clientes. Imagine, por exemplo, um banco que fosse
vtima de constantes crimes virtuais. Certamente, tal instituio financeira
no seria a escolha dos adeptos do Internet Banking. Ou seja, a defi
cincia do sistema de segurana constituiria um srio obstculo para a
expanso dos negcios do banco, afugentando os correntistas. A mesma
linha de pensamento pode ser aplicada a outros setores do mercado. Seja
qual for o ramo da atividade, a confiana um item fundamental: ela
que fideliza e seduz os clientes, garantindo o crescimento e a sade do
empreendimento.
Alm disso, a segurana das informaes no preocupao exclusiva
dos clientes. Os investidores tambm se preocupam com o gerenciamento
dos dados das incorporaes. Pense nas dimenses que um escndalo
sobre o vazamento de informao sigilosa pode provocar no mercado
de capitais. Os impactos podem ser extremamente desastrosos, fazendo
despencar o valor dos papis daquela empresa.
No h volta para o rumo que a transferncia de dados tomou na
sociedade da informao. A revoluo que a microinformtica trouxe
para o processamento de dados um avano irreversvel. A velocidade,
a praticidade e a economia de custos oferecidos pela digitalizao das
informaes agilizaram as operaes e reduziram drasticamente o espao
fsico necessrio para o arquivamento de documentos. Imagine o caos
que tomaria conta das transaes financeiras e comerciais se o uso de
computadores fosse suspenso e todos os procedimentos tivessem que ser
feitos manualmente, com caneta e papel. Certamente, haveria um colapso
da economia. Em um curto espao de tempo, passamos do papelcarbono
e da antiga mquina de escrever para a transmisso e acesso de dados
online. E nos acostumamos rapidamente com esse novo ritmo. Afinal de
contas, time is money.
interessante observarmos as reaes que o emprego dessas novas
tecnologias provocou no pblico em geral. H 20 anos, o computador

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-50

40

Segurana da informao

ainda no fazia parte do dia a dia das pessoas, e ainda suscitava fortes
suspeitas. O receio era compreensvel tratavase de confiar a uma
mquina tarefas at ento desempenhadas pelo homem. Podemos ver
que, com o passar do tempo, os computadores mostraramse muito mais
confiveis do que o homem, diminuindo consideravelmente a margem de
erro. No entanto, os desafios passaram a ser outros: proteger a informao
dos ataques da pirataria virtual.
Para tornar esse cenrio ainda mais complicado, o uso de dinheiro de
plstico (cartes de dbito e crdito) tem tido um aumento considervel
em compras online. H quem diga que os tales de cheque e o dinheiro
em papel e moeda j esto com os dias contados. Os benefcios das
transaes virtuais so inmeros, reduzindo os gastos da empresa com o
quadro de funcionrios, bem como as filas e o tempo de espera dos
clientes. No entanto, todas as vantagens deste sistema caem por terra
quando a transferncia de dados e valores no capaz de oferecer segu
rana absoluta.
Essas novas prticas tambm esto em sintonia com formas mais re
centes de prestao de servios, como
o outsourcing e o offshoring. A primeira
Saiba mais
consiste em terceirizar uma tarefa. A
segunda, por sua vez, ocorre quando
A pirataria virtual integra a lista
das maiores preocupaes das
uma empresa localiza uma determinada
organizaes que buscam cons
etapa do seu processo em outro pas.
truir sites seguros. Apesar dos
Pense, por exemplo, em uma monta
altos investimentos, hoje em dia
dora americana de carros que realoca
j virou rotina encontrar notcias
a produo de certas peas no Brasil
sobre vazamentos de informa
por questes como mo de obra barata,
o. Acesse o link abaixo e saiba
presena de matriaprima abundante e
o que aconteceu com a rede
leis ambientais mais flexveis. Em ambos
social Facebook:
os casos, a descentralizao dos servi
<http://www1.folha.uol.
com.br/folha/informatica/
os ou da produo impe uma intensa
ult124u725047.shtml>.
troca de dados online.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-51

a segurana da informao...

41

Vemos assim que no faltam motivos para aumentar os investimentos


com vistas ao aperfeioamento da segurana na criao e na transmisso
de informaes. Os efeitos positivos trazidos por essas novas tecnologias
so inmeros, justificando os valores gastos. Agora que j sabemos o
que e por que proteger, resta conhecer como garantir a segurana da
informao.

Seo 1

Como proteger a informao:


conhecendo o passo a passo

1.1 As etapas do sistema de segurana: prevenir,


detectar e recuperar
Como voc pde ver acima, a segurana computacional no mais um
gasto suprfluo, um requinte de sofisticao das empresas de grande porte.
Hoje em dia, qualquer empreendimento saudvel v a proteo dos seus
dados como uma estratgia essencial para o sucesso dos seus negcios.
Com o advento da Internet, ficou mais difcil para as empresas con
trolar o fluxo das trocas internas e externas. Por isso, as redes de compu
tadores esto cada vez mais expostas a ameaas e ataques de toda sorte.
Segundo o especialista em tecnologia da informao Pinheiro (2007),
essas ameaas podem ser divididas em dois grupos:
Acidental: Qualquer ameaa no planejada, como uma falha de
hardware ou software, por exemplo.
Intencional: Invases premeditadas que, por meio de planos mali
ciosos, visam ao acesso no autorizado s redes de computadores.
Os ataques de hackers e crackers pertencem a esta categoria, e
podem ter objetivos diversos, como o roubo, a distoro ou a re
velao de dados confidenciais. s vezes o objetivo levar a rede
ao colapso, paralisando suas atividades.
A fim de combater as ameaas que desafiam a segurana da informa
o, Pinheiro (2007) sugere trs etapas que devem compor um sistema

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-52

42

Segurana da informao

robusto. A primeira delas diz respeito s estratgias de preveno. Esse


primeiro passo abrange as medidas que buscam proteger a rede por inteiro
e os arquivos contidos em cada computador. A preveno tenta evitar
acessos no credenciados, dificultando a ocorrncia de roubos e danos.
Para tanto, algumas tcnicas tm se mostrado bastante eficientes. A au
tenticao uma delas, pois s libera o acesso mediante a apresentao
da senha correta. H ainda estratgias mais sofisticadas, como a identifi
cao do rosto do usurio. A principal vantagem da autenticao que
ela restringe o acesso aos dados, evitando sua exposio a pessoas no
autorizadas. Os programas antivrus tambm so uma alternativa eficaz,
pois impedem a infiltrao de programas malintencionados. H ainda
os roteadores e os firewalls, tecnologias que estudaremos mais adiante.
Assim como o antivrus, eles protegem a rede contra tentativas de invaso,
seja a ameaa interna ou externa.
A segunda etapa compreende as medidas de deteco de intruses.
Ela coordenada por sistemas automticos que observam o fluxo das
trocas de dados, procurando atividades suspeitas. Quando encontram
uma tentativa de intruso, eles enviam um alerta para o gerenciador ou
acionam um procedimento de respostapadro. De tempos em tempos,
esses sistemas automticos tambm realizam auditorias, analisando cui
dadosamente a rede em busca de atividades ou alteraes estranhas, que
possam indicar uma possvel invaso no detectada.
At agora, j sabemos o que fazer para evitar intruses. Porm, como
proceder quando o ataque j foi concretizado? De que forma podemos
promover a recuperao dos dados atacados? A terceira etapa da segu
rana da informao reduz os danos provocados pelos ataques por meio
de cpias de segurana (backups) dos arquivos importantes. Essas cpias
no devem ser armazenadas na rede, nem tampouco ter conexo com a
Internet. Afinal, elas s esto a salvo de possveis ameaas se estocadas
em CPUs isoladas dos servidores. A cada atualizao, os arquivos de se
gurana devem ser substitudos por novos, garantindo sua integridade e
disponibilidade. Dessa forma, mesmo que um ataque provoque a perda ou

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-53

A s e g u r a n a d a i n f o r m a o . . . 43

a distoro das informaes, haver cpias intactas desses dados em um


HD que no est ao alcance dos invasores virtuais. H ainda aplicativos
bastante eficientes que recuperam automaticamente os dados perdidos,
pois duplicam tudo que armazenado no computador.
Dependendo do nvel de segurana desejado, podese fazer um backup
de todo o hardware, garantindo a preservao total das informaes salvas
nele. Caso no seja necessrio fazer um backup to abrangente, a opo
mais sensata consiste em fazer escolhas. justamente neste quesito que
entra em ao a classificao da informao, pois ela oferece uma viso
hierrquica da relevncia dos dados para a empresa, permitindo que cada
um seja protegido de acordo com seu valor estratgico. Alm disso, ao
categorizarmos a informao, podemos fazer previses sobre as ameaas
que podem ser lanadas contra cada tipo de dado.
Imagine, por exemplo, que uma empresa est sendo muito bemsu
cedida no uso do seu site, divulgando seus produtos e fechando vendas
online. Um concorrente desleal provavelmente tentaria paralisar as transa
es do site, tornando links indisponveis por meio do pharming, quando
o internauta conduzido a um site diferente daquele que planejava visitar
ao clicar em um determinado link. Ora, se a empresa atacada tivesse um
entendimento prvio sobre a relevncia do seu site para o bom andamento
dos negcios, ela teria adotado um sistema de segurana mais eficiente
para proteglo. O mesmo ocorre com uma instituio que est s vsperas
de patentear seu mais novo produto. bvio que a sua frmula deve ser
armazenada a sete chaves, eliminando o risco de invases que coloquem
em xeque a sua confidencialidade.
Voc acabou de conhecer as trs etapas que compem um sistema
de segurana da informao. Tanto a preveno quanto a deteco e a
recuperao promovem a proteo dos dados em diferentes momentos.
A preveno atua na tentativa de evitar que possveis ameaas driblem o
sistema e tenham acesso rede. A deteco, por sua vez, responsvel
por encontrar eventuais invasores que tenham conseguido vencer os
obstculos iniciais e superaram as barreiras de segurana. Por ltimo,

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-54

44

Segurana da informao

a recuperao tenta reparar os danos, disponibilizando os backups dos


arquivos que, porventura, tenham sido perdidos ou deturpados durante
o ataque.

1.2Conhecendo os dispositivos do sistema de segurana


Na seo anterior voc aprendeu as etapas que integram o processo de
segurana da informao. Aqui voc ser apresentado a tecnologias que
garantem a segurana da informao. Conforme voc ver, cada um deles
oferece uma srie de vantagens e desvantagens que devem ser levadas
em conta. As escolhas devem ser feitas confrontando as caractersticas
dos mecanismos com as prioridades de cada empresa.

1.2.1Firewall
O firewall uma importante medida de segurana que tem por obje
tivo controlar o fluxo de informao entre redes. Ele serve, por exemplo,
para regular o trfego de dados de uma rede ligada Internet, evitando
os efeitos nocivos que a ao desprecavida de alguns usurios pode pro
vocar. Alm disso, ele busca impedir o acesso no credenciado rede,
protegendoa de possveis invasores. O prprio nome ilustra bem a fun
o do firewall da mesma forma que uma parede cortafogo impede
o alastramento de incndios, o firewall computacional funciona como
uma barreira para as ameaas virtuais.
A instalao de um firewall pode ser feita com hardwares ou softwares.
H tambm firewalls mistos, que combinam ambos os tipos para um
controle mais intensivo das trocas. A funo desse dispositivo consiste
basicamente em rotear a comunicao, avaliando que mensagens, pro
gramas ou arquivos so seguros, podendo autorizar ou no seu trnsito.
Caractersticas como endereo de IP de origem e destino, bem como
o tamanho e o tipo dos dados, so alguns dos critrios utilizados para
restringir o fluxo da informao entre as redes.
Todo firewall deve ser configurado de acordo com o nvel de segurana
adequado s necessidades da empresa. preciso, por exemplo, estipular

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-55

a segurana da informao...

45

quais dados so confiveis e, portanto, podem circular livremente pela


rede, e quais devem ter seu trfego proibido. A criao de regras forma o
que chamamos poltica do firewall. Dentre as diversas polticas existentes,
h duas que se destacam mais. So elas:
Default Permit: poltica de segurana que parte do pressuposto de
que tudo que no proibido permitido. Ela confere maior liberdade
aos usurios em detrimento da segurana da rede. Sua utilizao
recomendvel quando as ameaas so remotas, e as informaes
contidas na rede no exigem um nvel muito alto de proteo.
Default Deny: poltica de segurana oposta Default Permit, a pol
tica Default Deny entende que tudo que no permitido proibido.
Ela coloca em primeiro lugar a segurana da rede, restringindo
bastante a liberdade dos usurios. Devido aos limites rgidos que
impe circulao de dados, ela atende bem s necessidades de
redes cuja prioridade a segurana.

Questes para reflexo


Com base na descrio dessas duas polticas de segurana,
Default Pernit e Default Dany, pense em vantagens e desvan
tagens que acompanham a implementao de cada uma.

Como voc pde ver, no existe uma configurao padro do firewall.


Muito pelo contrrio, ele deve ser moldado de acordo com as caracters
ticas de cada rede. Alm de oferecer ganhos com flexibilidade, o firewall
uma ferramenta prtica. Ele no precisa ser instalado em todos os com
putadores que sero protegidos. Sua utilizao pode ser implementada a
partir de uma nica mquina que atuar como firewall de toda a rede.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-56

46

Segurana da informao

H ainda diversos tipos de firewall, que apresentam diferentes vanta


gens e vulnerabilidades. Novamente, sua escolha deve ser feita com base
nas especificidades da rede.

1.2.1.1 Filtragem de pacotes


Tambm conhecido como packet filtering, o sistema de filtragem de
pacotes responsvel por permitir ou bloquear o trnsito de determina
das sequncias de dados, tambm conhecidas como pacotes. Para tanto,
posicionase um roteador chamado screening router entre a rede interna
e a Internet. Seu funcionamento pode ser comparado ao dos scanners de
bagagens usados em aeroportos: quando identificam um pacote suspeito,
sua passagem imediatamente bloqueada.
Da mesma forma que lquidos e metais no podem entrar a bordo
de um avio, o screening router conta com uma srie de critrios para
autorizar a entrada ou a sada dos dados. Ele pode, por exemplo, proibir
o envio e o recebimento de dados envolvendo endereos de IP consi
derados perigosos. J servios que fazem parte do dia a dia da empresa,
como o acesso ao servio de email da rede, so permitidos. Voc mesmo
j deve ter percebido que, por motivos de segurana e disciplina, muitas
empresas bloqueiam softwares de mensagens instantneas como o MSN,
o ICQ, entre outros.
Embora o sistema de filtragem de pacotes seja muito utilizado, princi
palmente em redes menores, h casos em que as normas que regulam o
fluxo de informao tornamse complicadas ou defasadas demais. s vezes
as regras no so abrangentes o bastante, permitindo que se estabeleam
comunicaes suspeitas, o que compromete a segurana de toda a rede.

1.2.1.2 Bastion hosts


Os bastion hosts ou estaes bastio so mquinas seguras instaladas
em pontos da rede que so mais vulnerveis a ataques. Pense no bastion
host como o porteiro que trabalha no hall de entrada de um edifcio empre
sarial. Sua tarefa consiste em monitorar o lugar por onde todos os visitantes

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-57

A s e g u r a n a d a i n f o r m a o . . . 47

passam, assegurando que todos eles se identifiquem. ele que autoriza ou


nega o seu ingresso no prdio, garantindo a segurana do local.
Com o bastion host no diferente ele fica posicionado em um
ponto estratgico, onde capaz de averiguar a comunicao dentro da pr
pria Intranet e/ou o fluxo de informaes entre a rede interna e a Internet.
Para tornlo ainda mais eficiente, possvel utilizlo em conjunto com
outros tipos de firewall, intensificando ainda mais a segurana.
No entanto, importante frisar que o bastion host s deve ser imple
mentado quando necessrio. A sua utilizao no teria sentido, por exem
plo, para regular o fluxo de pacotes entre duas redes que no apresentam
ameaas uma para outra. Por outro lado, se voc est lidando com redes
que no tm confiana mtua em suas trocas, a instalao de bastion
hosts em cada uma delas pode ser uma alternativa para regular o trfego
de dados. J nos casos em que o bastion host est ligado Internet, im
prescindvel reforar sua proteo. Imagine o estrago que pode ser causado
se um dos principais dispositivos de segurana desabilitado, deixando a
rede interna completamente vulnervel ao de hackers e crackers.

1.2.1.3 Firewall de controle de aplicao


Este tipo de firewall tambm bastante conhecido como servidor
proxy. Uma das grandes vantagens que oferece diz respeito comunica
o com a Internet, que passa a ser indireta. Ou seja, o proxy ocupa um
papel mediador entre o usurio e a Web. O trnsito de informaes entre
Internet e rede interna s acontece mediante a aprovao do firewall. Po
demos dizer que o monitoramento do fluxo de pacotes do proxy mais
eficiente do que os demais. Afinal de contas, nada acontece entre usurio
e Internet sem o seu consentimento. No toa que este tipo de firewall
frequentemente escolhido por empresas de grande e mdio porte.
A mediao nesses casos nada mais do que uma precauo. Vamos
supor que um funcionrio esteja prestes a instalar um programa no
autorizado na rede interna de sua empresa. O servidor proxy receber a
requisio do usurio para fazer o download do programa. No entanto,

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-58

48

Segurana da informao

a ao s ser executada se estiver de acordo com os critrios de segu


rana. Em primeiro lugar, o firewall examinar o protocolo (IP Internet
Protocol) da aplicao cujo uso est sendo solicitado. A fim de proteger
a identidade do usurio, o servidor proxy criar uma conexo externa
para receber os dados da Internet, evitando que os crackers aproveitem
a oportunidade para roubar os dados da rede interna. Uma vez tomadas
essas medidas preventivas, tanto a instalao do programa no autori
zado quanto a possibilidade de roubo de informaes internas durante a
conexo tornamse bastante improvveis.
curioso pensarmos que, embora o usurio tenha a impresso de
que est interagindo diretamente com a Internet, ele na verdade est
se comunicando com o firewall, que vai examinar os seus pedidos. Se
sua requisio for aprovada, o firewall vai criar uma conexo externa
segura com a Internet, encaminhando as aes pedidas pelo usurio e
devolvendo as respostas da Web. Com isso, no h contato direto entre
o servidor real e o usurio, evitando a exposio dos dados internos da
rede. O que existe um contato mediado pelo firewall, que julga se a
requisio do usurio est ou no de acordo com a poltica de segurana
da empresa. O firewall pode, inclusive, negar autorizao para diversas
aes, como exportao e importao de arquivos.
No de se admirar que os proxies sejam considerados mais seguros
do que os filtros de pacote. Afinal, ao invs de regular o fluxo de dados
com base em um nmero limitado de regras, o firewall de controle de
aplicao est presente em todas as aes dos usurios, impedindo a
concretizao daquelas que expem a rede aos riscos cibernticos.

1.2.1.4 Gateways a nvel de circuito


Os gateways a nvel de circuito so simplesmente uma simplificao do
firewall de controle de aplicao. Da mesma forma que o servidor proxy, ele
responsvel por determinar que conexes devem ser permitidas e quais de
vem ser abortadas. Porm, ele cumpre essa tarefa formando um circuito entre
as redes interna e externa, repassando dados entre os usurios envolvidos.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-59

a segurana da informao...

49

Uma das principais diferenas entre os gateways a nvel de circuito


e o firewall de controle de aplicao est relacionada ao tratamento que
cada sistema d aos dados. Na comunicao em circuitos os computa
dores trocam de uma vez s um volume grande de dados. J no caso dos
proxies, o trfego de dados no funciona assim. O firewall de aplicao
examina pacote por pacote, dado por dado, verificando o endereo de
origem de cada um deles. Para entender melhor essa diferena, coloquese
no lugar de um funcionrio responsvel por arquivar documentos. Se voc
utiliza a tcnica dos gateways a nvel de circuito, quando receber uma
pasta, voc no vai abrila para examinar o seu contedo. Voc vai sim
plesmente examinar a procedncia da pasta como um todo e arquivla.
J se voc seguir os procedimentos indicados pelo firewall de aplicao,
voc vai abrir a pasta e examinar a origem de cada um de seus dados,
documento por documento.

1.2.1.5 Por que usar um firewall?


Com base nas funes desempenhadas pelos diferentes firewalls, voc
j deve ter percebido que eles oferecem inmeras vantagens para os seus
usurios. Mesmo assim, confira logo abaixo alguns dos principais bene
fcios que esse importante mecanismo de defesa oferece:
o firewall impede que funcionrios de uma rede corporativa te
nham acesso a sites proibidos, impondo restries ao uso que
fazem da Internet. Por meio das medidas de segurana adequadas,
possvel impedir o download de programas nocivos e evitar a
exposio desnecessria dos dados da rede interna a conexes
perigosas. Inclusive, j existem firewalls com recursos de log que
identificam os usurios responsveis por utilizaes indevidas dos
computadores;
quando o assunto vrus, o firewall tambm se mostra uma ferra
menta bastante til. A verificao da procedncia do trfego de
dados pode nos alertar quando entramos em uma conexo inse
gura, evitando que fiquemos expostos ao das pragas digitais.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-60

50

Segurana da informao

Isso ocorre porque o firewall eficiente no bloqueio de aes no


autorizadas;
Alm disso, conforme voc mesmo pde ver, esse sistema de defesa
uma tecnologia bastante flexvel. Isso no se deve exclusivamente exis
tncia de vrios tipos, mas tambm possibilidade de configurlo, adap
tandoo s necessidades e aos objetivos de segurana de cada empresa.

Questes para reflexo


Que tipo de firewall voc adotaria para o seu computador
pessoal? Por qu?

1.2.2 Sistema de deteco de intruses


Como vimos na seo anterior, o firewall compe um sistema de
segurana complexo, podendo sofrer ajustes de acordo com o perfil da
rede. Com o sistema de deteco de intruses no diferente. H desde
formas mais simples at as mais sofisticadas, que visam construo de
um sistema de segurana slido.
Contudo, antes de mais nada, preciso entender por que preciso
implementar um sistema de deteco de intruses se existem outras fer
ramentas de segurana dos dados, como os firewalls. Ora, a resposta
simples. Os firewalls so teis quando h um nvel mnimo de confiana
nos funcionrios. Eles talvez no fossem to eficazes na deteco de uma
mudana no comportamento do usurio ou da alterao suspeita de
uma senha, por exemplo. O problema que o foco principal da ateno
desse dispositivo a ameaa externa. Portanto, a utilizao exclusiva de
firewalls s seria justificvel em contextos onde os funcionrios so
de confiana e as informaes que transitam pela rede no tm um valor
crucial para a empresa.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-61

A s e g u r a n a d a i n f o r m a o . . . 51

Porm, a sociedade contempornea trouxe outros desafios. Como voc


j estudou, prticas como outsourcing e offshoring estenderam o acesso
rede a empregados temporrios e filiais em outros pases, ampliando
consideravelmente o nmero de pessoas credenciadas. Para agravar ainda
mais a situao, o aperfeioamento tecnolgico inventa constantemente
novas formas de ataques, constituindo um verdadeiro desafio para a se
gurana da informao.
nesse contexto que surgem os sistemas de deteco de intruses
(IDS intrusion detection systems) como instrumentos mais sofistica
dos para o combate s ameaas virtuais. Eles consistem em sistemas de
segurana automticos cuja funo envolve o monitoramento do trfego
de pacotes. Tais sistemas tm por objetivo identificar tentativas de acesso
no credenciado rede interna, dispondo tambm dos meios necess
rios para reagir a ataques. justamente essa capacidade de percepo
e resposta automticas que fazem do IDS um dos dispositivos mais efi
cientes de defesa digital. Porm, como funcionam esses mecanismos?
De que forma eles conseguem to prontamente identificar ameaas e
buscar sua supresso?
Como era de se imaginar, qualquer IDS conta com informaes so
bre diferentes tipos de ataque. Por isso, toda vez que percebem alguma
modificao no fluxo de dados, eles comparam os padres observados
queles apresentados por ataques virtuais. Quando identificam um padro
suspeito, o sistema emite automaticamente um alerta para os responsveis
pela rede, notificando a existncia de uma possvel intruso. H ainda
sistemas que dispem de reaes prconfiguradas para cada tipo de
ataque detectado. Sendo assim, dependendo do ataque, o contraataque
pode ser imediato.
Ainda por cima, h outra diferena que acentua a vantagem do IDS em
relao aos firewalls. Para ilustrar essa diferena, imagine que um usurio
pediu ao firewall para importar dados a partir de um IP suspeito. O firewall
s ser capaz de identificar a ameaa se o site mencionado constar em
sua lista negra. Agora, pense em outro tipo de ameaa. Pense em um

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-62

52

Segurana da informao

ataque que est prestes a ocorrer por uma porta que o firewall no clas
sificou como perigosa. Nesse caso, o ataque ser concretizado porque o
firewall no foi capaz de entender o que ocorria por trs da tentativa de
intruso. Isso ocorre porque o seu funcionamento mecnico demais,
cruzando os braos diante de ameaas desconhecidas.
J o IDS um sistema bem mais esperto. Ele consegue identificar
o que est acontecendo do lado de fora da rede, mesmo que o ataque
esteja sendo articulado a partir de um IP que o firewall identifica como
inofensivo. E as vantagens no param por a: o IDS funciona como um
espio, fornecendo informaes sobre como a intruso organizada.
Logo, no por acaso que os especialistas em segurana da informao
Nakamura e Geus (2007) veem o IDS como um componente indispensvel
em ambientes cooperativos.
Por causa das diferentes necessidades dos sistemas de segurana,
foram desenvolvidos dois tipos principais de IDS: um deles conhecido
como networkbased intrusion detection system (NIDS), ao passo que o
outro se chama hostbased intrusion detection system (HIDS).
A especialidade do HIDS a proteo de apenas um host, ou seja,
de uma nica mquina. Por esse motivo, no consegue analisar o trfego
de pacotes espalhados pela rede. Ou seja, ele s pode se responsabilizar
pela entrada e sada de dados da mquina onde atua. O NIDS, por sua
vez, capaz de proteger todo o segmento de rede onde instalado. Por
isso, escolher onde posicionlo uma deciso importante, que deve se
basear em questes estratgicas. O NIDS formado por dois componentes
principais. Os sensores ou sondas so os mecanismos que permitem o
monitoramento da circulao de pacotes no segmento de rede protegido.
Eles lanam mo de um banco de dados sobre invasores conhecidos para
facilitar sua identificao imediata. J o gerenciador corresponde parte
do NIDs que articula a reao aos ataques. A resposta do gerenciador
solicitada mediante deteco de atividades suspeitas pelos sensores.
Logo, primordial que o gerenciador e os sensores sempre mantenham
um canal de comunicao disponvel. A fim de preservar essas trocas

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-63

A s e g u r a n a d a i n f o r m a o . . . 53

de informao, comum utilizarse a criptografia, mtodo que evita a


intercepo e decodificao dos dados.
Quando os sistemas identificam algo suspeito no trnsito dos dados,
um alerta rapidamente enviado ao administrador da rede ou, ento,
procedimentos prconfigurados so acionados. possvel, por exemplo,
que um sistema de deteco de intruses faa ajustes de ltima hora nas
regras do firewall para que a conexo perigosa seja bloqueada.
Por causa dos diferentes benefcios oferecidos pelo NIDS e pelo HIDS,
hoje em dia j so vendidos no mercado sistemas hbridos, que aprovei
tam o que h de melhor em cada sistema. Assim, enquanto o NIDS se
especializa em colher dados sobre o que est acontecendo no segmento
de rede, o HIDS pode se dedicar ao monitoramento da mquina onde
est instalado.
Os sensores de redes podem ser colocados em pontos estratgicos,
como os locais de entrada de comunicao. J os HIDS devem ser posi
cionados nas mquinas que se pretendem proteger de forma mais inten
siva. Os diferentes sensores assim espalhados repassam as informaes
colhidas para um gerenciador central. recomendvel que a estrutura do
IDS esteja isolada do restante da rede, tornando o sistema de segurana
menos vulnervel.
Ainda com relao localizao do IDS, h outras variveis que
devem ser consideradas. Uma delas tem a ver com a sua posio em
relao ao firewall. O que acontece, por exemplo, quando instalamos o
IDS antes do firewall? bvio que, se o IDS est na frente da barreira de
segurana, ele vai detectar uma quantidade bem maior de ameaas. O
grande benefcio que, como espio, ele poder fornecer pistas sobre
como esses ataques funcionam. Por outro lado, quando o IDS fica atrs
do firewall, ele s ter acesso s tentativas de invaso que driblaram o pri
meiro obstculo de segurana. Existe tambm a possibilidade de colocar
o IDS no prprio firewall, fazendo com que registre como so articulados
os ataques primeira defesa da rede. Repare que cada alternativa oferece
uma proteo diferente.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-64

54

Segurana da informao

Outro ponto importante diz respeito ao que fazer com os dados pro
duzidos pelos sensores. Caso os critrios de segurana sejam exagerados,
o volume de informao coletado pelos IDS ser grande demais, dificul
tando o seu gerenciamento. A moderao um fator importante, para
que o sistema no emita alertas constantes sobre ameaas falsas. Dentre
os tipos de alertas disponveis, destacamse possibilidades sofisticadas
que incluem chamadas para celulares. Quando prconfigurado correta
mente, a reao do IDS pode ser rpida, bloqueando o IP envolvido com
a ameaa e suspendendo a conexo.
Apesar das vantagens listadas acima, no podemos nos esquecer que,
como qualquer outro sistema, esse dispositivo tambm tem seus pontos
fracos. Infelizmente, a maioria dos IDS ainda utiliza bancos de dados para
deteco de ameaas. Por isso, quando se deparam com ataques desco
nhecidos, muitos sistemas abrem as portas, julgandoos inofensivos.
Existe ainda o risco de sobrecarregar o sistema, uma vez que redes
muito ativas tendem a gerar muitos dados. Com isso, tornase complicado
detectar ameaas reais, j que elas se perdem em meio a um emaranhado
de informaes desnecessrias. J h crackers que se fazem valer dessa
fraqueza para invadir as redes com mais facilidade. s vezes, por exem
plo, eles lanam um ataque falso para distrair o sistema de segurana,
enquanto a ameaa real entra pela porta dos fundos.
Esses so alguns dos fatores que transformam o IDS em um sistema
complexo e, por vezes, caro. preciso, ento, manter em mente que os
custos envolvidos correspondem ao grau de segurana que a empresa
pretende implementar. Novamente, a classificao da informao tornase
uma ferramenta til, possibilitando que o nvel de proteo seja propor
cional importncia da integridade, confidencialidade e disponibilidade
dos dados.
possvel identificar ainda diferentes modalidades de IDS. De acordo
com o especialista Pinheiro (2007), existem dois tipos principais de meto
dologias usadas para deteco de ameaas. A primeira delas, conhecida
como knowledgebased intrusion detection ou misuse detection system,

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-65

a segurana da informao...

55

a mais comum no mercado atualmente. Seu funcionamento mais


simples, pois seu instrumento principal uma lista negra, com dados
sobre os principais invasores. Como os crackers no perdem tempo, a
eficcia dessa modalidade depende de sua atualizao constante para
identificar ameaas recmcriadas. A segunda alternativa chamase
behaviorbased intrusion detection ou anomaly detection system. Ela
sofisticada porque no depende de um banco de dados. Por ser mais
inteligente, esse sistema de deteco capaz de identificar mudanas
no comportamento dos usurios. Para isso, estabelecido um padro
de normalidade, fazendo com que qualquer anomalia na utilizao da
CPU, fluxo de dados, horrios de conexo ou atividade de disco sejam
identificados como suspeitos. A definio de anomalia feita com base
em anlises estatsticas e, s vezes, qualitativas. Imagine, por exemplo,
que os usurios de uma empresa acessam a rede nos turnos da manh e
da tarde. A deteco de muitas atividades no turno da madrugada deve
soar como um alerta de possveis invases noturnas.

Questes para reflexo


Qual das duas formas de deteco de anomalia mais
inteligente? Por qu?

Para Pinheiro (2007), as anomalias detectadas pelo IDS dividemse


em trs grupos principais, conforme mostra a tabela abaixo:
Tipo de anomalia

Caractersticas principais

Anomalia em padro de O IDS programado para buscar mudanas no com


comportamento
portamento dos usurios. As alteraes observadas
abrangem, por exemplo, os tipos de aplicativo e
protocolo mais utilizados, seu horrio de utilizao
e o tipo de anexo recebido e enviado nas trocas por
email.
(continua)

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-66

56

Segurana da informao

(continuao)
Anomalia em padro de O foco de ateno do IDS se volta para questes rela
trfego
cionadas circulao de pacotes na rede. Esta cate
goria envolve anomalias como o volume das trocas,
no deixando de lado a anlise do remetente e do
destinatrio das importaes e exportaes de dados.
A deficincia dos sistemas que procuram este tipo
de anomalia que eles operam com base em estats
ticas. Por isso, ataques que usam variaes sutis do
padro de trfego podem passar impunes.
Anomalia em padro de O sistema que detecta anomalias deste tipo se dedica
protocolo
anlise de caractersticas dos protocolos. A vanta
gem desse modelo sua eficincia. Como os proto
colos restringem muito os moldes da circulao de
pacotes, eles so descritos em detalhes por um docu
mento de referncia, por exemplo. Sendo assim, cabe
ao IDS verificar se existe alguma divergncia entre
o modelo proposto para a comunicao e a forma
como ela est de fato ocorrendo.

Como a sofisticao das tecnologias da informao permite monitorar


de perto as transaes digitais, preciso tomar muito cuidado para no
pecar pelo excesso. Uma das maiores desvantagens da deteco com
base no comportamento dos usurios so justamente os alarmes falsos,
que voltam a ateno do administrador para trfegos de pacotes inofen
sivos. Por outro lado, h ataques inteli
gentes que evitam a produo de ano
Links
malias detectveis. Existem agressores
Lembrese de que os protocolos
que iniciam o ataque com comporta
so modelos de comunicao
mentos sutilmente diferentes daqueles
que duas ou mais mquinas uti
adotados pelos usurios credenciados,
lizam para trocar dados.
dificultando a deteco da intruso.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-67

A s e g u r a n a d a i n f o r m a o . . . 57

Links
O especialista em segurana Altieres Rohr o criador do site Linha Defensiva,
onde voc encontra fruns para debate e inmeras dicas sobre como proteger
o seu PC. Alm disso, voc tambm pode utilizar as ferramentas do site para
remover vrus e outras pragas. No deixe de conferir as novidades do link abaixo:
<http://www.linhadefensiva.org/>.

1.2.2.1 I DS e o comportamento psdeteco


At agora voc estudou os procedimentos do IDS para detectar de
forma eficaz as possveis ameaas. No entanto, como o sistema atua aps
a identificao de um ataque potencial? Para comear, o IDS se v diante
de uma encruzilhada, onde h duas alternativas de resposta.
A primeira sada para o IDS acionar uma reao ativa automtica.
Tambm conhecida como resposta inline, ela oferece um leque de esco
lhas. Dentre elas, destacamse as possibilidades de contraatacar, levantar
informaes sobre quem e como age o agressor, adaptar a rede para
uma situao de ataque e fazer ajustes no firewall a fim de diminuir a
chance de novos ataques. J no modo passivo, a ao do IDS fica mais
engessada, uma vez que, mesmo detectando um ataque, ele no conse
gue lutar contra ele.

1.2.2.2 Identificao e correo dos pontos fracos


Como voc mesmo pde constatar, no h sistema de segurana in
falvel. Diariamente, empresas investem somas expressivas na proteo
de seus dados, mas nem por isso deixam de sofrer ataques que, quando
bemsucedidos, escancaram as portas da rede interna para toda sorte de
pragas digitais. Afinal de contas, seria a insegurana da informao um
problema irremedivel? Como fazer para se ver livre de ataques, quando
mesmo as tecnologias mais avanadas se curvam diante das investidas
dos crackers? S nos resta uma sada: buscar incessantemente os meios de
fortalecer as vulnerabilidades dos mecanismos de defesa que usamos.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-68

58

Segurana da informao

Hoje em dia h uma grande variedade de testes que comparam os dis


positivos instalados em nossas redes com as ameaas conhecidas. Toda vez
que identificam uma vulnerabilidade, o administrador da rede avisado para
que atualize o sistema em uso ou o substitua por outro mais eficiente. Vamos
supor, por exemplo, que o IDS que utilizamos ignora um nmero expressivo
de invasores recmcriados. A sua atualizao ou substituio por um novo
primordial para que a rede no fique merc de novos agressores. A correo
e a atualizao automtica dos sistemas ou aplicaes so boas alternativas,
pois evitam falhas humanas como o esquecimento e a negligncia.
Os testes de intruso tambm so instrumentos eficazes no aperfei
oamento da segurana digital. Eles simulam uma situao de ataque,
em que uma pessoa no credenciada tenta driblar as barreiras de segu
rana para conseguir acesso rede interna. Ele pode ser feito com base
em informaes sobre o sistema de segurana vigente ou sem qualquer
conhecimento prvio. Cada tipo apresenta vantagens interessantes. No
primeiro caso, em que as especificidades so conhecidas, o invasor vai em
busca justamente das brechas de segurana, denunciando as fragilidades
do sistema. Por outro lado, a ausncia de informaes sobre os dispositivos
de segurana torna a situao mais verossmil, uma vez que coloca o teste
nas mesmas condies de um possvel agressor. Os resultados obtidos
por essas anlises so preciosos, pois colocam mostra o calcanhar de
Aquiles do sistema, facilitando o seu fortalecimento e correo.

1.2.3Redes privadas
No poderamos abordar o tema da segurana nas trocas de informa
o sem discutir de forma mais aprofundada a funo das redes nesse
contexto. Para tanto, vamos fazer um pequeno passeio pela Histria, atra
vessando desde a primeira metade do sculo XX at os dias de hoje.

1.2.3.1 Redes locais de computadores


Em fevereiro de 1946, John Presper Eckert e John W. Mauchly, dois
cientistas norteamericanos, anunciavam o nascimento do ENIAC (Elec
trical Numerical Integrator and Calculator), o primeiro computador de

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-69

A s e g u r a n a d a i n f o r m a o . . . 59

todos os tempos. Apesar do seu tamanho impressionante, seu processador


de dados era inferior ao de uma simples calculadora de bolso.
A necessidade de conexo entre grandes computadores surgiu nas
dcadas seguintes, quando foram desenvolvidas as primeiras redes locais,
tambm conhecidas como LANs (local area network). A princpio, elas
foram inventadas para resolver um problema de espao devido ao
tamanho dos computadores, era difcil concentrar muitas mquinas em
um nico ambiente. Da, a percepo de que era necessrio conectar os
terminais, facilitando o trnsito de informaes entre eles.
Com o tempo, as mquinas foram modernizadas, e hoje em dia j
podemos falar em computadores portteis. Atualmente, uma sala de di
menses modestas pode concentrar vrias mquinas. As LANs passaram a
servir, ento, para promover o compartilhamento de dados e proporcionar
que todos os computadores conectados tivessem acesso a uma mesma
impressora, por exemplo. Voc j reparou que os cybercafs tambm so
chamados de lan houses? Pois , eles recebem esse nome porque, alm de
estarem conectados Internet, os computadores disponibilizados nesses
lugares tambm esto interligados.
Podemos definir, ento, as LANs como um conjunto de mecanismos que
interconecta mquinas, permitindo o fluxo de pacotes e recursos entre elas.
Embora as LANs representem um avano significativo na tecnologia de com
partilhamento de dados, elas apresentam graves limitaes. As LANs sem fio
(Wireless LANs), que utilizam transmisses de rdio, deixam os computadores
mais vulnerveis ao de agressores que conseguem invadir a rede dis
tncia. Outro pronto negativo a limitao espacial. As LANs no permitem
que computadores situados a uma mdia ou longa distncia sejam partes de
uma mesma rede local. Isto , elas no tm capacidade para interconectar
computadores que no estejam relativamente prximos uns dos outros.

1.2.3.2 Redes privadas virtuais


Foi justamente a necessidade de ampliao de limites que levaram
criao das redes privadas virtuais (VPN Virtual Private Network).

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-70

60

Segurana da informao

Embora utilize a Internet para praticamente ilimitar suas fronteiras, as


VPNs contam com tecnologias que preservam o seu carter privado. Voc
vai conhecer agora algumas das tecnologias empregadas para garantir
a confidencialidade, a integridade e a disponibilidade dos dados que
circulam por ela.
a) Tneis
O conceito de tnel bastante til para entendermos o que trans
forma as redes privadas virtuais em instrumentos seguros de comunica
o. Porm, tome cuidado para no confundir os tneis das VPNs com
os tneis tradicionais. Estes ltimos so rgidos, seguindo um percurso
prdesenhado. J os tneis das VPNs so totalmente flexveis, agindo
como qualquer outra transmisso de pacotes via Internet. O termo tnel
aplicado no mbito virtual porque a informao parte do seu ponto
de origem e s ser compreensvel quando chegar ao seu destino. Isso
ocorre graas tcnica de criptografia. Antes de enviar um conjunto
de dados, as VPNs encriptam o pacote, fazendo com que ele assuma a
forma de cdigos aparentemente sem sentido. Ou seja, as VPNs cons
troem um verdadeiro tnel de criptografia entre os pontos de chegada e
partida, evitando que interceptores no autorizados consigam entender
as informaes.
Como voc pode ver, a segurana no um mero acessrio das VPNs,
mas um princpio que orienta todas as trocas. Mesmo sendo a Internet um
ambiente repleto de ameaas, ela pode ser utilizada pelas redes privadas
virtuais como um canal seguro para transmisso de dados. Por causa
dessa evoluo da comunicao, j se pode falar em Extranets, conexes
seguras entre redes que usam a criptografia para proteger o intercmbio
de pacotes. So tecnologias como essa que viabilizam a circulao segura
de informaes sigilosas entre uma empresa e sua filial, por exemplo.
b) Criptografia
A palavra criptografia tem razes na lngua grega e significa escrita
oculta. Tambm conhecida como encriptao, esta tcnica embara
lha e reordena a informao com a ajuda de funes matemticas

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-71

a segurana da informao...

61

chamadas algoritmos. O conjunto de dados originais recebe o nome de


texto claro (cleartext). Depois de alterado, ele passa a se chamar texto co
dificado (ciphertext). Isso ocorre porque os algoritmos criam uma relao
entre os smbolos normais e os cdigos, possibilitando a transformao de
um texto claro em um escuro e a reverso do processo sem distores ou
perdas de dados. Do lado do tnel que envia a mensagem, h um meca
nismo VPN que codifica a informao. Na outra ponta, existe um dispositivo
que desempenha a funo oposta, obtendo de volta o texto claro.
c) Chave
A chave o instrumento que garante a eficcia da criptografia. Ima
gine como seria difcil manter a informao segura se s tivssemos um
padro para encriptar as mensagens. Mais cedo ou mais tarde, os crackers
descobririam a frmula e seriam bemsucedidos na decodificao de
dados sigilosos. a que as chaves dificultam a ao da pirataria virtual.
Elas atuam como cdigos secretos que as funes matemticas usam para
criar verses diferentes de um mesmo texto. Por isso, atualmente j con
seguimos encriptar uma nica mensagem de formas diversas, mudando
apenas a chave utilizada.
Vale a pena lembrar que os tipos de chaves existentes oferecem nveis
de proteo distintos. De forma geral, o grau de segurana aumenta com
o tamanho das chaves. Isto , quanto maior a chave, maior a segurana.
No entanto, devemos resistir ao impulso de usar a maior chave possvel:
no apenas a segurana, mas tambm o tempo gasto com a encriptao
e a decodificao proporcional ao tamanho. Por isso, se a informao
a ser transmitida no confidencial, no faz sentido escolher modelos
maiores.
Alm do tamanho das chaves, h outras opes a se considerar. Exis
tem dois tipos principais que atendem demandas distintas de segurana.
So eles:
Tipo 1 Chaves simtricas: A mesma chave utilizada pelo
emissor e pelo receptor da mensagem. Ou seja, uma nica chave
responsvel pela encriptao e decodificao das informaes.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-72

62

Segurana da informao

Este tipo de chave no apropriado quando os dados so muito


importantes. Como o remetente e o destinatrio precisam compar
tilhar a chave, algo pode dar errado nesse processo de transmisso.
Se a chave interceptada, a Internet deixa de ser um canal seguro
para o fluxo de dados, devassando o contedo das mensagens. Por
isso mesmo, o cuidado com o sigilo primordial. Por isso, ao invs
de transmitir as chaves por email, outras opes mais confiveis
devem ser adotadas. O uso de papel ou mdias como CDs e pen
drives so alguns exemplos. Em ambientes onde h um volume
muito grande de trocas, necessrio desenvolver chaves diferentes,
compartimentando o acesso s informaes. Assim, somente os
funcionrios A e B, por exemplo, tero a chave para os dados que
lhe dizem respeito, no podendo invadir comunicaes alheias.
Tipo 2 Chaves assimtricas: Esse modelo pressupe o uso de duas
chaves distintas, uma para encriptao dos dados (chave pblica) e
outra para decodificao (chave privada). Dentre as duas, apenas a
chave privada exige sigilo. Embora o seu funcionamento seja mais
complexo, proteger a confidencialidade da chave tornase uma tarefa
muito mais fcil. Imagine o seguinte padro de comunicao: Jos vai
mandar uma mensagem para Maria. Como Jos pretende se comuni
car com sua amiga, ele envia para ela uma chave pblica pela Inter
net. Toda vez que Maria decidir mandar uma mensagem para Jos,
ela ter que envila acompanhada da chave pblica. Isso garante
que somente Jos poder abrila. Lembrese de que a chave enviada
por Jos no serve para decodificar dados. Ela serve to somente
para embaralhar a informao que Maria vai transmitir, tornandoa
ilegvel para qualquer um, menos Jos. Somente ele, que o nico
possuidor da chave privada correspondente, capaz de decodificar
a mensagem enviada por Maria. Repare que no h problemas em
divulgar a chave pblica. O grande segredo do sucesso das chaves
assimtricas est na manuteno do sigilo da chave privada, pois esta
sim capaz de possibilitar o acesso aos dados originais.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-73

a segurana da informao...

63

d) Autenticao
Embora tcnicas como tneis, criptografia e chave sejam indispens
veis, uma comunicao no pode ser classificada como segura s porque
o seu contedo foi protegido por elas. Por esse motivo, a autenticao foi
desenvolvida como um recurso responsvel por garantir outros aspectos
da segurana da informao, podendo verificar a identidade do usurio
e a procedncia dos pacotes. Podemos falar, ento, em autenticao dos
usurios e autenticao dos dados:
Tipo 1 Autenticao dos usurios: Imagine que duas empresas
esto utilizando redes privadas virtuais para prestar servios de as
sessoria tcnica. Como suas mensagens contm informaes sobre
tecnologias estratgicas, importante assegurar que o contedo da
mensagem permaneceu intocado durante seu transporte e garantir
que o remetente no um invasor, o que comprometeria o carter
confidencial do intercmbio de dados. Logo, quando a empresa X
recebe uma mensagem assinada pela empresa Y, ela busca rapida
mente se certificar de que o emissor dos dados realmente quem
ele diz ser. Para tanto, a empresa X faz um teste: ela manda uma
palavra criptografada para a empresa Y, sabendo que s a verdadeira
empresa Y tem a chave capaz de decodificar o contedo de sua
mensagem. Se a empresa Y realmente for autora da mensagem, ela
entender o recado de X e responder por meio de outra palavra
codificada que somente a empresa X consegue abrir. Finalizase
assim o ciclo de autenticao do usurio.
Tipo 2 Autenticao dos dados: Em primeiro lugar, o conceito de
hash fundamental para entendermos o processo de autenticao
dos dados. Ele funciona como a carteira de identidade de um dado,
comprovando sua autenticidade. Quando vamos mandar uma men
sagem com uma informao muito importante, devemos calcular o
seu valor de hash. Ao recebla, o destinatrio vai fazer suas contas
e comparar o hash do contedo recebido com aquele prescrito
pelo remetente. Caso os valores sejam divergentes, provvel que
deturpaes tenham ocorrido durante a transmisso de dados.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-74

64

Segurana da informao

1.2.3.3 Vantagens das VPNs


Como voc pde ver, as redes privadas virtuais contam com uma srie
de recursos para garantir o trnsito seguro da informao por um canal
pblico de comunicao, a Internet. Embora parea um paradoxo chamar
as VPNs de privadas, ferramentas como tneis, criptografia, autenticao
e chaves transformam essas redes em verdadeiros osis em meio a um
ambiente repleto de ameaas.
Contudo, no devemos implantar VPNs sem antes refletir sobre nossas
necessidades de segurana nas trocas de dados. Questes como custo e
tempo disponvel para transmitir a informao so alguns dos critrios
que no podem ser deixados de lado. Por isso, cabe s organizaes fazer
um levantamento apurado sobre seus processos de comunicao, verifi
cando se as VPNs so, de fato, a melhor alternativa. Empresas pequenas
com pouca comunicao com redes externas, por exemplo, podem no
precisar de um sistema de segurana to sofisticado.

1.2.4Antivrus e antispyware
O antivrus e o antispyware so softwares que defendem a mquina
de pragas digitais, como worms, vrus, cavalos de troia (trojan horses)
e spywares. Na Unidade 3, elas sero
apresentadas em detalhe, mas voc j
Para saber mais
pode conhecer aqui alguns dos danos
Em 2010, um antivrus da Mc
que elas provocam.
Affee enlouqueceu. Aps atua
Dentre os diversos efeitos nocivos,
lizao, o dispositivo de segu
destacamse o apagamento de arquivos,
rana destruiu um arquivo do
Windows porque o identificava
a corrupo de programas e, inclusive,
como vrus. Para piorar, o item
a utilizao da mquina infectada para
danificado era essencial para ini
contaminar outros computadores da rede.
ciar o sistema operacional, difi
Os spywares, por sua vez, podem mexer
cultando ainda mais o reparo.
na configurao da mquina, modificar a
pgina inicial do navegador, instalar componentes indesejados e at mesmo
detectar informaes confidenciais gravadas no seu computador. Eles so os

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-75

A s e g u r a n a d a i n f o r m a o . . . 65

responsveis por anncios publicitrios no solicitados, podendo tambm


bloquear o computador ou deixlo mais lento.
A fim de evitar os aborrecimentos listados acima, importante saber
como um computador pode ser infectado. De forma geral, a contaminao
ocorre quando o usurio executa um programa malicioso. Isso pode ocor
rer, por exemplo, quando o anexo de uma mensagem eletrnica aberto.
Em alguns casos, a infeco no para por a: h tipos de vrus que utilizam
a lista de contatos do usurio para se propagarem atravs daquela conta
de email. Os destinatrios das mensagens, ao identificarem o remetente
conhecido, so induzidos a abrir o anexo, acreditando que se trata de
um arquivo confivel. A disseminao tambm pode acontecer por meio
de mdias infectadas, que contaminam o computador onde so inseridas.
Enfim, o que no faltam so maneiras de infeco. Como voc pode ver,
assim como o vrus da gripe, as pragas digitais so muito contagiosas.
Por isso, os antivrus e os antispywares tentam proteger os computado
res do maior nmero possvel de pragas. Porm, como elas so criadas e
atualizadas constantemente, ainda no existem formas totalmente eficazes
de combatlas. Do mesmo jeito que no encontramos nas prateleiras da
farmcia um remdio que consiga combater todos os vrus da gripe, ainda
no foi inventada uma proteo definitiva contra o vrus virtual. O antiv
rus e o antispyware conseguem apenas atuar como vacinas, fortalecendo
as mquinas para que possam, pelo menos, resistir maioria das doenas
cibernticas. Algumas verses menos sofisticadas j vm embutidas nas
mquinas ou podem ser obtidas gratuitamente na Internet.
A funo dos antivrus e antispywares tambm pode ser comparada
quela da Polcia Federal nos aeroportos. Voc j deve ter ouvido falar
que os agentes policiais tm uma blacklist com nomes de criminosos que
no podem ingressar no pas. O seu dever , portanto, bloquear a entrada
desses indivduos foradalei. No entanto, esse modelo de funcionamento
no eficiente no mundo tecnolgico. O problema que a rapidez com
que novas ameaas digitais so criadas no permite uma vida til muito
longa para os mecanismos em questo. Alis, bom lembrar que os

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-76

66

Segurana da informao

cybercriminosos testam seus novos ataques, usando as ferramentas de


segurana existentes. Como os antivrus e os antispywares operam com
bancos de dados para detectar as assinaturas de programas nocivos, eles
frequentemente no identificam agressores mais recentes. Por isso, o
usurio precisa atualizar constantemente esses softwares de defesa.
Devido alta velocidade com que eles ficam defasados, alguns espe
cialistas j anunciam a sua superao. O argumento que, como hoje
em dia existem outros dispositivos mais inteligentes para identificao de
agressores, no faz mais sentido utilizar tcnicas obsoletas. Os sistemas
de deteco de intruses, capazes de apontar um invasor com base no
seu comportamento, e a poltica de segurana baseada no whitelist (lista
branca), tcnica que permite apenas o uso de emails, programas e en
dereos de IP aprovados de antemo, so apresentados como alternativas
tecnolgicas que substituem o antivrus e o antispyware.

1.2.5Antispam
Como a maioria das pessoas que utilizam o correio eletrnico, voc
tambm j deve ter ouvido falar em spam. O termo serve para designar,
por exemplo, aqueles emails indesejados que so enviados no apenas
para voc, mas para milhares de outros destinatrios. Os objetivos do
spam vo desde divulgao publicitria de produtos e servios a tentativas
malintencionadas de crackers.
A expresso spam zombies (zumbis de spam) tem a ver com o resultado
da ao maliciosa de vrus e spywares. Um computador pode se tornar um
zumbi quando passa a ser controlado pelo propagador do spam. Isso
ocorre em casos que o invasor consegue, entre outras coisas, disseminar
o spam a partir da mquina infectada, preservando sua identidade.
Alm de precaues simples como no fornecer o endereo de email
em qualquer cadastro online, importante acionar o servio antispam,
frequentemente oferecido pelo prprio provedor. Ele atua como um fil
tro, reduzindo consideravelmente o nmero de ameaas que chega at
o usurio.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-77

A s e g u r a n a d a i n f o r m a o . . . 67

Para saber mais


Voc j ouviu falar em netiqueta? Pois , como o governo brasileiro lento na
criao de regras para utilizao da Internet, os internautas j tomaram a frente.
Embora no tenha valor oficial, a netiqueta composta por princpios que devem
guiar o comportamento online dos usurios. Confira alguns deles: nunca fazer
comentrios preconceituosos; no faa uso constante de letras maisculas; pa
lavres e outros xingamentos no devem ser empregados nos debates; quando
trocar mensagens instantneas, no interrompa de forma brusca a discusso
sobre um tema: faa sempre uma transio gradual de um tpico para outro,
para que seu interlocutor no se sinta cortado; e resista tentao de usar
emoticons o tempo todo eles dificultam a leitura.

1.3Como construir um sistema de segurana?


Nos itens anteriores, voc conheceu uma srie de dispositivos capazes de
combater diferentes ataques. Porm todos eles apresentavam algum tipo de
vulnerabilidade, dificultando a adoo de um nico instrumento de defesa.
Os pontos fracos dos firewalls, IDS, redes privadas, antivrus, antispywares e
antispams s nos levam concluso de que a sada para o problema est na
articulao integrada desses sistemas, tpico da Seo 2 desta unidade.

Seo 2

 ombinando tecnologias
C
em prol da segurana
computacional

2.1Integrao e centralizao: um caminho para o


gerenciamento da segurana
Como voc j viu nas sees anteriores, o mundo dos negcios cami
nha a passos firmes rumo informatizao de seus processos. Embora as
inovaes tecnolgicas tenham trazido riscos inditos, como as ameaas

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-78

68

Segurana da informao

de crackers e uma vasta gama de pragas virtuais, as trocas cibernticas


so mais eficientes do que os mtodos convencionais, desde que acom
panhadas do aparato de segurana necessrio.
No entanto, como se trata de um campo relativamente novo, a segu
rana computacional ainda necessita de aperfeioamentos profundos,
principalmente por conta da criatividade dos viles do ramo. Um dos
aspectos que precisa ser revisto diz respeito especializao dos me
canismos de defesa. No momento em que as tecnologias de segurana
ainda ensaiavam suas primeiras respostas pirataria virtual, era comum
pensar que, quanto mais especializada fosse a ferramenta, maior a sua
eficcia. Aos poucos, essa crena foi caindo por terra. Isso ocorreu
porque as prticas convencionais impunham uma srie de dificuldades.
Dentre elas, o desafio de ter que coordenar e cruzar as informaes
detectadas pelos diversos instrumentos de segurana. No foi por acaso
que, solues especficas demais, como os firewalls e os antivrus tra
dicionais, esto perdendo espao para dispositivos que integram mais
funes. A moda agora outra: basta passar os olhos pelas vitrines de
lojas de informtica para confirmar a tendncia multifuncional dos l
timos lanamentos.
Graas aos avanos tecnolgicos no sentido da integrao, as empre
sas esto conseguindo gerenciar seu trfego de dados com ferramentas
de controle mais abrangentes. Produtos que inicialmente operavam de
forma bastante pontual, como as VPNs e os firewalls, j agregam funes
diferentes daquelas designadas no momento de sua criao. Instrumentos
multifuncionais de combate a ameaas esto conquistando as prateleiras
das lojas, modernizando o processo de gesto de segurana. J existem
atualmente sistemas que congregam em um nico dispositivo as funes
de firewall , VPNs, IDS, antivrus e antispam. Alm de conter custos, por
dispensarem a compra de vrios componentes, as inovaes integradas
facilitam o gerenciamento das informaes. Elas poupam o tempo do
responsvel pela rede, que no precisa mais fazer o cruzamento manual
de dados.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-79

A s e g u r a n a d a i n f o r m a o . . . 69

Infelizmente, a sobrecarga de informaes produzidas pelos produtos


de segurana , ainda hoje, um problema recorrente em muitas empresas.
H, por exemplo, organizaes que gastam somas expressivas em equi
pamentos, mas que no inspecionam os resultados que eles produzem.
inegvel que os produtos de segurana emitem muitos alarmes falsos,
tornando enfadonha a sua anlise. Por outro lado, o descuido com os
alertas culpa das equipes responsveis pela segurana que, com o seu
desleixo, abrem a porta da empresa para eventuais ataques.
No toa que o trabalho humano nas tarefas de monitoramento dos
dados vem sendo parcialmente substitudo pela automao do processo.
na esteira dessas modificaes que surge a ferramenta SIM (Security Infor
mation Management), que ajuda a empresa a lidar com o grande volume
de alertas e informaes gerados pelos mecanismos de segurana. Como a
maioria dos alarmes falsa, os produtos SIM assumem a responsabilidade
de analisar cada um deles, atraindo a ateno do administrador apenas
quando h uma ameaa real. Com isso, eles simplificam e aperfeioam
o combate aos ataques, voltando o olhar da empresa para os casos que
realmente exigem cuidados.
Apesar dos avanos na centralizao da segurana, devemos nos
lembrar que no existem solues prconfiguradas, capazes de dar conta
das necessidades de qualquer organizao. No so as caractersticas da
empresa que devem se adequar s ferramentas, mas sim o inverso. Isto ,
so as especificidades de cada rede que devem determinar o caminho a
ser seguido para assegurar a segurana da informao.

2.2Terceirizar ou no: um dilema contemporneo


A terceirizao uma prtica que revolucionou diversos setores da
economia mundial. Como era de se imaginar, o gerenciamento da segu
rana da informao tambm tem aderido a essa tendncia. Contudo,
existem ressalvas com relao terceirizao. Tradicionalmente, a segu
rana da informao colocada como uma tarefa que deve ser tratada
internamente. Afinal de contas, ela a guardi dos dados mais valiosos

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-80

70

Segurana da informao

que uma organizao possui. Ora, se a terceirizao desse servio permite


o acesso de pessoas de fora da empresa a contedos sigilosos, natural
que a sua implementao provoque receios.
Apesar da desconfiana, o nmero de adeses aos servios terceiri
zados de segurana da informao bastante significativo. O aperfeioa
mento das tcnicas de pirataria virtual um dos fatores que tem levado
as organizaes a recorrerem terceirizao. Como muitas delas no
contam com equipes especializadas, capazes de promover o controle e
a inspeo constantes das redes, no resta outra sada seno contratar
empresas que se dediquem com exclusividade a essa funo. Os servios
oferecidos pela terceirizao especializada incluem diversas atividades,
como mostra o quadro abaixo:
Funo

Benefcio

Consultoria

Oferece conselhos sobre como escolher a alternativa que


melhor atende s demandas de segurana da empresa.

Instalao e
configurao dos
equipamentos de
segurana

Quando feita por profissionais competentes, a configurao


dos dispositivos de segurana tornase um reflexo do grau
de proteo ideal para cada caso. Poupando tempo e custos
em situaes de menor importncia, a gesto inteligente
da segurana concentra esforos onde eles realmente so
necessrios.

Monitoramento
da rede

Permite a deteco de possveis ameaas por meio de uma


leitura atenta dos alarmes emitidos por dispositivos como
firewalls, antivrus, entre outros.

Realizao de
testes

Os testes realizados simulam situaes de invaso, averi


guando a resistncia do sistema a possveis agressores. Com
os resultados obtidos, possvel identificar os pontos vulne
rveis e corrigilos.

Embora terceirizar a segurana parea uma alternativa lgica, ela deve


passar por um cuidadoso processo de avaliao de riscos. Sem dvida,
quanto mais restrita uma informao, mais chances ela ter de perma
necer confidencial. Por isso, antes de delegar tarefas ligadas proteo
de seus dados, a organizao deve refletir se ela pode ou no suportar os
riscos que advm da terceirizao. Em casos onde h uma infraestrutura

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-81

A s e g u r a n a d a i n f o r m a o . . . 71

propcia ao desenvolvimento tcnico dos funcionrios, a gesto interna


da segurana parece ser a alternativa mais sensata. Porm, quando os
recursos humanos e tecnolgicos so escassos, contratar uma empresa
especializada o nico caminho.
H ainda uma terceira posio que parece encontrar o ponto de equi
lbrio entre as opes citadas. Tratase de uma terceirizao seletiva que,
a partir da delegao dos processos menos sigilosos, testa a confiabilidade
da empresa contratada. Se ela mostrarse honesta e competente, as suas
atribuies aumentam gradativamente, podendo chegar a incluir a tota
lidade dos servios de proteo ao trfego e armazenamento de dados.

Aprofundando o conhecimento
Antigamente, a confidencialidade da informao no era um tema
to complexo. Bastava comprar um bom cofre ou contratar vigias. Com
o advento da Internet e a intensificao das trocas online, a segurana
passou a integrar a lista das principais preocupaes das grandes
empresas, como mostra o texto a seguir, de Stallings (2008, p.313).

1. Introduo
Os requisitos de segurana da informao dentro de uma organi
zao passaram por duas mudanas importantes nas ltimas dca
das. Antes do uso generalizado de equipamentos de processamento
de dados, a segurana da informao considerada valiosa para uma
organizao era fornecida principalmente por meios fsicos e admi
nistrativos. Um exemplo do primeiro o uso de robustos armrios
para arquivo com uma fechadura de segredo para armazenar docu
mentos confidenciais. Um exemplo do ltimo so os procedimentos
de seleo de pessoal usados durante o processo de contratao.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-82

72

Segurana da informao

Com a introduo do computador, tornouse evidente a ne


cessidade de ferramentas automatizadas para proteger arquivos e
outras informaes armazenadas no computador. Esse especial
mente o caso de um sistema compartilhado, como um sistema de
timesharing, e a necessidade ainda mais premente para sistemas
que podem ser acessados por meio de uma rede telefnica pblica,
rede de dados ou a Internet. O nome genrico para o conjunto de
ferramentas projetadas para proteger dados e impedir hackers
segurana de computador.
A segunda mudana importante que afetou a segurana a
introduo de sistemas distribudos e o uso de redes e recursos de
comunicao para transmitir dados entre o usurio do terminal e
o computador e entre computadores. As medidas de segurana de
rede so necessrias para proteger dados durante sua transmisso.
Na verdade, o termo segurana de rede , de certa forma, incorreto,
pois praticamente todas as empresas, governo e organizaes aca
dmicas interconectam seus equipamentos de processamento de
dados com um conjunto de redes interconectadas. Esse conjunto
normalmente conhecido como interrede,1 utilizandose o termo
segurana de interrede.
No existem limites claros entre essas duas formas de segurana.
Por exemplo, um dos tipos mais notrios de ataque a sistemas de
informao o vrus de computador. Um vrus pode ser introduzido
fisicamente em um sistema ao chegar em um disquete ou disco ptico
e ser carregado em um computador. Os vrus tambm podem chegar
por uma interrede. De qualquer forma, aps o vrus se instalar em
um sistema de computador, so necessrias ferramentas de segurana
internas do computador para detectar e recuperarse do vrus.
Este livro enfoca a segurana de interrede, que consiste em
medidas para desencorajar, impedir, detectar e corrigir violaes de
segurana que envolvam a transmisso de informaes. Essa uma

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:37 - January 10, 2014 - PG-83

A s e g u r a n a d a i n f o r m a o . . . 73

afirmao ampla, que abrange inmeras possibilidades. Para dar


uma ideia das reas abordadas neste livro, considere os seguintes
exemplos de violaes de segurana:
1. O usurio A transmite um arquivo ao usurio B. O arquivo
contm informaes confidenciais (por exemplo, registros de
folha de pagamento) que devem ser protegidas contra divul
gao. O usurio C, que no est autorizado a ler o arquivo,
capaz de monitorar a transmisso e obter uma cpia do
arquivo durante sua transmisso.
2. Um gerente de rede, D, transmite uma mensagem a um
computador E sob seu gerenciamento. A mensagem instrui
o computador E a atualizar um arquivo de autorizao para
incluir as identidades de diversos novos usurios que devero
receber acesso a esse computador. O usurio F intercepta a
mensagem, altera seu contedo para incluir ou excluir en
tradas e, depois, encaminha a mensagem para E, que aceita
a mensagem como se tivesse vindo do gerente D e atualiza
seu arquivo de autorizao conforme solicitado.
3. Em vez de interceptar uma mensagem, o usurio F cria sua
prpria mensagem com as entradas desejadas e transmite
essa mensagem para E como se tivesse vindo do gerente D. O
computador E aceita a mensagem como vindo do gerente D
e atualiza seu arquivo de autorizao conforme solicitado.
4. Um funcionrio demitido sem aviso. O gerente de pessoal
envia uma mensagem a um sistema servidor para invalidar
a conta do funcionrio. Quando a invalidao realizada, o
servidor deve enviar um aviso ao arquivo do funcionrio como
confirmao da ao. O funcionrio capaz de interceptar
a mensagem e adila pelo tempo necessrio para fazer um
ltimo acesso ao servidor e obter informaes confidenciais.
A mensagem ento encaminhada, a ao tomada e a

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-84

74

Segurana da informao

confirmao postada. A ao do funcionrio pode passar


despercebida por um tempo considervel.
5. Uma mensagem enviada de um cliente a uma corretora
com instrues para diversas transaes. Depois disso, os
investimentos perdem valor e o cliente nega ter enviado a
mensagem.
Embora essa lista no esgote de forma alguma os tipos poss
veis de violaes de segurana, ela ilustra a gama de problemas de
segurana de rede.
A segurana de interredes fascinante e complexa. Alguns dos
motivos so:
1. A segurana envolvendo comunicaes e redes no to
simples quanto pode parecer a princpio para o iniciante. Os
requisitos parecem ser simples; na verdade, a maioria dos
principais requisitos para servios de segurana pode receber
rtulos autoexplicativos de uma palavra: confidencialidade,
autenticao, irretratabilidade, integridade. Mas os meca
nismos usados para atender a esses requisitos podem ser
muito complexos, e entendlos pode envolver um raciocnio
bastante sutil.
2. Ao desenvolver um mecanismo ou algoritmo de segurana es
pecfico, preciso considerar sempre os ataques em potencial
a esses recursos de segurana. Em muitos casos, os ataques
bemsucedidos so planejados examinandose o problema
de um modo completamente diferente, explorando assim
um ponto fraco inesperado no mecanismo.
3. Devido ao ponto 2, os procedimentos usados para fornecer
servios especficos normalmente no so intuitivos: no
bvio, pela declarao de um determinado requisito, que es
sas medidas elaboradas sejam necessrias. somente quando

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-85

A s e g u r a n a d a i n f o r m a o . . . 75

as diversas contramedidas so consideradas que as medidas


utilizadas fazem sentido.
4. Tendo projetado diversos mecanismos de segurana, pre
ciso decidir onde uslos. Isso verdadeiro tanto em termos
de posicionamento fsico (por exemplo, em que pontos de
uma rede certos mecanismos de segurana so necessrios)
quanto em um sentido lgico (por exemplo, em que camada
ou camadas de uma arquitetura como TCP/IP Transmission
Control Protocol/Internet Protocol os mecanismos devem
ser colocados).
5. Mecanismos de segurana normalmente envolvem mais do
que um algoritmo ou protocolo especfico. Eles geralmente
tambm exigem que os participantes possuam alguma infor
mao secreta (por exemplo, uma chave de criptografia), que
levanta questes sobre a criao, distribuio e proteo dessa
informao secreta. H tambm uma confiana em protocolos
de comunicao cujo comportamento pode complicar a tarefa
de desenvolver o mecanismo de segurana. Por exemplo, se
o funcionamento apropriado do mecanismo de segurana
exigir a definio de limites para o tempo de trnsito de uma
mensagem do emissor ao receptor, ento qualquer protocolo
ou rede que introduza atrasos variveis e imprevisveis pode
tornar esses limites de tempo sem significado.
Sendo assim, h muita coisa a considerar. Este captulo oferece
uma viso geral do assunto que serve de estrutura para o material
no restante do livro. Comeamos com uma explicao geral sobre
servios e mecanismos de segurana de rede e os tipos de ataques
para os quais eles so projetados. Depois desenvolvemos um mo
delo geral no qual os servios e mecanismos de segurana podem
ser vistos.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-86

76

Segurana da informao

1.1 Tendncias de segurana


Em 1994, o Internet Architecture Board (IAB) emitiu um relat
rio intitulado Security in the internet architecture segurana
na arquitetura da Internet (RFC 1636). O relatrio estabelecia
o consenso geral de que a Internet precisa de mais e melhor
segurana, e identificava as principais reas para mecanismos
de segurana. Entre estas estavam a necessidade de proteger a
infraestrutura da rede contra monitorao e controle no autori
zados do trfego da rede, e a necessidade de proteger o trfego
de usurio final para usurio final usando mecanismos de auten
ticao e de criptografia.
Essas questes so totalmente justificadas. Como confirmao,
considere as tendncias relatadas pelo Computer Emergency Res
ponse Team (CERT) Coordination Center (CERT/CC). A Figura 1.1a
mostra a tendncia em vulnerabilidades relacionadas Internet, rela
tadas ao CERT por um perodo de 10 anos. Estas incluem os pontos
fracos da segurana nos sistemas operacionais dos computadores
atacados (por exemplo, Windows, Linux), alm das vulnerabilidades
nos roteadores da Internet e outros dispositivos de rede. A Figura
1.1b mostra o nmero de incidentes relacionados segurana in
formados ao CERT. Estes incluem ataques de negao de servio;
falsificao de IP, em que os intrusos criam pacotes com endereos
IP falsos e exploram aplicaes que usam a autenticao baseada
em IP; e diversas formas de bisbilhotagem e farejamento de pacote,
em que os atacantes leem informaes transmitidas, incluindo in
formaes de logon e contedo de banco de dados.
Ao longo do tempo, os ataques na Internet e em sistemas
conectados Internet se tornaram mais sofisticados, enquanto a
habilidade e o conhecimento exigidos para montar um ataque di
minuram (Figura 1.2). Os ataques se tornaram mais automatizados
e podem causar mais danos.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-87

a segurana da informao...

140.000
130.000

4500
4000
3500

120.000
110.000

3000

100.000
90.000

2500

80.000
70.000

2000

60.000
50.000

1500

40.000

1000

30.000
20.000
10.000

500
1995

1996

1997

1998

1999

2000

(a) Vulnerabilidades

2001

2002

2003

2004

1995

1996

relatadas

1997

1998

1999

(b) Incidentes

2000

2001

2002

2003

relatados

Figura 1.1 Estatsticas do CERT

Conhecimento do intruso

Comando e controle sof


sofisticados
Aumento em vermes
Alto
Tcnicas antiforense
Usurios domsticos visados
Conhecimento
Ataques de DDoS
do intruso
Ferramentas de ataque distribudo
Aumento na distribuio de cavalo de Troia em grande escala
Propagao de cdigo malicioso por e-mail
Troianos
T
roianos de controle remoto baseados no Windo
W
ws (back of
offfice)
fice)
Tcnicas de varredura
arredura furtivas/avanadas
furt
Ataques generalizados
na infraestrutura de DNS
Ataques generalizados usando
Tcnicas para analisar o cdigo
NNTP para distribuir
uir o ataque
de vulnerabilidades sem fonte
Ataques de cdigo executvel (contra navegadores)
Ataques de DoS generalizados
Ataques generalizados automatizados
Ferramentas de intruso com GUI
Sondas/varreduras automatizadas
Sondas/v
Sequestro de sesses
Falsificao
alsificao de pacotes
alsif
Farejadores
Baixo
Ataques de engenharia social na Internet
Alta
1990

Baixa

Conhecimento do intruso
1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

F e:: CER
Font
CERT

Figura 1.2 Tendncias na sofisticao do ataque e


conhecimento do intruso
Esse aumento nos ataques coincide com o aumento no uso da
Internet e com aumentos na complexidade dos protocolos, aplica
es e da prpria Internet. Infraestruturas crticas contam cada vez
mais com a Internet para suas operaes. Os usurios individuais
contam cada vez mais com a segurana da Internet, de email, da

77

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-88

78

Segurana da informao

Web e das aplicaes baseadas na Web. Assim, preciso que haja


uma grande gama de tecnologias e ferramentas para agir contra a
ameaa crescente. Em um nvel bsico, os algoritmos criptogrficos
para confidencialidade e autenticao assumem maior importncia.
Alm disso, os projetistas precisam focalizar os protocolos baseados
na Internet e as vulnerabilidades dos sistemas operacionais e das
aplicaes atacadas. Este livro abrange todas essas reas tcnicas.

1.2 A arquitetura de segurana OSI


Para avaliar efetivamente as necessidades de segurana de uma
organizao e avaliar e escolher diversos produtos e polticas de
segurana, o gerente responsvel precisa de algum meio sistem
tico de definir os requisitos de segurana e caracterizar as tcnicas
para satisfazer esses requisitos. Isso j difcil em um ambiente de
processamento de dados centralizado; com o uso de redes locais e
de longa distncia, os problemas so agravados.
A recomendao X.800 da ITUT,2 Security architecture for OSI,
define tal tcnica sistemtica.3 A arquitetura de segurana OSI til
para os gerentes como um meio de organizar a tarefa de prover se
gurana. Alm disso, como essa arquitetura foi desenvolvida como
um padro internacional, fornecedores de computador e comuni
cao desenvolveram recursos de segurana para seus produtos
e servios, que se relacionam com essa definio estruturada de
servios e mecanismos.
Para os nossos propsitos, a arquitetura de segurana OSI oferece
uma viso geral til, abstrata, de muitos dos conceitos dos quais
este livro trata. A arquitetura de segurana OSI enfoca ataques,
mecanismos e servios de segurana. Estes podem ser definidos
resumidamente da seguinte forma:
Ataque segurana: Qualquer ao que comprometa a segu
rana da informao pertencente a uma organizao.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-89

a segurana da informao...

Mecanismo de segurana: Um processo (ou um dispositivo


incorporando tal processo) que projetado para detectar, im
pedir ou permitir a recuperao de um ataque segurana.
Servio de segurana: Um servio de processamento ou co
municao que aumenta a segurana dos sistemas de pro
cessamento de dados e as transferncias de informao de
uma organizao. Os servios servem para frustrar ataques
segurana e utilizam um ou mais mecanismos de segurana
para prover o servio.
Na literatura, os termos ameaa e ataque normalmente so usa
dos para designar mais ou menos a mesma coisa. A Tabela 1.1 ofe
rece definies retiradas da RFC 2828, Internet security glossary.

1.3 Ataques segurana


Uma maneira til de classificar os ataques segurana, usada
tanto na X.800 quanto na RFC 2828, em termos de ataques pas
sivos e ataques ativos. Um ataque passivo tenta descobrir ou utilizar
informaes do sistema, mas no afeta seus recursos. Um ataque
ativo tenta alterar os recursos do sistema ou afetar sua operao.

Ataques passivos
Os ataques passivos possuem a natureza de bisbilhotar ou
monitorar transmisses. O objetivo obter informaes que esto

Tabela 1.1 Ameaas e ataques (RFC 2828)


Ameaa
Potencial para violao da segurana quando h uma circunstncia, capacidade, ao ou evento que pode quebrar a
segurana e causar danos. Ou seja, uma ameaa um possvel perigo que pode explorar uma vulnerabilidade.
Ataque
Um ataque segurana do sistema, derivado de uma ameaa inteligente, ou seja, um ato inteligente que uma tentativa deliberada (especialmente no sentido de um mtodo ou tcnica) de burlar os servios de segurana e violar a
poltica de segurana de um sistema.

79

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-90

80

Segurana da informao

sendo transmitidas. Dois tipos de ataques passivos so liberao do


contedo da mensagem e anlise de trfego.
A liberao do contedo da mensagem facilmente compreen
dida (Figura 1.3a). Uma conversa telefnica, uma mensagem de
correio eletrnico e um arquivo transferido podem conter informa
es importantes ou confidenciais. Desejamos impedir que algum
descubra o contedo dessas transmisses.
Um segundo tipo de ataque passivo, a anlise de trfego, mais
sutil (Figura 1.3b). Suponha que tivssemos uma maneira de disfarar
o contedo das mensagens ou de outro trfego de informaes de
modo que os oponentes, mesmo que captassem a mensagem, no
pudessem extrair suas informaes. A tcnica comum para disfarar
o contedo a criptografia. Se tivssemos proteo por criptografia,
um oponente ainda poderia conseguir observar o padro dessas men

Darth

L o contedo da mensagem
de Bob para Alice

Internet ou outra instalao


de comunicao

Bob

(a) Liberao de contedo da mensagem

Darth

Alice

Observa padro das


mensagens de Bob para Alice

Internet ou outra instalao


de comunicao

Bob

(b) Anlise de trfego

Figura 1.3 Ataques passivos

Alice

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-91

A s e g u r a n a d a i n f o r m a o . . . 81

sagens. O oponente poderia determinar o local e a identidade dos


hospedeiros envolvidos na comunicao e observar a frequncia e o
tamanho das mensagens trocadas. Essa informao poderia ser til
para descobrir a natureza da comunicao que estava ocorrendo.
Ataques passivos so muito difceis de detectar, pois no envol
vem alterao dos dados. Normalmente, o trfego de mensagens
ocorre em um padro aparentemente normal, e nem o emissor
nem o receptor esto cientes de que um terceiro leu as mensagens
ou observou o padro de trfego. Porm, normalmente, vivel
impedir o sucesso desses ataques por meio da criptografia. Assim,
a nfase em lidar com ataques passivos est na preveno, em vez
de na deteco.

Ataques ativos
Ataques ativos envolvem alguma modificao do fluxo de dados
ou a criao de um fluxo falso e podem ser subdivididos em quatro
categorias: disfarce, repetio, modificao de mensagens e negao
de servio.
Um disfarce ocorre quando uma entidade finge ser uma entidade
diferente (Figura 1.4a). Um ataque de disfarce normalmente inclui
uma das outras formas de ataque ativo. Por exemplo, sequncias de
autenticao podem ser captadas e reproduzidas depois que houver
uma sequncia de autenticao vlida, permitindo assim que uma
entidade autorizada com poucos privilgios obtenha privilgios ex
tras, imitando uma entidade que tenha esses privilgios.
A repetio envolve a captura passiva de uma unidade de da
dos e sua subsequente retransmisso para produzir um efeito no
autorizado (Figura 1.4b).
A modificao de mensagens simplesmente significa que alguma
parte de uma mensagem legtima foi alterada ou que as mensagens
foram adiadas ou reordenadas para produzir um efeito no autorizado

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-92

82

Segurana da informao

(Figura 1.4c). Por exemplo, uma mensagem significando Permitir que


John Smith leia contas de arquivo confidenciais modificada para
Permitir que Fred Brown leia contas de arquivo confidenciais.
A negao de servio impede ou inibe o uso ou gerenciamento
normal das instalaes de comunicao (Figura 1.4d). Esse ataque pode
ter um alvo especfico; por exemplo, uma entidade pode suprimir todas
as mensagens dirigidas a determinado destino (por exemplo, o servio
de auditoria de segurana). Outra forma de negao de servio a
interrupo de uma rede inteira, seja desativando a rede ou sobrecar
regandoa com mensagens, a fim de prejudicar o desempenho.
Os ataques ativos apresentam as caractersticas opostas dos
ataques passivos. Embora os ataques passivos sejam difceis de de
tectar, existem medidas para impedir seu sucesso. Por outro lado,
muito difcil impedir ataques ativos absolutamente, devido
grande variedade de vulnerabilidades fsicas, de software e de rede
em potencial. Em vez disso, o objetivo detectar ataques ativos e
recuperarse de qualquer interrupo ou atrasos causados por eles.
Se a deteco tiver um efeito intimidador, ela tambm pode contri
buir para a preveno.

1.4 Servios de segurana


A X.800 define um servio de segurana como um servio for
necido por uma camada de protocolo de comunicao de sistemas
abertos, que garante a segurana adequada dos sistemas ou das
transferncias de dados. Talvez uma definio mais clara seja en
contrada na RFC 2828, que oferece a seguinte definio: um servio
de processamento ou comunicao que fornecido por um sistema
para prover um tipo especfico de proteo aos recursos do sistema;
os servios de segurana implementam polticas (ou diretrizes) de
segurana e so implementados por mecanismos de segurana.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-93

A s e g u r a n a d a i n f o r m a o . . . 83

Mensagem de Darth
que parece ser de Bob

Darth

Internet ou outra instalao


de comunicao

Bob

Alice

(a) Disfarce

Captura mensagem de Bob para


Alice; mais tarde, repassa a
mensagem para Alice

Darth

Internet ou outra instalao


de comunicao

Bob

Alice

(b) Repasse

Darth

Darth modifica mensagem


de Bob para Alice

Internet ou outra instalao


de comunicao

Bob

(c) Modificao de mensagens

Darth

Alice

Darth rompe o servio


fornecido pelo servidor

Internet ou outra instalao


de comunicao

Bob

Figura 1.4 Ataques ativos

(d) Negao de servio

Servidor

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-94

84

Segurana da informao

A X.800 divide esses servios em cinco categorias e quatorze


servios especficos (Tabela 1.2). Vamos examinar cada categoria,
uma por vez.4

Autenticao
O servio de autenticao referese garantia de que uma comu
nicao autntica. No caso de uma nica mensagem, como uma
advertncia ou um sinal de alarme, a funo do servio de autenti
cao garantir ao destinatrio que a mensagem proveniente de
onde ela afirma ter vindo. No caso de uma interao de sada, como
a conexo de um terminal com um hospedeiro, dois aspectos esto
envolvidos. Primeiro, no momento do incio da conexo, o servio
garante que as duas entidades so autnticas, ou seja, que cada uma
a entidade que afirma ser. Segundo, o servio precisa garantir que
a conexo no sofra interferncia de modo que um terceiro possa
fingir ser uma das duas partes legtimas, para fins de transmisso
ou recepo no autorizada.
Dois servios de autenticao especficos so definidos na
X.800:
Autenticao da entidade par: Prov a confirmao da identidade
de uma entidade par de uma associao. O servio fornecido
para uso no estabelecimento de uma conexo ou, s vezes,
durante a fase de transferncia de dados. Ele tem a inteno
de garantir que uma entidade no est disfarada ou realizando
uma repetio no autorizada de uma conexo anterior.
Autenticao da origem de dados: Prov a confirmao da ori
gem de uma unidade de dados. No oferece proteo contra
a duplicao ou a modificao das unidades de dados. Esse
tipo de servio d suporte a aplicaes como correio eletrnico,
nas quais no existem interaes anteriores entre as entidades
que se comunicam.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-95

A s e g u r a n a d a i n f o r m a o . . . 85

Tabela 1.2 Servios de segurana (X.800)


AUTENTICAO
A garantia de que a entidade se comunicando aquela que ela afirma ser.
Autenticao de entidade par
Usada em associao com uma conexo lgica para
confiabilidade da identidade das entidades conectadas.
Autenticao da origem de dados
Em uma transferncia sem conexo, garante que a origem dos dados recebidos a alegada.
CONTROLE DE ACESSO
O impedimento de uso no autorizado de um recurso
(ou seja, esse servio controla quem pode ter acesso a
um recurso, sob que condies o acesso pode ocorrer e
o que permitido para aqueles que acessam o recurso).
CONFIDENCIALIDADE DOS DADOS
A proteo dos dados contra divulgao no autorizada.
Confidencialidade da conexo
A proteo de todos os dados do usurio em uma
conexo.

(ou seja, no contm modificao, insero, excluso


ou repetio).
Integridade da conexo com recuperao
Prov a integridade de todos os dados do usurio em
uma conexo e detecta modificao, insero, excluso
ou repetio de quaisquer dados dentro de uma
seqncia, com tentativa de recuperao.
Integridade da conexo sem recuperao
Idem anterior, mas oferece apenas deteco sem tentativa de recuperao.
Integridade da conexo com campo selecionado
Prov a integridade dos campos selecionados dentro
dos dados do usurio de um bloco transferido por uma
conexo e determina se os campos selecionados foram
modificados, inseridos, excludos ou replicados.
Integridade sem conexo
Prov a integridade de um nico bloco de dados sem
conexo e pode tomar a forma de deteco da modificao de dados. Alm disso, pode haver uma forma
limitada de deteco de repasse.

Confidencialidade sem conexo


A proteo de todos os dados do usurio em um nico
bloco de dados.

Integridade sem conexo com campo seletivo


Prov a integridade dos campos selecionados dentro
de um nico bloco de dados sem conexo; determina se
os campos selecionados foram modificados.

Confidencialidade por campo selecionado


A confidencialidade dos campos selecionados dentro
dos dados do usurio em uma conexo ou em um nico
bloco de dados.

IRRETRATABILIDADE
Oferece proteo contra negao, por parte de uma
das entidades envolvidas em uma comunicao, de ter
participado de toda ou parte da comunicao.

Confidencialidade do fluxo de trfego


A proteo das informaes que poderiam ser derivadas da observao dos fluxos de trfego.

Irretratabilidade, Origem
Prova que a mensagem foi enviada pela parte especificada.

INTEGRIDADE DE DADOS
A garantia de que os dados recebidos esto exatamente como foram enviados por uma entidade autorizada

Irretratabilidade, Destino
Prova que a mensagem foi recebida pela parte especificada.

Controle de acesso
No contexto da segurana de redes, o controle de acesso a
capacidade de limitar e controlar o acesso aos sistemas e aplicaes
hospedeiras por meio de enlaces de comunicao. Para conseguir
isso, cada entidade precisa ser identificada antes de obter acesso,
ou autenticada, de modo que os direitos de acesso possam ser
ajustados ao indivduo.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-96

86

Segurana da informao

Confidencialidade de dados
Confidencialidade a proteo dos dados transmitidos contra
ataques passivos. Com relao ao contedo de uma transmisso de
dados, vrios nveis de proteo podem ser identificados. O servio
mais amplo protege todos os dados transmitidos entre dois usurios
por um perodo de tempo. Por exemplo, quando uma conexo TCP
estabelecida entre dois sistemas, essa ampla proteo impede a
divulgao de quaisquer dados do usurio transmitidos pela conexo
TCP. Formas mais estritas desse servio tambm podem ser defini
das, incluindo a proteo de uma nica mensagem ou at mesmo
campos especficos dentro de uma mensagem. Esses refinamentos
so menos teis do que a tcnica ampla e podem ainda ser mais
complexos e mais dispendiosos de implementar.
Outro aspecto da confidencialidade a proteo do fluxo de
trfego contra anlise. Isso exige que um atacante no consiga
observar a origem e o destino, a frequncia, o tamanho ou outras
caractersticas do trfego em um sistema de comunicao.

Integridade de dados
Assim como a confidencialidade, a integridade pode se aplicar a
um fluxo de mensagens, uma nica mensagem ou campos selecio
nados dentro de uma mensagem. Novamente, a tcnica mais til e
direta a proteo total do fluxo.
Um servio de integridade orientado conexo, que lida com
um fluxo de mensagens, garante que as mensagens so recebidas
conforme enviadas, sem duplicao, insero, modificao, reorde
nao ou repetio. A destruio dos dados tambm est includa
nesse servio. Assim, o servio de integridade orientada conexo
relacionase tanto modificao do fluxo de mensagens quanto
negao de servio. Por outro lado, um servio de integridade sem

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-97

A s e g u r a n a d a i n f o r m a o . . . 87

conexo, que lida com mensagens individuais sem considerar qual


quer contexto maior, geralmente oferece proteo apenas contra
modificao da mensagem.
Podemos fazer uma distino entre o servio com e sem recu
perao. Como o servio de integridade est relacionado a ataques
ativos, tratamos da deteco em vez da preveno. Se uma violao
de integridade for detectada, ento o servio poder simplesmente
informar essa violao, e alguma outra parte do software ou inter
veno humana ser necessria para recuperarse da violao. Como
alternativa, existem mecanismos disponveis para recuperarse da
perda de integridade de dados, conforme veremos mais adiante. A
incorporao de mecanismos de recuperao automatizados, em
geral, a alternativa mais atraente.

Irretratabilidade
A irretratabilidade impede que o emissor ou o receptor negue
uma mensagem transmitida. Assim, quando uma mensagem
enviada, o receptor pode provar que o emissor alegado de fato en
viou a mensagem. De modo semelhante, quando uma mensagem
recebida, o emissor pode provar que o receptor alegado de fato
recebeu a mensagem.

Servio de disponibilidade
Tanto a X.800 quanto a RFC 2828 definem a disponibilidade como
sendo a propriedade de um sistema ou de um recurso do sistema
ser acessvel e utilizvel sob demanda por uma entidade autorizada
do sistema, de acordo com especificaes de desempenho (ou seja,
um sistema estar disponvel se oferecer os servios de acordo com
o projeto do sistema sempre que os usurios os solicitarem). Diversos
ataques podem resultar na perda ou na reduo da disponibilidade.
Alguns desses ataques so favorveis a contramedidas automati

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-98

88

Segurana da informao

zadas, como autenticao e criptografia, enquanto outros exigem


algum tipo de ao fsica para impedir ou recuperarse da perda de
disponibilidade dos elementos de um sistema distribudo.
A X.800 trata a disponibilidade como uma propriedade a ser
associada a vrios servios de segurana. Porm, faz sentido adotar
especificamente um servio de disponibilidade. Um servio de dispo
nibilidade aquele que protege um sistema para garantir sua dis
ponibilidade. Esse servio trata das questes de segurana levantadas
pelos ataques de negao de servio. Depende do gerenciamento e
controle apropriado dos recursos do sistema e, sendo assim, depende
do servio de controle de acesso e outros servios de segurana.

1.5 Mecanismos de segurana


A Tabela 1.3 lista os mecanismos de segurana definidos na
recomendao X.800. Como podemos ver, os mecanismos so
divididos nos implementados em uma camada especfica de proto
colo e nos especficos a qualquer camada de protocolo ou servio
de segurana em particular. Esses mecanismos sero abordados
nos lugares apropriados no livro e, assim, no nos estenderemos
agora, exceto para comentar sobre a definio da criptografia. A
X.800 distingue mecanismos de criptografia reversveis e meca
nismos de criptografia irreversveis. Um mecanismo de criptogra
fia reversvel simplesmente um algoritmo de criptografia que
permite que os dados sejam criptografados e subsequentemente
decriptografados. Mecanismos de criptografia irreversveis incluem
algoritmos de hash e cdigos de autenticao de mensagem, que
so usados em aplicaes de assinatura digital e autenticao de
mensagens.
A Tabela 1.4, baseada na recomendao X.800, indica o relacio
namento entre servios de segurana e mecanismos de segurana.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-99

A s e g u r a n a d a i n f o r m a o . . . 89

Tabela 1.3 Mecanismos de segurana (X.800)


Controle de roteamento
Permite a seleo de determinadas rotas fisicamente seguras para certos dados e permite mudanas de roteamento,
especialmente quando existe suspeita de uma brecha de
segurana.

MECANISMOS DE SEGURANA
ESPECFICOS
Podem ser incorporados camada de protocolo apropriada a fim de oferecer alguns dos servios de segurana OSI.
Cifragem
O uso de algoritmos matemticos para transformar os
dados em um formato que no seja prontamente decifrvel. A transformao e subseqente recuperao dos
dados depende de um algoritmo e zero ou mais chaves de
criptografia.

Certificao
O uso de uma terceira entidade confivel para garantir
certas propriedades de uma troca de dados.
MECANISMOS DE SEGURANA PERVASIVOS
Mecanismos que no so especficos a qualquer servio de
segurana OSI ou camada de protocolo especfica.

Assinatura digital
Dados anexados a (ou uma transformao criptogrfica de)
uma unidade de dados que permite que um destinatrio da
unidade de dados comprove a origem e a integridade da unidade de dados e proteja-se contra falsificao (por exemplo,
pelo destinatrio).

Funcionalidade confivel
Aquela que considerada como sendo correta em relao
a alguns critrios (por exemplo, conforme estabelecido por
uma poltica de segurana).
Rtulo de segurana
A marcao vinculada a um recurso (que pode ser uma
unidade de dados) que nomeia ou designa os atributos de
segurana desse recurso.

Controle de acesso
Uma srie de mecanismos que impem direitos de acesso
aos recursos.
Integridade de dados
Uma srie de mecanismos utilizados para garantir a integridade de uma unidade de dados ou fluxo de unidades de
dados.

Deteco de evento
Deteco de eventos relevantes segurana.
Registros de auditoria de segurana
Dados coletados e potencialmente utilizados para facilitar
uma auditoria de segurana, que uma reviso e exame
independentes dos registros e atividades do sistema.

Troca de informaes de autenticao


Um mecanismo com o objetivo de garantir a identificao de uma entidade por meio da troca de informaes.

Recuperao de segurana
Lida com solicitaes de mecanismos, como funes de
tratamento e gerenciamento de eventos, e toma medidas
de recuperao.

Preenchimento de trfego
A insero de bits nas lacunas de um fluxo de dados para
frustrar as tentativas de anlise de trfego.

Tabela 1.4 Relacionamento entre servios e mecanismos de


segurana
Mecanismo
Se rvio
A u t e n t ica o d e e n t id a d e p a r
Autenticao da origem de dados
C o n t r o le d e a ce sso
Confidencialidade
Confidencialidade do fluxo de
t r fe go
I n t e gr id a d e d e d a d o s
I r r e t r a t a b ilid a d e
D isp o n ib ilid a d e

Cifra- Assinatura Controle


ge m
digital
de ace sso
S
S

Integridade Troca de
Preenchimento Controle de Notaride dado s info rma e s
de trfe go
ro te ame nto zao

S
S
S

S
S
S

S
S
S

S
S
S

S
S

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-100

90

Segurana da informao

1.6 Um modelo para segurana de rede


Um modelo para grande parte do que explicaremos mostrado,
em termos muitos gerais, na Figura 1.5. Uma mensagem deve ser
transferida de uma parte para outra por meio de algum tipo de
interrede. As duas partes, que so as entidades principais nessa
transao, precisam cooperar para que a troca ocorra. Um canal
de informao lgico estabelecido definindose uma rota pela
interrede da origem ao destino e pelo uso cooperativo de protocolos
de comunicao (por exemplo, TCP/IP) pelas entidades principais.
Os aspectos de segurana entram em cena quando necessrio ou
desejvel proteger a transmisso de informaes de um oponente que
pode representar uma ameaa confidencialidade,autenticidade etc.To
das as tcnicas para oferecer segurana possuem dois componentes:
Uma transformao relacionada segurana sobre a informa
o a ser enviada.Alguns exemplos incluem a criptografia da
mensagem, que embaralha a mensagem de modo que fique
ilegvel para o oponente, e o acrscimo de um cdigo com
base no contedo da mensagem, que pode ser usado para
verificar a identidade do emissor.
Alguma informao secreta compartilhada pelos dois princi
pais e, esperase, desconhecida pelo oponente. Um exemplo
uma chave de criptografia usada em conjunto com a trans
formao para embaralhar a mensagem antes da transmisso
e desembaralhla no recebimento.
Um terceiro confivel pode ser necessrio para se conseguir uma
transmisso segura. Por exemplo, um terceiro pode ser responsvel
por distribuir a informao secreta aos dois principais enquanto a
protege contra qualquer oponente. Ou ento, um terceiro pode ser
necessrio para arbitrar disputas entre as duas entidades principais
em relao autenticidade de uma transmisso de mensagem.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-101

A s e g u r a n a d a i n f o r m a o . . . 91

Canal de
informao

Destinatrio

Transformao
relacionada a
segurana

Mensagem

Transformao
relacionada
segurana

Mensagem
segura

Mensagem

Emissor

Mensagem
segura

Terceiro confivel (por exemplo,


rbitro, distribuidor de
informaes secretas)

Informao
secreta

Informao
secreta

Oponente

Figura 1.5 Modelo para segurana de rede


Esse modelo geral mostra que existem quatro tarefas bsicas no
projeto de um servio de segurana em particular:
1. Projetar um algoritmo para realizar a transformao rela
cionada segurana. O algoritmo dever ser tal que um
oponente no possa violar sua finalidade.
2. Gerar a informao secreta a ser usada com o algoritmo.
3. Desenvolver mtodos para a distribuio e compartilhamento
da informao secreta.
4. Especificar um protocolo a ser usado pelas duas entidades
principais que utilize o algoritmo de segurana e a infor
mao secreta para conseguir um determinado servio de
segurana.
Existem outras situaes de interesse, relacionadas segurana,
que no se encaixam bem nesse modelo, mas que so consideradas
neste livro. Um modelo geral dessas outras situaes ilustrado
pela Figura 1.6, que reflete a preocupao de proteger um sistema
de informaes contra acesso indesejado. A maioria dos leitores
est acostumada com os problemas causados pelos hackers, que
tentam penetrar em sistemas que podem ser acessados por uma
rede. Um hacker pode ser algum que, sem m inteno, simples

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-102

92

Segurana da informao

mente se satisfaa em romper e entrar em um sistema de com


putador. Ou ento, o intruso pode ser um funcionrio aborrecido
que deseje causar danos, ou um criminoso que busque explorar
recursos do computador para obter lucro financeiro (por exemplo,
obter nmeros de carto de crdito ou realizar transferncias ilegais
de dinheiro).
Outro tipo de acesso indesejado a colocao, em um sistema
computadorizado, de uma lgica que explore as vulnerabilidades
do sistema e que possa afetar programas de aplicao e programas
utilitrios, como editores e compiladores. Os programas podem
apresentar dois tipos de ameaas:
Ameaas de acesso informao, que interceptam ou modifi
cam dados em favor de usurios que no deveriam ter acesso
a esses dados.
Ameaas de servio, que exploram falhas de servio nos com
putadores para inibir o uso por usurios autorizados.
Vrus e vermes (worms) so dois exemplos de ataques de soft
ware. Esses ataques podem ser introduzidos em um sistema por
meio de um disco que contm a lgica indesejada escondida em
um software til. Eles tambm podem ser inseridos em um sistema
por meio de uma rede; esse ltimo mecanismo mais preocupante
na segurana de rede.
Os mecanismos de segurana necessrios para lidar com o
acesso indesejado esto em duas categorias amplas (veja a Figura
1.6). A primeira poderia ser chamada de funo de portaria (ga
tekeeper). Ela inclui procedimentos de login baseados em senha,
que so criados para negar o acesso a todos os usurios, menos os
autorizados, e lgica de filtragem, que elaborada para detectar
e rejeitar vermes, vrus e outros ataques semelhantes. Quando um

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-103

A s e g u r a n a d a i n f o r m a o . . . 93

Sistema de informaes
Recursos de computao
(processador, memria, E/S)

Oponente
humano (por exemplo, hacker)

Dados

software (por exemplo, vrus, verme)

Processos

Canal de acesso

Funo de
portaria

Software
Controles de segurana internos

Figura 1.6 Modelo de segurana de acesso rede


usurio indesejado ou software indesejado obtm acesso, a segunda
linha de defesa consiste em uma srie de controles internos que
monitoram a atividade e analisam a informao armazenada em
uma tentativa de detectar a presena de intrusos indesejados.

Notas
1. Usamos o termo interrede para nos refe
rirmos a qualquer conjunto de redes inter
conectadas. Uma intranet corporativa um
exemplo de uma interrede. A Internet pode
ser um dos recursos usados por uma organi
zao para construir sua interrede.
2. International Telecommunication Union (ITU)
Telecommunication Standardization Sector
(ITUT) uma agncia patrocinada pelas
Naes Unidas que desenvolve padres, cha
mados de recomendaes, relacionados a
telecomunicaes e Open Systems Intercon
nection (OSI).
3. A arquitetura de segurana OSI foi de
senvolvida no contexto da arquitetura de

protocolo OSI. Porm, para nossos pro


psitos neste captulo, um conhecimento
da arquitetura de protocolos OSI no
obrigatrio.
4. No existe um acordo universal sobre mui
tos dos termos usados na literatura de segu
rana. Por exemplo, o termo integridade s
vezes usado para se referir a todos os as
pectos da segurana da informao. O termo
autenticao s vezes usado para se referir
tanto verificao da identidade quanto s
diversas funes listadas sob integridade
neste captulo. Nosso uso aqui est de acor
do com a recomendao X.800 e tambm
com a RFC 2828.

Os crimes cibernticos tornaramse lucrativos. No de se estranhar,


portanto, que a nova modalidade criminosa tenha atrado tantos crackers.
O ritmo de criao de novas pragas digitais e ataques vertiginoso, exi
gindo das empresas o monitoramento contnuo de seus sistemas.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-104

94

Segurana da informao

Para concluir o estudo da unidade

Como voc pde ver, a segurana da informao no um pro


cesso simples: no h modelos estandardizados, prontos para imple
mentao eficiente em qualquer contexto. Proteger adequadamente
o fluxo de dados exige das organizaes muita clareza acerca das
suas prioridades. Por isso, os servios devem ser costumizados, de
modo a atender s demandas especficas de cada cliente.

Resumo

Para fazer frente criatividade e flexibilidade dos piratas vir


tuais, os sistemas de segurana contemporneos tm que se adaptar
s novas ameaas. Por isso, j possvel encontrar uma variedade
impressionante de produtos com esse fim: uma nova gerao de
firewalls, IDS, VPNs e antivrus so apenas algumas das opes
que prometem combater as pragas da Internet. Diante de tantas
alternativas, o consumidor precisa conhecer o desempenho de cada
ferramenta, sem esquecer que nenhuma delas infalvel todas
apresentam alguma vulnerabilidade. Para tornar o tema mais com
plexo, ainda necessrio criar formas de gerenciamento dos dispo
sitivos de segurana. Afinal, de nada adianta gastar somas vultosas
em equipamentos se no h procedimentos para leitura dos alertas
que eles emitem. Como o volume de alarmes expressivo, hoje j
possvel encontrar mecanismos que simplificam o trabalho do
usurio, como a ferramenta SIM. Alm disso, a terceirizao tambm
tem conquistado espao no mercado da segurana da informao,
revelando que delegar funes pode ser um caminho.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-105

A s e g u r a n a d a i n f o r m a o . . . 95

Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. Sem dvida, a terceirizao o melhor caminho para as organiza
es, uma vez que as empresas contratadas tomam para si o fardo do
monitoramento e gerenciamento dos dispositivos de segurana. ( )
2. Embora o nvel de segurana das chaves seja proporcional ao seu
tamanho, devemos resistir tentao de escolher sempre os maiores
modelos. ( )
3. As redes privadas virtuais no devem ser consideradas um canal
seguro, pois utilizam a Internet, uma rede pblica, para o trfego
dos seus dados. ( )
4. Os tneis so ferramentas teis no mbito da segurana da infor
mao. Eles s permitem um destino nico para todos os pacotes,
fazendo jus ao nome que recebem. ( )
5. O que permite a reversibilidade entre os textos claro e escuro so
os algoritmos, funes matemticas que permitem a converso da
mensagem de uma forma para a outra. ( )

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-106

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-107

Unidade 3

Principais
vulnerabilidades dos
sistemas computacionais
Objetivos de aprendizagem: quando o assunto segurana da
informao, no o bastante conhecer as estratgias que visam
sua proteo. cada vez mais indispensvel conhecer os riscos
que a utilizao da Internet trouxe para as trocas de dados. Por
isso, a Unidade 3 deste livro vai apresentlo s ameaas que esto
espreita. Alm de conhecer o perfil dos novos agressores, voc
aprender mais sobre as principais pragas virtuais. Ao entender o
que ocorre por trs das ameaas, voc ser capaz de utilizar melhor
os procedimentos disponveis para prevenilas e eliminlas.

Seo 1:

Por dentro do ataque

Nesta seo voc vai explorar o mundo das pragas


virtuais. Prepare-se para conhecer no apenas as
ameaas tradicionais como vrus, worms e trojans,
mas tambm um conjunto de novos malwares que
colocam em risco o seu computador. Esta seo vai
deix-lo por dentro.
Seo 2:

Combatendo o inimigo

A Seo 2 apresenta dispositivos muito interessantes


que podem ser empregados no combate s pragas
virtuais. Ao concluir a leitura, voc entender termos
como honeypots e IPSec. Alm disso, voc estar
apto a distinguir quais ferramentas podem ajud-lo a
proteger seus dados em diferentes nveis.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-108

98

Segurana da informao

Introduo ao estudo
Na Unidade 2, voc conheceu uma srie de novos dispositivos que
prometem garantir a segurana da informao. Porm, de pouco adian
tam as suas estratgias de preveno, deteco e recuperao quando
no acompanhadas de contnuo monitoramento e atualizao. Afinal
de contas, os inimigos no perdem tempo: os viles cibernticos no
param de aprimorar suas armas, explorando as fragilidades dos sistemas
de segurana. Por isso, tornase cada vez mais indispensvel ficar por
dentro dos ataques. Proteger bem os dados significa conhecer bem as
ameaas. Assustadas com os avanos da pirataria virtual, algumas empre
sas recorrem a hackers, que trabalham como consultores, denunciando
as vulnerabilidades dos mecanismos de segurana.
Dentre as ferramentas invasivas, o vrus indiscutivelmente a mais
famosa. Embora alguns estudiosos situem seu nascimento nos anos 70,
foi apenas na dcada seguinte que os vrus comearam a se espalhar
mundo afora. Sua disseminao acompanhou o ritmo da popularizao
dos personal computers (PCs). Como a Internet ainda no era acessvel
a todos, a infeco das mquinas dependia dos disquetes, discos flex
veis amplamente usados para transporte e armazenamento de dados
poca.
Criado em 1986 por dois irmos paquistaneses, o Brain foi o primeiro
vrus para PC. Como atacava a inicializao do sistema operacional, ele
entrava em atividade toda vez que a mquina era ligada. Pouco tempo
depois, surgia o primeiro antivrus, imunizando os computadores contra
a praga paquistanesa. No entanto, os agressores no paravam de propa
gar novos vrus. No final da dcada de 80, surgiu o Dark Avenger. Sua
forma de contgio tambm o tornava perigoso: abrir ou copiar o arquivo era
o bastante para ser infectado. Ele foi seguido por ameaas como o
Michelangelo, vrus que ficou famoso por lotar o disco rgido, criando pastas
e arquivos com a data 6 de maro, dia do nascimento do artista italiano.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-109

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 99

No primeiro ano do novo milnio, o vrus Love Letter roubou a cena,


provocando prejuzos bilionrios em todos os continentes.
Graas multiplicao dos novos agressores, o mercado da segu
rana da informao est em alta. Alis, o cenrio no podia ser mais
promissor. Os ltimos 15 anos testemunharam um aumento vertiginoso
de tecnologias malintencionadas. Os nmeros no enganam: enquanto
a dcada de 90 teve que lidar com 20 mil vrus, o nmero de ameaas
conhecidas atualmente j ultrapassa a casa do meio milho.
Diante de estatsticas to alarmantes, no h como ficar de braos
cruzados. Por conta da ausncia de sistemas de segurana imunes s pra
gas virtuais, no existe ainda uma soluo definitiva. A alternativa mais
segura at o momento exige das organizaes um olhar atento para os
novos riscos. No basta erguer muros e fortalecer edificaes: hoje mais
do que nunca preciso saber o que ocorre do lado inimigo.

Seo 1

Por dentro do ataque

1.1Conhecendo o inimigo
A proliferao das pragas virtuais acrescentou diversas palavras ao
vocabulrio do dia a dia. Para quem usa computador, termos como
cavalo de troia, vrus e worms no causam surpresa. Porm, apesar da
popularidade das novas ameaas, pouco se sabe sobre quem est por
trs do ataque. Para os mais leigos, as generalizaes so frequentes.
comum ouvir o termo hacker, por exemplo, ser utilizado para designar
um cracker, e assim por diante. Pouco se sabe, na verdade, sobre as in
meras categorias em que os inimigos da segurana da informao podem
se encaixar. Diferencilos no mero preciosismo: uma tarefa que nos
ajuda a entender os objetivos que orientam cada tipo de ataque.
Dentre os diversos viles, os mais inexperientes so conhecidos
como script kiddies. Embora sejam novatos no mundo da pirataria vir
tual, subestimlos um erro grave: grande parte dos danos causados

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-110

100

Segurana da informao

a inmeras empresas fruto da sua ao. A ineficcia dos sistemas


de segurana de muitas organizaes tem colaborado para que seus
bancos de dados sejam presas fceis at mesmo na mo dos mais
principiantes.
Por outro lado, a atuao dos script kiddies no provocou apenas
estragos. De acordo com os especialistas Nakamura e Geus (2007),
foi o sucesso dos novatos que tornou inegvel a importncia de se
investir em segurana da informao. Muitas organizaes s deram
ateno aos alertas dos estudiosos depois de castigadas pelos crackers
mais inexperientes.
No extremo oposto aos script kiddies, encontramos os cyberpunks,
hackers capazes de invadir as fortalezas mais robustas. Ao contrrio
dos crackers, os cyberpunks no tm objetivos maliciosos: eles querem
apenas testar suas habilidades. Alguns assumem at uma postura co
laborativa, apontando as fragilidades que exploraram ao driblarem as
barreiras de segurana.
Embora auxiliem as organizaes na correo de falhas, os cyberpunks
no so heris. Ao penetrarem nas redes e obterem fora o acesso a
dados sigilosos, esses hackers violam normas de privacidade. Assim
como crime invadir uma residncia mesmo sem furtar objetos, a ao
dos cyberpunks no deve ser vista como menos criminosa simplesmente
porque no h uso indevido da informao alheia.
No entanto, h riscos ainda maiores rondando a segurana da infor
mao. Quem acha que a pior ameaa vem da Internet est enganado:
os crimes online ainda no conseguiram superar os agressores de carne
e osso. Nakamura e Geus (2007) mostram que problemas relacionados
espionagem industrial, suborno e mf dos funcionrios so a grande
pedra no sapato das organizaes. Mesmo com os avanos dos crimes
cibernticos, os insiders no do sinais de enfraquecimento:
De acordo com a pesquisa da American Society for
Industrial Security (ASIS), realizada em 1997, mais de
56% das 172 empresas pesquisadas sofreram tentativas
de apropriao indevida de informaes privadas e em

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-111

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 101

um perodo de 17 meses, mais de 1.100 incidentes de


roubo de propriedade intelectual foram documentados,
resultando em prejuzos de ordem de 44 bilhes de
dlares, o que cinco vezes maior do que os valores
da pesquisa do ano anterior (NAKAMURA; GEUS,
2007, p.70).

A importncia conquistada pela informao na competio por


mercado s tem estimulado a ocorrncia de delitos ligados ao trfico
de dados. Alm disso, a criao de dispositivos como pen drives e MP3
players tem facilitado a ao criminosa. Apesar do tamanho discreto,
eles conseguem armazenar uma quantidade expressiva de arquivos.
Aps roubar uma quantidade significativa de informaes, o funcion
rio corrupto ainda sai pela porta da frente da empresa. Afinal, o crime
cometido foi praticamente invisvel. A facilidade de execuo e as
chances de impunidade so fatores que vm garantindo a expanso da
espionagem industrial.
Felizmente, a justia tem alcanado alguns criminosos, punindoos
severamente, como mostram Nakamura e Geus (2007, p.73):
Em 1993, Jos Ignacio Lopez e mais sete outros funcio
nrios deixaram a General Motors para se transferirem
para a Volkswagen. Junto com eles foram levados dez
mil documentos privativos da GM, o que inclua segre
dos sobre novos modelos de carros, futuras estratgias
de vendas e listas de compras. Em 1996, Lopez foi
processado e a GM foi indenizada em cem milhes
de dlares.

Em 2007, um escndalo semelhante fez notcia no Brasil. A Drei


Marc, empresa de legendas, teve trs de seus tcnicos processados por
violarem os direitos autorais do filme Tropa de Elite. Nesse caso, os in
siders foram responsveis pela divulgao de cpias piratas, causando
prejuzos expressivos. Afinal, o filme chegou s mos de ambulantes
no Rio de Janeiro e em So Paulo muito antes de ser lanado nas telas
dos cinemas.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-112

102

Segurana da informao

Alm dos insiders, h ainda outro temido grupo de viles: os crackers,


ou black hats, so um dos piores pesadelos de qualquer empresa. Ao con
trrio dos cyberpunks, eles no esto apenas exercitando suas habilidades.
Suas reais intenes incluem a invaso de sistemas e o roubo de informa
es importantes. Seus crimes so orientados por objetivos exclusivamente
financeiros uma vez de posse de dados confidenciais, os black hats
procuram vendlos de volta para a prpria empresa ou para terceiros.
Em 2008, 11 crackers foram responsveis por um dos maiores roubos de
informaes nos Estados Unidos. Eles furtaram nada menos que 40 milhes
de nmeros de cartes de crdito. Os dados foram obtidos por meio de um
software malicioso que os criminosos instalaram nas redes de vrias lojas
norteamericanas. O indiciamento dos crackers representou um dos maiores
processos relacionados a furto de identidade nos Estados Unidos.
Alm de indicar que o fim da impunidade dos piratas virtuais est
prximo, o caso norteamericano denuncia a fragilidade das organizaes
diante do aperfeioamento dos crimes cibernticos. Mesmo quando as
informaes no so vendidas para a concorrncia, a simples divulgao
do vazamento causa danos irreversveis imagem da empresa.
Outro caso clebre de vazamento de informaes causou danos milio
nrios desenvolvedora de jogos Valve. Sua equipe de 30 designers gastou
5 longos anos para construir o jogo Half Life 2, que era ansiosamente
aguardado pelos fs. Para desespero da empresa, crackers invadiram o seu
sistema e copiaram componentes fundamentais do jogo. No demorou
para que eles estivessem venda na Internet antes mesmo que Half Life 2
chegasse s prateleiras das lojas.

Questes para reflexo


Voc j ouviu falar em escndalos envolvendo a publica
o no autorizada de filmes e jogos na Internet?

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-113

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 103

A possibilidade de usar a Internet com fins maliciosos chamou a aten


o de criminosos ligados poltica: os terroristas. Enquanto os alvos dos
crackers tendem a ser mais aleatrios, os cyberterroristas escolhem suas
vtimas com base em critrios ideolgicos. Entre os objetivos principais de
sua ao na Internet, tem destaque a disseminao de ideais polticos e
religiosos. Quando invadem sistemas, eles geralmente buscam pichar sites,
interromper a comunicao ou obter informaes sigilosas. Os sistemas
de segurana mais visados so alvo dirio de bombardeios virtuais, que
incluem o envio massivo de vrus e outras pragas. Embora os governos no
admitam, h quem diga que hackers e crackers j tiveram acesso a segredos
de Estados, infiltrandose com sucesso nas redes governamentais.
Para os adeptos de teorias da conspirao, possvel identificar alian
as entre o crime ciberntico e faces ligadas ao narcotrfico e ao ter
rorismo. Porm, faltam evidncias concretas para comprovar a veracidade
das denncias. De qualquer forma, no restam dvidas de que a Internet
uma ferramenta para a troca de informaes no mbito do trfico e do
terrorismo. Inclusive, ao contrrio de muitas empresas, eles j vm mos
trando que sabem utilizar tcnicas de segurana como a criptografia para
blindar o trfego dos seus dados.
Seja qual for o agressor, existe uma
ttica que todos eles compartilham: seus
crimes s so viveis por conta das fragi
lidades dos sistemas de segurana. Antes
da concretizao do ataque, os invaso
res fazem um estudo detalhado sobre a
vtima, procurando pontos vulnerveis
em diferentes nveis.
A utilizao de produtos obsoletos
est entre os principais criadores de bre
chas. No so poucos os casos em que
dispositivos defasados so as peas res
ponsveis pela insegurana dos dados,

Para saber mais


Embora sejam muito teis
para detectar intrusos, j exis
tem ataques que visam voltar
os honeypots contra o prprio
usurio. Por isso mesmo, im
portante cuidar bem da ferra
menta. Quando negligenciados,
os honeypots infectados podem
ser muito prejudiciais, conver
tendose em verdadeiras portas
de entrada para os agressores.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-114

104

Segurana da informao

gerando oportunidades para diversos ataques. Falhas na implementao e


configurao do sistema tambm no ficam atrs elas frequentemente
abrem as portas das redes para a entrada de visitantes indesejados. Veja,
por exemplo, os casos em o potencial de deteco dos mecanismos no
compatvel com a importncia dos dados que protegem. Quando se
peca pelo exagero, os sistemas encontram um excesso de ameaas, des
perdiando esforos na anlise de alarmes falsos. Nesses casos, comum
que o administrador esteja to empenhado em peneirar os alertas, que
no consiga identificar os verdadeiros ataques.
Como voc estudou na Unidade 2, todas as tcnicas de segurana
devem estar em sintonia com o grau de proteo que as informaes
demandam. A criptografia no foge regra. A escolha de um tamanho
equivocado para a chave pode provocar muitos transtornos. Quando a
chave pequena demais para o nvel de confidencialidade exigido, o
trabalho dos crackers facilitado. Eles usam, entre outras estratgias, a
fora bruta, tomando por base informaes pessoais e outras pistas
para descobrir o cdigo. Os dados so inseridos em um software que
testa inmeras permutaes para quebrar a chave.
Outro programa usado pelos crackers chamase keylogger. Seu uso
legal destinase, por exemplo, ao monitoramento da produtividade dos
funcionrios. Com base na quantidade de dgitos produzidos durante um
dia, os chefes podem avaliar o desempenho de seus empregados. Porm,
a ferramenta tambm caiu em mos erradas. Hoje em dia, o software
usado para roubar senhas e nmeros de carto de crdito. Como ele
monitora tudo que digitado, os keyloggers ajudam os criminosos na
captura dos dados da vtima. J existem antispywares, firewalls e antivrus
que impedem a instalao no autorizada de keyloggers, mas a falta da
conscientizao de muitas empresas continua garantindo o sucesso das
operaes criminosas.
Infelizmente, s vezes o desenvolvimento da segurana da informao
um feitio que se vira contra o feiticeiro. O keylogger no o nico caso.
Outros dispositivos bemintencionados tambm vm sendo empregados

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-115

Principais vulnerabilidades dos sistemas...

105

contra as empresas. Veja, por exemplo, o packet sniffing. Tradicionalmente,


ele serve para diagnosticar problemas. Seu funcionamento comparvel ao
de um filtro: ele monitora o fluxo de dados, podendo, inclusive, capturar pa
cotes suspeitos. Como era de se imaginar, os viles cibernticos no ficaram
alheios nova tecnologia. Uma vez instalada na mquina, eles a utilizam
secretamente para obter informaes confidenciais, como senhas.
A ao criminosa descrita acima torna visvel a vulnerabilidade dos
sistemas. Os ataques fsicos e virtuais sua infraestrutura tm servido
para ressaltar a necessidade de atualizao constante dos dispositivos
de segurana. Hoje, mais do que nunca, tornouse primordial evitar que
os viles cibernticos concretizem suas aes em todos os seus nveis.
preciso tomar medidas eficientes para impedir o monitoramento no
credenciado das redes. Afinal, nesse estgio em que os crackers con
seguem as informaes necessrias para arquitetar a invaso e inserir
cdigos malintencionados nas redes.

1.2 Conhecendo seus instrumentos


Agora que voc j conhece as mentes por trs dos ataques, chegou a
hora de entender os instrumentos que elas utilizam. De forma geral, as
diferentes ferramentas malintencionadas so agrupadas sob um nico
rtulo malware, termo ingls que deriva da combinao das palavras
malicious software. Vrus, worms e cavalos de troia so apenas alguns
exemplos de dispositivos maliciosos que so criados com a finalidade de
provocar danos ou roubar informaes. Nesta seo, voc ser apresen
tado s principais ameaas que assombram os sistemas de segurana.

Questes para reflexo


Que pragas virtuais voc j detectou em seu computador?
Que instrumento voc utilizou para encontrlas?

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-116

106

Segurana da informao

1.2.1 Vrus
O vrus est entre as mais ilustres e antigas ferramentas usadas para
causar danos s mquinas. Tratase de um programa cuja execuo
essencial para infectar o computador.
Ao contrrio dos worms, todo vrus ne
Saiba mais
cessita encontrar um hospedeiro para
Sites de relacionamento como
causar qualquer tipo de estrago ou furto
Orkut e Facebook transforma
de dados.
ramse em um perigoso reposi
Percebendo o avano surpreendente
trio de pragas virtuais. o que
dos vrus, a indstria da computao no
mostra a reportagem do Globo
online, disponvel no endereo
perdeu a oportunidade de lanar no mer
abaixo:
cado softwares para combater as amea
<http://g1.globo.com/Noticias/
as. Nessa queda de brao, os crackers
Tecnologia/0,,MUL763146174
no deixaram barato eles rapidamente
,00ACUSACAO+DE+RACISM
modificaram os vrus, tornandoos mais
O+NO+ORKUT+ESCONDE+VIR
eficientes e imprevisveis. Dentre as novi
US.html>.
dades, cabe destacar trs caractersticas
que revolucionaram as pragas virtuais:
Polimorfismo: Inspirada na capacidade de mutao dos vrus bio
lgicos, o polimorfismo d maior imprevisibilidade ao malware.
Assim como difcil criar vacinas para prevenir gripes, esta nova
caracterstica dos vrus virtuais complica a ao dos antivrus.
Durante sua replicao, o vrus polimrfico consegue alterar o
cdigo de suas cpias, passando despercebido pelos dispositivos
de segurana menos eficazes.
Encriptao: Esta novidade dos vrus lana mo de um mecanismo
de segurana conhecido: a encriptao. Voc viu na Unidade 2 que
muitos sistemas utilizam a criptografia para encapsular seus dados,
evitando que intrusos tenham acesso aos dados que trafegam pela
rede. Aqui no diferente. O cdigo do vrus encriptado, dificul
tando a sua deteco.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-117

Principais vulnerabilidades dos sistemas...

107

Invisibilidade: O surgimento desta tcnica representou um grande


avano para a ao dos crackers. Por meio dela, os vrus conseguem
ficar invisveis de tempos em tempos, quando removem seu cdigo
da memria, impedindo que o antivrus o encontre.
Apesar da variedade dos vrus contemporneos, possvel dividilos
em quatro categorias principais:
Vrus de boot: Os vrus de boot infectam a inicializao do sistema
operacional. Esta a razo por que eles tambm so conhecidos
como vrus de inicializao. Voc talvez lembre que o primeiro
vrus para PC, o Brain, era um vrus de boot. Toda vez que voc liga
o computador, ele precisa ler a parte do disco rgido que contm
instrues sobre como iniciar. Como os vrus esto alojados justa
mente nessa parte do disco, o vrus ativado durante o boot.
Vrus de programa: Como o prprio nome indica, os vrus de pro
grama contaminam arquivos de programa. Por isso, preciso ter
muito cuidado ao abrir arquivos com extenses .COM, .EXE, .BAT,
.DLL, entre outras. Se o usurio roda o arquivo infectado, o vrus
ativado, contaminando outros arquivos executveis na mquina.
Seu potencial muito destrutivo, pois ele geralmente sobrescreve
o cdigo original dos arquivos atacados, dificultando a reparao
dos danos. No toa que se deve ter muita cautela ao abrir arqui
vos obtidos por meio da Internet ou mesmo da rede local. Mdias
removveis tambm facilitam o contgio.
Vrus de macro: Os vrus de macro so pequenos programas que
se escondem por trs da linguagem de macro de um documento
do Microsoft Office. Em outras palavras, eles utilizam a mesma lin
guagem da programao interna de um programa Office, lanando
mo de uma ferramenta criada para facilitar a interao do usurio
com o programa. Por isso, seu disfarce melhor do que o dos vrus
de programa. Afinal, muitos usurios j suspeitam de arquivos .EXE,
checando sua procedncia antes de rodlo. Porm, como a maioria
das pessoas cria, envia e recebe arquivos em Word, Excel, Access e

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-118

108

Segurana da informao

PowerPoint, poucos desconfiam dos documentos compatveis com


o formato Office. Como era de se imaginar, os vrus de macro no
atacam programas, mas sim documentos do aplicativo hospedeiro.
Logo, eles infectam os arquivos do programa do Pacote Office
escolhido. Aps o contgio, toda vez que um arquivo criado ou
aberto, ele contaminado pelo vrus.
Vrus de script: Tambm conhecido como vrus de email, este
malware muito perigoso. Sua transmisso ocorre no apenas por
meio de mensagens eletrnicas malintencionadas, mas tambm
quando passeamos por sites inseguros. Para que voc conhea
melhor esta ameaa, essencial que entenda o que um script.
Embora os leigos ignorem esse conceito, qualquer internauta lida
com scripts o tempo todo. Alis, no h nada de mal nisso. Muito
pelo contrrio: os scripts facilitam a vida do usurio, automatizando
a execuo de comandos. Em outras palavras, os scripts so aes
executadas sem a sua permisso. Faa um experimento com o
browser Internet Explorer. Clique em Ferramentas e Opes da
Internet. Ento, personalize o seu nvel de segurana para que voc
seja avisado antes que um script seja executado. Voc acabou de
desautomatizar um processo que ocorria sem seu consentimento.
Ao navegar na Web com a nova configurao, voc vai perceber
que o seu browser pedir sua autorizao o tempo todo. Agora voc
pode imaginar a quantidade de decises que eram tomadas sem o
seu conhecimento. Por um lado, os scripts nos fazem um favor, agi
lizando o uso da Internet. Porm, seria imprudente ignorar que, ao
deixlos executar comandos livremente, estamos mais expostos
ao de malwares. Por serem rodados instantaneamente na maioria
das mquinas, os scripts transformaramse em verdadeiros trunfos
nas mos dos crackers. Eles passaram a tirar vantagens de servidores
inseguros, instalando scripts infectados neles. Como grande parte
dos usurios no est corretamente protegida contra a ao dos vrus
de script, a nova ameaa ganhou terreno rapidamente. Os vrus de

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-119

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 109

script podem ser divididos em dois tipos principais: os Visual Basic


Scripts (VBS) e os Java Scripts (JS). Entre os VBS, destacamse os vrus
que enviam emails em largas quantidades sem a autorizao do
usurio, como o VBS.LoveLetter. Alm disso, eles tambm podem
ser usados para o despejo automtico de outros malwares em sua
mquina. Tudo sem que voc seja sequer notificado.

1.2.2 Worms
Embora provoquem estragos expressivos, os vrus apresentam uma
deficincia: eles precisam de um hospedeiro para infectar uma mquina
e contaminar outras. Nesse sentido, os worms surgem para sanar um
problema que limitava a ao dos vrus. Como so programas completos,
eles no dependem de um programa ou documento para se espalhar.
Para piorar, os worms herdaram dos vrus o poder de autorreplicao,
ampliando sua ao epidmica.
Entre as principais finalidades maliciosas dos worms, encontramse a
deleo de arquivos, o envio involuntrio de emails em grandes quanti
dades e a criao de brechas nos sistemas de segurana. Alis, em matria
de transtorno, a simples reproduo dos worms j seria o suficiente, pois
provoca uma lentido significativa no computador. Para os especialistas,
por exemplo, no restam dvidas de que a Internet seria muito mais
rpida se no houvesse milhares de arquivos maliciosos transitando por
ela. Por isso, quando voc solicita um servio de banda larga de 2 gigas,
por exemplo, no surpresa que sua velocidade real seja inferior quela
prevista no contrato.
Graas diversidade das suas funes, o que no faltam aos worms
so crackers interessados no seu uso. H programadores que lanam
mo deste malware para fragilizar as defesas do sistema de segurana,
instalando o que ficou conhecido como backdoors, termo ingls que
pode ser traduzido como brechas. Disparar emails por meio de worms
tambm oferece vantagens para o enviador de spam, que preserva sua
identidade ao usar o endereo eletrnico da vtima.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-120

110

Segurana da informao

Embora sejam usados com fins maliciosos, os worms tambm po


dem servir como ferramenta de segurana. O worm Nachi uma prova
disso. Ele utiliza suas propriedades do para corrigir falhas do Windows,
imunizando o sistema operacional contra malwares que explorem a
mesma brecha. Alm disso, o worm benigno capaz de identificar worms
malintencionados e deletlos. Apesar da grande utilidade, o seu uso gera
efeitos colaterais, como o congestionamento no trfego de pacotes. H
tambm o receio de especialistas que temem o uso de qualquer produto
que faa o seu trabalho sem o aval do usurio.

1.2.3Cavalos de troia
Voc certamente j ouviu algo a respeito do cavalo de troia virtual ou,
como tambm conhecido, trojan horse. Para entender essa praga, nada
melhor do que recorrer histria que deu o seu nome. Conta a lenda
que o exrcito da Grcia usou de astcia para ganhar a guerra contra
os troianos. A fim de derrotar os inimigos, foi preparado um verdadeiro
presente de grego para os habitantes de Troia. Tratavase de um enorme
cavalo de madeira oca, em cujo interior se abrigavam soldados gregos.
Encantados com o presente, os troianos acreditaram que o povo da Gr
cia tinha se rendido, enviando o cavalo como pedido de misericrdia.
Ingnuos, os troianos conduziram o cavalo para o interior de seus muros,
tornando inevitvel a sua destruio. Uma vez infiltrados em Troia, os
gregos no tiveram dvidas saram do cavalo e venceram a guerra com
uma facilidade surpreendente.
A estratgia do cavalo virtual no muito diferente da lendria. Durante
a entrada no computador, ele apresenta uma funo inofensiva. Alm disso,
os seus programadores procuram darlhe um nome atraente, induzindo o
usurio a abrir o arquivo. Uma vez infiltrado, o cavalo de troia revela todo
seu potencial destrutivo. Os danos podem ser dos mais variados. H trojans
que podem formatam a mquina, executar comandos externos, coletar
dados e envilos para terceiros. Hoje em dia, muitos cavalos de Troia
so usados para roubar informaes sigilosas, como nmeros de carto
e senhas. Antigamente, o cavalo de troia era transportado junto com um

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-121

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 111

vrus, mas agora muitos trojans se infiltram sozinhos, quando o usurio


baixa arquivos infectados da Internet. As mensagens eletrnicas tambm
so muito usadas, exigindo que o usurio tenha cuidado antes de abrir
anexos suspeitos.
Os cavalos de troia podem at mesmo transformar o computador
contaminado em um zumbi, utilizandoo para enviar spam ou para se
autoenviar para a lista de contatos do usurio. s vezes o objetivo dos
cavalos de troia criar um botnet para o cracker: uma grande rede de
computadoreszumbi pronta para se engajar em grandes ataques. Como
os trojans so ferramentas relativamente simples, muitos script kiddies
disparam cavalos de troia na tentativa de ter controle sobre mquinas
alheias. Afinal, graas ao envio de um nico arquivo, eles conseguem ter
o seu prprio computadorzumbi sob o seu comando.
Alm de todos os riscos mostrados acima, ainda h outras ameaas
mais sutis. Existem prticas criminosas que redirecionam o usurio para
uma pgina falsa. Foi o que aconteceu com o Adsense, servio de ann
cios do Google. Ao digitar o endereo do Adsense, o usurio era condu
zido a uma pgina falsa, onde eram distribudos cavalos de troia do tipo
Banker, malware especializado no roubo de dados bancrios. Ataques
camuflados como o que sofreu o gigante Google so muito eficazes,
pois o usurio no percebe que est navegando em uma pgina clonada,
explorando assim os recursos do site sem medo.

1.2.4 Botnets
O termo botnet designa um conjunto de robs que executa comandos
automaticamente. Os robs controlados podem ser tanto um grupo de
malwares quanto um conjunto de computadores zumbis, mquinas sob
o controle de um cracker. Em ambos os casos, o que garante o controle
comum a utilizao de um servidor, protegendo a rede botnet de inci
dentes como deteco ou intruso.
Para o jornalista portugus Nobrega (2010), os botnets so o canivete
suo dos piratas virtuais. O sucesso do instrumento entre os criminosos

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:38 - January 10, 2014 - PG-122

112

Segurana da informao

no por acaso: uma vez em funcionamento, os botnets so muito efi


cientes, facilitando o trabalho do cracker e favorecendo a expanso da
infeco por diversos pases.
Em 2010, a polcia espanhola prendeu os responsveis pela rede
botnet que ficou conhecida como Mariposa. A rede contava com milhes
de computadores zumbis pelo mundo, sendo uma das maiores que j se
viu at hoje. Os robs sob o comando dos criminosos eram usados para
roubo de dados bancrios e ataques de negao de servio.
Um ataque de menor escala tambm surpreendeu a Gergia em 2008.
H indcios de que crackers russos tenham usado uma rede botnet para
derrubar diversos sites da antiga repblica sovitica. Os computadores
robs sobrecarregaram os servidores desses sites, tornando impossvel
que eles atendessem demanda.

1.2.5Time bombs
Os vrus pertencentes a esta categoria funcionam como verdadeiras
bombasrelgio: eles permanecem inativos at a data e o horrio esco
lhidos pelo seu programador. O vrus Michelangelo, por exemplo, ficava
adormecido at 6 de maro, dia do aniversrio do artista italiano. Outra
bombarelgio famosa da dcada de 90 se chamava sextafeira 13. A
data da sua ativao era aguardada com temor pelos usurios dos com
putadores. Uma vez acionado, o principal resultado da sua ao era a
lentido das mquinas.

1.2.6Scarewares
Conhecida como scareware, o nome desta ameaa formado pela
combinao das palavras software e scare, termo ingls que significa medo
ou susto. De fato, o nome cai como uma luva: os scarewares costumam
amedrontar usurios com alarmes falsos sobre uma infeco por vrus,
levandoos a comprar um programa que promete remover a ameaa. Ao
contrrio do que se espera, em vez da soluo, a vtima paga por um
novo problema, contaminandose a partir do scareware.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-123

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 113

1.2.7Hijackers
Como o prprio nome indica, os hijackers so programas que se
questram os browsers, modificando a pgina inicial do navegador sem
o consentimento do usurio. De modo geral, a sua ao se limita a fins
publicitrios, substituindo a pgina original por outras repletas de ann
cios. Alm disso, os hijackers frequentemente instalam novas barras de
ferramentas no browser e vetam o acesso do usurio a sites onde so
oferecidos tecnologias de combate s pragas virtuais.

1.2.8Exploit
Os criminosos virtuais encontram nos exploits uma importante ferra
menta, pois eles so programas capazes de identificar os pontos frgeis
de um sistema de segurana, colaborando com os agressores no plane
jamento de ataques.

1.2.9Grayware
Os graywares so mecanismos que se destinam a coletar informaes
sobre o usurio, vendendo posteriormente os dados obtidos a terceiros. Eles
tambm servem para colocar anncios publicitrios sem o consentimento
do administrador da mquina. Embora violem a privacidade do usurio, a
maioria dos graywares no causa danos to srios quanto os demais malwa
res. Seus efeitos se limitam a diminuir o desempenho da mquina, provo
cando lentido. Porm, eles expem o computador a riscos desnecessrios,
sinalizando as vulnerabilidades que permitiram sua instalao. Assim, outras
pragas virtuais malintencionadas podem usar a mesma brecha para infectar o
computador. Existem alguns graywares maliciosos, que capturam informaes
confidenciais, como senhas e nmeros de cartes de crdito. Os adwares e
os spywares pertencem categoria dos graywares.

1.2.9.1 Adwares
Se voc faz download de programas a partir da Internet, certamente
j esbarrou com um adware. Ele pode ser definido como um software

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-124

114

Segurana da informao

que traz com a sua instalao uma srie de janelas popups e banners
contendo anncios publicitrios. Alm de atrapalharem, as propagandas
sobrecarregam a mquina. No entanto, antes de culpar o programador do
software, preciso ler com cuidado os termos de licena dos programas,
porque muitas vezes os anncios esto previstos no contrato, sendo papel
do usurio desabilitlos. H ainda adwares mais nocivos, que funcionam
como spywares, violando a privacidade do internauta.

1.2.9.2 Spywares
So programas que funcionam como verdadeiros espies, intercep
tando pacotes durante o trfego de dados, por exemplo. Estes softwares
tambm so usados comercialmente, enviando propagandas que no
foram requisitadas pelo usurio. H ainda espies mais perigosos, como
os keyloggers, ferramenta que, conforme voc j viu, ajuda crackers na
identificao de senhas e nmeros de cartes de crdito das vtimas.

1.2.10Hoaxes
Se voc navega na Internet e tem correio eletrnico, bemvindo ao
mundo das lendas virtuais. Sua caixa de entrada j deve ter sido bom
bardeada com mensagens falsas, cujo apelo dramtico tentou induzilo a
passlas adiante. o caso de inmeras campanhas filantrpicas, pedidos
de socorro e outros alarmes falsos. a histria sobre uma empresa generosa
que vai doar alguns centavos por email enviado para pagar a cirurgia de
uma pobre moa, ou um alerta sobre os efeitos devastadores de novos
vrus terrveis. Bem, se j chegaram mensagens com esse teor sua caixa de
entrada, acredite: a maioria mentira. As pessoas crdulas so os principais
colaboradores das lendas virtuais. Como elas formam verdadeiras correntes,
os autores dos alarmes falsos conseguem entupir os servidores de emails
e construir um banco de dados invejvel para o envio de spam.

1.3Novas tecnologias, novos ataques


Quem imagina que vrus e outras pragas esto restritos ao universo dos
computadores est enganado. Pelo menos, isso que indicam alguns avanos

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-125

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 115

tecnolgicos das ltimas dcadas, como os celulares, os handhelds (Pocket


PCs e Palms) e os aparelhos VoIP. Suas dimenses reduzidas enganam os lei
gos, escondendo que, na verdade, eles so pequenos computadores sujeitos
s mesmas ameaas que rondam as mquinas tradicionais de maior porte.
Ora, se celulares, Palms e blackberries dispem de Internet, troca
de mensagens MMS e tecnologia bluetooth para o transporte de dados,
no de se estranhar que eles estejam na mira dos crackers. O ano de
2004 marcou o incio de uma nova etapa para as pragas, apresentando
ao mundo o Cabir, o primeiro vrus para celular. Ele provou, entre outras
coisas, que possvel propagar uma praga por meio dos aparelhos mveis,
encorajando novos agressores. De l pra c, os nmeros no pararam
de subir, apresentado taxas de crescimento assustadoras. Hoje em dia,
os vrus para celular j so uma realidade. Dentre os inmeros tipos j
existentes, os cavalos de troia representam a grande maioria.
Embora o futuro das pragas para celular seja promissor, elas ainda
no atingiram o mesmo potencial destrutivo que os vrus de computador.
At o momento, a maior parte das agresses se limita a ataques menos
expressivos, esgotando a bateria e alterando a configurao do apare
lho sem consentimento do usurio. Porm, j h registros de invasores
mais ousados que conseguiram colher informaes salvas na agenda,
entre outros dados pessoais. Existem tambm vrus espies que, mesmo
sendo raros, prometem revolucionar os ataques a aparelhos mveis. Eles
funcionam como verdadeiros spywares, bisbilhotando as chamadas e as
mensagens do usurio.
O destino das pragas para celular promete. Afinal, os novos aparelhos
vm somando uma srie de funes inditas, viabilizando at mesmo
a realizao de transaes bancrias. O pior de tudo que os vrus de
VoIP, Palms e outros dispositivos mveis ainda no so muito conhecidos.
Poucas pessoas utilizam as precaues necessrias, enquanto a maioria
permanece vulnervel a toda sorte de ataque. Por isso, quase ningum
reconhece um ataque virtico quando ele acontece, atribuindo o mau
funcionamento do aparelho operadora ou ao fabricante.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-126

116

Segurana da informao

Links
A revista PC World mais um servio que os internautas podem utilizar gratui
tamente. Alm de apresentar as principais novidades do mundo de informtica,
ela tambm oferece dicas e avaliaes sobre os produtos que voc encontra nas
lojas. Antes de fazer uma nova compra, no custa checar o que a revista tem a
dizer sobre sua escolha.
<http://www.guiademidia.com.br/acessar3.htm?http://www.pcworld.com.br>.

Apesar do nmero crescente de ameaas, o nmero de ataques a celulares


brasileiros ainda reduzido. Porm, devido ignorncia de muitos usurios,
difcil diagnosticar ao certo quantos aparelhos j foram infectados. Ao que
tudo indica, as contaminaes crescero nos prximos anos, acompanhando
o ritmo do aperfeioamento das tecnologias de comunicao.

Seo 2

Combatendo o inimigo

Saiba mais
Graas popularizao da Internet
e dos computadores, j existem di
versas revistas sobre informtica.
Em uma rpida pesquisa na Web,
voc encontrar algumas deze
nas de exemplos. Entre as opes
brasileiras, merece um destaque
especial a Info, revista publicada
mensalmente pela Editora Abril.
Embora a revista impressa seja
paga, voc pode acessla gratui
tamente no site <http://info.abril.
com.br/arquivo/>. Boa leitura!

2.1A segurana da
informao e os novos
recursos
Voc conheceu na Unidade 2 alguns
dos principais componentes dos sistemas
de segurana da informao. Porm, no
pense que os recursos sua disposio
se limitam queles apresentados: ainda
existem outras armas disposio dos
administradores. Sero descritas aqui
algumas estratgias que podem ser muito
teis no combate s pragas dos viles
cibernticos.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-127

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 117

2.1.1Recursos Humanos
Ao contrrio do que pensam os leigos, no h apenas recursos tecno
lgicos para defender as redes de ataques maliciosos. Existem tambm
pessoas que podem ser especialmente eficientes para prevenir intruses.
Alm das equipes de TI e das empresas terceirizadas, voc ainda pode
encontrar um grupo bastante peculiar de ajudantes. Eles atendem pelo
nome de white hats.
Os hackers do bem, como so conhecidos, so especialistas em
ameaas que resolvem prestar servios s empresas. Acostumados a
explorar as vulnerabilidades dos sistemas de segurana, eles conseguem
penetrar nas fortalezas virtuais, explorando suas brechas. Com isso, eles
ajudam as organizaes na correo das falhas, tornando suas redes mais
robustas.
No devemos nos esquecer dos gray hats, crackers que ficam famo
sos por meio de livros e palestras sobre segurana da informao. As
organizaes costumam mostrar grande interesse por suas contribuies,
j que os gray hats so os grandes arquitetos dos crimes cibernticos.
o caso do exblack hat Kevin Mitnick, que cumpriu pena por prejuzos
milionrios envolvendo roubo de dados. Submetido a vrias punies,
Mitnick foi proibido de trabalhar com tecnologia da informao. S depois
de obter autorizao legal, ele pde ganhar a vida como palestrante em
conferncias sobre segurana da informao.
Entretanto, as organizaes devem resistir tentao de usar gray hats.
Contratar crackers para o papel de white hats pode ser um tiro que sai
pela culatra. Ao invs de ajudar, muitos crackers expuseram as fragilidades
encontradas em fruns malintencionados, frustrando as expectativas das
empresas. Os especialistas Nakamura e Geus (2007, p.76, grifo do autor)
no recomendam a participao de gray hats na anlise de vulnerabili
dades, como mostra o fragmento abaixo:
De fato, utilizar um hacker para cuidar da segurana
pode ser perigoso, justamente devido prpria cultura
dos hackers. Um exemplo disso foi a divulgao dos

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-128

118

Segurana da informao

resultados de anlises de segurana realizados em


bancos por um gray hat. Eventuais ataques contra
uma organizao, para que eles possam vender seus
servios, tambm fazem parte do cardpio dos gray
hats. Um outro exemplo envolve uma agncia gover
namental americana que contratou um gray hacker
para cuidar da segurana interna. Quando o hacker
finalizou o servio, a agncia descobriu que ele havia
divulgado as vulnerabilidades encontradas na agncia
em sites de hackers e em bulletin boards. O pior
que muito dessas vulnerabilidades no haviam sequer
sido corrigidas.

Tendo em vista os riscos envolvidos na contratao de um gray hats,


talvez a melhor sada para as organizaes ainda seja lanar mo das
opinies de crackers por meio de livros e conferncias. At agora parece
mais seguro mantlos distantes das redes internas.

2.1.2Armadilhas tecnolgicos e estratgias de combate


Os sistemas de segurana podem ser bastante diversificados. Alm
das principais ferramentas estudadas na Unidade 2, existem ainda muitos
pequenos dispositivos que podem prestar grandes favores proteo da
informao.
Um deles chamase honeypot. Tratase de uma armadilha que serve
para detectar tentativas de acesso no autorizado. O honeypot pode
ser um computador, um pacote ou um local da rede. Sua eficincia
quase absoluta porque, apesar de no ter funes reais, ele parece con
ter informaes de valor para os agressores. s vezes, sua camuflagem
faz com que o honeypot tome a forma de endereos de IP e arquivos
importantes. Como ele no tem qualquer utilidade na rede, qualquer
registro de atividade em um honeypot prova de que est ocorrendo
um ataque. Em outras palavras, tudo que acontece com um honeypot
malintencionado. No toa que ele ganhou a fama de excelente
detector de invases.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-129

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 119

H tambm muitas maneiras eficientes de manter intrusos do


lado de fora. Os procedimentos de autenticao so especializados
nisso. As assinaturas digitais, por exemplo, so processos de auten
ticao que visam proteger a comunicao entre duas partes. Elas
so utilizadas como garantia de que a mensagem recebida realmente
partiu de um determinado emissor. Por isso, assim como aquelas
feitas mo, as assinaturas digitais so exclusivas do remetente,
ajudando a desmascarar tentativas de falsificao. Elas consistem
na encriptao da mensagem completa por meio de uma chave
privada do emissor.
De acordo com o especialista Stallings (2008), a criptografia tambm
pode ser uma boa sada para a segurana dos emails. O mecanismo
conhecido como pretty good privacy (PGP) um bom exemplo. Desen
volvido por Philip Zimmerman nos anos 90, esse programa de compu
tador responsvel pela encriptao e decodificao das mensagens,
aumentando a segurana das trocas pelo correio eletrnico. Alm de ter
verses compatveis com qualquer sistema operacional, os algoritmos
utilizados pelo software so muito eficientes. Como o PGP est dispon
vel para download gratuito na Internet, ele tornouse um instrumento de
defesa bastante comum.
Stallings (2008, p.438) oferece ainda dicas importantes para se evitar
o ataque conhecido como Distributed Denial of Service (DDoS). Veja
porque to importante prevenir essa ameaa:
Os ataques de negao de servio distribudos
apresentam uma ameaa de segurana significativa
para as empresas, e a ameaa parece estar cres
cendo. Em um estudo, abrangendo um perodo de
trs semanas em 2001, investigadores observaram
mais de 12 mil ataques contra mais de 5 mil alvos
distintos, variando desde empresas de ecommerce
bem conhecidas, como Amazon e Hotmail, at
pequenos provedores de servios Internet fora
dos EUA e conexes discadas. Ataques DDoS
tornam os sistemas de computador inacessveis
inundando servidores, redes e at mesmo sistemas

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-130

120

Segurana da informao

de usurio final com trfego intil, para que os


usurios legtimos no possam mais ter acesso a
esses recursos.

Hoje em dia, j existem diversos malwares que causam DDoS. Famo


sos pelo seu potencial destrutivo, os worms Code Red e Code Red II, por
exemplo, se aproveitavam de falhas nos sistemas operacionais Windows
2000 e Windows NT. Seus ataques sobrecarregavam o buffer, provocando
a negao de servio distribuda.
De forma geral, os ataques DDoS ou SYN flood, como tambm so
chamados, tiram vantagem do funcionamento das conexes TCP. Quando
qualquer pessoa tenta estabelecer uma conexo, o TCP realiza um pro
cedimento que recebe o nome de threeway handshake (aperto de mo
em trs etapas). Em outras palavras, para garantir que a segurana, trs
mensagens so trocadas entre o servidor e o cliente antes de se estabelecer
a conexo. O primeiro passo do cliente, que envia um cdigo SYN (do
ingls, synchronize). Em resposta, o servidor manda um SYNACK (do in
gls, acknowledge) de volta, reconhecendo o recebimento da requisio.
Por ltimo, o cliente envia um ACK, finalizando a autenticao. Assim,
estabelecida a conexo segura entre o cliente e o servidor. A estratgia do
ataque DDoS muito simples: o cliente malintencionado no cumpre a
ltima etapa da autenticao, aproveitando que o servidor bem edu
cado e vai esperar por ele. Agora, imagine o potencial devastador de um
ataque que envolve um botnet, um conjunto de computadores zumbis.
O servidor fica to sobrecarregado com os pedidos falsos de conexo
que no consegue atender s requisies legtimas, dando incio, assim,
negao de servios distribuda (DDoS).
A fim de evitar danos to expressivos, algumas medidas principais so
recomendadas pelo especialista Stallings (2008). Para comear, ele indica
a preveno de ataque e ao antecipada. Esse primeiro passo consiste em
implementar uma srie de modificaes para evitar que a vtima se torne
refm do cracker. Uma delas, por exemplo, prev alteraes nos protocolos
da Internet, diminuindo as chances de um ataque do tipo DDoS. Quando a

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-131

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 121

invaso j inevitvel, a alternativa mais sensata identificar o agressor e fil


trar os pacotes que ele utiliza. Uma vez executados esses procedimentos, fica
mais fcil reagir e evitar que novos ataques do mesmo tipo se repitam.
Outro eficiente mecanismo de segurana recebe o nome de Internet
Protocol Security (IPSec). Ele surge como alternativa ao padro de servio
comum oferecido pelo IP. Como voc j sabe, as interaes desprote
gidas na Web no so seguras, pois os pacotes recebidos no oferecem
garantias de autenticidade. No caso de sites infectados, por exemplo,
ainda h riscos maiores, como roubo de dados do cliente e solicitaes
falsas. Durante seu trfego, o pacote pode sofrer modificaes, o que
pode desordenar, duplicar ou mesmo perder dados. O IPSec surge como
resposta a essas as ameaas, garantindo a confidencialidade, a integri
dade e a autenticidade dos pacotes. por esta razo que ele lana mo
da criptografia, tcnica que encapsula as informaes trocadas entre o
usurio e o servidor.
Por causa do uso crescente da Web para transaes financeiras, as me
didas de segurana no pararam por a. O sistema seguro de pagamentos
SET (Secure Electronic Transaction) um exemplo de tcnica de segurana
para compras online. Ele oferece ao usurio um canal confivel para fazer
pagamentos via Internet. Isso possvel porque o SET monitora o trfego
das informaes de pagamento na rede, evitando que seus dados sejam
interceptados. A proteo tamanha que o sistema no disponibiliza se
quer para o vendedor o nmero do carto de crdito do cliente. Somente
o banco responsvel tem acesso a essa informao.
Como voc pde ver so dispositivos de segurana como o Honey
pot, o IPSec e o SET que tornam a circulao de informaes na Internet
menos perigosas, diminuindo sua exposio a possveis agressores. A fim
de deter a ao dos crackers, a indstria de tecnologias da informao
deve engajar esforos crescentes para promover a expanso segura da
Web. Da mesma forma, importante popularizar o uso das ferramentas
de segurana, conscientizando indivduos e organizaes sobre sua ex
posio incessante a milhares de riscos.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-132

122

Segurana da informao

Aprofundando o conhecimento
Graas proliferao das pragas digitais, os crackers vm desco
brindo novas brechas nos sistemas de segurana. No texto abaixo,
de Kurose e Ross (2009, p.4144), voc vai conhecer as tticas de
roubo de dados mais populares entre os viles cibernticos.

1.6 Redes sob ameaa


A Internet se tornou essencial para muitas instituies hoje,
incluindo empresas grandes e pequenas, universidades e rgos do
governo. Muitas pessoas tambm contam com a Internet para suas
atividades profissionais, sociais e pessoais. Mas, atrs de toda essa
utilidade e entusiasmo, existe o lado negro, um lado no qual viles
tentam causar problemas em nosso cotidiano danificando nossos
computadores conectados Internet, violando nossa privacidade e
tornando inoperantes os servios da Internet dos quais dependemos
[Skoudis, 2006].
A rea de segurana de rede abrange como esses viles podem
ameaar as redes de computadores e como ns, futuros especia
listas no assunto, podemos defender a rede contra essas ameaas
ou, melhor ainda, criar novas arquiteturas imunes a tais ameaas
em primeiro lugar. Dadas a frequncia e a variedade das amea
as existentes, bem como o perigo de novos e mais destrutivos
futuros ataques, a segurana de rede se tornou, recentemente,
um assunto principal na rea de redes de computadores. Um dos
objetivos deste livro trazer as questes de segurana de rede
para primeiro plano. Iniciaremos nossa discusso sobre redes de
computadores nesta seo, com uma breve descrio de alguns
dos ataques mais predominantes e prejudiciais na Internet de
hoje. Ento, medida que retratarmos em detalhes as diversas

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-133

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 123

tecnologias de redes de computadores e protocolos, analisare


mos as diversas questes relacionadas segurana associadas a
essas tecnologias e protocolos. Finalmente munidos com nosso
knowhow em redes de computadores e protocolos da Internet
recmadquirido, estudaremos a fundo como as redes de com
putadores podem ser defendidas contra ameaas, ou projetadas
e operadas para impossibilitlas.
Visto que ainda no temos o knowhow em rede de computa
dores e em protocolos da Internet, comearemos com uma anlise
de alguns dos atuais problemas mais predominantes relacionados
segurana. Comeamos com as perguntas: o que pode dar errado?
Como as redes de computadores so frgeis? Quais so alguns dos
tipos de ameaas mais predominantes hoje?

Os viles podem colocar malware em seu hospedeiro


atravs da Internet
Conectamos aparelhos Internet porque queremos receber/
enviar dados de/para a Internet. Isso inclui todos os tipos de re
cursos vantajosos, como pginas da Web, mensagens de email,
MP3, chamadas telefnicas, vdeo em tempo real, resultados de
mecanismo de busca etc. Porm, infelizmente, junto com esses
recursos vantajosos aparecem os maliciosos conhecidos conjun
tamente como malware que tambm podem entrar e infectar
nossos aparelhos. Uma vez que o malware infecta nosso aparelho,
ele capaz de fazer coisas tortuosas, como apagar nossos arqui
vos; instalar spyware que coleta nossas informaes particulares,
como nosso nmero de carto de crdito, senhas e combinao de
teclas, e as envia (atravs da Internet, claro!) de volta aos viles.
Nosso hospedeiro comprometido pode estar, tambm, envolvido
em uma rede de milhares de aparelhos comprometidos, conhe
cidos como botnet, o qual controlado e influenciado pelos

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-134

124

Segurana da informao

viles para distribuio de spams ou ataques de recusa de servio


distribudos (que sero brevemente discutidos) contra hospedeiros
direcionados.
Muitos malwares existentes hoje so autorreprodutivos: uma
vez que infecta um hospedeiro, a partir deste, ele faz a busca por
entradas em outros hospedeiros atravs da Internet, e a partir de
hospedeiros recminfectados, ele faz a busca por entrada em mais
hospedeiros. Desta maneira, o malware autorreprodutivo pode
se disseminar rapidamente. Por exemplo, o nmero de aparelhos
infectados pelo worm 2003 Saphire/Slammer dobrou a cada 8,5
segundos nos primeiros minutos aps seu ataque, infectando mais
de 90 por cento dos hospedeiros frgeis em 10 minutos [Moore,
2003]. O malware pode se espalhar na forma de vrus, worms ou
cavalo de Troia [Skoudis, 2004]. Os vrus so malwares que neces
sitam de uma interao do usurio para infectar seu aparelho. O
exemplo clssico um anexo de email contendo um cdigo exe
cutvel malicioso. Se o usurio receber e abrir tal anexo, o malware
ser executado em seu aparelho. Geralmente, tais vrus de email
se autorreproduzem: uma vez executado, o vrus pode enviar uma
mensagem idntica, com um anexo malicioso idntico, para, por
exemplo, todos os contatos da lista de endereos do usurio. Worms
(como o Slammer) so malwares capazes de entrar em um apare
lho sem qualquer interao do usurio. Por exemplo, um usurio
pode estar executando uma aplicao de rede frgil para a qual um
atacante pode enviar um malware. Em alguns casos, sem a inter
veno do usurio, a aplicao pode aceitar o malware da Internet
e executlo, criando um worm. Este, no aparelho recminfectado,
ento, varre a Internet em busca de outros hospedeiros que estejam
executando a mesma aplicao de rede frgil. Ao encontrar outros
hospedeiros frgeis, ele envia uma cpia de si mesmo para eles.
Por fim, um cavalo de troia uma parte oculta de um software

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-135

Principais vulnerabilidades dos sistemas...

125

funcional. Hoje, o malware persuasivo e caro para se criar uma


proteo. medida que trabalhar com este livro, sugerimos que
pense na seguinte questo: O que os projetistas de computadores
podem fazer para proteger os aparelhos que utilizam a Internet de
ameaas de malware?

Os viles pode atacar servidores e infraestrutura de redes


Um amplo grupo de ameaas segurana pode ser classificado
como ataques de recusa de servios (DoS). Como o nome sugere,
um ataque DoS torna uma rede, hospedeiro ou outra parte da
infraestrutura inutilizvel por usurios verdadeiros. Servidores da
Web, de emails e DNS, e redes institucionais podem estar sujeitos
aos ataques DoS. Na Internet, esses ataques so extremamente
comuns, com milhares deles ocorrendo todo ano [Moore, 2001;
Mirkovic, 2005]. A maioria dos ataques DoS na Internet podem ser
divididos em trs cartegorias:
Ataque de vulnerabilidade. Envolve o envio de mensagens
perfeitas a uma aplicao vulnervel ou a um sistema opera
cional sendo executado em um hospedeiro direcionado. Se
a sequncia correta de pacotes enviada a uma aplicao
vulnervel ou a um sistema operacional, o servio pode parar
ou, pior, o hospedeiro pode pifar.
Inundao na largura de banda. O atacante envia um grande
nmero de pacotes ao hospedeiro direcionado tantos pa
cotes que o enlace de acesso do alvo se entope, impedindo
os pacotes legtimos de alcanarem o servidor.
Inundao na conexo. O atacante estabelece um grande
nmero de conexes TCP semiabertas ou abertas no hospe
deiroalvo. O hospedeiro pode ficar to atolado com essas
conexes falsas que para de aceitar conexes legtimas.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-136

126

Segurana da informao

Vamos agora explorar mais detalhadamente o ataque de inun


dao na largura de banda. evidente que se o servidor possui uma
taxa de acesso R bps, ento o atacante precisar enviar trfego a
uma taxa de, aproximadamente, R bps para causar dano. Se R for
muito grande, uma fonte de ataque nica pode no ser capaz de
gerar trfego suficiente para prejudicar o servidor. Alm disso, se
todo o trfego provier de uma fonte nica, um roteador upstream
pode conseguir detectar o ataque e bloquear todo o trfego da
fonte antes que ele se aproxime do servidor. Em um ataque DoS
distribudo (DDoS), ilustrado na Figura 1.25, o atacante controla
mltiplas fontes que sobrecarregam o alvo. Com tal abordagem, a
taxa de trfego agregada por todas as fontes controladas precisa ser,
aproximadamente, R para incapacitar o servio. Os ataques DDoS
que potencializam botnets com centenas de hospedeiros compro
metidos so uma ocorrncia comum hoje em dia [Mirkovic, 2005].

Zumbi
Zumbi

Iniciar
ataque

Vtima

Zumbi

Atacante
Zumbi
Zumbi

Figura 1.25 Um ataque de recusa de servio


distribudo (DDoS)

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-137

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 127

Os ataques DDoS so muito mais difceis de detectar e de prevenir


do que um ataque DoS de um nico hospedeiro.

Os viles podem analisar pacotes


Muitos usurios hoje acessam Internet por meio de aparelhos sem
fio, como laptops conectados tecnologia WiFi ou aparelhos port
teis com conexes Internet via telefone celular. Enquanto o acesso
onipresente Internet extremamente conveniente e disponibiliza
novas aplicaes sensacionais aos usurios mveis, ele tambm cria
uma grande vulnerabilidade de segurana posicionando um receptor
passivo nas proximidades do transmissor sem fio, o receptor pode obter
uma cpia de cada pacote transmitido! Esses pacotes podem conter
todo tipo de informaes confidenciais, incluindo senhas, nmero
de inscrio da previdncia social, segredos comerciais e mensagens
pessoais. Um receptor passivo que grava uma cpia de cada pacote
que passa denominado analisador de pacote.
Os analisadores tambm podem estar distribudos em ambientes
de conexo com fio. Nesses ambientes, como em muitas Ethernet
LANs, um analisador de pacote pode obter cpias de todos os pa
cotes enviados pela LAN. As tecnologias de acesso a cabo tambm
transmitem pacotes e so, dessa forma, vulnerveis anlise. Alm
disso, um vilo que quer ganhar acesso ao roteador de acesso de
uma instituio ou enlace de acesso para a Internet pode instalar
um analisador que faa uma cpia de cada pacote que vai para/de a
empresa. Os pacotes farejados podem, ento, ser analisados offline
em busca de informaes confidenciais.
O software para analisar pacotes est disponvel gratuitamente
em diversos sites da Internet e em produtos comerciais. Professores
que ministram um curso de redes passam exerccios que envolvem a
composio de um programa de reconstruo de dados da camada
de aplicao e um programa analisador de pacotes.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-138

128

Segurana da informao

Como os analisadores de pacote so passivos ou seja, eles


no introduzem pacotes no canal , eles so difceis de detectar.
Portanto, quando enviamos pacotes para um canal sem fio, devemos
aceitar a possibilidade de que algum possa estar copiando nossos
pacotes. Como voc deve ter imaginado, uma das melhores defesas
contra a anlise de pacote envolve a criptografia, que se aplica
segurana de rede.

Os viles podem se passar por algum de sua confiana


Por incrvel que parea, extremamente fcil (voc saber como
conforme ler este livro!) criar um pacote com um endereo de fonte
arbitrrio, contedo de pacote e um endereo de destino e, ento,
transmitir esse pacote feito mo para a Internet, que, obediente
mente, o encaminhar para seu destino. Imagine que um receptor
inocente (digamos um roteador da Internet) que recebe tal pacote,
acredita que a fonte (falsa) seja confivel e ento executa um co
mando integrado aos contedos do pacote (digamos que modifica
sua base de encaminhamento). A habilidade de introduzir pacotes
na Internet com uma fonte falsa de endereo conhecida como IP
spoofing, e uma das muitas maneiras pelas quais o usurio pode
se passar por outro.
Para resolver esse problema, precisaremos de uma comprovao
da fonte, ou seja, um mecanismo que nos permitir determinar
com certeza se uma mensagem se origina de onde pensamos. Mais
uma vez, sugerimos que pense em como isso pode ser feito em
aplicaes de rede e protocolos medida que avana sua leitura
por este livro.

Os viles podem alterar ou excluir mensagens


Encerramos esta breve anlise de ataques na rede descrevendo
os ataques maninthemiddle (homem no meio). Nessa categoria

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-139

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 129

de ataques, o vilo est infiltrado no percurso da comunicao en


tre duas entidades comunicantes. Vamos chamar essas entidades
de Alice e Bob, que podem ser seres humanos reais ou entidades
de rede como dois roteadores ou dois servidores de email. O vilo
pode ser, por exemplo, um roteador comprometido no percurso
da comunicao, ou um mdulo de software residente em um dos
hospedeiros finais em uma camada inferior da pilha de protocolo.
No ataque maninthemiddle, o vilo no somente possui a pos
sibilidade de analisar todos os pacotes que passam entre Bob e
Alice, como tambm pode introduzir, alterar ou excluir pacotes. No
jargo da segurana de rede, um ataque maninthemiddle pode
comprometer a integridade dos dados enviados entre Alice e Bob.
Os mecanismos que oferecem sigilo (proteo contra anlise) e
autenticao da origem (permitindo que o receptor verifique com
certeza o gerador da mensagem) no necessariamente oferecem
integridade dos dados.
Ao encerrar esta seo, devese considerar como a Internet se
tornou um local inseguro, em primeiro lugar. A resposta resumi
damente que a Internet foi, a prncipio, criada para ser assim,
baseada no modelo de um grupo de usurios de confiana m
tua ligados a uma rede transparente [Blumenthal, 2001] um
modelo no qual (por definio) no h necessidade de segurana.
Muitos aspectos da arquitetura inicial da Internet refletem profun
damente essa noo de confiana mtua. Por exemplo, a capa
cidade de um usurio enviar um pacote a qualquer outro mais
uma falha do que um recurso solicitado/concedido, e acreditase
piamente na identidade do usurio em vez de ela ser confirmada
automaticamente.
Mas a Internet de hoje certamente no envolve usurios de
confiana mtua. Contudo, os usurios atuais ainda precisam
se comunicar mesmo quando no confiam um no outro, podem se

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-140

130

Segurana da informao

comunicar anonimamente, podem se comunicar indiretamente


atravs de terceiros (por exemplo, Web caches, ou agentes mveis
para assistncia), e podem desconfiar do hardware, software e
at mesmo do ar pelo qual eles se comunicam. Temos agora mui
tos desafios relacionados segurana perante ns medida que
prosseguimos com o livro: devemos procurar por proteo contra
a anlise, disfarce da origem, ataques maninthemiddle, ataques
DDoS, malware e mais. Devemos manter em mente que a comuni
cao entre usurios de confiana mtua mais uma exceo do
que uma regra.
Seja bemvindo ao mundo da moderna rede de computadores!

A informatizao dos processos vem tornando cada vez mais com


plexa a segurana da informao. Na era digital, o uso de sistemas
eficientes de proteo aos dados tornouse indispensvel. E no para
por a. Hoje, as organizaes precisam ficar constantemente atentas
ao surgimento de novos ataques, procurando ferramentas atualizadas
capazes de detlos.

Para concluir o estudo da unidade

Por meio da leitura da Unidade 3, voc pde conhecer melhor


as inmeras ameaas que assombram a segurana da informao.
Afinal, a proteo eficaz dos dados no depende apenas do uso de
ferramentas de segurana, mas tambm da compreenso de como
as pragas virtuais funcionam. Uma vez por dentro do ataque, voc
ser capaz de prevenir melhor possveis ataques, pois suas armadi
lhas j no lhe soaro mais estranhas.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-141

P r i n c i p a i s v u l n e r a b i l i d a d e s d o s s i s t e m a s . . . 131

Resumo

Proteger a informao no consiste apenas na instalao de equi


pamentos que visam sua segurana. A proteo eficaz aquela
capaz de cruzar as fronteiras do campo de batalha e penetrar no
territrio inimigo. Ora, justamente o conhecimento das ameaas
que cercam as organizaes que ajuda os administradores na es
truturao da segurana. Como a maioria das empresas ainda no
despertou para os riscos que a envolvem, muitas j foram vtimas
de agressores inexperientes, conhecidos como script kiddies. Se
por um lado os crimes cometidos por esses novatos produziram
prejuzos vultosos, pelo menos eles atenderam a uma necessidade
importante: ao castigarem as organizaes, eles mostraram o quo
essencial o aprimoramento da segurana dos dados. No por
acaso que, assustadas com os avanos dos crimes cibernticos,
algumas empresas contratam hackers para auxililas no moni
toramento e correo de seus pontos fracos. Apesar dos esforos
crescentes em prol da segurana da informao, os agressores no
do sinais de enfraquecimento. Desde o surgimento do primeiro
vrus, o nmero de ameaas no parou de crescer. Hoje em dia, as
pragas virtuais atingiram um nvel inacreditvel de especializao,
podendo penetrar nas fortalezas digitais mais slidas.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-142

132

Segurana da informao

Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. Embora tornem a mquina mais lenta, os graywares jamais causam
problemas graves aos computadores que infecta. At mesmo o
spyware se dedica coleta de dados pessoais com fins exclusiva
mente comerciais. ( )
2. Ao contrrio dos vrus, os worms no precisam de um hospedeiro
para se propagar, tornandose um malware muito contagioso. ( )
3. Embora sejam verdadeiros especialistas em ataques maliciosos, os
grayhats no devem ser contratados porque eles frequentemente
divulgam as fragilidades da empresa em fruns malintenciona
dos. ( )
4. Embora sejam computadores de pequenas dimenses, os celulares
jamais sero amplamente explorados pelos crackers. A ao dos
black hats nos aparelhos mveis ficar sempre restrita a atividades
como desconfigurao, exausto da bateria e envio de mensagens
com contedo publicitrio. ( )
5. A contratao de white hats pode ser muito benfica para as empresa,
pois esses hackers do bem sabem explorar suas vulnerabilidades do
ponto de vista de um possvel agressor. ( )

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-143

Unidade 4

Poltica de segurana
e auditoria
Objetivos de aprendizagem: hoje em dia, no basta construir muros
para manter os inimigos do lado de fora. Afinal, a evoluo verti
ginosa das tecnologias vai na contramo dessa tendncia, aproxi
mando cada vez mais os viles cibernticos dos sistemas de infor
mao. Suas armas j tornaram possvel interceptar dados e invadir
as fortalezas digitais. Diante da expanso dos desafios, no h como
ficar de braos cruzados. As empresas interessadas em proteger o
sigilo de seus dados no podem perder mais tempo: elas precisam
construir com urgncia regras que orientem a utilizao dos recursos
tecnolgicos, no podendo deixar de lado a realizao de auditorias,
a fim de verificar se as normas esto sendo cumpridas.

Seo 1:

Poltica de segurana para empresas

O uso crescente das ferramentas computacionais vem


ampliando o conceito tradicional de poltica de segurana. Hoje em dia, suas fronteiras no envolvem apenas
o controle de acesso fsico, mas tambm a vigilncia ininterrupta das portas virtuais. Por isso, voc vai conhecer
na Seo 1 diversas ferramentas usadas para restringir o
acesso, visando assim proteo da confidencialidade,
integridade e disponibilidade dos dados.
Seo 2:

Auditoria: seus objetivos e procedimentos

Embora seja inspirada em prticas tradicionais, a auditoria na informtica um procedimento primordial.


Voc conhecer na Seo 2 o importante servio que
os auditores prestam s empresas, monitorando a aplicao das regras vigentes e a avaliando o seu funcionamento. So essas funes que tornam a auditoria uma
pea-chave para a reviso e a atualizao constantes
da poltica de segurana das organizaes.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-144

134

Segurana da informao

Introduo ao estudo
Embora muitas empresas confiem no desempenho de seus equipa
mentos de segurana, de nada servem os dispositivos mais sofisticados,
quando no acompanhados de uma poltica que oriente o seu uso. Afinal,
a ausncia de instrues sobre sua implantao e configurao adequadas
pode colocar tudo a perder.
Infelizmente, a poltica de segurana da informao no se encontra
na pauta das prioridades de muitas organizaes. As justificativas para
esta negligncia variam: alguns apontam os custos como principais
obstculos para a implementao de um sistema de segurana eficaz.
Outros parecem simplesmente no entender como a empresa pode se
beneficiar da proteo adequada de seus dados. A miopia de muitos
executivos provocada com frequncia pelo carter preventivo das
medidas de segurana. Ao ignorar a centralidade das informaes para
os processos contemporneos, eles podem atrair consequencias muito
mais dispendiosas do que os custos que queriam evitar. Nakamura e
Geus (2007, p. 189) narram um episdio que ilustra bem os perigos
desta displicncia:
A poltica de segurana importante para evitar
problemas, como os que foram enfrentados pela
Omega Engineering Corp.A organizao demitiu
Timothy A. Lloyd, responsvel pela segurana de
sua rede e funcionrio da companhia durante 11
anos. Essa demisso causou srias e caras conse
quncias para a Omega. A falta de uma poltica
de segurana quanto ao acesso de funcionrios
demitidos fez com que Lloyd implantasse uma
bomba lgica na rede, que explodiu trs semanas
aps ele ter deixado a organizao. Os prejuzos
decorrentes dessa ao foram calculados em dez
milhes de dlares.

Apesar da insistncia dos especialistas, empresas como a Omega


s tomam conscincia dos riscos que correm depois de severamente

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-145

P o l t i c a d e s e g u r a n a e a u d i t o r i a 135

castigadas por um incidente de segurana. Ao invs de aguardar os


ataques de braos cruzados, preciso abandonar a inrcia e se an
tecipar s ameaas. Aqui, vale o antigo bordo mais vale prevenir
que remediar...
Casos como o da Omega poderiam ser evitados por uma poltica de
segurana eficiente, que blindasse sua rede contra ataques de insiders,
eliminando uma das principais fontes de prejuzo da atualidade. por
esse motivo que a proteo da informao deve ser considerada to
importante quanto a gesto financeira, ou o zelo com a imagem junto
ao pblico.
No basta criar documentos e regras para definir a poltica de
segurana da empresa. preciso oferecer suporte tcnico, treinar os
usurios e promover sua conscientizao. A segurana da informa
o no deve ser encarada como tarefa exclusiva dos funcionrios
de TI, mas uma preocupao contnua de todos os colaboradores.
Portanto, o primeiro passo para a implementao bemsucedida das
normas de segurana depende da adeso dos lderes poltica ado
tada. Maus exemplos influenciam negativamente os funcionrios,
comprometendo a sade dos negcios. De qualquer forma, no se
pode abrir mo de uma equipe tcnica especializada, capaz de se
responsabilizar pelo planejamento, instalao e monitoramento dos
sistemas de proteo.
Como podemos imaginar, as medida de segurana no agradam a
todos. Sempre h os que alegam perda de tempo e queda na produtivi
dade devido aos novos procedimentos. Alis, dependendo do nvel de
proteo escolhido, a ao dos usurios pode ficar sujeita a diversas res
tries, sendo preciso solicitar aprovao da equipe tcnica. Para conter
as crticas e minimizar esses problemas, os especialistas recomendam
solues padronizadas que respondam o mais rpido possvel s diversas
solicitaes.
J que no se pode contar com a obedincia espontnea dos fun
cionrios ao novo modelo de conduta, indispensvel criar um cdigo

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-146

136

Segurana da informao

que prescreva as punies cabveis para os casos de violao das regras.


Novamente, Nakamura e Geus (2007, p.203) oferecem uma interessante
sugesto:
Um processo disciplinar especfico para os ca
sos de no cumprimento da poltica definida
importante para a organizao. Por exemplo, se
um usurio cometer um erro, a primeira medida
avislo de sua falta. Se o erro se repetir, o chefe
do usurio deve receber um comunicado. Se hou
ver um terceiro erro, o usurio ser suspenso por
duas semanas e se esse erro persistir, o usurio
ser demitido.

Diante da necessidade de padronizar os procedimentos de segu


rana, o conjunto de normas ISO disponibilizou cdigos prticos que
servem de referncia para a gesto eficiente das informaes no mbito
empresarial. Como voc j estudou na Unidade 1, as organizaes que
atendem aos parmetros recebem uma certificao que lhe confere
credibilidade junto aos seus clientes.

Seo 1

 oltica de segurana para


P
empresas

1.1Criando sistemas sob medida: cada caso


um caso
A segurana da informao tornouse tema recorrente em diversas
esferas da sociedade, frequentando inclusive a pauta dos projetos legis
lativos. Pressionadas pela opinio dos estudiosos, as autoridades pblicas
tm trabalhado em prol da elaborao e aprovao de leis que normati
zem e controlem o uso das ferramentas digitais. No mbito internacional,
alguns pases vm esboando esforos expressivos a favor de uma ao
conjunta contra os piratas virtuais.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-147

Poltica de segurana e auditoria

137

Para saber mais


Se voc nunca ouviu falar em CIO, preparese: o acrnimo promete conquistar
cada vez mais espao. Enquanto o CEO (Chief Executive Officer) de uma organi
zao corresponde ao diretor executivo, a nova sigla serve para designar o Chief
Information Officer, cargo ocupado pelo diretor de tecnologias da informao de
uma empresa. Cientes das transformaes profundas trazidas pela Informtica,
muitas organizaes j inauguraram a nova vaga, dedicando a ateno devida
aos processos computacionais que inundam os seus negcios.

Ora, se chefes de Estado j tomam os primeiros passos rumo criao


de instrumentos de controle das trocas digitais, j hora das empresas
se movimentarem na mesma direo. Afinal, os sistemas de informtica
demandam controle e gerenciamento rgidos, capazes de tornlos imunes
s ameaas que os cercam. A origem dos riscos bastante diversificada.
Os ataques informao podem partir de fontes distintas, abrangendo:
Falhas na infraestrutura fsica, como panes ou sobrecargas na rede
de energia;
pirataria, fraudes e acessos no credenciados;
desastres naturais, como incndios e inundaes.
Qualquer falha na proteo informao nesses nveis deve ser con
siderada uma ameaa to grave quanto aquelas que envolvem o patri
mnio fsico da empresa. Da mesma forma, os investimentos realizados
em sistemas de segurana dos dados tm a mesma importncia que os
feitos em instalaes, equipamentos e pessoal.
Embora as premissas sejam as mesmas em diversos ambientes com
putacionais, as caractersticas especficas de cada organizao tambm
devem ser levadas em conta. Portanto, um sistema de segurana para
informaes militares vai eleger prioridades diferentes daquelas de um
sistema financeiro ou administrativo, por exemplo. O motivo para essas
diferenas decorre da anlise dos riscos e impactos que envolvem sua

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-148

138

Segurana da informao

aplicao em cada caso. indispensvel definir os objetivos principais


da organizao.
De forma geral, os objetivos de segurana se apoiam nos seis itens
descritos no quadro abaixo:
Confidencialidade Evitar acesso no autorizado.
Integridade

Impedir adulteraes ou perda de dados.

Disponibilidade

Combater ataques de negao de servio.

Consistncia
Isolamento
Confiabilidade

Garantir o perfeito funcionamento do sistema.


Manter intrusos do lado de fora.
Assegurar o funcionamento adequado sob quaisquer con
dies.

claro que, dependendo das peculiaridades de cada empresa, alguns


objetivos podero ter prioridade sobre os demais. Confira os exemplos
abaixo:
A disponibilidade pode ser mais importante que a confiabilidade
em um sistema que no possua dados sigilosos, mas que precisa
estar disponvel 24 horas por dia. o caso dos sites de buscas que
oferecem informaes para ampla consulta.
A privacidade e a integridade se sobrepem disponibilidade em
sistemas que protegem dados bancrios ou militares. Os danos
provocados por uma eventual indisponibilidade das informaes
confidenciais muito menor que a violao do seu sigilo.
Alm de estabelecer o ranking das suas prioridades, cada organizao
no pode deixar de se fazer algumas perguntas:
Que informaes devem ser protegidas?
A resposta a esta pergunta revelar os dados que exigem maior proteo,
propiciando a configurao adequada dos equipamentos de segurana.
Quais so as ameaas mais comuns?
A identificao dos potenciais inimigos e suas armas fundamental
para uma proteo eficiente.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-149

Poltica de segurana e auditoria

139

Quais so os pontos vulnerveis do sistema?


preciso conhecer seus pontos fracos antes que os intrusos o faam.
Qual o nvel de segurana ideal?
Tanto o excesso quanto a negligncia devem ser evitados. Cada empresa
deve encontrar o ponto de equilbrio que atenda as suas necessidades.
Qual o aporte de recursos humanos e financeiros disposio?
A empresa que sacrifica a proteo de seus dados para fazer econo
mia pode pagar muito mais caro adiante. O vazamento de informaes
sigilosas e a perda de credibilidade dos seus clientes um prejuzo difcil
de calcular.
O que os clientes e investidores esperam do sistema de segu
rana?
Esta uma rea em que a expectativa dos parceiros comerciais gira
em torno de 100%.

1.2 Definindo uma poltica


de segurana da
informao
Apesar das peculiaridades de cada
sistema, existem algumas medidas que
so comuns a todos. De forma geral,
possvel afirmar que qualquer poltica
de segurana deve garantir o controle
do acesso fsico e lgico aos seus dados.
Contudo, esta meta deve ser alcanada
sem prejudicar a produtividade. Alm
disso, por mais perfeito e sofisticado
que seja o sistema de defesa, o seu su
cesso sempre depender da participa
o voluntria de todos os membros da
empresa.

Links
A segurana da informao
j tomou conta da agenda de
indivduos, organizaes e Es
tados pelo mundo. Antenada
s tendncias atuais, a SEBRAE,
agncia brasileira de apoio ao
empreendedor e pequeno em
presrio, no perdeu tempo. Ao
clicar no link indicado abaixo,
voc ter acesso ao Manual da
Sebrae, documento em que so
prescritas uma srie de recomen
daes para os usurios de TI.
<http://intranet.ma.sebrae.com.
br/fckeditor/userfiles/file/Ma
nual_Padroes_Usuarios_TI.pdf>.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-150

140

Segurana da informao

Voc vai conhecer nesta seo algumas ferramentas essenciais que


permitem o monitoramento e o controle dos acessos. So eles:
controles de acesso lgico;
polticas de segurana para firewall;
controles de acesso fsico.
Atuando de formas diferentes, os mecanismos listados acima so as
principais armas para o combate s invases.

1.2.1 Poltica de segurana para controles de acesso lgico


Quando pensamos em controle de acesso lgico, a primeira estrat
gia que nos vem cabea o monitoramento dos arquivos de log. Sem
dvida, tratase da tcnica mais difundida para restringir e fiscalizar o
uso dos sistemas.
Alm de registrar cronologicamente os acessos dos usurios, este
controle permite detectar e sanar brechas na segurana. Como os ar
quivos de log armazenam pistas importantes, comum observar ten
tativas de deturpar seu contedo, apagando os rastros dos invasores.
Por isso, sua eficincia depende da proteo eficaz dos seus registros,
impedindo sua manipulao por agressores externos ou usurios mal
intencionados.
Entre outras funes, os controles regulam a disponibilidade dos da
dos, garantindo apenas o acesso aos aplicativos e arquivos de que cada
usurio precisa no desempenho de suas tarefas. Outros critrios tambm
podem ser adotados para evitar a exposio desnecessria das informa
es. J existem sistemas, por exemplo, que utilizam o dispositivo time
out para encerrar automaticamente sesses ociosas por um longo perodo.
Algumas empresas lanam mo de ferramentas para limitar o uso dos
recursos de informtica ao horrio comercial, desabilitando qualquer
acesso nos fins de semana e noite.
Como os arquivos de log podem produzir diversos registros, im
portante especificar o que a organizao pretende monitorar. Exageros
precisam evitados para no sobrecarregar os administradores com vo

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-151

Poltica de segurana e auditoria

141

lumes excessivos de dados. A fiscalizao eficaz aquela conduzida


periodicamente, impedindo invases criminosas que provoquem perdas,
modificaes ou vazamentos de informaes confidenciais.
Alm do seu carter preventivo, o controle de acesso lgico ajuda a
resgatar informaes sobre operaes j realizadas. Uma vez cometido
um delito, os arquivos de log podem identificar os responsveis pela
infrao, facilitando a punio dos verdadeiros culpados.
Mesmo com tantos recursos teis, a principal defesa das organizaes
ainda o funcionrio bem treinado. Precaues simples, como no com
partilhar senhas, podem fazer toda a diferena, afastando a possibilidade
de danos vultosos.
Outro ponto importante diz respeito aos dados que inspiram cuida
dos especiais. Observe na lista abaixo alguns itens que requerem muita
ateno:
Aplicativos: Ataques a programas geralmente buscam desconfi
gurlos, alterando suas funes normais.
Arquivos: Os sistemas de segurana precisam zelar pela segurana
dos arquivos que contm informaes importantes, protegendo sua
confidencialidade, integridade e disponibilidade.
Softwares de monitoramento e diagnstico: Como os logs armaze
nam pistas importantes sobre os agressores, eles costumam ser alvos
de frequentes ataques.
Embora j tenham passado por vrias reformulaes, os controles
de acesso lgico baseiamse em um processo bem simples, conhecido
como logon. O usurio tem seu acesso permitido mediante apresentao
da senha.
H sistemas sensveis, que limitam o nmero de tentativas equivoca
das. Aps um certo nmero de acessos frustrados, a conta do usurio
bloqueada, dificultando a entrada do possvel invasor. Quando o usurio
legtimo acessa sua conta, so exibidas informaes sobre os ataques,
incluindo dados como hora e data em que ocorreram.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-152

142

Segurana da informao

O aprimoramento dos mecanismos de segurana tambm introduziu


novas formas de autenticao. Ao invs de solicitar a tradicional senha,
eles utilizam sistemas inteligentes, capazes de identificar o usurio pela
retina, traos do rosto ou formato da mo, alm das impresses digitais
e do timbre da voz.
O desenvolvimento dessas novas tecnologias no ocorreu por
acaso. H algum tempo os especialistas vem mostrando que a senha
o calcanhar de Aquiles de muitas organizaes, ponto fraco por onde
penetram muitas ameaas. Apesar de suas fragilidades, elas ainda so
o principal instrumento da maioria dos dispositivos de autenticao.
Sua fraqueza se deve justamente atuao do usurio. Como o ser
humano no memoriza cdigos longos com facilidade, a eficincia
das senhas tem sido comprometida pela utilizao de sequncias
curtas demais.
Outro fator que debilita a fora das senhas a sua previsibilidade. Ao
contrrio do que recomendam os estudiosos, os usurios lanam mo
de informaes pessoais para facilitar sua memorizao. Os resultados
surpreendentes da pesquisa promovida pela Compaq confirmam a fra
gilidade das senhas:
interessante notar que, em um ambiente tpico, 18%
das senhas podem ser descobertas em dez minutos, e
98% das senhas podem ser descobertas em 48 horas,
incluindo a senha do administrador. O comporta
mento dos usurios na escolha das senhas pode ser
observado por meio de uma pesquisa realizada pela
Compaq, em 1997, que revelou que as senhas so
escolhidas da seguinte maneira: posies sexuais ou
nomes alusivos a chefes (82%), nomes ou apelidos
de parceiros (16%), nome do local de frias preferido
(15%), nome de time ou jogador (13%), o que se v
primeiramente na mesa (8%) (NAKAMURA; GEUS,
2007, p.206).

Tambm so desaconselhveis as senhas compostas por dados


pessoais do usurio, como nomes ou apelidos de parentes e amigos,
datas de aniversrio e nmeros de telefone ou documentos. Para evitar

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-153

Poltica de segurana e auditoria

143

que intrusos as decodifiquem rapidamente, preciso seguir alguns


procedimentos:
combinar letras e nmeros;
trocar as senhas periodicamente;
no criar senhas pequenas demais.
A observao das regras listadas acima s possvel quando as
organizaes promovem a conscientizao dos seus funcionrios.
Caso contrrio, uma srie de ameaas poder tirar vantagem da fragi
lidade dos cdigos de segurana. Nakamura e Geus (2007) mostram
algumas delas:
Sniflers

Identificam as senhas que no so protegidas por criptografia.

Crack

Utiliza palavras do dicionrio para adivinhar a senha do


usurio.
Os ataques do dicionrio podem ser evitados quando as
senhas misturam letras e nmeros.

Password Guessing Este software tenta decodificar a senha, tomando por base
as informaes pessoais do usurio.
Fora bruta

Rene tcnicas complexas de permutao que s so utili


zadas depois de esgotadas as demais alternativas.

Alm de sua escolha cautelosa, a senha no deve jamais ser compar


tilhada ou repetida em situaes diferentes. Imagine, por exemplo, que
um cracker capturou a senha do correio eletrnico da vtima. As conse
quncias sero ainda mais desastrosas caso o cdigo revelado tambm
d acesso conta bancria do usurio etc.
Como voc pde ver, as dicas dos especialistas tm ajudado a afastar
os invasores. Dentre as colaboraes no mbito do controle de acessos,
merecem destaque algumas sadas interessantes, como a limitao do
nmero de sesses concomitantes. A adoo desse critrio impede, por
exemplo, que o agressor utilize a mquina durante sesses legtimas.
Tentativas de acesso simultneo so um forte indcio de que intrusos esto
tentando invadir o sistema, alertando o administrador para a existncia
de ameaas iminentes.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-154

144

Segurana da informao

O aumento desenfreado das agresses tem tornado cada dia mais in


sustentveis os modelos de segurana sem controles de acesso adequados.
Afinal, s o monitoramento intensivo capaz de reduzir os riscos que
rondam a informao. Limitar e fiscalizar o acesso so as novas palavras
de ordem no mbito da segurana computacional. Basta imaginar, por
exemplo, os danos financeiros que o acesso irrestrito de um funcionrio
mal intencionado pode causar a uma empresa. Os prejuzos podem
incluir desde modificaes na folha de pagamento at adulteraes que
camuflam o desvio de recursos materiais ou financeiros.
So crimes assim que justificam a importncia dos arquivos de log,
documentos onde ficam registrados os passos dos usurios. Alm de
desencorajar aes criminosas, essas medidas de segurana podem
servir como provas para que sejam movidos processos judiciais contra
o infrator.

1.2.2 Poltica de segurana para firewall


Ao conduzir a leitura da Unidade 2, voc certamente conheceu os
firewalls, dispositivos de segurana que controlam a circulao de paco
tes na rede. Sua configurao oferece ao usurio dois moldes principais
para a filtragem do trfego. Eles so conhecidos como Default Permit e
Default Deny. No primeiro caso, tudo que no proibido permitido,
conferindo ao funcionrio maior liberdade de deciso. J a segunda
opo ideal para os casos em que no h confiana nos empregados,
proibindo tudo aquilo que no expressamente permitido pela poltica
de segurana da empresa.

Questes para reflexo


Que modelo voc adotaria na empresa em que trabalha?
Por qu?

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-155

P o l t i c a d e s e g u r a n a e a u d i t o r i a 145

possvel, por exemplo, utilizar o modelo Default Permit para contas


do tipo administrador (administrator). As contas do tipo convidado (guest),
por sua vez, devem ficar presas aos li
mites do Default Deny para que sejam
Para saber mais
usadas sem receio por usurio externos
Hoje em dia, alguns especialistas
no confiveis.
ensinam um jeito muito esperto
Embora a soluo acima seja bas
de frustrar as expectativas dos
tante til, ela no o bastante para res
hackers. Como os piratas virtuais
ponder aos desafios contemporneos.
esto caa de contas do admi
Conforme voc j estudou, problemas
nistrador, aconselhvel reno
ligados descentralizao dos processos
melas para confundir o agres
sor. A estratgia simples: voc
das organizaes tm tornado a segu
atribui o rtulo administrador
rana dos dados cada vez mais com
conta do convidado, e viceversa.
plexa. Considere, por exemplo, a situa
Dessa forma, ao atacar por en
es de empresas grandes que, alm de
gano uma conta repleta de res
contar com inmeras filiais, tambm se
tries, o intruso ter seu poder
apoiam em prticas conhecidas como
de ao bastante limitado.
o offshoring e o outsourcing, estudadas
na Unidade 2. Em casos de disperso
do processo empresarial, tornouse indispensvel a confiabilidade dos
sistemas de acesso remoto s redes.
Apesar da sofisticao das VPNs, por exemplo, ainda continua muito
difcil monitorar completamente aquilo que ocorre do lado de fora da
organizao. Para piorar, ainda existem funcionrios malintencionados
que podem instalar um modem malicioso, configurando um software
para ilimitar a ao de um acesso no credenciado rede. Um hacker
que conseguir se infiltrar no modem ter acesso irrestrito aos dados da
empresa.
A cooperao digital entre que duas ou mais organizaes tambm
inspira cuidados. Polticas de segurana conflitantes tendem a fragilizar a
proteo das informaes de ambos os lados. A adoo de medidas con
juntas uma sada, estabelecendo normas comuns por meio de acordos.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-156

146

Segurana da informao

Infelizmente, como as diferentes empresas tm vises diferentes sobre a


gesto de seus dados, muito difcil chegar a um consenso. Quando as
divergncias se tornam insuperveis, s resta organizao tratar os usu
rios da outra empresa como no confiveis, restringindo ao mximo sua
movimentao na rede local. preciso evitar, por exemplo, que eles tenham
acesso aos recursos internos, expondo minimante o sistema. A instalao
de firewalls a alternativa mais recomendvel. Eles confinam os funcio
nrios externos em uma rede pblica de atuao bem limitada. s vezes,
dependendo das funes que desempenham, algumas concesses podem
ser necessrias, expandindo um pouco rea a que eles tm acesso.
Para as organizaes cujos negcios so inviveis quando no h
confidencialidade e integridade dos dados, pode ser sensato tratar seus
prprios funcionrios como usurios externos, garantindo o sigilo mximo
das informaes armazenadas. Portanto, como voc viu na Unidade 2, a
instalao e a configurao do firewall devem ficar a servio da poltica
de segurana adotada, zelando pelos objetivos prioritrios da empresa.

1.2.3Controles de acesso fsico


Apesar da preocupao crescente com as fronteiras digitais, qualquer
displicncia com os controles de acesso fsico podem, de igual forma,
colocar em xeque a segurana da empresa. No so raros os casos em
que, empresas obcecadas com segurana computacional esquecem suas
janelas abertas, facilitando a entrada de agressores menos sofisticados,
mas nem por isso menos destrutivos.
A fim de regular o acesso s instalaes fsicas da empresa, algumas
medidas tm sido implantadas. Cada uma delas conta com suas prprias
vulnerabilidades, sendo indispensvel analisar os riscos envolvidos em
cada mtodo.
Os tokens, por exemplo, so objetos cedidos aos funcionrios que
tm por objetivo diferencilos de possveis invasores. Os cartes de
crdito so um dos tipos mais usados. No devemos nos esquecer que
casos de roubo ou perda dos tokens tm comprometido a segurana da

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-157

Poltica de segurana e auditoria

147

empresa, permitindo que a chave de acesso a suas instalaes caia em


mos inimigas.
J os sistemas biomtricos impem dificuldades muito maiores aos
agressores, pois se orientam por critrios que tornam cada indivduo
nico. Eles confirmam se o usurio quem diz ser por meio de testes de
verificao de retina, rosto, timbre de voz ou impresses digitais.
Ao contrrio do que se imagina, os controles de acesso fsico no
ficam limitados s portas de entrada da empresa. Eles tambm interferem
em reas onde tradicionalmente pouco provvel se pensar em segu
rana, como o caso do lixo. Estratgias de controle eficaz devem levar
em considerao o teor das informaes que esto sendo descartadas.
Imagine que uma importante organizao resolveu se desfazer de papis
confidenciais. Ao invs de descartlos nos moldes convencionais, ser
mais sensato picotar ou mesmo incinerar os documentos, impedindo o
acesso no credenciado s informaes. Cuidados semelhantes devem
ser aplicados quando as empresas decidem substituir HDs e mdias remo
vveis. preciso assegurar que os dados foram apagados definitivamente,
sendo impossvel a restituio dos arquivos. Em casos extremos, h or
ganizaes que optam pela destruio fsica, afastando de vez qualquer
possibilidade de apropriao indevida dos seus dados.

1.2.4 A segurana das instalaes


Alm de se defender dos invasores de carne e osso e das pragas
virtuais, as empresas devem somar a sua lista de preocupaes a manu
teno da infraestrutura fsica onde armazena seus dados. Por isso, elas
devem promover o perfeito funcionamento das suas instalaes. Abaixo
discriminamos alguns cuidados essenciais:
definir as reas de proteo intensiva;
delegar responsabilidades de segurana;
restringir o acesso s instalaes e equipamentos;
assegurar a climatizao apropriada do ambiente;
prevenir incndios e outros sinistros.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-158

148

Segurana da informao

1.3Integrando os componentes da poltica de


segurana
Embora cada procedimento estudado conte com regras prprias, o su
cesso da poltica de segurana depende do cumprimento de todas as normas
prescritas. Basta o rompimento de um elo dessa corrente para comprometer
o todo. Por isso, as empresas no devem deixar de avaliar sua poltica de
forma global, permitindo assim a articulao dos seus componentes.
Para orientar as organizaes na implementao e no gerenciamento
de uma poltica de segurana, foi criado um conjunto de normas brasi
leiras (ABNT NBR ISO/IEC 27001). A observao dessas regras visa me
lhoria na forma como os administradores cuidam da proteo dos dados,
ajudandoos a analisar seus mtodos criticamente. O modelo sugerido
pelas normas brasileiras tem como base a sequncia PlanDoCheckAct
(PDCA). Repare que no suficiente agir (do e act), pois a ao desor
denada no favorece o combate eficiente aos riscos. preciso tambm
planejar (plan) e verificar (check) se as medidas implantadas esto fun
cionando bem. a que entra uma importante etapa da segurana da
informao: a auditoria.

Seo 2

 uditoria: seus objetivos e


A
procedimentos

2.1Examinando a sade das empresas


Na seo 1, voc conheceu os princpios que devem reger a poltica de
segurana. A diversidade das normas e instrumentos estudados no deixa
espao para dvidas: a proteo da informao no um pacote pronto,
repleto de opes prfabricadas para qualquer organizao. Muito pelo
contrrio, a poltica de segurana fruto de um processo profundo de
reflexo, levando em conta os objetivos especficos e as prioridades de
cada empresa.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-159

Poltica de segurana e auditoria

149

Nesta seo, voc conhecer o passoapasso da auditoria. Inspirado


em processos contbeis de reviso, o termo vem sendo utilizado h muitos
anos em todos os setores da economia. Hoje em dia, j podemos encon
trar auditores no mbito da engenharia e at mesmo das Foras Armadas.
Graas ao avano da informatizao, a classe dos auditores ganhou um
novo espao de atuao: a segurana da informao.

Questes para reflexo


A empresa em que voc trabalha passa por auditorias
peridicas? De que tipo: internas ou externas?

Ao concluir esta leitura voc entender por que a auditoria abrange


uma etapa primordial para o sucesso da poltica de segurana. Afinal,
justamente ela que submete prova os seus princpios e tcnicas, pro
movendo a reviso crtica dos processos de proteo implantados. Ela
verifica, entre outros aspectos, a eficcia dos procedimentos, no dei
xando de observar tambm se esto em conformidade com os padres
estabelecidos previamente.
Uma auditoria de segurana deve levar em conta alguns aspectos
fundamentais. Para comear, preciso avaliar a poltica de segurana
vigente, identificando seus pontos fracos e sugerindo correes. Os con
troles de acesso lgico e fsico no podem escapar anlise, pois so
os principais elementos responsveis pelo monitoramento e restrio da
disponibilidade das informaes. Como voc j estudou, a divulgao
irrestrita de dados importantes pode causar graves danos financeiros e
materiais, comprometendo at mesmo a continuidade dos negcios.
Alm disso, a auditoria eficiente tambm deve preparar a empresa
para o pior: em situaes crticas, as organizaes precisam contar com
planos de emergncia para saber o que fazer quando as condies se

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-160

150

Segurana da informao

tornam adversas. Para tanto, a auditoria precisa investigar os pontos fra


cos, antecipando a natureza e a intensidade dos ataques que podem se
aproveitar das brechas existentes.
A avaliao dos aplicativos um dos momentos que mais requer
a ateno dos auditores. indispensvel, por exemplo, conhecer as
ameaas que visam infeco dos diferentes softwares, defendendoos
adequadamente. Para tanto, preciso monitorar o trfego de dados,
vigiando desde a entrada e processamento dos pacotes at a sua sada.
A reviso detalhada dos aplicativos no pode deixar de monitorar seu
funcionamento, analisando tambm o tipo de contedo que tem pas
sado por eles.
Quando bem desenvolvida, a auditoria ajuda a evitar a proliferao
das pragas virtuais em diferentes nveis. Ela tem potencial para tornar o
sistema de segurana mais robusto, impedindo, por exemplo, que suas
vulnerabilidades sejam exploradas para provocar o caos nas organizaes.
Entre os especialistas, h quem aponte a terceirizao do processo como
uma ferramenta importante, pois permite que a poltica de segurana seja
criticada por um auditor independente, sem vnculos com a empresa.
Uma auditoria externa pode ser til por diversos motivos. O auditor ter
ceirizado se coloca na mesma posio que um possvel invasor, colhendo
informaes sobre os pontos fracos identificados. Apesar das vantagens,
a terceirizao tambm suscita suspeitas. Muitas organizaes olham
com desconfiana para auditores externos, temendo que eles exponham
indevidamente as suas fragilidades.
Como todas as escolhas em segurana da informao, a implanta
o da auditoria deve estar alinhada s necessidades de cada empresa.
Devese medir, por exemplo, os riscos e os benefcios envolvidos na
terceirizao. Para isso, no existem respostas prontas. As organizaes
devem buscar individualmente as opes que melhor se adequarem ao
seu perfil.
No mundo contemporneo, as empresas que mergulham de cabea
nos modernos recursos da tecnologia da informao, sem observar cui

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-161

P o l t i c a d e s e g u r a n a e a u d i t o r i a 151

dados prvios com a segurana, ficam expostas a inmeras ameaas,


colocando em risco, inclusive, a sua prpria sobrevivncia.

2.2Nveis da auditoria
De forma geral, a auditoria dos sistemas de informao podem se
dividir em alguns ciclos, como mostram os itens abaixo:

2.2.1Armazenamento de dados
Ao longo do percurso de sofisticao tecnolgica, os dados foram
armazenados de diversas formas. A princpio, era comum organizlos em
arquivos individuais, dispersos na mquina. Pouco a pouco, os arquivos
agruparamse, estabelecendo relaes entre si. O aprimoramento desse
processo conduziu construo das primeiras bases de dados, onde eles
se apresentam interligados. Posteriormente, a crescente padronizao
dos dados permitiu o desenvolvimento dos sistemas de gesto de bases
de dados. Por fim, surgiram os sistemas de informao, que oferecem
uma ampla viso da informao de uma organizao, articulando suas
diferentes reas.
Mas o que essas formas de armazenamento tm a ver com a auditoria?
Ora, como o auditor precisa ter uma viso plena sobre a gesto da infor
mao, a sua fiscalizao exige o emprego de estratgias que verifiquem
a segurana dos dados nos diferentes nveis. De fato, a escolha de um
prisma para examinar os sistemas de informao um ponto decisivo
para o sucesso de uma auditoria.

2.2.2Software
Aps organizar a fiscalizao dos dados, o auditor passa para uma
importante etapa do seu trabalho: o monitoramento dos softwares. Alm
de avaliar a resistncia dos programas aos ataques das pragas virtuais, a
auditoria tambm deve cruzar os resultados das anlises dos dados e dos
softwares, verificando se a utilizao feita dos recursos est de acordo
com a poltica de segurana.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-162

152

Segurana da informao

2.2.3Sistemas operacionais
Como podamos supor, o monitoramento do sistema operacional
uma peachave da auditoria bemsucedida. Afinal, ele o conjunto de
programas que tornam possvel o gerenciamento do computador. No
por acaso que tantos vrus procuram infectlo, comprometendo o fun
cionamento normal da mquina.

2.3Arquiteturas dos sistemas de informao


O conhecimento integrado sobre as trocas de arquivos e os processa
mentos de dados vivel quando a auditoria chega a esta etapa. Como
os computadores contemporneos se transformaram em grandes portas
para a entrada e sada de pacotes, o monitoramento da circulao tem
ganho importncia crescente na pauta dos auditores.
Entre outras coisas, a auditoria busca conhecer a origem dos pacotes
que chegam s mquinas, sem deixar de acompanhar o seu processa
mento e armazenamento no computador monitorado. Uma vez de posse
desses resultados, o auditor competente capaz de julgar se o fluxo de
informaes legtimo ou parte de um ataque malicioso.

2.4Controles de acesso lgico


Alm de fiscalizar toda a estrutura dos sistemas de informao, os audi
tores reconhecem a importncia de monitorar os controles de acesso lgico.
Afinal, de pouco serve assegurar o bom funcionamento do sistema quando
ele est vulnervel ao de intrusos. Por isso, as auditorias so encarre
gadas de avaliar os controles, testando sua eficcia e verificando se o seu
funcionamento est de acordo com o previsto na poltica de segurana.

2.5Entendendo a importncia da auditoria


Como voc pde ver, as auditorias so processos complexos, envol
vendo todas as etapas dos sistemas de informao. Graas a sua abran
gncia, as organizaes conseguem detectar e corrigir falhas a tempo,
evitando a utilizao criminosa de suas brechas.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-163

P o l t i c a d e s e g u r a n a e a u d i t o r i a 153

Por isso, negligenciar a prtica de auditorias hoje em dia significa


abrir as portas das empresas para todo tipo de incidente de segurana. Os
riscos so inmeros: violaes de privacidade, incndio, pragas virtuais.
Dotados de diferentes armas, essas ameaas desafiam a segurana da
informao, mostrando que prevenir nunca demais.

Aprofundando o conhecimento
Embora seja o mais frgil de todos os componentes de segurana,
o homem parte indispensvel do processo. Partindo do exemplo
eleitoral, o texto a seguir, de Oliveira (2007, p.15355) mostra que
a ao humana essencial em diversos nveis.

Fator humano
Quando tratamos a questo da segurana, conclumos que o elo
mais frgil do processo o fator humano.
A qualidade da tecnologia e do processo empregado decisiva
quando tratamos de etapas que podem ser sistematizadas, isto ,
que podem ser realizadas sem a interferncia direta do homem.
Porm, a presena do homem inevitvel nos momentos identi
ficados como a fase de criao e de deciso. Essas duas fases esto
presentes em todos os momentos do emprego da tecnologia, pois a
seleo da tecnologia, a forma de emprego, os controles e a avalia
o esto diretamente associados dinmica do avano tecnolgico
e da vontade humana.
Nesse cenrio, o fator humano passa a ter relevncia no quesito
segurana do processo.
No Quadro 8.2 temos uma breve descrio da correlao fator
humano e tecnologia. Notese que o homem est presente em

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-164

154

Segurana da informao

Fator humano
Execuo = Homem + Equipamentos (tecnologia)
Controle dos sistemas
Instalador / Administrado / Suporte
Operador
Controle de aplicativos
Oficializao (ativao)
Armazenamento
Conferncias de equipamentos e mdia

Quadro 8.2 O fator humano na execuo dos processos


todas as etapas descritas, sem a possibilidade de ser excludo do
processo.
Vamos exemplificar esse fato tomando como base a etapa de
controle dos aplicativos. A presena humana est descrita na opera
o de ativao do aplicativo. Essa operao pode ser automatizada,
mas, no momento em que essa deciso passa a ser executada, a
tarefa de automao deve ser planejada e implementada por uma
pessoa, no necessariamente a que tenha a autorizao para ativa
o do aplicativo. A prerrogativa da autorizao precisa ser incor
porada, ou executada, por uma entidade que tenha a competncia
para a realizao da tarefa.
Tornase claro que, por maior que seja o emprego da tecnologia,
as tarefas de criao do processo (arquiteto) e de deciso (autoriza
o, competncia) ainda so do homem.
Uma forma de realizao da associao do homem com a
tecnologia o controle por meio de registros. Estes devem ocorrer
em todas as etapas do processo: planejamento, desenho (con
cepo), implementao, distribuio, execuo e recolhimento
(armazenamento).
No Quadro 8.3 ilustra alguns exemplos de registros, que podem
ser orientativos (manuais, procedimentos), normativos (resolues,

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-165

P o l t i c a d e s e g u r a n a e a u d i t o r i a 155

}{

Registros realizados em um processo eleitoral


Resoluo
Instrues normativas
Manuais de treinamento
Vdeos
Programas lacrados
Atas
Logs
Relatrios

Procedimentos
Aes
Resultados

Quadro 8.3 Os registros de controle na execuo dos


processos
instrues), ilustrativos (vdeos), descritivos (atas, relatrios, aes)
e documentais (logs, resultados).
A melhor forma para complementar o emprego da tecnologia
para atender a uma demanda e ter a sua eficcia comprovada a
adoo dos registros.

Concluso
Este trabalho fez uma breve descrio dos conceitos empregados
pela Justia Eleitoral na elaborao dos projetos de modernizao
do processo eleitoral. Os controles empregados esto associados
arquitetura da soluo adotada, fortemente correlacionada com
os conceitos primrios de segurana da informao: a relao do
homem com a tecnologia.
No h tecnologia, nem haver, que dispense a participao hu
mana nos processos. O avano da tecnologia tambm no pode ser
desprezado, pois no h evoluo sem que o homem tenha tempo
para se dedicar s tarefas que so da sua competncia.
Refletir esse conceito na poltica de segurana foi a diretriz ado
tada pela Justia Eleitoral na elaborao dos projetos e processos
para a modernizao das eleies no Brasil.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-166

156

Segurana da informao

Referncias bibliogrficas
BRASIL. Leis n 9.504, n 10.408 e n 10.740 e
resolues do Tribunal Superior Eleitoral. Dispo
nvel em: <www.tse.gov.br>.
BRASIL. Medida Provisria n 2.2002, de 24
de agosto de 2001, institui a InfraEstrutura de
Chaves Pblicas Brasileira ICPBrasil, e do
cumentos correlatos. Disponvel em: <www. icp
brasil.gov.br>.
CMM (Capability Maturity Model) e CERT Co
ordination Center (segurana na internet). Dispo
nvel em: <www.sei.cmu.edu>.
COBIT (Control Objectives to Information and
Related Technologies). 4.0, IT Governance Insti
tute, Rolling Meadows, IL, USA.
KING, C.; OSMANOGLU, E.; DALTON, C.
Security architecture: design, deployment and
operations. Nova York: Osborne/McGraw Hill,
2001.
NORMA ISO15408 (Information Technology
Security Techniques Evaluation Criteria for IT
Security). Partes 1, 2 e 3, International Standard
Organization, Genebra, Sua, 1999.
NORMA ISO15554 (Software Process Assess
ment/Capability Maturity Model for Software).
Partes 1 a 9, International Standard Organization,
Genebra, Sua.
NORMA NBR ISO/IEC 17799. (Tecnologia da
informao Tcnicas de segurana Cdigo

de prtica para a gesto da segurana da informa


o), ABNT, 2005.
NORMA ANSIX.509 v3 (Certificado Digital).
RFC 2459 (Public Key Infrastructure Certi
ficate and CRL Profile), IETF <http://www.ietf.
org/rfc/rfc2459.txt>.
PRESSMAN, Roger S. Software engineering:
a practitioners approach. NovaYork: McGraw
Hill, 1995.
REPORT of the National Workshop on Internet
Voting. Internet Policy Institute, mar. 2001. Dis
ponvel em: <www.internetpolicy.org>.
RFC 2196 (Site Security Handbook). IETF
<http://www.ietf.org/rfc/rfc2196.txt>.
SCHNEIER, Bruce. Applied cryptography.
Nova York: John Wiley & Sons, 1996.
U.S. Department of State, Directorate of Defense
Trade Controls. Disponvel em: <pmddtc.state.
gov/itar_index.htm>.
VIEGA, John; McGRAW, Gary. Building secure
software: how to avoid security problems the
right. Boston: Addison Wesley, 2001.
VOLUNTARY Standards for Computerized Vo
ting Systems. Federal Election Commission, jul.
2001. Disponvel em: <www.fec.gov>.
VOTING What is what could be. Caltech MIT
Voting Technology Project, jul. 2001. Disponvel
em: <web.mit.edu/voting>.

Como voc pde ver, no h tecnologia prova de corrupo. Uma


vez presente a mo do homem, possvel que dados sejam alterados por
diferentes motivos. Por isso, a poltica de segurana das organizaes
deve atuar no combate s pragas digitais, sem se esquecer dos inimigos
de carne e osso.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-167

P o l t i c a d e s e g u r a n a e a u d i t o r i a 157

Para concluir o estudo da unidade

Uma poltica de segurana eficaz deve ser capaz de evitar diver


sos tipos de ataques. Suas regras devem abranger o combate tanto
s intruses fsicas quanto s tentativas da pirataria virtual. Alm
disso, seu sucesso depende dos recursos humanos e tecnolgicos
envolvidos nos esforos de defesa. Para comear, indispensvel o
comprometimento total da liderana, cujo exemplo deve ser seguido
pelos demais colaboradores. Os equipamentos tecnolgicos tambm
desempenham um papel importante, assegurando a proteo dos
dados em diferentes nveis. Infelizmente, ainda existem polticas
de segurana que sofrem com limitaes financeiras, fruto da falta
de conscincia da gesto em vigor. No por acaso que mesmo os
agressores mais inexperientes tm conseguido castigar severamente
diversas organizaes.

Resumo

A proteo da segurana da informao tem se afastado cada vez


mais das metforas da fortaleza. As inmeras ameaas que cercam
as organizaes j se manifestam sob diversas formas. Elas podem
interceptar, por exemplo, o trnsito dos pacotes, momento em que
os dados abandonam as fortificaes e circulam pela Internet ou
pelas redes privadas. Alm dos piratas virtuais, os prprios funcio
nrios podem colocar em risco o sigilo das informaes. Seja pelo
uso mal intencionado ou por simples ingenuidade, o fato que os
insiders constituem a maior causa de danos financeiros e materiais
das empresas. Ao conscientizar as organizaes sobre a impor
tncia da segurana dos dados, esse quadro alarmante favorece o

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-168

158

Segurana da informao

estabelecimento de uma poltica de segurana. Esse conjunto de


regras inclui medidas que buscam impedir a intruso de agressores
de carne e osso, bem como a proliferao das pragas digitais. Inspi
rada nos sistemas contbeis de controle, as auditorias informticas
surgem como alternativa para monitorar a eficcia das defesas dos
sistemas de informao.

Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. A criao de ambientes cooperativos no nvel digital impossvel.
Afinal, obstculos como a falta de consenso e confiana mtua
tornam impraticvel a elaborao de uma poltica de segurana
conjunta. ( )
2. A terceirizao das auditorias um passo importante para todas as
empresas. O olhar de um auditor externo costuma trazer contribui
es muito importantes, que dificilmente seriam obtidas por meio
da fiscalizao interna. ( )
3. A implementao de uma poltica de segurana para firewall pre
cisa estar atenta s necessidades de cada empresa. Dependendo da
confiana depositada nos funcionrios, as medidas adotadas podem
variar de forma brusca. ( )
4. As auditorias no devem considerar os aspectos estruturais do sis
tema de informao fiscalizado. Como o foco de suas anlises o
acesso aos dados, os auditores devem concentrar seus esforos no
monitoramento dos controles de log. ( )
5. Como os funcionrios no costumam provocar prejuzos s empre
sas, os sistemas de segurana devem se dedicar exclusivamente
deteco de ameaas externas. ( ).

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-169

Unidade 5

Ataque s
informaes
Objetivos de aprendizagem: preparese para conhecer o mundo
dos invasores. Ao ler esta unidade, voc vai entender as diferentes
tcnicas usadas para obter acesso no autorizado informao.
Elas podem tomar diversas formas, abrangendo invases fsicas e
tecnolgicas. Os recursos explorados pelos agressores tambm so
surpreendentes. Eles podem manipular dispositivos de segurana,
funcionrios e at o lixo em busca dos dados que procuram.

Seo 1:

Explorando as falhas tecnolgicas

Se voc acha que mecanismos como firewalls, IDS,


roteadores e antivrus so o bastante para mant-lo
imune s pragas virtuais, temos uma novidade: voc
est enganado. O aperfeioamento das invases lana
novas estratgias constantemente. Para piorar, alguns
agressores utilizam inclusive dispositivos de segurana
para minar a infraestrutura de proteo das empresas.
a velha histria o feitio vira contra o feiticeiro.
Seo 2:

Ataques fsicos

Alguns invasores descobriram que, em alguns casos,


nada melhor do que o acesso direto para garantir
o acesso s informaes. Pelo menos, assim que
pensam os engenheiros sociais, os dumpster divers
e os agressores que invadem a infra-estrutura fsica
das empresas.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-170

160

Segurana da informao

Introduo ao estudo
De um lado, os administradores de segurana. Do outro, os hackers.
Uma eterna briga de gato e rato que no tem data para acabar. A cada
novo dispositivo de proteo dos dados, a cada antivrus lanado, a pira
taria virtual sempre encontra uma brecha a ser explorada, aperfeioando
suas armas.
Alm do curto prazo de vida til dos mecanismos, os CIOs ainda en
caram outro problema grave: o que fazer quando a ameaa segurana
parte de dentro da empresa? O elo humano parece ser o mais frgil de
toda a corrente de proteo. Cientes dessa fragilidade, j existem black
hats que somam aos seus trabalhos tecnolgicos a explorao da fragili
dade dos funcionrios.
Nesta unidade, voc vai aprender mais sobre alguns ataques que
provocam profundas dores de cabea nas empresas. Para surpresa de
muitos, alguns no tm nada a ver com tecnologia. s vezes muito
mais fcil jogar uma pedra na janela da empresa e invadila fisicamente
ou convencer um funcionrio ingnuo que lhe passe sua senha do que
romper os elos tecnolgicos que a protegem.
Sem dvida, gerenciar vulnerabilidades fsicas, humanas e tecnolgi
cas ao mesmo tempo no tarefa fcil. Alis, praticamente impossvel
vedar todas as brechas de segurana. Imagine, por exemplo, uma empresa
dedicada proteo de seus dados. Ela s usa os lanamentos do mercado:
seu carrinho de compras inclui os ltimos antivrus, firewalls e IDS. Alm
disso, ela prontamente instalou ferramentas como PGP, antispam, entre
outras, para garantir a segurana de sua fortaleza. Mesmo dispondo de
um verdadeiro arsenal, ela no deve se esquecer que, atrs das linhas
inimigas, seus adversrios tambm desenvolvem novas armas.
O hacker mais famoso do mundo, Kevin Mitnick, fala que no exis
tem sistemas fortes ao ponto de se tornarem impenetrveis. Durante uma
entrevista, ele deixou claro que garantir segurana muito desafiador.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-171

A t a q u e s i n f o r m a e s 161

Para entrar, basta descobrir uma nica falha. E ela sempre existe (CESAR;
ONAGA, 2007). Realmente, na queda de brao entre administradores
e hackers, os agressores parecem estar numa posio mais confortvel.
Como no sabem qual brecha ser usada pelos black hats, as organizaes
dispersam seus esforos, numa tentativa desesperada de encobrir suas
fragilidades. Ao que tudo indica, ser vilo mais fcil que ser mocinho
no mundo da informtica.
Para piorar, a segurana apropriada da informao demanda inves
timentos contnuos para a adoo e o aprimoramento dos dispositivos
de proteo. Porm, como os recursos financeiros e humanos no so
ilimitados, muitos CEOs no atendem aos pedidos da equipe de TI. Muitos
executivos, por exemplo, no so a favor de investimentos robustos em
segurana. Como no enxergam a relao entre proteo dos dados e
produtividade, eles preferem reagir a prevenir, acreditando que cooperam
para a sade da empresa quando contm custos.
Como voc j viu nas unidades anteriores, empresas que respondem
s ameaas quando elas j se transformaram em ataques comprometem o
andamento de seus negcios. Elas colocam em risco no apenas as suas
informaes confidenciais, mas tambm a confiana de seus investidores
e clientes. No toa que segurana deve ser parte integrante da poltica
da organizao.
Felizmente, algumas empresas j despertaram para a relevncia de
proteger seus dados. Pertencente a um dos setores mais visados pela pi
rataria virtual, o ramo brasileiro do Banco Santander j conta com uma
equipe de 40 pessoas dedicada segurana. Como outras organizaes,
a direo do banco j entendeu que ataques aos seus dados e s suas
transaes financeiras colocam em xeque a sade da empresa como um
todo.
Porm, enquanto a segurana no integra a pauta de todas as organi
zaes, os hackers ainda tero muito trabalho a fazer. Durante a leitura,
voc vai conhecer as principais falhas humanas, fsicas e tecnolgicas
que facilitam os ataques informao.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:39 - January 10, 2014 - PG-172

162

Segurana da informao

Para saber mais


Voc j ouviu falar em uma competio chamada Pwn2Own? Realizada anual
mente desde 2007, ela rene hackers e empresas de tecnologia de todo mundo.
Isso mesmo, esse evento consegue reunir em um mesmo espao esses grandes
inimigos. O motivo da inusitada reunio simples: os fabricantes expem suas
mquinas porque querem testar sua resistncia s invases. Os hackers, por sua
vez, comparecem, pois no perdem a oportunidade de ostentar seus talentos e
ganhar prmios. Toda vez que uma mquina hackeada, ela oferecida como
o prmio ao invasor. Alis, dependendo do grau das suas habilidades, o hacker
pode ser convidado para atuar na rea de segurana das empresas.

Seo 1

Explorando as falhas
tecnolgicas

Muitos internautas acham que esto a salvo das pragas virtuais simples
mente por que contam com um kit bsico de segurana. Ao contrrio do
que pensam, eles esto expostos. Certamente, no to vulnerveis quanto os
usurios mais inadvertidos, mas ainda assim expostos. Voc ver aqui algumas
estratgias desenvolvidas pelos piratas da rede para driblar essas barreiras de
segurana e obter as informaes que buscam de qualquer jeito.

Questes para reflexo


Que ataques virtuais a sua empresa j sofreu? Ela estava
protegida?

1.1 Informaes livres


Para os leigos, os ataques informao podem parecer uma possi
bilidade remota, principalmente quando j esto protegidos por alguns

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-173

A t a q u e s i n f o r m a e s 163

dispositivos de segurana. Um rpido passeio por listas de discusso na


Internet pode ser o bastante para encontrar informaes confidenciais
perigosamente expostas em fruns. Para os hackers, os usurios mais in
gnuos so vtimas fceis, pois divulgam dados importantes facilmente.
At os menos ingnuos podem ser vtimas de ataques a informaes
livres. Alm dos fruns, os hackers tambm fazem consultas, por exemplo,
aos Servidores de Nome de Domnio (DNS), ferramentas que possibili
tam o acesso a um site sem que o usurio conhea seu endereo de IP.
Eles so muito teis, pois poupam o usurio do trabalho de decorar o
endereo de IP de todos os sites. Imagine se, ao invs de digitar simples
mente <www.google.com.br>, voc tivesse que digitar uma sequncia
de nmeros. Agora, imagine como seria trabalhoso decorar os nmeros
de todos os sites que voc frequenta. Complicado, no ? Por um lado
os DNS ajudam o usurio, tornando a navegao na Internet mais rpida
e agradvel. Por outro, os hackers tambm podem utilizar consultas aos
DNS para obter informaes teis para ataques.
Alm dessas ferramentas, os prprios sites de busca, como o Google,
so um instrumento e tanto nas mos inimigas. Os agressores podem
utilizlos para colher dados importantes como nmeros de telefone,
bem como nomes e cargos dos funcionrios. Como voc j viu, essas
informaes podem ser teis, por exemplo, pois auxiliam os criminosos
em suas tentativas de descobrir a senha. Tcnicas como password guessing
fazem bom uso de um farto banco de dados, revelando a senha para o
invasor com maior rapidez.
Algumas empresas desavisadas no protegem a lista de emails dos
funcionrios, divulgandoa desnecessariamente. Quando em posse de
algum malintencionado, os endereos eletrnicos podem ser bombar
deados com o envio incessante de spam, vrus, worms, cavalos de troia,
entre outras ameaas.
Existem ainda falhas a nvel de protocolo. Nakamura e Geus (2007)
alertam que banners de protocolos como Telnet e FTP, exibidos quando
a conexo estabelecida, podem disponibilizar informaes como o

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-174

164

Segurana da informao

sistema operacional utilizado. Ora, muito imprudente da parte de uma


empresa no proteger esses dados, pois sua exposio indevida ajuda o
invasor a planejar seu ataque. indispensvel, portanto, alterar os banners,
evitando a divulgao perigosa das caractersticas do sistema.

1.2Packet sniffing
Quando usada em prol da segurana, a tcnica de farejamento de
pacotes ou packet sniffing muito til, pois ajuda a identificar proble
mas no trnsito de dados, interceptando pacotes suspeitos. No entanto,
quando cai nas mos dos black hats, o packet sniffing transformase em
uma estratgia muito perigosa. Esses criminosos tiram proveito de sua
capacidade de capturar informaes para roubar dados importantes.
Os invasores costumam utilizar diversos tipos de filtro. Entre os mais
comuns, destacamse aqueles que tm por objetivo violar a privacidade
do correio eletrnico e identificar senhas que circulam pela rede sem
criptografia.
Se pensarmos na segurana das redes como um todo, a prtica de
farejamento de dados pode se tornar anda mais perigosa. Afinal, todas as
mquinas conectadas rede com sniffing ficam acessveis, facilitando o
trnsito da ao criminosa. O que poderia parecer uma infeco isolada
contamina toda a rede, comprometendo o sigilo das informaes que
circulam nela. um prato cheio para os crackers, que passam a ter acesso
a diversas senhas, nmeros de carto de crdito entre outros dados de
seu interesse.
A fim de impedir que uma possvel contaminao se espalhe, muitos
administradores utilizam switches. Os comutadores, como tambm so
conhecidos, segmentam a rede internamente, evitando a generalizao
do contgio. Eles podem, por exemplo, fragmentar uma nica rede em
vrias VLANS (Virtual Local Area Networks), dificultando a expanso do
ataque. A segmentao no uma soluo definitiva, at porque ela no
impede que os sniffers consigam capturar dados dentro de um segmento.
A vantagem dos switches que eles no permitem que o sistema seja

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-175

A t a q u e s i n f o r m a e s 165

conquistado em uma nica batalha, criando diversos focos de resis


tncia. A ideia mais ou menos a seguinte: j que no se pode evitar o
ataque, vamos dificultlo.
s vezes, pode ser muito difcil identificar um sniffing. Muitos agres
sores utilizam tticas que tornam a interceptao praticamente invisvel.
Imagine, por exemplo, um cracker que redireciona o trfego dos dados
para si. Ora, para evitar sua fcil deteco, o intruso examina os dados,
mas no os detm ele reenvia os pacotes para o seu receptor legtimo,
garantindo sua chegada ao destino final. Por isso, tanto o emissor quanto
o destinatrio no desconfiam que haja algo errado, uma vez que a co
municao entre eles fluiu normalmente.
Para dificultar sua preveno e deteco, muitos crackers combinam o
packet sniffing com outras tcnicas. Password guessing, engenharia social
e ataques do dicionrio so apenas algumas opes no cardpio pirata.
A encriptao das informaes sigilosas tambm mais uma alterna
tiva recomendvel. Afinal, de nada adianta a interceptao dos dados se
o sniffer no possui a chave para decodificlos.

1.3Port scanning
O port scanning mais um daqueles de casos de tcnicas de segurana
que caram no gosto dos crackers. E no foi por acaso. Os port scanners
so responsveis por encontrar os pontos fracos do sistema operacional
e dos protocolos de comunicao, por exemplo. Eles funcionam como
verdadeiros auditores, identificando vulnerabilidades. Durante o processo,
eles no deixam de lado o monitoramento das falhas de importantes
mecanismos de segurana, como os firewalls e o sistema de deteco
de intruses (IDS). O que torna a ferramenta ainda mais irresistvel para
os crackers, que ela tambm procura possveis falhas no protocolo de
comunicao TCP/IP, mapeando tambm as portas TCP e UDP abertas.
Para entender por que to tentador para um black hat monitorar as
portas de um sistema, importante revisar o prprio conceito de porta.
Como a prpria palavra indica, a porta de uma conexo virtual no

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-176

166

Segurana da informao

muito diferente daquela que temos em casa. Assim como no difcil


imaginar o porqu as empresas protegem o seu hall de entrada, no
complicado entender os motivos para a proteo das portas virtuais. Por
isso, todo cuidado pouco com as portas TCP e UDP, por onde entram
e saem pacotes durante a conexo entre computadores e Internet. Logo,
um sistema de segurana eficaz deve ser capaz de monitorar as conexes
de cada porta, avaliando se h ou no riscos envolvidos.
Enquanto muitas empresas ainda negligenciam o port scanning, os
crackers o utilizam amplamente. Eles encontram na sua realizao uma
importante etapa preliminar do ataque, permitindo a identificao das
portas abertas e outras fragilidades do sistema alvo.

1.4 Scanning de vulnerabilidades


Uma vez completo o port scanning, a prxima etapa o scanning de
vulnerabilidades. nesse momento que so exploradas as fragilidades
individuais dos servios. Ou seja, enquanto o port scanning oferece ao
administrador ou ao cracker uma viso global dos pontos fracos do sis
tema de segurana, o scanning de vulnerabilidades vai dar mais detalhes
sobre cada uma delas.
Para tanto, o scanning sai caa de brechas em setores que vo desde
o sistema operacional at os servios e aplicativos. Tratase de uma grande
arma a servio da segurana das organizaes. Os auditores, por exem
plo, se beneficiam dessa tcnica para aprofundar suas anlises acerca das
falhas do sistema de segurana. Como os scanners produzem relatrios
sobre os resultados, a equipe de TI pode lanar mo dessas informaes
para ajustar suas defesas.
A partir da descrio acima, no fica difcil imaginar como os cra
ckers utilizam o scanning de vulnerabilidades. Ele evita o desperdcio
de tempo e esforos, mostrando com clareza os alvos mais frgeis da
organizao. Quando usado pelos piratas virtuais, o scanning sinaliza
por onde comear o ataque, sinalizando as brechas nos roteadores, pro
tocolos e firewalls.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-177

ataque s informaes

167

Algumas das falhas mais comuns esto listadas abaixo:


configurao de proteo inadequada;
verso desatualizada do software de segurana;
escolha de senhas de fcil identificao;
problemas com o buffer, por exemplo, que facilitam ataques de
negao distribuda de servios (DDoS).

1.5 IP spoofing
Outra tcnica popular entre os crackers chamase IP spoofing. Para
entender seu funcionamento, importante que voc conhea algumas
caractersticas do IP. Muitos sistemas permitem ou vetam o trnsito de
dados com base nesse endereo. Isto , uma vez identificado um endereo
de IP confivel, a comunicao autorizada. Infelizmente, a maioria do
trfego de pacotes chega ao seu receptor sem verificar se o remetente
mesmo quem ele diz ser.
Uma vez identificado um endereo de IP confivel, a comunicao
autorizada sem que ocorra uma tentativa concreta de validao. Nos casos
de ataque rede interna, o falsificador costuma usar um endereo de IP
interno. Por isso, muitos black hats camuflam seu verdadeiro endereo de
IP, escondendose sob um disfarce que os faz parecer inofensivos. Como
golpes assim so comuns, os sistemas de segurana que confiam cega
mente no endereo de IP tornamse presas fceis de ataques desse tipo.
Como voc pode ver, o IP spoofing oferece muitas vantagens. Alm de
facilitar a ao criminosa, ele tambm protege a identidade do agressor.
A tcnica muito usada em diversos ataques, especialmente naqueles
envolvendo negao de servio. Como ele opera em nvel de conexo,
o IP spoofing funciona em todos os sistemas operacionais, interceptando
pacotes no Windows, Linux, entre outros.
Ora, se essa agresso to eficiente, como possvel proteger a
rede? Uma das melhores sadas a aplicao de filtros configurados
para bloquear tentativas de conexo externa com endereos de IP da
rede local.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-178

168

Segurana da informao

Criado em 2001, o malware Klez foi um dos primeiros a lanar mo


do spoofing. Dependendo da verso utilizada, outros programas prejudi
ciais eram usados para atacar a mquina. Alm disso, o Klez era bastante
flexvel, podendo assumir a forma de vrus, cavalo de troia ou worm.
Essa praga era to elstica que conseguia se disfarar at de dispositivo
antivrus. O Klez marcou a histria da evoluo dos malwares e a sua
infestao causou prejuzo mundo afora por muitos meses.

1.6 Firewalking
Como j era de se imaginar, o firewalking uma estratgia que busca
driblar o dispositivo de proteo com nome parecido, o firewall. Para
entendlo melhor, convm saber um pouco mais sobre sua principal
fonte de inspirao, a ferramenta traceroute. Utilizada para solucionar
problemas na rede, ela permite a identificao do caminho que um pacote
percorre at chegar ao seu destino. Enquanto a Internet ainda era novi
dade, o seu uso era seguro, ajudando os profissionais de TI a identificar
falhas. Depois, como outros mecanismos de segurana, o traceroute foi
mais um feitio que se virou contra o feiticeiro. Hoje ele popular entre
os black hats, que buscam saber mais sobre o funcionamento da rede
antes da invaso.
As funes dos firewalkings se assemelham espionagem dos tracerou
ters. Eles so bastante utilizados para colher informaes sobre sistemas
protegidos por firewall. Eles tornaramse famosos por testlos, podendo
oferecer tambm o mapeamento dos roteadores da rede. As informaes
obtidas pela tcnica de firewalking so muito relevantes para os agres
sores. Afinal, elas revelam, entre outras coisas, os critrios de filtragem
usados pelo firewall, revelando assim as brechas de segurana. Com isso,
o firewalking capaz de indicar quais so as portas abertas, indicando
um possvel ponto de partida do ataque.
Para combater o firewalking, comum instalar servidores proxy, ins
trumentos de segurana que voc estudou na Unidade 2.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-179

ataque s informaes

Seo 2

169

Ataques fsicos

Questes para reflexo


Que casos voc conhece de ataques fsicos a empresas?
Que razes levariam algum a cometer um ataque deste
tipo contra a empresa em que voc trabalha?
As invases virtuais no so as nicas ameaas envolvendo as orga
nizaes. Cientes das fortificaes construdas em volta das informaes,
alguns invasores decidem tomar um caminho mais curto. Voc vai co
nhecer aqui estratgias que incluem o uso dos recursos humanos e fsicos
para violar o sigilo dos dados.

2.1 Dumpster diving ou trashing


Sem dvida, esta uma das formas mais inusitadas de ter acesso a
informao. Afinal, quem suspeitaria que algo valioso pudesse ser tirado
do lixo? Embora a maioria dos catadores seja pobre e esteja em busca de
alimentos e outros utenslios para sua sobrevivncia, h tambm aqueles
que tiram proveito dessa prtica para outros fins. Em geral, os catadores
malintencionados so aqueles que se debruam sobre o lixo caa de
informaes sobre a empresa alvo. Senhas e outros dados confidenciais
ficam na mira desses dumpster divers. Os leigos podem achar difcil de
acreditar, mas essa prtica j comum no Brasil, onde bancos j tiveram
problemas causados pela explorao malintencionada do seu lixo. O
mais curioso que a estratgia no viola a lei, pois os dados dos quais o
agressor se apropria tinham sido descartados.
Para evitar a quebra da confidencialidade da informao, importante
que as empresas, principalmente instituies financeiras, tratem o lixo
com mais cuidado. Picotar ou at incinerar os papis com dados secretos
a melhor sada para evitar a sua divulgao indevida por terceiros.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-180

170

Segurana da informao

2.2Engenharia social
Por causa do aperfeioamento das fortalezas digitais, muitos
hackers passaram a explorar outras fraquezas das organizaes: o elo
humano. Pode at soar inacreditvel, mas alguns invasores encontra
ram na engenharia social uma ferramenta fundamental para a obteno
de informaes sigilosas. Essa tcnica composta por uma srie de
estratgias de persuaso que visam convencer um funcionrio, por
exemplo, que ele deve revelar dados confidenciais, como senhas e
dados bancrios.
Afinal, por que perder tempo com tcnicas complexas de permuta
o e fora bruta quando tudo o que voc quer pode ser obtido durante
um simples batepapo? Seja atravs de uma conversa telefnica, trocas
de mensagens instantneas ou at pessoalmente, o engenheiro social
consegue ser convincente, extraindo da vtima as informaes que
deseja. Veja como Nakamura e Geus (2007, p.85) definem essa arte
de persuadir:
Ela (a engenharia social) capaz de convencer a
pessoa que est do outro lado da porta a abrila,
independente do tamanho do cadeado. O enge
nheiro social manipula as pessoas para que elas
entreguem as chaves ou abram o cadeado, explo
rando caractersticas humanas como reciprocidade,
consistncia, busca por aprovao social, simpatia,
autoridade e medo.

Como voc pode ver, o engenheiro social quase um ator: ele


engana sua vtima com tanta habilidade, que ela sequer desconfia
que se trata de um golpe. Para isso, o invasor deve contar uma histria
convincente:
Um ataque de engenharia social clssico consiste
em se fazer passar por um alto funcionrio que tem
problemas urgentes de acesso ao sistema. O hacker,
assim, como um ator, que, no papel que est repre
sentando, ataca o elo mais fraco da segurana de uma
organizao, que o ser humano (NAKAMURA; GEUS,
2007, p.85).

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-181

A t a q u e s i n f o r m a e s 171

Alm disso, o espio pode utilizar


vrios recursos, que podem incluir visi
tas empresa. Infiltrado sob um disfarce,
claro, ele aproveita cada minuto para
observar o teor dos papis espalhados
sobre as mesas, ou at dos documentos
exibidos na tela dos computadores. At
os detalhes mais simples podem ser
importantes.
Kevin Mitnick, o hacker mais famoso
do mundo, foi um dos engenheiros so
ciais mais bemsucedidos. Aps provo
car prejuzos milionrios, ele foi pego
pelo FBI e cumpriu 5 anos de priso.
Hoje em dia, ele ganha a vida como
consultor de segurana, proferindo pa
lestras sobre o tema.

Saiba mais
Mitnick: ameaa a engenharia
social
Kevin Mitnick, o mais famoso
hacker do mundo, deu o alerta
de que no adianta nada as
empresas se preocuparem com
seus sistemas de segurana e
deixarem de lado o principal pe
rigo: a engenharia social.
Leia a entrevista completa
acessando o seguinte ende
reo: <http://forumhacker.
com.br/forum/archive/index.
php/t12679.html>.

2.3Invases na infraestrutura fsica


Como j deu para notar, de pouco adianta proteger a informao por
meio de firewalls, IDS, entre outros dispositivos, se o ladro pode simples
mente quebrar uma janela e ter acesso s informaes sigilosas. Afinal,
nem todos os ataques so sofisticados. Grande parte dos danos materiais
e financeiros so causados por roubos de equipamentos.
Alm de poder furtar objetos de valor, o agressor de carne e osso
consegue acesso direto ao sistema, aumentando o potencial de sua in
vaso. Dispensando as complexas tcnicas de acesso remoto, ele obtm
as informaes que precisa se infiltrando no correio eletrnico. Ele pode,
inclusive, afetar a integridade dos dados, modificandoos vontade.
Em suma, no h nada pior para a empresa do que um ataque fsico
bemsucedido. Uma vez dentro da organizao, o agressor tem ao irrestrita,
podendo driblar com muito mais facilidade as barreiras de segurana.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-182

172

Segurana da informao

Por isso, as empresas devem implantar um modelo de acesso fsico


rgido. Quanto mais severa for a sua poltica de segurana, maior as
chances de manter as ameaas do lado de fora. As salas onde so arma
zenadas as informaes mais importantes devem intensamente vigiadas,
restringindo ao mximo o nmero de acessos autorizados.
Os prprios funcionrios so parte indispensvel do sucesso da
segurana. Medidas simples como fazer log off quando se afastar de
sua mesa podem fazer toda a diferena. Afinal, quando o atacante
consegue acesso credenciado rede, os prejuzos so totalmente im
previsveis. possvel ainda combinar agresses fsicas e tecnolgicas.
Dependendo do invasor, programas maliciosos como packet sniffers
e keyloggers podem ser instalados sem que o usurio legtimo sequer
tome conhecimento.

Questes para reflexo


Sua empresa est mais vulnervel a ataques fsicos ou
virtuais? Por qu?

Links
Se voc quer saber mais sobre as normas brasileiras para gesto da segurana
da informao, no deixe de acessar o link abaixo. L voc encontrar diretrizes
importantes, que podem orientlo na implantao e monitoramento do sistema
de proteo aos dados.
<http://cavalcante.us/normas/ABNT/ABNTNBRISO_IEC27001.pdf>.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-183

A t a q u e s i n f o r m a e s 173

Aprofundando o conhecimento
A segurana da informao um processo complexo, e exige
constante monitoramento. De todas as suas fragilidades, possvel
que o elo humano seja justamente o mais fraco. Por isso, primor
dial que as organizaes invistam em treinamento, compartilhando
a tarefa de proteger a informao entre todos os colaboradores. Ao
ler o texto a seguir, de Oliveira (2007, p.166168), voc encontrar
diversas dicas importantes para superar essa vulnerabilidade.

Segurana da informao uma cultura


Desenvolver uma viso de portflio de projetos est intrinse
camente relacionado ao aculturamento dos colaboradores que
prestaro suporte a essa viso. O mesmo vale para a segurana da
informao. Quando falamos da necessidade de uma viso holstica
para tratar, de forma adequada, das questes de segurana da infor
mao, estamos nos referindo a trs aspectos principais: processos,
tecnologia e pessoas.
Quando os esforos so direcionados para tratar das pessoas e
da influncia destas sobre o nvel e/ou maturidade de segurana da
informao de uma organizao, o desafio grande. Partindo do
princpio de que no adianta ter a melhor tecnologia e os processos
desenhados da melhor forma se as pessoas (usurios, funcionrios
etc.) que usam a tecnologia e suportam os processos no esto
comprometidas com os objetos estratgicos e de segurana da infor
mao, concluise que a questo cultural de suma importncia.
A conscientizao dos usurios pode ser desenvolvida de vrias
formas, mas deve ter como pano de fundo e como suporte legal
a Poltica de Segurana da Informao, que deve ser corporativa e

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-184

174

Segurana da informao

aprovada pelo principal executivo da empresa, depois de ser desen


volvida por um grupo multidisciplinar, ou seja, no somente pela
rea de segurana da informao, mas com a participao das reas
de negcio, RH, jurdica e de TI durante a construo da poltica
de segurana. Depois dessa etapa, esse grupo deve constituir um
comit que ir zelar pelo cumprimento, divulgao, atualizao e
conscientizao da poltica de segurana da informao.

Segurana da informao na vida pessoal


Os leigos, quando ouvem falar de segurana da informao,
de imediato pensam em hackers, crackers, script kids e afins que
habitam o territrio virtual. Neste momento, so lembradas obras
de fico como A senha (Sword Fish) e Fortaleza digital.
Os profissionais de segurana da informao, neste caso, tm o
dever tico de buscar disseminar a cultura de segurana da infor
mao que cada um de ns deveria ter em sua vida pessoal. Neste
momento, ficam de lado as questes de custo, de aumento de re
ceita ou as regulatrias e legais, comuns no mundo corporativo, e
devem ser consideradas questes como o uso do Internet banking e
suas senhas e cdigos de acesso, o uso de email diante da invaso
de spams, a engenharia social, o controle de contedo e do uso da
Internet por crianas, bem como a troca de informaes em chats
e sites de comunidades. Diante do aculturamento ainda incipiente
por parte dos leigos em segurana da informao, relacionamos
algumas dicas importantes para o pblico crescente de usurios de
servios eletrnicos e Internet banking:
mantenha sigilo absoluto sobre sua senha bancria e nunca
empreste seu carto magntico;
utilize senhas de difcil visualizao e adivinhao e nunca use
como senha suas informaes pessoais;

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-185

ataque s informaes

175

nunca guarde o carto magntico e a senha no mesmo lugar.


Preferencialmente, memorize a senha, no a escreva;
no aceite ajuda nos caixas eletrnicos de pessoas que no
sejam funcionrios do banco. Os praticantes de engenharia
social preferem idosos e pessoas com dificuldade em usar a
tecnologia;
fique atento aproximao de pessoas do terminal que estiver
usando e, em caso de dvida, no faa a operao;
os bancos no mandam email solicitando informaes pes
soais e de sua conta bancria;
certifiquese de que est acessando realmente o site do banco
antes de qualquer operao. Observe o cadeado no rodap da
tela do seu computador.
Essas so algumas prticas saudveis que qualquer pessoa deve
adotar caso queira mitigar o risco de sofrer um incidente de segu
rana da informao em sua vida pessoal e, assim, evitar os trans
tornos causados por ele.

Concluso
As ameaas e vulnerabilidades da tecnologia, dos cdigos dos
sistemas, dos sistemas operacionais, dos processos e das pessoas
constituem a grande oportunidade para o desenvolvimento e a
evoluo da prtica da segurana da informao.
medida que o ambiente corporativo e de negcios fica de
pendente da tecnologia e dos processos automatizados, ganham
importncia a prtica adequada da segurana da informao e a
aderncia desta estratgia de negcio.
Esses e outros aspectos vm exigindo dos executivos de segurana
da informao mais do que o conhecimento tcnico, e, por isso, esses
profissionais vm investindo em suas carreiras e tornandose cada
vez mais versteis e completos.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-186

176

Segurana da informao

A busca pela segurana da informao deve ser um ato contnuo


no contexto empresarial, suportando as iniciativas de governana
corporativa e de TI e buscando a conscientizao dos usurios das
informaes, os quais devem entender que, mais que um ato, a
segurana da informao precisa tornarse um hbito. Todos somos
responsveis por ela.

Fortalecer a segurana de uma empresa envolve muito mais do que a


simples aquisio de bons equipamentos. Afinal, basta que um funcionrio
viole uma norma para que todo o sistema esteja comprometido. Por isso,
o treinamento uma pea chave para a segurana eficaz da informao.
preciso sempre reforar tambm que, no apenas o departamento de
TI, mas todos so corresponsveis pela proteo dos dados.

Para concluir o estudo da unidade

Os ataques contemporneos informao vm tomando novas


formas. Mesmo as organizaes que j adotaram medidas de de
fesa devem ficar atentas: existem brechas em qualquer aparato de
segurana. Como o exhacker Mitnick alerta, uma nica falha j
o bastante para colocar em xeque o sistema por inteiro. preciso
ficar em vigilncia contnua, monitorando cuidadosamente cada
entrada, seja ela virtual ou fsica. Prevenir nunca demais.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-187

A t a q u e s i n f o r m a e s 177

Resumo

O ataque s informaes uma prtica muito rentvel. No


por acaso que os agressores vm empenhando esforos crescentes
para aprimorar suas armas. Mais do que isso, eles tambm buscam
diversificlas, tornando a natureza do ataque praticamente impre
visvel. Por isso, o combate s invases uma batalha que se d
em vrias frentes. A proteo eficiente precisa cuidar dos dados
em diferentes nveis, abrangendo a infraestrutura digital e fsica das
organizaes.

Atividades de aprendizagem
Classifique cada assertiva abaixo como C (certa) ou E (errada). No se
esquea de corrigir as assertivas que apresentam erro.
1. Os switches ou comutadores so ferramentas muito teis no combate
ao packet sniffing. medida que fragmentam a rede, eles impedem
que invasores consigam acesso s informaes sigilosas. ( )
2. Cuidados mnimos como fazer logoff ao se afastar da estao de
trabalho podem evitar o acesso no credenciado a informaes
sigilosas. ( )
3. A estratgia de traceroute identifica o caminho que um pacote per
corre at atingir seu destino final. Por isso, uma ferramenta que
deve fazer parte de todo sistema de segurana. ( )
4. Os dumpster divers so todos aqueles que no procuram no lixo
meios para sua sobrevivncia, mas sim informaes valiosas. ( )
5. Casos como o traceroute e o port scanning mostram que dispo
sitivos de segurana podem ser usados contra os interesses da
empresa. ( )

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-188

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-189

Sugestes de leitura

CARPANEZ, Juliana. Acusao de racismo no Orkut


esconde vrus. 24 jul. 2007. Disponvel em: <http://
g1.globo.com/Noticias/Tecnologia/0,,MUL76314617
4,00ACUSACAO+DE+RACISMO+NO+ORKUT+
ESCONDE+VIRUS.html>. Acesso em: 24 abr. 2010.
MENDONA, Alba Valria. Cartilha d dicas
sobre melhor forma de usar a Internet. 18 mar.
2008. Disponvel em: <http://g1.globo.com/Noti
cias/Rio/0,,MUL3553515606,00 CARTILHA+DA
+DICAS+SOBRE+MELHOR+FORMA+DE+USA
R+A+INTERNET.html>. Acesso em: 23 abr. 2010.
MESQUITA, Renata. Mitnick: ameaa a engenharia
social. 5 dez. 2002. Disponvel em: <http://info.abril.
com.br/aberto/infonews/092002/0509200218.shl>.
Acesso em: 4 maio 2010.

PAVANI, Luana. Segurana com ROI. 15 jul. 2008.


Disponvel em: <http://info.abril.com.br/professio
nal/seguranca/segurancacomroi.shtml>. Acesso em:
4 maio 2010.
PIRATA virtual pe 1,5 mi de contas do Facebook
venda em frum. Folha online, 23 abr. 2010. Fo
lha Informtica. Disponvel em: <http://www1.fo
lha.uol.com.br/folha/informatica/ult124u725047.
shtml>. Acesso em: 23 abr. 2010.
ROHR, Altieres. Atualizao de antivrus mata
arquivo do Windows e danifica sistema. 23 abr.
2010. Disponvel em: <http://g1.globo.com/tecnolo
giaegames/noticia/2010/04/atualizacaodeantivi
rusmataarquivodowindowsedanificasistema.
html>. Acesso em: 23 abr. 2010.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-190

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-191

Referncias

CAPURRO, Rafael; HJORLAND, Birger. O concei


to de informao. Perspectivas em Cincia da Informao, Belo Horizonte, v. 12, n. 1, p.148207,
jan./abr. 2007.
CESAR, Ricardo; ONAGA, Marcelo. Cercadas por hackers. 17 jul. 2007. Disponvel em:
<http://info.abril.com.br/aberto/infonews/072007/
1707200717.shl>. Acesso em: 4 maio 2010.
FERRAZ, Ivan Roberto; PADULA, Rober
to Sanches. Segurana da informao no setor
cultural: estudo de caso do Instituto Ita Cul
tural. In: SEMINRIOS EM ADMINISTRA
O FEAUSP, 8., 2005, So Paulo. Anais...
So Paulo: USP, 2005. Disponvel em: <http://
www.ead.fea.usp.br/semead/8semead/resultado/
trabalhosPDF/202.pdf>. Acesso em: 8 abr. 2010.
FERREIRA, Aurlio Buarque de Hollanda. Novo
Aurlio sculo XXI: o dicionrio da lngua portu
guesa. Rio de Janeiro: Nova Fronteira, 2001.
KUROSE, James; ROSS, Keith. Redes de computadores e a internet: uma abordagem topdown.
So Paulo: Pearson, 2009.
NAKAMURA, Emilio Tissato; GEUS, Paulo Lcio
de. Segurana de redes em ambientes cooperativos. So Paulo: Novatec, 2007.

NOBREGA, Joo. Botnets so o canivete suo


das ferramentas de ataque. Computer World, 12 abr.
2010. Disponvel em: <http://www.computerworld.
com.pt/2010/04/12/botnetssaoo%E2%80%9Cca
nivetesuico%E2%80%9Ddasferramentasdeata
que/>. Acesso em: 3 maio 2010.
OLIVEIRA, Ftima (Org.). Tecnologia da informao e da comunicao. 2. ed. So Paulo: Pear
son; Fundao Getulio Vargas, 2007.
PINHEIRO, Jos Maurcio. Ameaas e ataques
aos sistemas de informao: prevenir e antecipar.
Cadernos UniFOA, Volta Redonda, n. 5, p. 1121,
dez. 2007. Disponvel em: <http://www.unifoa.edu.
br/cadernos/edicao/05/11.pdf>. Acesso em: 23 abr.
2010.
STALLINGS, William. Criptografia e segurana
de redes: princpios e prticas. 4. ed. So Paulo: Pe
arson, 2008.
VICTOR, Drio. Crimes virtuais geram mais
dinheiro do que o narcotrfico. 20 maio 2008.
Disponvel em: <http://g1.globo.com/Noticias/
Rio/0,,MUL4878565606,00.html>. Acesso em: 7
abr. 2010.
WITTGENSTEIN, Ludwig. Philosophical investigations. Oxford: Blackwell, 1958.

88797-978-85-7605-832-8_MIOLO.pdf, page 184 @ Preflight Server ( Seguranca da informacao-P.indd ) - 02:17:40 - January 10, 2014 - PG-192