1

Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

SEGURANA DE INFORMAES: AMEAAS VIRTUAIS Autor: Sebastio Sidnei Vasco de Oliveira1 Co-autor: Hamilton Edson Lopes de Souza2 Resumo A constante e crescente utilizao dos recursos tecnolgicos, em todos os setores da sociedade, resulta em uma preocupao tambm constante em relao segurana das informaes oriundas dessa utilizao. Busca-se atravs de pesquisas bibliogrficas, relatar alguns dos principais problemas relacionados a esse uso, muitas vezes, sem critrios, das facilidades proporcionadas pela internet, traz-se, ainda que sucintamente, quais as principais pragas que hoje prejudicam as organizaes e os usurios domsticos, j que, atualmente, o computador tornou-se ferramenta indispensvel tambm nos lares, como suporte para o aprendizado e tambm como facilitador para servios bancrios, compras e uma gama de opes, cabendo ao usurio, sua melhor aplicao. Busca-se tambm relatar sobre as principais reas da auditoria e sua ramificao para a Auditoria em Ambientes Informatizados, cientes de que ela no pode ficar inerte frente s grandes ameaas que a informao, que hoje um dos bens mais valiosos que as organizaes possuem, vem enfrentando. Relata-se ainda alguns depoimentos de profissionais envolvidos com a segurana lgica, seja em mbito interno de uma organizao, como tambm no mbito de atuao de agentes de segurana com poderes de polcia, os quais, devido desatualizada legislao brasileira, pouco pode fazer para coibir e penalizar crimes cometidos por meio do computador e, finalmente, descreve-se algumas orientaes teis de segurana em informtica. Palavras Chaves: Auditoria, informtica, segurana, vrus. Abstract The constant and growing use of the technological resources, in all the sections of the society, results a constant concern in relation to the safety of the information originated from its usage. One searchs through bibliographical researches, to show some of the main problems related to this use, a lot of times
1

Ps-Graduando do Curso de Especializao ( Ps-Graduao lato sensu) em Gesto e Auditoria de Negcios. UNICENTRO. 2006. 2 Professor Orientador. Mestre em Administrao Gesto e Polticas Institucionais. SPEI. OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

2
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

without approaches, of the facilities provided by the internet, it is brought a brief list with the main plagues that today harm the organizations and the domestic users, since now the computer became also on indispensable tool in at home, as support for the learning and also as facilitator for bank services, purchases and a range of options, fitting to the user, its best application. One also looked for to tell about the main areas of the audit and its ramification for the Audit in Computerized Atmospheres, aware that it cannot be inert front to the great threats that the information, that today is one of the most valuable goods that the organizations possess, it comes facing. One still tells some professionals' reports involved with the logical safety, be in internal ambit of an organization, as well as in the ambit of agents' of safety performance with police powers, the ones which, due to out of date Brazilian legislation, not much they can do to restraint and to pain crimes made through the computer, and finally one describes some useful orientations of safety in computer science. Key words: Audit, computer science, safety, virus

1. Introduo
O objetivo deste trabalho demonstrar algumas das conseqncias e tambm dos prejuzos causados por vrus e outras ameaas virtuais e, tambm a apresentao de conceitos bsicos de informtica, tendo como base para a fundamentao terica, algumas obras especficas que relatam estudos sobre a segurana da informao. O interesse especfico nesse tema surgiu aps serem ministrados os contedos da disciplina de Auditoria de Ambientes Informatizados, no curso de Especializao em Gesto e Auditoria de Negcios, na UNICENTRO. Antes, porm, de analisar as questes sobre o assunto principal, sentiu-se a necessidade de expor sobre o tema Auditoria, em algumas de suas formas e definies. A metodologia utilizada na elaborao deste trabalho deu-se sob a forma de pesquisas bibliogrficas em obras especficas, leituras de matrias publicadas em peridicos especficos e busca via internet de assuntos relevantes ao trabalho proposto. 2. Conceito de Auditoria O termo auditoria no pode mais estar restrito somente ao campo contbil, embora sua essncia original tenha como objetivo verificar a gesto como um todo de algum ramo ou negcio. Atualmente, a auditoria ganhou uma abrangncia que extrapolou o campo contbil, em que, historicamente, estruturou-se, partindo para atividades variadas tais como: auditoria de gesto,
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

3
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

auditoria da qualidade, auditoria em ambientes informatizados, auditoria fiscal, dentre outras.

2.1. Tipos de auditorias

Gil (1998) enfatiza que a auditoria evoluiu e foi exigida a ultrapassar os limites originais de auditoria contbil e tributria para assumir postura de operacional surgindo, tambm a auditoria em ambientes informatizados. Esse tipo tornou-se um canal de comunicao da alta administrao para enfrentar a complexidade e o crescimento das atividades empresariais e a participao integral do computador na vida das organizaes. Segundo Dias (2000), no existe na literatura especializada uma classificao ou denominao padronizada da natureza ou tipos de auditorias existentes na atualidade, mas apresenta os tipos mais comuns, levando em considerao a rea envolvida, como segue: a) Auditoria de programas de governo responsvel por acompanhar, examinar e avaliar a execuo de programas e projetos governamentais especficos; b) Auditoria do planejamento estratgico que visa verificar se os objetivos e estratgias principais da organizao esto sendo respeitadas; c) Auditoria administrativa englobando o plano da organizao, bem como seus procedimentos e documentos de suporte tomada de decises; d) Auditoria contbil visa conservar a fidedignidade das contas contbeis da organizao, com finalidade de fornecer certa garantia de que operaes e acesso a ativos estejam em conformidade com as autorizaes; e) Auditoria financeira com objetivo de anlise das contas, situao financeira, legalidade e regularidade das operaes e aspectos contbeis; f) Auditoria de legalidade consiste na anlise da legalidade e regularidade das atividades, funes e gesto de recursos, verificando sua conformidade com a legislao; g) Auditoria operacional que incide em todos os nveis de gesto, nas fases de programao, execuo e superviso, sob o ponto de vista da economia, eficincia e eficcia, auditando todos os sistemas e mtodos utilizados para tomada de decises; h) Auditoria integrada que consiste na ao simultnea da auditoria financeira e da operacional; ) Auditoria da tecnologia da informao consiste na anlise, por parte dos auditores, dos sistemas de informtica, ambiente computacional, segurana das informaes e controle interno da entidade fiscalizada, identificando seus pontos fortes e fracos.

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

4
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

Todas as consideraes anteriores culminam no fato de que a auditoria, independente da rea, est sendo cada vez mais exigida nos dias atuais, em que as operaes on-line (ou em tempo real), precisam de respaldo, para operar com segurana e ter a certeza de que as informaes prestadas esto de acordo com a realidade da organizao. Neste trabalho, enfatizada a auditoria em ambientes informatizados, tendo em vista que a rea em estudo, segurana de informaes: ameaas virtuais. Isso est contemplado no que diz respeito a essa rea especfica da auditoria, evidenciando neste trabalho, mais, especificamente, as questes relacionadas com segurana lgica. 3. Auditoria em ambientes informatizados Os sistemas informatizados tiveram sua aplicao to ampliada com o passar dos anos que, hoje, quase impossvel imaginar uma entidade sem eles. Instituies financeiras, indstrias, comrcio, servios; tudo est estruturado em nvel de controles sobre os sistemas informatizados. Dessa forma, o auditor interno no pode-se furtar possibilidade de examinar e avaliar esses sistemas. O auditor interno envolve-se no processo de planejamento, desenvolvimento, testes e aplicao dos sistemas, preocupando-se com as estruturas lgicas, fsicas, ambientais, organizacionais de controle, segurana e proteo de dados. Cabe-lhe informar a administrao sobre: adequao, eficcia, eficincia e desempenho dos sistemas e respectivos procedimentos de segurana em processamento de dados. Para GIL (1998), a atuao da auditoria em ambientes informatizados dentro das organizaes envolve principalmente os seguintes aspectos: segurana fsica e ambiental; segurana lgica; plano de contingncia; auditoria de sistemas em operao; auditoria de sistemas em desenvolvimento. Os aspectos acima esto relacionados diretamente ao trabalho de auditoria, sendo todos de extrema importncia, para manter-se seguras as informaes de uma organizao e, devido sua importncia, faz-se necessrio um breve relato de suas principais caractersticas. 3.1. Segurana Fsica e Ambiental Souza (2006, p. 146) abordando sobre a segurana fsica e ambiental, afirma que:

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

5
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

Ao mapear os riscos e elaborar uma poltica de segurana das informaes, a organizao deve conferir ateno Segurana Fsica e Ambiental do contexto no qual esto inseridas as informaes. No adianta ter computadores com mxima segurana se as instalaes e os equipamentos propiciam ameaas, as quais, muitas vezes, so decorrentes de fenmenos da natureza ou de atos humanos intencionais ou no contra esses recursos. Observa-se, ento, que a segurana fsica e ambiental refere-se ao conjunto de meios ou instrumentos voltados a proporcionar a segurana empresarial propriamente dita, ou seja, seu acesso fsico, instalaes eltrica, condies ambientais, pessoal envolvido, condies de equipamentos de apoio. Atualmente, no se pode mais pensar em segurana como um simples sistema de vigilncia com pessoal. A funo efetiva da segurana deve envolver no seu desenvolvimento, funes de anlise de risco, o controle eficiente do processo, porm discreto e deve, ainda, preocupar-se com a qualidade e eficincia do servio executado. A segurana fsica deve envolver vrias reas, para que ela seja eficiente, comeando pela delegao da responsabilidade da funo a indivduo que tenha condies de desenvolv-la da melhor forma possvel, pois sua responsabilidade diz respeito ao controle de ativos da organizao, treinamento de sua equipe, a anlise dos riscos, a definio, implantao e acompanhamento das normas de segurana, os controles de acesso aos ambientes internos, principalmente onde esto localizadas as centrais de informtica. Esse controle pode variar de acordo com o grau de sigilo das informaes. Uma avaliao dos nveis de acesso aos ambientes internos pode ser elaborada, de acordo com a estrutura da organizao, delimitando horrios e pessoas com direito ao acesso a determinadas reas. Todas as normas e procedimentos relacionados Segurana devem estar documentadas, devendo estar disponvel para a equipe em forma de manuais. A responsabilidade bsica de uma equipe de segurana est relacionada com o planejamento, implantao e controle das medidas de segurana, incluindo a realizao de Anlise de Riscos e a elaborao e implantao de um Plano de Segurana, resultando, ainda, em um Plano de Contingncia, o qual ser brevemente citado no decorrer deste trabalho. 3.2. Segurana Lgica Em relao Segurana Lgica, pode-se explorar a definio do termo acesso lgico, ainda que de uso geral, dentro da informtica, no exprime com preciso o conceito envolvido que o acesso ao ambiente de informaes.
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

6
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

Acesso lgico est relacionado com o uso de recursos e facilidades de acesso aos ambientes informatizados, que so colocados disposio de pessoas, para que elas executem as tarefas para as quais foram contratadas. Esse acesso abrange aspectos como o acesso de pessoas a terminais e outros equipamentos de computao, manuseio de listagens, funes autorizadas a executar dentro do ambiente, a exemplo de transaes que ele pode executar, arquivos aos quais pode ter acesso, programas que pode executar, etc; parte do acesso lgico se confunde com o acesso fsico, sendo impossvel separar onde comea um e termina outro. A informtica mudou os conceitos de organizao de arquivos e troca de informaes entre as empresas e pessoas, no entanto, deixou uma grande preocupao relativa segurana dos dados. A segurana lgica visa: Garantir o poder de usufruir a informao no momento que necessitar; manter a confidencialidade e a fidedignidade de seus dados; manter a integridade dos dados; na elaborao das metodologias, para a realizao de auditorias de segurana lgica, necessrio que abordem pontos de anlise, relativos a: levantamento dos sistemas, proporcionando a viso atual e possibilitando as atividades de reengenharia; uso adequado dos softwares aplicativos; preveno, identificao e eliminao, caso existam, dos vrus nos computadores, possibilitando a criao de uma poltica cultural de uso; transmisso dos dados em geral e, principalmente, os confidenciais e crticos; armazenamento dos dados atravs dos gerenciadores de Banco de Dados existentes; sistemas existentes possibilitando a sua otimizao e atualidade; participao no desenvolvimento dos novos sistemas, prevendo a incluso de trilhas de auditorias; confidencialidade e sigilo dos sistemas crticos e confidenciais que possam comprometer o negcio da empresa; testes e simulaes nos sistemas existentes, permitindo a verificao dos resultados obtidos, comparando-os com os objetivos definidos nos documentos alvos, e aplicao de normas e da legislao relativos segurana lgica.

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

7
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

3.3 Plano de Contingncia Para Caruso (1999), um plano de contingncia especfico, para ambientes informatizados, pode ser definido como um documento, a ser elaborado de acordo com as caractersticas especficas de cada empresa. O Plano deve estar de acordo com as necessidades vitais de cada rea, contendo a descrio completa e atualizada dos critrios, recursos, responsabilidades, atribuies, aes e procedimentos a serem adotados, quando da ocorrncia de situaes de emergncia no local, onde est localizado o centro de informtica ou em outros locais onde existam recursos de informtica, cujos resultados so importantes para a organizao. Seu objetivo principal est relacionado continuao do processamento de informaes e aplicaes crticas, mantendo o seu funcionamento at a retomada das atividades no ambiente afetado por um sinistro qualquer. O Plano de Contingncia deve receber apoio total da direo da empresa ou instituio, devendo ser elaborado por pessoas especializadas, sejam elas do prprio quadro de pessoal da empresa, ou atravs da contratao de consultoria especializada. essencial que possuam conhecimentos profundos sobre o tema, pois seu sucesso est diretamente relacionado continuidade das atividades de uma organizao, quando da ocorrncia de qualquer tipo de sinistro. Devem ser observadas ainda informaes referentes aos recursos humanos e de equipamentos necessrios, para que o plano de contingncia alcance seus objetivos, a elaborao de manuais com os procedimentos de contingncia, contendo a descrio dos equipamentos e softwares necessrios, a relao das pessoas envolvidas e suas funes. Deve ainda abordar os procedimentos de retorno, ou seja, as aes necessrias a serem tomadas para a restaurao de equipamentos, softwares, infra-estrutura e documentao. 3.4 Auditoria de Sistemas em Operao A auditoria de sistemas em operao tem como objetivo analisar a eficcia dos sistemas quanto ao nvel de satisfao dos usurios relacionados natureza, correo e qualidade das informaes, evidenciando tambm a periodicidade das informaes recebidas e a forma de apresentao das informaes, por meio de relatrios. Tambm devem ser observados o nvel de sigilo das informaes, a forma de apresentao dos relatrios, o cuidado no armazenamento, transporte e manuseio de dispositivos de armazenamento de informaes e, tambm, a consistncia das informaes e proteo contra usurios mal-intencionados. Todos esses itens acima podem ser classificados pelo auditor como Pontos de Controle (PC), podendo ser auditados por mais de um parmetro, o que implicar ao auditor, a utilizao de tcnicas diferenciadas.

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

8
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

3.5. Auditoria de Sistemas em desenvolvimento Esse ramo da auditoria requer do profissional vastos conhecimentos de anlise de sistemas, levando antes o auditor a ser conhecedor da auditoria de sistemas em operao, para, posteriormente, poder atuar na auditoria de desenvolvimento de sistemas. Segundo GIL (1998, 107), tal colocao pode parecer paradoxal, pois a auditoria de um sistema computadorizado deve iniciar-se, quando da concepo, construo e implantao do sistema, porm alguns parmetros levam os auditores a uma atuao inicial nos sistemas computadorizados em operao, citando que: a) a auditoria de computador comeou no Brasil com uma defasagem de dez anos em relao rea de computao e, dessa forma, deu prioridade s verificaes dos sistemas que j estavam operando, em detrimento daqueles que estavam sendo construdos; na auditoria, durante o desenvolvimento, o auditor posta-se frente a frente com analistas e programadores, necessitando, portanto, de bons conhecimentos de computao e de anlise de sistemas, bem como de uma postura de auditagem e de um exercitamento do esprito de auditoria, que garanta uma atuao imparcial, concatenada e no embaralhada com os profissionais de computao; a auditoria, durante o desenvolvimento, exige uma metodologia de atuao que garanta a independncia dos trabalhos do auditor, estabelecendo os momentos e as formas de aplicao das tcnicas de auditoria adequadas para o estabelecimento das diferenas dos trabalhos do auditor e dos auditados.

b)

c)

No se considera oportuno um maior aprofundamento desses itens, apenas se trouxe uma pequena explanao sobre as reas da auditoria, com o objetivo de demonstrar a sua abrangncia e a sua importncia. 4. Segurana em ambientes informatizados Uma das principais preocupaes da auditoria em ambientes informatizados a segurana, a qual definida por Dias (2000) como ... a proteo de informaes, sistemas, recursos e servios contra desastres, erros e manipulao no autorizada, de forma a reduzir a probabilidade e o impacto de
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

9
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

incidentes de segurana. Tal enfoque visa atingir os objetivos da segurana que so: Confidencialidade ou privacidade: proteger as informaes contra acesso de qualquer pessoa no autorizada; integridade de dados: evitar que dados sejam apagados ou, de alguma forma, alterados sem permisso; disponibilidade: a garantia de que os servios prestados por um sistema so acessveis; consistncia: certificar-se de que o sistema atua de acordo com as expectativas; isolamento ou uso legtimo: regular o acesso ao sistema evitando os no autorizados; auditoria: proteger os sistemas contra erros e atos maliciosos cometidos por usurios autorizados; confiabilidade: garantir que mesmo em condies adversas o sistema atuar conforme o esperado. Por meio da correta aplicao desses princpios, a segurana da informao pode trazer benefcios como: aumentar a produtividade dos usurios atravs de um ambiente mais organizado; maior controle sobre os recursos de informtica e, finalmente, garantir a funcionalidade das aplicaes crticas da empresa. Cabe ressaltar que, conforme Gil (1998), que a Auditoria em Ambientes Informatizados abrange conceitos e tcnicas oriundas de trs reas distintas do conhecimento que se interligam, para servir de base a essa importante rea, a saber: auditoria, sistemas de informaes e processamento de dados. Para Caruso (1991), a segurana nunca ser um produto acabado, que uma vez implantado permanecer estvel; ela reflete o agitado ambiente de informaes das empresas, altamente dinmico, que por sua vez se reflete nas funes de processamento de informaes. 4.1. Segurana das informaes O que devemos considerar, no que se refere segurana, est relacionado segurana interna, ou seja, os cuidados e as polticas adotadas, visando proteger as informaes dentro da organizao em que se est atuando, ou no local onde se est sendo desenvolvida a poltica de segurana. J em outro mbito da segurana, porm em um nvel bem maior, est a segurana relacionada com os crimes cometidos de fora para dentro, ou seja, o acesso no autorizado provocados com o nico objetivo de subtrair informaes, seja dos dados da organizao em questo, ou ainda das informaes pessoais contidas em computadores, utilizados nos diversos setores de uma organizao, onde os funcionrios, mesmo de uma forma errada, fazem uso dele para acessar
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

10
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

contas bancrias, compras com cartes de crdito, entre outras aes, proporcionando o roubo de senhas, etc, essa prtica somente ser abolida das organizaes atravs da implantao de uma poltica rgida em relao utilizao dos recursos de informtica, o que nem sempre adotada, pois pode causar dissabores para a administrao, porm este assunto poder ser discutido em outras oportunidades. 4.2. Os investimentos em segurana lgica GIL afirma que: Segurana Lgica um conjunto de mtodos e procedimentos automticos e manuais destinados proteo dos recursos computacionais contra o seu uso indevido ou desautorizado. Compreendem o controle de consultas, alteraes, inseres e excluses de dados, controle de uso de programas e outros recursos (apud, SOUZA, 2006, p.150). Segundo o autor, as principais ameaas na segurana lgica esto ligadas aos acessos indevidos, erros provocados intencionalmente, ou mesmo involuntrios e a perda de dados decorrentes desses erros, falhas na rede provocadas por software estranho, fraudes e sabotagens, provocadas por colaboradores insatisfeitos. Os responsveis pela rea de informtica devem considerar sempre, em seus planejamentos, os investimentos no que diz respeito segurana das informaes, englobando itens como regulamentaes, metodologias, certificaes, ferramentas de hardware, software e sistemas de preveno, atentando tambm para as constantes atualizaes que esses instrumentos vm sofrendo, objetivando, assim, manter seus sistemas sempre disponveis, ou seja, on-line. Como, atualmente, a utilizao de aplicaes em ambiente de rede est em amplo desenvolvimento, seja atravs de rede privativa de uma organizao (intranet) ou mesmo, por meio da rede mundial (internet), aproveitando-se, assim, dos inmeros benefcios que esse recurso oferece, trazendo facilidades na realizao de inmeros servios, como: investimentos, compras, atividades bancrias, pesquisas, troca de informaes entre outros, a segurana nesses ambientes deve tambm acompanhar o crescimento com que tais recursos esto sendo utilizados. Com o objetivo ilustrar este trabalho, buscou-se alguns fatos relatados por profissionais da rea de segurana, pblica ou privada, que mostram o que vm ocorrendo hoje, em relao segurana dos ambientes informatizados.

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

11
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

Tais relatos foram publicados por empresas especializadas na segurana digital, ligadas diretamente ao trabalho de coibir a realizao de crimes dessa natureza, os dados so preocupantes, como expe o procurador do Ministrio Pblico de So Paulo, Rodrigo Carnellas Dias, citado por Ponte (2004): Hoje, o Brasil ocupa o segundo lugar como o pas que tem mais sites desfigurados no mundo, ficando atrs apenas dos Estados Unidos. Isso acontece porque os invasores sabem que no Brasil no h muita preocupao com a punio de crimes virtuais. Nos Estados Unidos, embora haja mais punies, ainda ocorrem um grande nmero de casos e muitos prejuzos. O FBI e o Computer Security Institute pesquisaram o assunto nas 500 maiores companhias americanas. Concluram que, entre 1997 e 1999, elas perderam 360 milhes de dlares por causa de crimes computacionais. O Cdigo Penal do Brasil foi feito em 1940 e est completamente desatualizado. Se algum der uma marretada no computador de outra pessoa, pode ser processado por danificar a propriedade alheia. Mas, se digitar um comando e apagar informaes valiosas, isso no considerado crime". Outra informao preocupante est relacionada aos Bancos. Informaes de empresas especializadas, relatam que de acordo com o Comit Gestor da Internet, o total de ataques soma uma mdia de 4,8 mil casos mensais, sendo que o mais comum a clonagem de pginas de Bancos, induzindo o usurio a digitar seus dados em site errado. H alguns meses, vrias instituies renomadas foram alvos de aes criminosas, sendo infectadas pelo vrus My Doom. 4.3. As principais ameaas dos ambientes informatizados Com a utilizao mais freqente de todos os recursos oferecidos pela informtica, mais especificamente, pela grande divulgao das facilidades que a internet disponibiliza, os riscos no esto apenas relacionados infeco pelo simples vrus de computador. Vrias outras ameaas esto cada vez mais prximas de todos os usurios. Ameaas como vrus, spam, spyware, adware, engenharia social, dentre outros, podem e devem ser combatidas e evitadas, muitas vezes, atravs da utilizao de softwares simples, porm uma ao isolada pode se tornar ineficiente. Para se obter uma proteo com grau de eficincia melhor, uma srie de rotinas devem ser obedecidas, e segundo

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

12
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

Vasconcellos (2005), procedimentos como os citados a seguir podem ser de grande valia, a saber: a) Instalao e personalizao de Firewall. O Firewall funciona como uma porta, que filtra a entrada e a sada de trfego de rede de sua mquina, permitindo ou negando, conforme o que est determinado em sua configurao. b) Instalao de software Antivrus. Software que tenta identificar, remover e eliminar vrus de computador e outros softwares maliciosos. Normalmente, os softwares antivrus buscam por padres especficos de cdigos que possuem um perfil ou assinatura de algo que reconhecidamente causa danos. O antivrus ser de pouqussima utilidade se o seu banco de dados de definies no for atualizado, preferencialmente, todos os dias. Algumas ferramentas gratuitas podem ser obtidas, porm somente esto disponveis para uso pessoal e no-comercial, como o AVG Anti-Virus Free Edition, disponvel em: http://free.grisoft.com, o BitDefender 8 Free Edition, disponvel em: http://www.bitdefender.com/site/Main/view/ Download-Free-Products.html, entre vrios outros que podem ser obtidos ou utilizados on-line. c) Patches de Segurana. Uma das formas mais eficientes de se manter livre de worms e vrios outros softwares maliciosos, mantendo seu sistema sempre atualizado, porm devem-se tomar cuidado, ainda, com as falsas correes, os boatos (hoax). No somente seu sistema operacional deve estar atualizado, mas tambm todos os demais sistemas e utilitrios. Os patches de segurana podem ser facilmente baixados e instalados do site de seus fabricantes, como por exemplo, as atualizaes do Windows, disponveis para os usurios do sistema original em http://update.microsoft.com. d) utilizao de software Anti-*. Somente o software Anti-Vrus no mais suficiente, para se proteger das diversas ameaas que surgiram nos ltimos tempos. Atualmente, outros softwares so necessrios, como: Anti-Spam, Anti-Spyware e Anti-Adware e Anti-Phishing. Todos esses recursos esto disponveis isoladamente, porm se recomenda sua utilizao atravs dos chamados pacotes, em que todos esto integrados e seu funcionamento mais eficaz. O software anti-Spam funciona, basicamente, como um filtro de mensagens no solicitadas, porm, primeiramente, o usurio deve configur-lo para reconhecer quais so as mensagens consideradas desejadas e quais so consideradas lixos. O software Anti Spyware e Adware tem como funo, bloquear softwares maliciosos como cavalos de tria (trojans), malware, seqestradores de browser

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

13
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

e componentes de rastreamento, que sejam instalados em seu computador sem o seu conhecimento. O software Anti - Phishing, alerta os usurios que o site faz uso de recursos tcnicos e de engenharia social, para roubar a identidade, dados pessoais e financeiros. Primeiramente, so utilizadas falsas mensagens de email que levam os usurios a esses falsos sites, projetados para obter informaes como nmeros de carto de crdito, senhas, CPF, RG, entre outras. Para obter maior credibilidade, fazem uso de marcas conhecidas. 4.3.1. Brasil o 7 dos 12 maiores remetentes de spam. Os dados abaixo foram publicados na Seo Vrus & Cia, do portal Terra (Fonte: http://tecnologia.terra.com.br/interna/0,,OI1078711-EI4805,00.html, acessado em 26/07/06) e mostra a realidade no que diz respeito s mensagens eletrnicas indesejadas, revelando tambm que o Brasil faz parte desse selecto grupo. Os Estados Unidos lideram o ranking dos maiores remetentes mundiais de mensagens eletrnicas indesejadas, o chamado spam, seguidos de perto por China e Coria do Sul, de acordo com informaes da empresa de segurana Sophos. O Brasil aparece em stimo lugar, sendo o nico sul-americano na lista dos 12 maiores remetentes de spam. Ainda segundo o estudo, 23,2% do spam recebido no mundo inteiro so procedentes dos Estados Unidos, apesar do pas contar, desde 2003, com uma lei federal cujo objetivo combater esse tipo de mensagem, a Can-Spam Act. " lamentvel ver os Estados Unidos perderem um pouco de seu impulso na luta contra o spam. A quantidade estava diminuindo a cada trimestre desde a entrada em vigor da Can-Spam Act. Parece que os Estados Unidos ainda tm muito trabalho pela frente" para combater essas mensagens indesejadas, disse Ron O'Brien, especialista em questes ligadas segurana na rea de informtica. Outros grandes remetentes mundiais de spam so China (20%) e Coria do Sul (7,5%). A Frana ocupa o quarto lugar, com 5,2%, e a Espanha aparece em quinto, com 4,8%. Com 3,1%, o Brasil aparece em stimo lugar, superando Itlia (3%), Alemanha (2,5%) e Gr-Bretanha (1,8%). Os demais includos na lista elaborada pela Sophos, so: Polnia (3,6%), Taiwan (1,7%) e Japo (1,6%). A sia o continente que mais envia spam, com 40,2%. 4.3.2. Engenharia Social Muitas vezes os usurios de computadores so as vtimas do ataque da Engenharia Social, que um mtodo bastante simples de se obter informaes. A grande maioria dos mal-intencionados utiliza-se da psicologia, exatamente
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

14
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

isso, da psicologia, para conseguir informaes restritas, essa tcnica chamada de engenharia social, que consiste em convencer algum de dentro de uma empresa de que voc confivel e que pode receber informaes restritas. Existem diversas formas de se efetuar um ataque de engenharia social, mas todas elas tm em comum a caracterstica de usarem, basicamente, psicologia e perspiccia, para atingir os seus propsitos. Atualmente, as mais populares so: - Usar telefone ou e-mail para se fazer passar por uma pessoa (geralmente algum da equipe de suporte tcnico ou um superior da pessoa atacada) que precisa de determinadas informaes para resolver um suposto problema; - Aproveitar informaes divulgadas em um frum pblico da Internet (lista de discusso por e-mail, newsgroup, IRC) por um administrador ou usurio que busca ajuda para resolver algum problema na rede; - Enviar programas maliciosos ou instrues especialmente preparadas para um administrador ou usurio, com o objetivo de abrir brechas na segurana da rede ou coletar o mximo de informaes possvel sobre ela (esta tcnica particularmente eficaz quando a pessoa pede auxlio em algum frum de discusso pela Internet); - Navegar por websites ou pastas FTP em busca de informaes teis muitas vezes, possvel encontrar descries detalhadas da infra-estrutura computacional e/ou documentos que, por descuido ou esquecimento, no foram removidos do servidor. A engenharia social um problema srio. Uma organizao deve pregar uma poltica que possa proteg-la contra essa ameaa, sendo que essa poltica deve ser repassada para toda a organizao. No adianta implementar as mais modernas ferramentas de segurana, se os funcionrios no forem conscientes e responsveis quanto s informaes que lhe so confiadas. Tudo isso resulta em uma preocupao constante em relao segurana e, mesmo ciente de que atualmente no existe segurana total, e que na verdade ela inatingvel, o que existe uma srie de precaues que so tomadas, para proteger a instituio dos diversos tipos de ameaas. Medidas desse cunho tm como objetivo minimizar os riscos e garantir o uso ininterrupto dos sistemas de informao, hoje, implantados no ambiente de rede da instituio como um todo, porm sem uma conscientizao geral, todos os esforos e investimentos, sejam de tempo e tambm financeiros, podero ter sido em vo.

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

15
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

4.3.3. Os dez piores vrus de todos os tempos Sentiu-se a necessidade de ilustrar tambm, com informaes teis sobre os piores vrus que j assombraram tanto organizaes como usurios domsticos, as informaes foram relatadas num especial sobre vinte anos de pragas eletrnicas, onde foram listados em ordem cronolgica, os dez piores vrus criados para microcomputadores em todos os tempos, desde o CIH (tambm conhecido como Chernobyl), de 1988, at o Sasser, criado por um adolescente alemo em 2004. Essas pragas causaram danos econmicos importantes, chegando a bilhes de dlares em alguns casos, alm de ocasionarem a perda de uma quantidade considervel de dados e deixarem um grande nmero de mquinas danificadas. Saiba um pouco mais sobre os dez vrus mais perigosos que os computadores j enfrentaram. Quadro 1. Dez piores vrus e suas caractersticas
NOME Data de incio Principais caractersticas: Liberado em Taiwan, tendo como alvo o Windows 95, 98 e arquivos executveis do ME. Residente na memria, podia sobrescrever dados no HD. Tambm conhecido como "Chernobyl", deixou de ser maligno, devido grande migrao dos usurios para o WIndows 2000, XP e NT, que no so vulnerveis a ele. Prejuzos estimados: de US$ 20 milhes a US$ 80 milhes, alm dos dados destrudos. Vrus de macro para documentos Word, espalhou-se rapidamente e forou empresas como Intel e Microsoft, a fechar seus sistemas de e-mail, para conter a praga, que se disseminava via Outlook. Era enviado pela Internet, modificava documentos do Word colocando falas do programa de televiso Os Simpsons. Causou danos estimados em US$ 300 milhes a US$ 600 milhes. Tambm conhecido como Loveletter e The Love Bug, o ILOVEYOU, era um script de Visual Basic com uma mensagem amorosa e foi detectado pela primeira vez em Hong Kong. Transmitido via e-mail. Continha o anexo Love-Letter-ForYou.TXT.vbs. Espalhava-se via Outlook. Sobrescrevia arquivos de msica, imagem e outros com uma cpia sua. Como autor do vrus era filipino e na poca, naquele pas no havia leis contra criao de vrus, nunca foi punido. A estimativa dos danos financeiros ficou entre US$ 10 bilhes e US$ 15 bilhes.

CIH

Junho de 1988

W97M/ Melissa

Maro de 1999

Iloveyou

Maio de 2000

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

16
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas
Worm liberado em servidores de rede. Alvo principal: servidores rodando Microsofts Internet Information Server (IIS). Explorava vulnerabilidade no sistema operacional do IIS. Tambm conhecido como Bady, o Code Red foi criado para causar o mximo de danos. Quando infectados, sites controlados por um servidor atacado exibiriam a mensagem "HELLO! Welcome to http://www.worm.com! Hacked By Chinese!". Dirigia ainda ataques a determinados endereos IP, incluindo a Casa Branca. Em menos de uma semana, o vrus infectou quase 400 mil servidores pelo mundo. As estimativas chegaram a um milho de computadores infectados, e danos de US$ 2,6 bilhes. Tambm conhecido como Sapphire. Como foi lanado em um sbado, o dano foi baixo em termos de dlares. Entretanto, ele atingiu 500 mil servidores em todo o mundo, deixando a Coria do Sul fora do ar por 12 horas. Seu alvo era os servidores. Infectou 75 mil computadores em 10 minutos e atrapalhou enormemente o trfego on-line. O Blaster, tambm conhecido com Lovsan ou MSBlast, espalhou-se rapidamente, explorando uma vulnerabilidade do Windows 2000 e XP, e quando ativado, exibia uma mensagem de eminente queda do sistema. Seu cdigo trazia instrues para um ataque DDoS contra o site windowsupdate.com, programado para o dia 15 de abril. Centenas de milhares de PCs foram infectados, e os danos ficaram entre US$ 2 bilhes e US$ 10 bilhes. Surgiu em seguida ao Blaster, tendo usurios corporativos e domsticos de PC como alvo. A variante mais destrutiva foi a Sobig.F, que se espalhou rapidamente, gerando mais de um milho de cpias em apenas 24 horas. Em 10 de setembro, o vrus se desativou e deixou de ser uma ameaa. A Microsoft chegou a oferecer uma recompensa de US$ 250 mil, para quem identificasse o criador do Sobig.F. Os danos foram estimados entre US$ 5 a US$ 10 bilhes, com mais de um milho de PCs infectados. Um worm clssico e sofisticado, vinha anexado a um e-mail e vasculhava arquivos do Windows em busca de endereos de email que pudesse utilizar para se replicar. O verdadeiro perigo do worm, tambm conhecido com Beagle, e suas 60 a 100 variantes que, ao infectar o PC, ele abria uma porta que permitia o controle total e a distncia do sistema. Os danos foram estimados em dezenas de milhes de dlares, e a contagem continua. Tambm conhecido como Norvarg, espalhou-se em um arquivo anexado que parecia ser uma mensagem de erro, com o texto "Mail transaction failed", e via compartilhamento de arquivos entre os usurios da rede P2P Kazaa. A sua replicao foi to bem-sucedida que especialistas em segurana de PCs calcularam que uma em cada dez mensagens de e-mail enviadas durante as primeiras horas da infeco, continha o vrus. Chegou a diminuir em 10% a performance global da

Code Red

13 de julho de 2001

SQL Slammer

25 de janeiro de 2003

Blaster

11 de agosto de 2003

Sobig.F

Agosto de 2003

Bagle

18 de janeiro de 2004

MyDoom

26 de janeiro de 2004

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

17
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

Internet e aumentar o tempo de carregamento dos sites em 50%.

Sasser

Abril de 2004

Criado por um adolescente alemo (17 anos de idade), deixou fora do ar o satlite de comunicaes para algumas agncias de notcias da Frana. Resultou no cancelamento de vrios vos da Delta Airlines e na queda do sistema de vrias companhias ao redor do mundo. No era transmitido por e-mail e no precisava de nenhuma ao do usurio. Explorava falha de segurana do Windows 2000 e XP desatualizados e ao se replicar, procurava ativamente por outros sistemas desprotegidos. Causava quedas repetidas e instabilidade. Na poca, o autor era menor de idade, foi considerado culpado por sabotagem de computadores, mas a sentena foi suspensa. Causou dezenas de milhes de dlares em prejuzos.

Fonte: www.tecnologia.terra.com.br/interna, acessado em 26/07/06; adaptado pelo autor.

4.4. As pragas virtuais e seus riscos - Programas em perigo Segundo Sullivan (2006, p. 48-50), relatos mostram que o sistema operacional Windows no mais o alvo exclusivo de ataques. O expressivo nmero de falhas de segurana, em programas mais utilizados e de uso dirio, so uma porta aberta para o acesso de hackers. O Sistema Operacional Windows ficou mais protegido, as atualizaes automticas fizeram com que o sistema seja mais resistente ao dos piratas da internet. A ao dos hackers (significado que ser abordado mais frente neste trabalho), hoje est motivada pela possibilidade em ganhar dinheiro, procurando maneiras de como descobrir senhas de bancos, de cartes de crdito. Vrias podem ser as formas de acesso em uma mquina, seja atravs de softwares, arquivos de udio e vdeo, todo o cuidado pouco, em se tratando de proteo de seus dados. Uma pesquisa atual realizada pela Sans Institute e pela consultoria de segurana Secunia mostra alguns dos programas mais vulnerveis e o nmero total de brechas de cada aplicativo.

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

18
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

Quadro 2. Programas mais vulnerveis

PROGRAMA Internet Explorer 6.0 Firefox 1.x RealPlayer 10.x Winamp 5.x QuickTime 7.x Itunes 6.x N DE VULNERABILIDADES 91 26 11 5 3 2

Fonte: SANS (www.sans.org) e (www.secunia.com)

Os nmeros acima servem de alerta aos usurios, demonstrando que no s atravs de falhas no sistema operacional que seus computadores podem ser alvo fcil dos hackers. Na continuidade, a matria traz alguns conselhos e algumas dicas de como se proteger e tornar o ataque de hackers mais difcil. Uma questo importante e que deve ser levada bastante a srio, diz respeito vulnerabilidade, que pode ser causada por uma falha no projeto, implementao ou configurao de um software ou sistema operacional que, quando explorada por um atacante, resulta na violao da segurana de um computador. 5. Segurana lgica: um caso de polcia Objetivando minimizar os riscos de acessos no autorizados, deve ser implantada em um ambiente de rede, uma poltica de segurana, que visa atribuir direitos e responsabilidades s pessoas que lidam com os recursos computacionais de uma instituio e com as informaes, neles, armazenados. Ela tambm define as atribuies de cada um em relao segurana dos recursos com os quais trabalham. Uma poltica de segurana tambm deve prever o que pode ser feito na rede da instituio e o que ser considerado inaceitvel. Tudo o que descumprir a poltica de segurana pode ser considerado um incidente de segurana. Na poltica de segurana, tambm so definidas as penalidades as quais esto sujeitos aqueles que no cumprirem a poltica determinada. As polticas de segurana so regras que as organizaes devem implantar internamente, porm, cabe tambm Justia, atravs de seus meios, inibir, de forma correta, a ao dos piratas cibernticos e, no Brasil, cabe Polcia Federal e Polcia Civil de cada estado a funo de investigar os delitos
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

19
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

cometidos por meio do computador. Em So Paulo, funciona o Centro de Crimes pela Internet, atrelado ao DEIC - Departamento Estadual de Investigaes Criminais. Em Braslia, existe, desde 1995, no Instituto Nacional de Criminalstica, a Seo de Crimes por Computador, ligada Percia Tcnica da Polcia Federal. A equipe de sete peritos especializados na rea de crimes cibernticos a responsvel por emitir laudos oficiais. Os laudos so pedidos atravs de denncias no Ministrio Pblico ou para serem anexados em inquritos feitos nas delegacias da Polcia Federal. Em relao aos hackers e crakers, Marcelo Correia Gomes, chefe da Seo de Crimes por Computador, diz que h atuaes para identificar invases de sites do Governo Federal, do Presidente da Repblica e dos Ministrios, ele afirma que: "Dependendo do nvel de conhecimento do hacker, pode ser fcil ou impossvel encontrar o invasor". Segundo ele, os hackers mais experientes no atacam a partir do prprio computador, mas invadem outros computadores para, ento, roubar a senha e fazer a invaso. O usurio do computador que tem a senha roubada, nem desconfia que est sendo usado. difcil, mas a gente vai seguindo at determinar o autor que, em certos casos, pode at responder por ofensa s autoridades". No caso de prejuzos aos sites de empresas, como a legislao brasileira no especifica esses crimes, a qualificao do delito depende da forma como o delegado vai fazer o inqurito. Os crimes mais graves aplicados via Internet recebem o rtulo de estelionato na desatualizada legislao brasileira. Esse foi o caso de uma quadrilha presa em novembro do ano passado, na cidade de Marab, no Par. A quadrilha atuava no sistema de home banking, quebrando a senha de correntistas e fazendo a transferncia de dinheiro. "O que mais tem na Internet so hackers especializados em quebrar senhas de segurana de programas comerciais. Quando saiu o Windows XP, depois de seis horas j era possvel craquear o programa", afirma Gomes. 6. As diferenas entre hackers e crackers 6.1- Hackers De acordo com Rohr (2006), um hacker um especialista em computadores. Algum que sabe muito, estuda e entende de redes, programao, sistemas, etc. Gosta de "fuar" o cdigo dos sistemas operacionais e outros programas para descobrir como funcionam.
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

20
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

H confuso entre hacker e cracker, como se fossem sinnimos. Os hackers "de verdade" protestam: consideram-se estudiosos e no tm o objetivo de prejudicar ningum, ainda que invadam sistemas para entender ao seu funcionamento. Muitos so ativos trabalhadores na rea de segurana. Em uma definio mais aprofundada, diz-se que o hacker originou-se na dcada de 50, para definir pessoas interessadas pela (ento iniciante) era da informtica. Essa definio diz que um hacker uma pessoa que consegue hackear, verbo ingls to hack, portanto hack o ato de alterar alguma coisa que j est pronta ou em desenvolvimento, deixando-a melhor. Nesse sentido, os hackers seriam as pessoas que criaram a Internet, que criaram o Windows, o Linux e os especialistas em segurana das grandes empresas. Com o passar dos anos, esses primeiros hackers passaram a utilizar o verbo hack, para definir no somente as pessoas ligadas informtica, mas sim, os especialistas em diversas reas. O Hacker How-To, de Eric S. Raymond define isso da seguinte forma: Existem pessoas que aplicam a atitude hacker a outras coisas, como eletrnica ou msica na verdade, voc pode encontr-la nos mais altos nveis intelectuais de qualquer cincia ou arte. Os hackers de software reconhecem esse esprito aparentado em outros lugares e podem cham-los de hacker tambm e alguns dizem que a natureza hacker de fato independente do meio particular no qual o hacker trabalha. importante lembrar que existe toda uma cultura por trs do sentido da palavra hacker. A Cultura Hacker define diversos pontos para estilo e atitude e, por mais que paream estranhos, muitas das pessoas que se tornam os chamados programadores extraordinrios possuem esse estilo e atitude naturalmente. 6.2. Cracker Tambm com base em Rohr (2006), cracker o hacker "mau". Aquele que invade sistemas e computadores alheios com a inteno de causar dano, roubar dados. Enquadram-se nesta categoria os "pichadores" de sites, que invadem e desfiguram pginas pela Internet. O Brasil tristemente famoso pelo grande nmero de Crackers, muitas vezes, confundidos com hackers. A definio de cracker est relacionada ao indivduo com aes mais destrutivas que um hacker, pois invade o sistema de segurana de um computador ou rede de computadores com o objetivo de roubar, destruir ou apagar informaes. A destruio de dados no afetaria a maioria das empresas, visto que muitas delas fazem backup diariamente (ou diversas vezes por dia), no por medo de invaso, mas para se prevenir de falhas que podem ocorrer com
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

21
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

hardware, discos, outras cpias de backup, incndios e outros. O que, realmente, preocupa o roubo de dados. Nmeros de cartes de crditos, documentos confidenciais, cdigos-fonte de projetos e softwares da empresa, entre outras informaes que podem ser obtidas por uma pessoa que invade um sistema, sem que a mesma destrua qualquer outro tipo de informao. Atualmente, as discusses sobre qual o verdadeiro significado de hacker so consideradas inteis. A mdia vai continuar usando o termo incorreto, isso, provavelmente, no vai mudar, mas em textos tcnicos sobre segurana a definio mais antiga empregada, ou seja, hacker refere-se a programadores extraordinrios, capazes de concluir suas tarefas em um tempo menor que os demais. A absoro dos hackers pelo mercado de trabalho na rea de segurana um caminho para os que se destacam. O conhecimento adquirido acaba sendo usado profissionalmente com boa remunerao, pois h um grande mercado de servios de empresas que vendem a proteo dos sistemas de computadores e no caso da Sans Institute, at promove campeonato entre hackers. uma boa forma de propagar os perigos de um sistema sem segurana e de incentivar as invases para se criar a necessidade do produto. Essa lei de mercado ciberntico tambm vale para as grandes empresas que fabricam programas antivrus e se beneficiam da imensa quantidade de novos vrus produzidos mensalmente em escala mundial. Existem casos em que um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede, como observamos na tabela sobre as vulnerabilidades expostas neste trabalho. Portanto, um atacante conectado Internet, ao explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel. Algumas definies entre hacker e cracker trazem que hacker invade apenas para olhar, enquanto o cracker invade para destruir, o que para certos pontos de vista, est incorreto. 7. Algumas recomendaes para se proteger dos golpes da internet Devido a pouca preocupao dos usurios de computadores, ou internautas com a segurana de seus computadores, seja por preguia, falta de tempo ou muitas vezes por simples desinformao, muitos deles ignoram cuidados bsicos que os expem s aes de piratas virtuais. Prova disso a apario do vrus Netsky.P, identificado no incio de 2004, no ranking das pragas mais ativas de 2005. Se os usurios atualizassem seus programas de segurana que protegem contra o Netsky.P, disponvel desde maro de 2004, a praga teria sumido poucos meses aps ser criada. As
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

22
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

recomendaes abaixo servem para preveno de vrios tipos de problemas que podem originar-se pela falta da devida ateno, so aes bsicas, mas que valem a pena serem observadas:

Instale antivrus no computador e faa atualizaes semanais, mantenha seu navegador sempre atualizado; nunca clique em links ou visite sites sugeridos em e-mails, principalmente se a autoria for desconhecida; nunca envie informaes sigilosas via e-mail ou mensagens instantneas; troque regularmente as senhas utilizadas em transaes financeiras; crie um e-mail apenas para se cadastrar em sites, se voc receber mensagens de "velhos amigos" ou do seu banco nesse endereo, desconfie; parta do princpio de que dinheiro no vem fcil e pense duas vezes antes de aceitar propostas "incrveis" recebidas pela internet.

Contudo, se aps observar as orientaes acima, o usurio estiver em dvida se seu computador foi ou no invadido, alguns passos podem ser seguidos, como:

Deixe de acessar servios de banco on-line e fazer compras pela web at resolver o problema; rode uma verificao do antivrus atualizado em toda a mquina, dessa forma possvel encontrar a praga e, em alguns casos, remov-la; monitore regularmente suas movimentaes financeiras; denuncie o golpe do qual foi vtima Delegacia de Delitos e Meios Eletrnicos de sua regio; caso perceba movimentaes estranhas na sua conta corrente, entre em contato com o banco e pea orientaes, o mesmo vale para operadoras de carto de crdito.

As vtimas de crimes virtuais devem sempre procurar uma delegacia e fazer um boletim de ocorrncia. 8. Consideraes finais Aps as explanaes e relatos deste trabalho, observou-se que muitas aes devem ser tomadas, para que os danos causados por um possvel ataque, sejam de vrus, hackers ou de qualquer outra forma, sejam minimizados. Muitas so as formas de se obter informaes sigilosas e, mesmo que os profissionais
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

23
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

da rea de informtica tomem todas as precaues e cuidados necessrios dentro de uma organizao, sem a plena conscientizao dos usurios como um todo, o trabalho para se evitar as temidas invases, ter sido em vo. Outro aspecto importante relatado neste trabalho refere-se elaborao e implantao de um bom plano de contingncia, pois em muitos casos, quando da ocorrncia de um sinistro, somente com um bom plano de contingncia que se pode dar continuidade s atividades de uma organizao. Se esse plano for bem elaborado, certamente, ser bem menor o prejuzo causado por um sinistro qualquer. Evidenciou-se tambm que muitos so os meios de se obter informaes, e esses meios esto em constante desenvolvimento, acompanhando, ou at mesmo, estando frente dos recursos que objetivam bloquear acessos indevidos. Ao trmino deste trabalho, pode-se concluir que as atividades relacionadas segurana nunca sero consideradas finalizadas, ou seja, seu produto nunca estar completamente acabado, necessitando sempre de atualizaes, dado ao dinamismo que hoje se observa nos ambientes de informaes das organizaes. As implementaes relacionadas segurana tm um agravante a mais, ao contrrio do que se observava em tempos no muito distantes, h apenas alguns anos atrs, e que hoje necessitam de um tratamento diferenciado, pois nos tempos atuais, impossvel se pensar em uma organizao que no esteja conectada atravs da internet, aos mais diferenciados servios que a era da informao disponibiliza. Assim sendo, a organizao, se no estiver bem protegida, pode estar a um clique para se tornar alvo de invases, roubo de senhas, enfim, ser vtima dos temidos criminosos cibernticos. Ao finalizar este trabalho, percebe-se que ele foi de grande proveito, pois possibilitou obter conhecimentos extremamente teis no desenvolvimento de atividades profissionais, porm sabe-se que ele no deve ser considerado como finalizado, no termo propriamente dito, como se evidencia neste mesmo trabalho, as mudanas so constantes, e as atualizaes devem no mnimo, acompanhar tais mudanas. 9. Referncias Bibliogrficas ARIMA, Carlos Hideo. Metodologia de auditoria de sistemas. So Paulo: rica, 1994. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Referncias bibliogrficas (NBR 6023) Rio de Janeiro, 2000.

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

24
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

Boletim bimestral sobre tecnologia de redes. [on-line] Disponvel na Internet: www.rnp.br. Carlos Campana. V. 1, n. 1. 30/mai/97.- Acessado em 08/08/2006. CAIARA JNIOR, Ccero. Sistemas integrados de gesto ERP: uma abordagem gerencial. Curitiba: Ibpex, 2006. CARRAVILLA, Andr. Hackers: Brasileiros so maioria. Disponvel em http://noticias. correioweb.com.br/ultimas.htm?codigo=2614301. Acessado em 02/06/2006. CARTILHA DE SEGURANA PARA INTERNET. [on-line]. Disponvel em: http://cartilha.cert.br/. Acessado em 04/08/2006. CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica. Rio de Janeiro: Livros Tcnicos e Cientficos, 1991. CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de informaes. 2. ed. So Paulo: SENAC, 1999. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books do Brasil Editora, 2000. FONTES, Edison. Poltica da segurana da informao. Disponvel http://www.modulo. com.br/index.jsp> - Acesso em 19/08/2004 em:

GIL, Antonio de Loureiro. Auditoria de computadores. 3. ed. So Paulo: Atlas, 1998. MANDIA, Kevin HACKERS: resposta e contra-ataque - investigando crimes por computador / Kevin Mandia, Cris Prosise; traduo de Tomas Bueno. Rio de Janeiro: Campus 2001. MDULO [on-line] 9 Pesquisa nacional de segurana da informao. Disponvel em: <http://www. modulo.com.br/index.jsp> - Acesso em 19/08/2004 PONTE, Gabriella. Segurana na internet deve ser garantida. Sete pontos para concretizar a sociedade do conhecimento. Disponvel em http:// www.comunicacao.pro.br/setepontos/13/provedores.htm, N 13, Abr/2004.

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

25
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

PUTTINI, Ricardo S.. Principais aspectos da segurana. Disponvel em: http://www.redes. unb.br/security/introducao/aspectos.html> - Acesso em 19/08/2004 REDAO TERRA [on-line] Conhea os dez piores vrus de todos os tempos . Disponvel em: <http://tecnologia.terra.com.br/interna/0,,OI1063844EI4805,00.html> - Acesso em 26/07/2006 ROHR, Altieres. Hacker. Disponvel em:http://linhadefensiva.uol.com.br/informativos/ definicoes/ hacker - Acessado em 31/07/06 SOUZA, Hamilton Edson Lopes. Segurana e controle em sistemas de informao. In: CAIARA JNIOR, Ccero. Sistemas integrados de gesto ERP: uma abordagem gerencial. Curitiba: Ibpex, 2006. SULLIVAN, Andrew. Programas em perigo. PCWORLD.. So Paulo, n. 164, p. 48-50, mar. 2006. TREND MICRO Empresa desenvolvedora de Antivrus. Disponvel em: <http://pt.trendmicro-europe.com/enterprise/security_info/virus_map.php> Acesso em 08/08/2006. VASCONCELLOS, Ronaldo Castro de. Kit bsico de sobrevivncia na internet. Dia Internacional de segurana em informtica. 30 de Novembro de 2005. CAIS/RNP. Anexo: Definio de termos utilizados Antivrus: Programa ou software especificamente desenvolvido para detectar, anular e eliminar vrus de computador. Cavalo de tria: Programa, normalmente recebido como um presente (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc), que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio. Firewall: Dispositivo constitudo pela combinao de software e hardware, utilizado para dividir e controlar o acesso entre redes de computadores. Malware: Termo geral utilizado para fazer referncia a qualquer cdigo mvel ou programa mal-intencionado ou inesperado, como cdigos maliciosos, cavalos de Tria, worms ou programas do tipo "piada" (joke).

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais

26
Revista Eletrnica Lato Sensu Ano 2, n1, julho de 2007. ISSN 1980-6116 http://www.unicentro.br - Cincias Sociais e Aplicadas

Site: Local na Internet identificado por um nome de domnio, constitudo por uma ou mais pginas de hipertexto, que podem conter textos, grficos e informaes multimdia. Spam: Termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. Quando o contedo exclusivamente comercial, esse tipo de mensagem tambm referenciada como UCE (do Ingls Unsolicited Commercial E-mail). Spammer: Pessoa que envia spam. Spyware: Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informaes coletadas para terceiros. Podem ser utilizados de forma legtima, mas, na maioria das vezes, so utilizados de forma dissimulada, no autorizada e maliciosa. Worm: So trojans ou vrus que fazem cpias do seu prprio cdigo e as enviam para outros computadores, seja por e-mail ou via programas de bate-papo, dentre outras formas de propagao pela rede. Eles tm se tornado cada vez mais comuns e perigosos, porque o seu poder de propagao muito grande. Vrus: Cdigos mal-intencionados criados para causar transtornos a suas vtimas. Alguns no causam problemas maiores do que o envio automtico de emails para sua lista de contatos. Outros so terrveis e podem apagar arquivos, destruir programas inteiros e at comprometer todo o funcionamento do sistema.

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurana de Informaes: Ameaas Virtuais