Captulo 1 Introduo Segurana da Informao - 12

Captulo 1
Introduo Segurana da
Informao

1.1. Objetivos

Fornecer ao aluno uma viso geral sobre segurana da informao

Entender a importncia da segurana da informao no mundo de hoje

Conhecer as principais ameaas

Compreender a terminologia bsica utilizada

Conhecer algumas certificaes da rea

Captulo 1 Introduo Segurana da Informao - 13

1.2. O que segurana?

Segundo o dicionrio da Wikipdia, segurana um substantivo feminino,
que significa:

Condio ou estado de estar seguro ou protegido.

Capacidade de manter seguro.

Proteo contra a fuga ou escape.
Profissional ou servio responsvel pela guarda e proteo de algo.
Confiana em si mesmo.
Dentro do escopo com relao ao que iremos estudar, os trs primeiros
tpicos adequam-se perfeitamente ao que ser abordado ao longo do curso. No
entanto, veremos esses aspectos na viso do atacante, aquele que tem por objetivo
justamente subverter a segurana.
E o que queremos proteger?
Vamos analisar o contexto atual em primeiro lugar...
Na poca em que os nobres viviam em castelos e possuam feudos, com mo
de obra que trabalhavam por eles, entregando-lhes a maior parte de sua produo e
ainda pagavam extorsivos importos, qual era o maior bem que possuam? Terras! Isso
mesmo, quem tinha maior nmero de terras era mais poderoso e possua mais
riqueza. Posto que quanto mais terras, maior a produo recebida das mos dos
camponeses que arrendavam as terras de seu suserano.
Aps alguns sculos, com o surgimento da Revoluo Industrial, esse
panorama muda completamente... Os camponeses deixam os campos e passam a
trabalhar nas fbricas, transformando-se em operrios.
Quem nunca viu o filme Tempos Modernos de Chaplin? Chaplin ilustra muito
bem como era a rotina desses operrios.
Nessa fase da histria da civilizao, o maior ativo a mo de obra,

Captulo 1 Introduo Segurana da Informao - 14

juntamente com o capital. Quem tinha o maior nmero de operrios, trabalhando
incansavelmente, detinha o poder, pois possua maior capital, gerado pela
produo incessante das indstrias.
No entanto, como tudo o que cclico e est em constante mudana, o cenrio
mundial novamente se altera, inicialmente com o movimento iluminista.
O Iluminismo, a partir do sculo XVIII, permeando a Revoluo Industrial,
prepara o terreno para a mudana de paradigma que est por vir. Os grandes
intelectuais desse movimento tinham como ideal a extenso dos princpios do
conhecimento crtico a todos os campos do mundo humano. Supunham poder
contribuir para o progresso da humanidade e para a superao dos resduos de
tirania e superstio que creditavam ao legado da Idade Mdia. A maior parte dos
iluministas associava ainda o ideal de conhecimento crtico tarefa do melhoramento
do estado e da sociedade.
E com isso, comeamos a ver, atravs de uma grande mudana de paradigma,
que a deteno de informaes ou conhecimentos, que tinham algum valor, que
define quem tem o poder nas mos ou no. E surge, ento, a era da informao!
Com esse acontecimento, inicia-se o surgimento da internet e a globalizao,
possibilitando o compartilhamento em massa da informao. Nesse momento no
mais a mo de obra, terras, mquinas ou capital que regem a economia e dita quem
tem o poder, mas sim a informao, que se torna o principal ativo dessa era.
Estamos na era da informao, e nada mais lgico que um corpo de
conhecimento fosse criado para dar a devida ateno s anomalias e proteger esse
ativo to importante. Essa rea de atuao, que j existia h muito anos, mas agora
com tarefas bem mais definidas, com regras e normas a serem seguidas a
Segurana da Informao, ou SI.

1.3. Segurana da Informao

A Segurana da Informao tem como principal objetivo, justamente, proteger
as informaes, que so os principais ativos atualmente, que sejam importantes para
uma organizao ou indivduo.

Captulo 1 Introduo Segurana da Informao - 15

Entendendo esse conceito, no suficiente apenas conhecer as normas
existentes e as vrias formas possveis de proteo, mas necessrio tambm
conhecer os riscos inerentes e as possveis formas de ataque.
De acordo com o maior estrategista que j existiu, Sun Tzu, se voc conhece a
si mesmo e ao seu inimigo, no precisar temer o resultado de mil batalhas. Afinal, se
conhece os estratagemas empregados por atacantes maliciosos, estar muito mais
capacitado para proteger seu principal ativo: a informao.

1.4. Padres/Normas
1.4.1. ISO 27001
Essa norma aborda os padres para sistemas de gesto de segurana da
informao. Substitui a norma BS 7799-2

1.4.2. ISO 27002

Baseada na norma ISO 27001, essa norma trata das boas prticas de
segurana da informao, onde indica uma srie de possveis controles dentro de
cada contexto da rea de segurana. A partir de 2006, tornou-se substituta da norma
ISO 17799:2005.

1.4.3. Basileia II
uma norma da rea financeira, conhecida tambm como Acordo de Capital
de Basileia II. Essa norma fixa-se em trs pilares e 25 princpios bsicos sobre
contabilidade e superviso bancria.

1.4.4. PCI-DSS
A norma Payment Card Industry Data Security Standard, uma padronizao
internacional da rea de segurana de informao definida pelo Payment Card
Industry Security Standards Council. Essa norma foi criada para auxiliar as
organizaes que processam pagamentos por carto de crdito na preveno de
fraudes, atravs de maior controle dos dados e sua exposio.

Captulo 1 Introduo Segurana da Informao - 16

1.4.5. ITIL
um conjunto de boas prticas para gesto, operao e manuteno de
servios de TI, aplicados na infraestrutura. A ITIL busca promover a gesto de TI
com foco no cliente no servio, apresentando um conjunto abrangente de processos
e procedimentos gerenciais, organizados em disciplinas, com os quais uma
organizao pode fazer sua gesto ttica e operacional em vista de alcanar o
alinhamento estratgico com os negcios.

1.4.6. COBIT
Do ingls, Control Objectives for Information and related Technology,
um guia de boas prticas, como um framework, voltadas para a gesto de TI. Inclui,
em sua estrutura de prticas, um framework, controle de objetivos, mapas de
auditoria, ferramentas para a sua implementao e um guia com tcnicas de
gerenciamento.

1.4.7. NIST 800 Series

Srie de documentos, guias e pesquisas desenvolvidos pelo National Institute
of Standards and Technology, voltadas para a rea de segurana da informao. Essa
srie composta de documentos considerados "Special Publications", os quais
abordam desde segurana na tecnologia Bluetooth, at segurana em servidores.
Dica: o documento desta srie que equivalente ao que estamos estudando
ao longo desse curso, que pode inclusive representar uma metodologia
especfica, o NIST 800-115.

1.5. Por que precisamos de segurana?

Evoluo da tecnologia focando a facilidade de uso
Quanto mais a tecnologia evolui, mais fcil torna-se a operao dos novos
sistemas e ferramentas. J vai ao longe o tempo em que era necessrio gravar
de cabea 500 comandos diferentes para utilizar o computador para as tarefas
mais costumeiras e simples do dia a dia. Hoje em dia tudo est ao alcance de
um clique do mouse, e quando no, de um movimento de cabea, se pensarmos
nos sistemas de captura de movimentos.

Captulo 1 Introduo Segurana da Informao - 17

Aumento do uso de redes e interligao das aplicaes
Tudo est conectado atualmente! E quando uma mquina ou sistema
comprometido, tudo o que est ao seu redor corre o risco de ser comprometido
tambm. Isso demanda uma maior capacidade de gerenciamento do parque
computacional, que cresce exponencialmente e muitas vezes de forma
desordenada.
Diminuio do nvel de conhecimento para a execuo de um ataque avanado
Com a facilidade de uso aumentando gradativamente, a necessidade de
conhecimento de alto nvel para realizar ataques avanados tambm diminui.
Se um adolescente de 12 anos procurar na internet sobre ataques de negao
de servio, por exemplo, encontrar ferramentas de simples utilizao e pode
facilmente derrubar um grande servidor.
Aumento

da

complexidade

para

administrao

de

infraestrutura

de

computadores e gerenciamento
Quanto maior o parque computacional, mais difcil se torna seu gerenciamento,
e disso surgem inmeros problemas graves, de consequncias desastrosas.
Com o aumento da complexidade da infraestrutura e, consequentemente, da
sobrecarga dos administradores de rede, torna-se cada vez mais difcil
gerenciar tudo o que ocorre e monitorar satisfatoriamente o funcionamento da
infraestrutura organizacional.

1.6. Princpios bsicos da segurana da informao

A rea de SI possui trs pilares bsicos com o acrscimo de mais duas, que
permitem a troca segura de informao, desde que nenhum deles seja violado. So
eles:

1.6.1. Confidencialidade
Esse pilar o responsvel pelo controle de acesso informao apenas por
aquelas pessoas ou entidade que tenham permisso compatvel com sua funo e

Captulo 1 Introduo Segurana da Informao - 18

determinada pelo dono daquela informao.

1.6.2. Integridade
Aqui, atravs dessa propriedade, determinada a necessidade de garantir que
a informao mantenha todas as suas caractersticas originais como determinadas
pelo proprietrio da informao.

1.6.3. Disponibilidade
Propriedade que define que determinada informao esteja sempre disponvel
para o acesso quando necessrio, de maneia ntegra e fidedigna. Alguns dos ataques
conhecidos buscam justamente derrubar a disponibilidade, e para algumas empresas
o simples fato de no ter suas informaes disponveis durante determinado perodo
de tempo, isso pode acarretar prejuzos estrondosos.

1.6.4. Autenticidade
Propriedade responsvel por garantir que a informao vem da origem
informada, permitindo a comunicao segura e garantia de que a informao a qual
tem acesso correta e de fonte confivel.

1.6.5. Legalidade
a propriedade que define se determinada informao, ou operao, est de
acordo com as leis vigentes no pas. As mesmas leis que regem um pas podem ser
completamente diferentes em outro, o que pode ocasionar uma srie de problemas,
caso o sistema de gesto no seja adaptvel.
Podemos ver na figura a seguir alguns dos distrbios mais comuns aos pilares
da SI, vinculados a ataques que visam rea de TI:

Captulo 1 Introduo Segurana da Informao - 19

O nvel de segurana desejado, pode se consubstanciar em uma poltica de

segurana que seguida pela organizao ou pessoa, para garantir que uma vez
estabelecidos os princpios, aquele nvel desejado seja perseguido e mantido.
de extrema importncia saber equilibrar o nvel de segurana com a
funcionalidade e facilidade de uso do sistema, pois o mais importante para a empresa
o negcio, e a segurana existe para proteger o negcio da empresa, e no
atrapalh-lo.

1.6.6. Terminologias de segurana

Vulnerabilidade fragilidade que pode fornecer uma porta de entrada
a um atacante
Ameaa agente ou ao que se aproveita de uma vulnerabilidade
Risco (Impacto X Probabilidade) da ameaa ocorrer
Ataque Incidncia da ameaa sobre a vulnerabilidade
Exploit Programa capaz de explorar uma vulnerabilidade

Captulo 1 Introduo Segurana da Informao - 20

1.7. Ameaas e ataques

Em segurana da informao, precisamos estar atentos s possveis ameaas
que podem, de alguma maneira, comprometer os pilares de SI. A partir das ameaas,
podemos ter noo dos riscos que envolvem a atividade organizacional. Para cada
tipo de atividade, ou contexto, o conjunto de ameaas ser diferente, requerendo
tambm reaes e posturas diferentes para diminu-las.
Vamos separar as ameaas em dois grandes grupos: fsicas e lgicas.
As ameaas fsicas, caso ocorram, comprometero o ambiente fsico onde a
informao est armazenada ou processada.
Dentre as ameaas fsicas podemos considerar:
Alagamento
Raios
Acessos indevidos
Desabamentos
E no grupo das ameaas lgicas, podemos contar as seguintes:
Infeco por vrus
Acessos remotos rede
Violao de senhas
Assim como dividimos as ameaas em dois grandes grupos, os ataques
tambm podem ser divididos da mesma maneira: Internos e Externos.
Os ataques internos representam por volta de 70% dos ataques que ocorrem
aos sistemas e redes. Mesmo que a maioria das pessoas acreditem que a maior parte
dos ataques surjam de fontes externas, essa uma maneira errnea de encarar as
coisas.
Dentre os ataques internos, encontramos em sua maioria, aqueles realizados
por funcionrios de dentro da prpria organizao, que esto insatisfeitos, buscam

Captulo 1 Introduo Segurana da Informao - 21

vingana ou participam de alguma ao de espionagem industrial, vendendo as
informaes conseguidas para o concorrente.
Outro

tipo

de

ataque

vindo

de

insiders,

surge

de

funcionrios

despreparados, que sem o devido conhecimento do funcionamento do sistema, ou das

polticas organizacionais, age de maneira errnea, causando o comprometimento do
sistema da empresa.
Quando vamos analisar os ataques externos, novamente nos deparamos com a
possibilidade de comprometimentos cujos objetivos estejam vinculados espionagem
industrial, que apesar de ser ilegal, muitas organizaes recorrem a esse expediente
para no ficar para trs, na luta pelo domnio de mercado.
Outra possibilidade da origem de comprometimentos de sistemas, pode ser a
curiosidade ou simplesmente o desafio que representa para um cracker, cujo objetivo
de comprometer o sistema, seja basicamente isso: comprometer o sistema e poder
dizer que foi ele quem fez isso. Ou ento, o furto de dados que de alguma forma
sejam teis para o cracker. Bons exemplos desse tipo de ataques, podem ser
encontrados no livro A Arte de Invadir, de autoria de Kevin Mitnick.
Exemplo de ameaa:
Uma chuva de granizo em alta velocidade
Exemplo de vulnerabilidade:
Uma sala de equipamentos com janelas de vidro
Exemplo de ataque:
A chuva de granizo contra as janelas de vidro
O risco ser calculado considerando a probabilidade de uma chuva de granizo
em alta velocidade ocorrer e atingir a janela de vidro.

1.8. Mecanismos de segurana

Para mitigar ou diminuir sensivelmente as ameaas, podemos empregar uma
srie de dispositivos e mecanismos de segurana, sejam as ameaas fsicas ou

Captulo 1 Introduo Segurana da Informao - 22

lgicas. Para cada contexto, temos grupos diferentes de mecanismos que podem ser
utilizados.

1.8.1. Mecanismos fsicos

Portas
Trancas
Paredes
Blindagem
Guardas
Cmeras
Sistemas de alarme
Sistema de deteco de movimentos
Biometria
Os mecanismos fsicos de proteo, so barreiras que limitam o contacto ou
acesso direto a informao ou a infra-estrutura (que garante a existncia da
informao) que a suporta.

1.8.2. Mecanismos lgicos

Criptografia
Firewall
Anti-Vrus
IDS
IPS
Proxy

Captulo 1 Introduo Segurana da Informao - 23

Anti-Spam
Os mecanismos lgicos, so barreiras que impedem ou limitam o acesso a
informao, que est em ambiente controlado, geralmente eletrnico, e que, de outro
modo, ficaria exposta a alterao no autorizada por elemento mal intencionado.

1.9. Servios de segurana

Existe hoje em dia um elevado nmero de ferramentas e sistemas que
pretendem fornecer segurana. Alguns exemplos so os detectores de intruses, os
antivrus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de cdigo,
etc.
Alm de dispositivos de segurana, tambm existem diversos servios
relacionados a segurana da informao.
Esses servios precisam de profissionais com um conhecimento altamente
especializado, primeiro por lidar com anlises complexas, e segundo por envolver
informaes sigilosas que precisam de tratamento especial, para que no sejam
comprometidas de alguma maneira.
Dentre os servios oferecidos por profissionais de segurana esto:
Criao de Polticas de Segurana
Implantao de CSIRTs
Hardening de Servidores
Anlise de Vulnerabilidade
Teste de Invaso
Anlise de Aplicao
Percia Computacional
Treinamento de Colaboradores
Auditoria

Captulo 1 Introduo Segurana da Informao - 24

1.10. Certificaes
Na rea de segurana, h muitas certificaes reconhecidas pelo mercado.
Sendo que cada ma delas possui um foco diferente, nvel de conhecimento diferente e
formas de avaliaes diversas.
Abaixo listamos as principais certificaes da rea de SI:

CompTIA
Security+

Cisco Systems
CCNA Security CCSP CCIE Security

EC-Council
CEH CHFI ECSA ENSA LPT

GIAC
GSIF GSEC GCIA GCFW GCFA GCIH GPEN GCUX GCWN GWAPT

GAWN GREM GSE

ISACA
CISA CISM

(ISC)
CAP CISSP CSSLP ISSAP ISSEP ISSMP SSCP

ISECOM
OPSA OPST

Offensive Security
OSCP OSCE

Immunity
NOP

Dentro do contedo estudado e de acordo com o contexto que estamos

estudando, algumas certificaes possuem em sua avaliao muito dos assuntos

Captulo 1 Introduo Segurana da Informao - 25

abordados em aula. Podemos citar, dentre essas, as certificaes:
CEH, ECSA, LPT, OPSA, OSCP, GPEN

1.11. War Games

Para facilitar e possibilitar a utilizao das tcnicas aprendidas no curso, sem
causar qualquer tipo de comprometimento a ambientes reais, podemos utilizar como
ferramenta o que conhecido como War Games: jogos que simulam ambientes reais
e permitem colocar em prtica tcnicas de explorao de vulnerabilidades.

1.11.1. War Games desktop

Uplink
Hacker Evolution
BSHacker
Street Hacker
MindLink
Cyber Wars

1.11.2. War Games online

http://www.hackthissite.org/
http://www.hackquest.de/
http://www.hack4u.org/

Captulo 1 Introduo Segurana da Informao - 26

http://www.mod-x.co.uk/main.php
http://bigchallenge.free.fr/
http://www.hackertest.net/