Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Castanhal,
2015
SS
Anderson E. M. Gonalves
Veronice Freitas
Adriane Loper
Merris Mozer
Castanhal,
2015
SUMRIO
1
INTRODUO......................................................................................................3
INFORMAO..........................................................................................................18
4.1 Engenharia Social...........................................................................................19
4.2 Vulnerabilidades..............................................................................................22
4.3 Ameaas, Ataques e vulnerabilidades............................................................24
4.4 Medidas e Poltica de Segurana...................................................................27
4.5 Auditoria em Sistema de Informao..............................................................29
5
CONCLUSO....................................................................................................30
REFERNCIAS BIBLIOGRFICAS..................................................................33
3
1 INTRODUO
O uso de dispositivos mveis, como celulares, PDAs, Handhelds tem se
tornado cada vez maior entre pessoas e empresas que necessitam de grande
flexibilidade no acesso e troca de informaes. Junto com a popularidade desses
dispositivos surge a necessidade de implementar aplicaes cada vez mais
sofisticadas e que consigam atender de maneira satisfatria os desejos de seus
usurios (Bugrio, 2003).
Para Dias (2003, p.19) Os dispositivos mveis, em particular os
smartphones e os tablets, so os protagonistas da atual onda de mudana no
mundo das TICs (Tecnologias da Informao e da Comunicao) de uso pessoal e
profissional. Esta mudana caracterizada pelo uso de dispositivos com grande
poder de processamento e conectividade em ambientes pblicos e privados.
Para Romeiro (2005, p. 9) O desenvolvimento de aplicativos para
dispositivos mveis vem tornando-se cada vez mais frequente nas empresas
especializadas em produo de software. Contudo, esses sistemas no devem
funcionar de maneira isolada e sem a adoo das melhores prticas de segurana
de informao.
O objetivo desse trabalho tem por base a construo de um portflio
individual dissertativo, que abordem, em carter exploratrio e descritivo, as
principais caractersticas, aspectos e propriedades da temtica sobre os dispositivos
mveis e de Gesto e Segurana de Sistemas Informatizados.
Trata-se de um
1.2
OBJETIVOS
5
2 CARACTERISTICAS DOS DISPOSITIVOS
MVEIS
2.1
O QUE
S
O?
6
2.2
VANTA
GE
NS
DO
S
DIS
PO
SIT
IVO
S
M
VEI
S
8
1 TCNICAS
E RECURSOS NA CONSTRUO
DE APLICATIVOS PARA
DISPOSITIVOS MVEIS
2.3
Persis
tn
cia
em
apl
ica
tiv
os
pa
ra
dis
po
siti
vo
s
m
vei
s
10
dados para uma posterior recuperao uma constante na maioria dos ambientes
computacionais, seja para persistncia simples de parmetros de configuraes de
algum sistema ou persistncia de informaes digitadas pelo usurio para alimentar
algum banco de dados.
No que diz respeito persistncia em ambientes computacionais, o
complicador quando esse mesmo ambiente tem recursos de armazenamento
restrito e, ainda, uma arquitetura de hardware e software bem diferente da
encontrada em desktops ou grandes servidores, como o caso dos dispositivos
mveis. Essas diferenas podem ser observadas tanto do ponto de vista do usurio
(ergonomia de hardware e software), quanto do ponto de vista do desenvolvedor
(ferramentas de software, APIs e recursos). Os telefones celulares conseguiram
alcanar uma popularidade quase to grande quanto a observada na utilizao de
computadores pessoais a partir da dcada de 80. Mas, assim como todos os
dispositivos mveis, eles tambm trazem consigo algumas dificuldades, como,
problemas relacionados ergonomia do teclado, uma interface visual simples,
porm limitada e a dependncia de baterias que requerem recarga constante.
2.4
Threa
ds
com entidade prpria, com prprio contexto de escalonamento, mas que compartilha
a estrutura de dados com seu pai. Dessa forma, os threads permitem, por exemplo,
trabalhar de diferentes formas com um banco de dados. Permite que o usurio
continue a utilizar o sistema enquanto uma tarela em segundo plano se
responsabilize por efetuar grandes inseres ou atualizaes na base de dados.
Possibilitam
explorar
paralelismo
oferecido
por
maquinas
com
11
em mltiplos processadores e resultam de modo geral, na otimizao do tempo de
processamento consumido por uma aplicao que utiliza esta tecnologia.
Atravs da coleta de tempo, podendo ser realizada por meio dos testes de
execuo de modelos com e sem a implementao de threads, observa-se uma
reduo com cerca de 50% no tempo necessrio para a incluso de registros na
base de dados com a utilizao de dois threads quando comparada com o modelo
sem utilidade das mesmas, dessa forma, imaginando-se uma base de dados com
milhares de registros, fica mais evidente os benefcios da aplicao desta tcnica.
As threads foram desenvolvidas quando ficou claro que o tempo de
processamento poderia ser melhor utilizado. Em outras palavras, quando se
desejava que um sistema executasse vrias aes, de forma simultnea. Um bom
exemplo desse tipo de ao a verificao de grafia enquanto est se digitando um
texto. (Delphi threads, 2015).
O processo de entrada no parado esperando pelo processo de correo.
Os dois so executados simultaneamente. Hoje muito comum mquinas com mais
de um ncleo de processamento, principalmente em dispositivos mobile; porm, sem
dvida alguma, o nmero desses processadores fsicos menor que o nmero de
threads que podem rodar em paralelo.
O uso de threads pode trazer inmeros benefcios. Os mais importantes so
os relacionados ao tempo ganho na realizao de tarefas que antes eram realizadas
sequencialmente e que podem ser executadas ao mesmo tempo. Isso garante que
sistemas crticos possam ser programados sem maiores problemas, porque o
paralelismo diminui drasticamente o tempo de processamento.
12
2.5
SINCR
ON
IS
MO
DE
PR
OC
ES
SO
distncia
atravs
de
vrios
meios,
como
infravermelho,
satlite,
13
matrcula . A operao que o programa usa da regio crtica: matrcula finalizada -1.
Se os dois usurios fazem a operao ao mesmo tempo, quando a matricula
for finalizada subtrai-se 1 vaga:
Matrcula finalizada -1 (5-1)=4
Matrcula finalizada -1 (5-1)=4
Quando um terceiro usurio for fazer esta mesma matrcula,o nmero de
vagas ser expresso como 4, sendo que na verdade deveria ser 3. Isto causar
instabilidade e poder comprometer todo o sistema. A soluo para este tipo de caso
a certeza de excluso mtua, isto , apenas um processo pode acessar a regio
crtica por vez; Os mecanismos que implementam a excluso mtua utilizam um
protocolo de acesso regio crtica. Toda vez que um processo for executar sua
regio crtica, ele obrigado a passar por um controle de entrada e outro de sada.
2.5.1 Excluso Mtua Com Espera Ativa
Apenas um processo acessa a regio crtica de cada vez. Espera
ativa faz testes continuos em uma varivel, at que ela seja alterada, causando
assim um grande disperdicio de CPU. Abaixo temos solues para problemas como
o mostrado acima.
2.5.2 Desativando as Interrupes
A forma mais simples de garantir a excluso mtua fazer com que
o processo desabilite as interrupes ao entrar na regio crtica, e antes de sair as
habilite novamente. Com isso a CPU no far um chaveamento no momento em que
o processo estiver na regio crtica, pois o chaveamento vem de uma interrupo
atravs de um relgio.
2.5.3 Variveis de Bloqueio
Quando uma vriavel "lock" estiver como 0, significa que a regio
crtica esta livre, e 1 esta ocupada. Assim, antes de entrar cada processo testa o
valor da varivel "lock", se for 0, coloca como 1 e entra na regio crtica, aps sair
coloca o valor 0, se o valor j for 1, aguarda at ser 0.
14
2.5.4 Alternncia Estrita
Neste metodo, criada uma varivel "turn", com valor inicial 0, a
imagem abaixo mostra dois processos 'a' e 'b' utilizando este metodo.
Fonte: http://pt.wikipedia.org/wiki/Sincronia_de_processos
15
3.4
16
Visualizao de Contedo: os contedos mais importantes devem ficar no
alto da pgina sem que o usurio precise fazer muitas rolagens de tela ou
passar por diversos links para chegar ao que procura. A barra de navegao,
por servir de referncia para a navegao, deve tambm ficar localizada no
alto;
Endereo do Site: as URLs (Universal Resource Locator) devem ser curtas e
fceis de digitar e a entrada de dados pelos usurios em formulrios
reduzidos ao mnimo necessrio, devido s limitaes dos teclados. De modo
geral, devem-se evitar entradas de dados que exijam digitao excessiva,
pois o teclado nos telefones ou as canetas em assistentes pessoais no
facilitam a escrita de textos longos;
Ttulos: os ttulos dos textos devem explicar o contedo com o mnimo de
palavras, e os textos devem ficar 50% menores do que os publicados em
papel ou na Web;
Barra de rolagem: deve-se limitar o uso da barra de rolagem em uma direo
nica, no caso dos PDAs indica-se a utilizao da rolagem vertical, pois
facilita a leitura do contedo do site. Deve-se evitar a barra horizontal devido
dificuldade de visualizao do contedo. Sugere-se criar novas pginas ao
se utilizar barra horizontal;
Cores: deve-se evitar o uso de muitas cores na mesma pgina. As telas so
pequenas e a mistura de diversas cores pode confundir o usurio;
Imagens: recomenda-se utilizar imagens pequenas, simples e sem texto.
Com o processo de reduo do tamanho, os textos podem ficar totalmente
ilegveis;
Navegao: para facilitar a navegao deve-se manter um link para o menu
principal em todas as pginas, pois caso contrrio, o usurio deve digitar
sempre o endereo do site a cada navegao, causando um trabalho
excessivo;
Tabelas: recomenda-se no utilizar tabelas maiores que o tamanho da tela
ou muito longas;
Textos: em telas pequenas, a utilizao de textos mais indicada do que
grficos em cabealhos, pois so mais fceis de adaptarem e serem
17
visualizados. Os ttulos das pginas devem ser curtos. indicado o uso de no
mximo trs tipos de letras para no poluir o layout da interface;
Usabilidade: nos dispositivos mveis, as informaes essenciais devem ser
mostradas na primeira tela, pois quanto mais rpido o usurio encontrar o que
deseja mais usabilidade ter a interface.
3.5
Banco de dados
A utilizao de banco de dados em ambientes de computao mvel torna-
se
Particularmente interessante pela possibilidade da manipulao de dados tanto sob
a forma conectada a um sistema externo, quanto sob a forma desconectada, ou
seja, local.
A mobilidade criada pelos dispositivos mveis trouxe um novo impulso na
utilizao do banco de dados. A insero de novas informaes nos dispositivos,
independentemente do local onde ele se encontre, sem a necessidade do
estabelecimento de uma conexo com a rede estacionria, abre caminho para a
criao de novas situaes e com isso novos softwares.
Bicalho (2004), destaca as seguintes arquiteturas para banco de dados
destinados a dispositivos mveis:
18
3.5.2
cliente includo no servidor. O cliente pode realizar requisies e caso fica fora
antes de receber a resposta, o agente se encarrega de armazenar o resultado da
requisio e entrega-lo ao cliente quando o mesmo retornar a rede.
Este modelo mais apropriado para clientes mveis com limitado poder
computacional. Assim, diversas funes do cliente mvel, migram para o agente.
Essa arquitetura no oferece suporte para o trabalho desconectado.
Os agentes podem:
- Processar os dados da consulta e enviar somente o resultado para o cliente;
- Compactar os dados antes de enviar
- Processar as buscas e enfileirar as respostas quando o cliente estiver
desconectado;
- Alterar a ordem da transmisso de dados para os clientes, de acordo com a
prioridade.
19
20
21
3 GESTO E SEGURANA NO SISTEMA DE INFORMAO
As redes de computadores, e consequentemente a Internet, mudaram as
formas como se usam sistemas de informao. As possibilidades e oportunidades de
utilizao so muito mais amplas que em sistemas fechados, assim como os riscos
privacidade e integridade da informao. Portanto, muito importante que
mecanismos de segurana de sistemas de informao sejam projetados de maneira
a prevenir acessos no autorizados aos recursos e dados destes sistemas
(Laureano, 2004).
A segurana da informao a proteo dos sistemas de informao contra
a negao de servio a usurios autorizados, assim como contra a intruso, e a
modificao
no-autorizada
de
dados
ou
informaes,
armazenados,
em
22
A confidencialidade dependente da integridade, pois se a integridade de
um sistema for perdida, os mecanismos que controlam a confidencialidade no so
mais confiveis.
A integridade dependente da confidencialidade, pois se alguma informao
confidencial for perdida (senha de administrador do sistema, por exemplo) os
mecanismos de integridade podem ser desativados.
Auditoria
disponibilidade
so
dependentes
da
integridade
23
atualizados com diversas questes pertinentes a tecnologia da informao, alm de
no estarem conscientes do valor da informao que eles possuem e, portanto, no
terem preocupao em proteger essa informao conscientemente. importante
salientar que, a engenharia social aplicada em diversos setores da segurana da
informao independente de sistemas computacionais, software e ou plataforma
utilizada, o elemento mais vulnervel de qualquer sistema de segurana da
informao o ser humano, o qual possui traos comportamentais e psicolgicos
que o torna suscetvel a ataques de engenharia social.
Dentre essas caractersticas, pode-se destacar:
Busca por novas amizades: O ser humano costuma se agradar e sentir-se bem
quando elogiado, ficando mais vulnervel e aberto a dar informaes.
24
tornam vulnerveis a manipulao.
Exemplos de ataques usando engenharia social:
Exemplo 1: Voc recebe uma mensagem de recadastramento de senhas do
e-mail institucional, mesmo sabendo que a DGTI nunca faz esse tipo de solicitao
via e-mail.
Exemplo 2: voc recebe uma mensagem e-mail, onde o remetente o
gerente ou algum em nome do departamento de suporte do seu banco. Na
mensagem ele diz que o servio de Internet Banking est apresentando algum
problema e que tal problema pode ser corrigido se voc executar o aplicativo que
est anexado mensagem. A execuo deste aplicativo apresenta uma tela anloga
quela que voc utiliza para ter acesso a conta bancria, aguardando que voc
digite sua senha. Na verdade, este aplicativo est preparado para furtar sua senha
de acesso a conta bancria e envi-la para o atacante.
Exemplo 3: voc recebe uma mensagem de e-mail, dizendo que seu
computador est infectado por um vrus. A mensagem sugere que voc instale uma
ferramenta disponvel em um site da Internet, para eliminar o vrus de seu
computador. A real funo desta ferramenta no eliminar um vrus, mas sim
permitir que algum tenha acesso ao seu computador e a todos os dados nele
armazenados.
Exemplo 4: algum desconhecido liga para a sua casa e diz ser do suporte
tcnico do seu provedor. Nesta ligao ele diz que sua conexo com a Internet est
apresentando algum problema e, ento, pede sua senha para corrigi-la. Caso voc
entregue sua senha, este suposto tcnico poder realizar uma infinidade de
atividades maliciosas, utilizando a sua conta de acesso Internet e, portanto,
relacionando tais atividades ao seu nome.
Estes casos mostram ataques tpicos de engenharia social, pois os
discursos apresentados nos exemplos procuram induzir o usurio a realizar alguma
tarefa e o sucesso do ataque depende nica e exclusivamente da deciso do
usurio em fornecer informaes sensveis ou executar programas.
25
3.1.1 Evitando a Engenharia Social
Especialistas afirmam que a medida que nossa sociedade se torna cada vez
mais dependente da informao, a engenharia social tende a crescer e constituir-se
numa das principais ameaas aos sistemas de segurana das (grandes)
organizaes. Entretanto, embora as situaes apresentadas acima sejam um tanto
indesejveis e at certo ponto assustadoras, h mecanismos atravs dos quais uma
organizao pode implementar a fim de detectar e prevenir ataques de engenharia
social. Tais medidas visam, principalmente, atenuar a participao do componente
humano. Essas medidas compreendem:
Anlise
consiste
em
identificar
eliminar
sistematicamente
26
acompanhamento de profissional qualificado e ferramentas tecnolgicas. A
integrao desses processos produz maior segurana e proteo para os dados e
sistema da Organizao. Todas as aes tomadas devem ser documentadas no s
para controlar futuras aes, como tambm para consultas peridicas.
Qualquer sistema que manipule dados est sujeito a alguma vulnerabilidade.
A conexo com a Internet representa uma das principais formas de desestabilizao
e roubo de informaes para qualquer Usurio dentro de uma Organizao. Alm da
Internet, h outras possibilidades de acesso remoto que podem comprometer o
sistema e a segurana de dados, tais como bluetooth, infravermelho, etc. Toda essa
possvel exposio dos dados pode acarretar em invaso de rede e seus servidores,
expondo informaes confidenciais e violando a privacidade garantida por lei.
A cada dia novas vulnerabilidades surgem em decorrncia de brechas em
softwares, imperfeies na configurao de aplicativos e falha humana. A Anlise de
Vulnerabilidades responsvel por garantir a deteco, remoo e controle das
mesmas.
Visando sempre manter a integridade, confidencialidade e disponibilidade, a
Segurana da Informao enfrenta constantes desafios para manter usurios e
Organizaes protegidos de ameaas e falhas que possam comprometer a
normalidade das operaes. essencial a preocupao em manter dados em sigilo
e garantir o bom funcionamento de processos, acompanhando o avano e
disponibilizao de novas tecnologias.
3.2.2 A origem das Vulnerabilidades
27
funcionalidade e segurana;
Providenciar uma nova soluo de segurana como, por exemplo, o uso de um bom
antivrus, com possibilidade de update constante;
Ameaa: Quem pode atacar qual componente, usando qual recurso, com que
objetivo em mente, quando, de onde, porque, e qual a probabilidade disso
acontecer. Podendo conter aspectos gerais da natureza do ataque, mas no
detalhes, tais como quais medidas de segurana ele deve superar e quais
vulnerabilidades explorar.
28
descobrir (e talvez demonstrar) vulnerabilidades de segurana que poderiam ser
exploradas por um adversrio. Uma boa avaliao de vulnerabilidade normalmente
sugere contramedidas viveis ou melhorias na segurana para eliminar ou mitigar a
vulnerabilidade, tambm ajuda na recuperao aps um ataque e que no se repita.
29
reclamaes, programas de assistncia aos funcionrios, no toleramento de chefes
opressores, etc.)
Ameaa: Advanced persistent threat (APT) podem tomar o controle do ambiente
corporativo.
Vulnerabilidade: A organizao carece de uma defesa estratgica organizada com
potencial de tomar atitudes bem pensadas e nos momentos certos.
Mitigar uma vulnerabilidade pode no ser relevante para uma ameaa, pois
o adversrio pode no perceber uma vulnerabilidade. Vulnerabilidades no definem
ameaas, pois um adversrio deseja efetuar um ataque por um motivo externo.
TAs e VAs so diferentes, e ambas so necessrias para se ter uma boa
gesto de risco, e ambas so dependentes entre si at certo ponto. Hackers
procuram explorar vulnerabilidades, cuja ausncia levaria a seu fracasso. Assim
como no teria relevncia a existncia de vulnerabilidades se no existissem
ameaas. No existe uma relao de um para um entre vulnerabilidades e ameaas.
Diferentes adversrios podem explorar uma mesma vulnerabilidade para diferentes
objetivos, por exemplo, um computador desatualizado. Assim como uma ameaa
pode explorar vrias vulnerabilidades diferentes para atingir o seu objetivo.
TA envolve em sua maioria especular sobre pessoas que no esto em
nossa frente, e que podem muito bem no existir, mas que possuem motivaes
complexas, objetivos, mentalidades e recursos. Vulnerabilidades, por outro lado, so
mais concretas se formos espertos e criativos o suficiente para v-las. Elas so
descobertas atravs de uma anlise da estrutura e sua segurana, sem
especulaes sobre pessoas.
Por esse motivo, o entendimento das vulnerabilidades normalmente mais
fcil que as ameaas. Algumas pessoas afirmam que os incidentes anteriores de
segurana nos dizem tudo o que precisamos saber sobre as ameaas, mas isso
ser reativo, no proativo, e deixa escapar raros, mas catastrficos ataques.
Argumenta-se que o conhecimento das vulnerabilidades mais poderoso
que o das ameaas. Pois ao pr um razovel esforo para mitigar as
vulnerabilidades, voc provavelmente estar em boa forma para qualquer que seja a
ameaa (que muito mais fcil de errar). E ser ignorante nas vulnerabilidades
permite aos adversrios vrias formas de atingir seu objetivo.
Mas em qualquer grande e complexo sistema existe um enorme
nmero de vulnerabilidades. E encontrar vulnerabilidades exige uma anlise
30
minuciosa e imaginao/criatividade, podendo chegar a um custo altssimo. Alm de
que infelizmente entramos em situaes inevitveis em que no podemos ter
contato com o cdigo fonte de um componente do nosso sistema, nos tornando
dependentes de patchs que podem demorar a chegar.
A avaliao das ameaas, ao contrrio, normalmente carece de uma anlise
criativa sobre os problemas de segurana caracterizada pelo uso simplrio de listas
de verificao, auditorias de conformidade dos logs, diretrizes a serem seguidas,
bases de dados de incidentes de segurana passado e abordagens generalizadas.
Finalizando, no devemos confundir a inteno de uma TA ou VA. No serve
para certificar ou medir a segurana, ou como uma tcnica para descobrir se algum
no est fazendo algo direito. O objetivo de uma VA de melhorar a segurana. O
objetivo de uma TA nos ajudar a decidir (junto com a gesto de risco) o que e
quanto de segurana ns precisamos. Pois mesmo aps as avaliaes, ainda
existir ameaas e vulnerabilidades desconhecidas e no tratadas. O jeito encarar
que no poderemos ficar completamente protegidos, e utilizar as avaliaes para
atingirmos a segurana exigida.
computacionais
e,
consequentemente,
as
informaes
por
eles
31
32
3.4.1 As causas da Insegurana
Distinguem-se geralmente dois tipos de insegurana:
33
tais atividades no se desviem das normas preestabelecidas pela organizao.
Objetos de controle so metas de controle a serem alcanadas ou efeitos
negativos a serem evitados traduzidos em procedimentos de auditoria. Assim os
objetivos de controle so detalhados conforme o enfoque ao qual est relacionado.
Existem diversas reas que esses objetivos podem contemplar como segurana,
atendimento
solicitaes
externas,
materialidade,
altos
custos
de
Escopo do Projeto;
Recursos do Projeto;
Recursos do Projeto;
Concluso do Projeto.
Por fim, importante ressaltar que a necessidade de controlar e auditar os
recursos da tecnologia da informao e da comunicao nunca foi to grande. Para
garantir segurana e qualidade em seus processos e servios necessrio
verificao e controle constante.
34
3.5.1 O Auditor de Sistemas
35
4 CONCLUSO
A partir da pesquisa bibliogrfica, foi possvel apresentar os principais
recursos encontrados nos dispositivos mveis. Pode- se, assim, elucidar os
conceitos de persistncia, threads, sincronismo de processos, interface com os
usurios e construo de banco de dados mveis.
Em relao Gesto e Segurana da informao, ficou claro a engenharia
social um meio utilizado para obter acesso a informaes importantes ou sigilosas
em organizaes ou sistemas por meio da enganao ou explorao da confiana
das pessoas. Outros critrios foram estudados como as vulnerabilidades, ameaas e
ataques, as medidas de segurana e polticas de segurana e auditoria, notando-se
que a segurana dos sistemas informticos uma tarefa complexa; mas
extremamente importante.
Para garantir, em tese, a segurana de sistemas de informao ficou claro
que cada organizao deve adotar vrias tcnicas de proteo informao. Dentre
essas tcnicas, destacou-se a adoo de mecanismos de autenticao e de
controlo; por permitirem e garantirem que os utilizadores dos ditos recursos
possuem unicamente os direitos que lhes foram concedidos.
36
6
REFERNCIAS
Departamento
de
Computao,
Universidade
Federal
de
37
Delphi
Threads:
Utilizando
Threads
em
Delphi.
Disponvel
em:
38
SOCIAL: Saiba dos cuidados necessrios para no cair nas armadilhas dos
engenheiros sociais. [S.l.:s.n.], 2008. Disponvel em: <http:// www.baixaki.com.br
/info/1078-cuidado-coma- engenharia-social.htm>. Acesso em: 20 out. 2014
STONEBURNER,
Gary.
Underlying
Technical
Models
for
Information
em:
http://www.devmedia.com.br/artigo-webmobile-3-persistencia-em-
W3C,
tradues.
W3C
em
sete
pontos.
2014.
Disponvel
em:
<2014.