7.

4 - Tecnologias e ferramentas para garantir a segurana

Curiosidade: As fraudes virtuais causaram, em 2009, um prejuzo recorde de R$ 612 milhes a instituies financeiras (bancos e administradoras de cartes) no Brasil. A perda de 2009 representa 24% dos R$ 2,5 bilhes faturados pelo comrcio eletrnico brasileiro no mesmo perodo. As cifras envolvidas nos golpes pela internet crescem rapidamente. Para evitar problemas com a imagem, os bancos evitam divulgar o tamanho do rombo causado por estas operaes indevidas realizadas via internet.

Por que os Sistemas So Vulnerveis

Problemas de hardware (quebras, erros de configurao, danos por uso imprprio ou crime)

Problemas de software (erros de programao, erros de instalao, mudanas no autorizadas) Desastres (quedas de energia, enchentes, incndios etc.) Vulnerabilidades da Internet Desafios da segurana sem fio

Vulnerabilidades e Desafios de Segurana Contemporneos

Normalmente, a arquitetura de uma aplicao baseada na Web inclui um cliente Web, um servidor e sistemas de informao corporativos conectados a bancos de dados. Cada um desses componentes apresenta vulnerabilidades e desafios de segurana. Enchentes, incndios, quedas de energia e outros problemas tcnicos podem causar interrupes em qualquer ponto da rede.

Phishing - engenharia social: forma de fraude eletrnica, caracterizada por tentativas de adquirir informaes sigilosas: como senhas e nmeros de carto de crdito, ao se fazer passar como uma pessoa confivel ou uma empresa enviando uma comunicao eletrnica oficial, como um correio ou uma mensagem instantnea. Na prtica do Phishing surgem artimanhas cada vez mais sofisticadas para "pescar as informaes sigilosas dos usurios. Nem sempre um hacker rouba as informaes para seu prprio uso. Existe um mercado em que as informaes so revendidas a outros criminosos. Tipos comuns de ataques phishing:

 E-mail Furto de identidade Furto de informaes bancrias Redes Sociais

Hackers versus crackers Hackers: elaboram e modificam software e hardware de computadores, seja desenvolvendo funcionalidades novas, seja adaptando as antigas. Crakers: invasores de computadores, programadores maliciosos e ciberpiratas que agem com o intuito de violar ilegal ou imoralmente sistemas cibernticos.

Software Mal-intencionado: Vrus, Worms, Cavalos de Tria e Spyware - Malware - Vrus - Worms - Cavalos de Tria - Spyware - Key loggers

Malware: Do ingls malicious software - Software destinado a se infiltrar em um sistema de computador alheio de forma ilcita, com o intuito de causar algum dano ou roubo de informaes. Vrus : Programa desenvolvido para alterar a forma como um computador opera, sem a permisso ou o conhecimento do seu usurio. Um vrus precisa atender a dois critrios:

1) Dever executar a si prprio, frequentemente inserindo alguma verso do seu prprio cdigo no caminho de execuo de outro programa. 2) Ele deve se disseminar. Pode se copiar em outros arquivos executveis ou em discos que o usurio acessa. Podem invadir tanto computadores desktop como servidores de rede. - Vrus de programa: tm extenses como .COM, .EXE, .OVL, .DLL, .DVR, .SYS, .BIN e, at mesmo, .BAT. Exemplos de vrus de programa conhecidos so Jerusalem e Cascade. - Vrus de setor de boot: infectam a rea do sistema de um disco - ou seja, o registro de inicializao em disquetes e discos rgidos. - Vrus de macro: infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access. - Variaes mais recentes tambm esto aparecendo em outros programas. Usam a linguagem de programao interna do programa, que foi criada para permitir que os usurios automatizem determinadas tarefas neste programa. Devido facilidade com que estes vrus podem ser criados, existem milhares deles espalhados.

Worms: Cria cpias de si mesmo automaticamente de um computador para outro. Primeiro controla recursos no computador que permitem o transporte de arquivos ou informaes, depois que o worm contamina o sistema, ele se desloca sozinho. O grande perigo dos worms a sua capacidade de se replicar em grande volume. Ex: um worm pode enviar cpias de si mesmo a todas as pessoas que constam no seu catlogo de endereos de email, e os computadores dessas pessoas passam a fazer o mesmo, causando um efeito domin de alto trfego de rede que pode tornar mais lentas as redes corporativas e a Internet como um todo. Quando novos worms so lanados, eles se alastram muito rapidamente. Eles obstruem redes e provavelmente fazem com que voc (e todos os outros) tenha de esperar um tempo maior para abrir pginas na Internet. Cavalos de Tria: Programas que parecem ser teis, mas na verdade comprometem a sua segurana e causam muitos danos. Um cavalo de Tria recente apresentava-se como um e-mail com anexos de supostas atualizaes de segurana da Microsoft, mas na verdade eram vrus que tentava desativar programas antivrus e firewalls. Se alastram quando as pessoas so seduzidas a abrir o programa por pensar que vem de uma fonte legtima. Para proteger melhor os usurios, a Microsoft envia com frequncia boletins de segurana via email, mas eles nunca contm anexos. Spyware:

Programa recolhe informaes sobre o usurio, sobre os seus costumes na Internet e transmite a uma entidade externa na Internet, sem o seu conhecimento nem o seu consentimento. Podem ser desenvolvidos por firmas comerciais, que desejam monitorar o

hbito dos usurios para avaliar seus costumes e vender este dados pela internet. Assim estas firmas costumam produzir inmeras variantes de seus programas-espies, aperfeioando-o, dificultando em muito a sua remoo. Muitos vrus transportam spywares, que visam roubar certos dados confidenciais dos usurios. Roubam dados bancrios, montam e enviam registros das atividades do usurio, roubam determinados arquivos ou outros documentos pessoais. Costumam vir legalmente embutidos em algum programa shareware ou freeware. Sua remoo feita quando da compra do software ou de uma verso mais completa e paga.

Principais componentes de um sistema de gesto da segurana da informao (SGSI)

NORMAS DE SEGURANA ISO/IEC 27001: Estabelece uma forma de lidar com a informao, consolidando um conjunto das melhores prticas da gesto de segurana da informao. Certifica as organizaes em termos de gesto de segurana da informao. A certificao demonstra que estas organizaes possuem um sistema de gesto que protege a sua informao com mecanismos de controle adequados s suas necessidades e realidade, verificados por uma entidade externa. Atravs da avaliao e gesto do risco este sistema procura garantir a continuidade de negcio e diminuir o impacto de eventuais incidentes de segurana.

Ao ser certificada em termos de Gesto da Segurana da Informao a organizao obtm principalmente os seguintes benefcios: - Credibilidade comercial; - Reduo de custos de incidentes; - Cumprimento de leis e regulamentos; - Reduo do risco de incidentes de segurana.

Vulnerabilidade dos Sistemas e Uso Indevido Ameaas Internas: Funcionrios - Ameaas segurana frequentemente se originam dentro da empresa - Engenharia social Vulnerabilidades do Software - Softwares comerciais contm falhas que criam vulnerabilidades de segurana - Patches (remendos)

Como Assegurar a Continuidade dos Negcios (Segurana)

Downtime - perodos em que o sistema no est disponvel: para fins de manuteno, troca de equipamento, arquivamento de dados antigos, etc. Sistemas de computao tolerantes a falhas - a sistemas de computador que continuam a operar em um nvel reduzido, porm aceitvel, depois de uma falha do sistema.

Computao de alta disponibilidade - De forma ampla: todo o tipo de solues redundantes de equipamento informtico e servios, no sentido de manter o funcionamento contnuo desses sistemas e, consequentemente, da empresa. Num sentido mais restrito digamos que se trata de um sistema alternativo, de segurana, que entra em funcionamento logo que o sistema (ou parte do sistema) principal/operacional falhar e que, especialmente, mantenha a disponibilidade de todos os dados. Computao orientada a recuperao - Recuperao de bases de dados Plano de recuperao de desastres - estratgias para restaurar os servios de computao e comunicao aps eles terem sofrido uma interrupo Plano de continuidade dos negcios - Anlise de cada rea da empresa e aponta os locais mais vulnerveis. Controles Biomtricos - medidas de segurana fornecidas por dispositivos de computador que medem caractersticas fsicas que tornam cada indivduo nico. Isto inclui: Verificao de voz; Anlise de digitao; Impresses digitais; Escaneamento de retina; Geometria de mo; Reconhecimento facial; Dinmica de assinatura; Anlise de padres genticos.

Certificado Digital - um arquivo presente no computador que permite identificar uma pessoa ou um computador. Alguns aplicativos, como seu navegador ou seu leitor de correio eletrnico, utilizam esse arquivo para comprovar a identidade do computador ou da pessoa com a qual voc est conectado. Controle de Acesso - Tecnologias e Ferramentas para Garantir a Segurana: - Autenticao: processo que busca verificar a identidade digital do usurio de um sistema, normalmente, no momento em que ele requisita um log in em um programa ou computador. - Tokens: Chave eletrnica - conjunto de caracteres (de um alfabeto, por exemplo) com um significado coletivo. - Smart cards: carto de plstico com tarja magntica. Usado em cartes bancrios/crdito e de identificao pessoal, tambm nos celulares GSM ("chip). Possui capacidade de processamento embute um microprocessador e memria (que armazena vrios tipos de informao na forma eletrnica), ambos com sofisticados mecanismos de segurana. Firewalls, Sistemas de Deteco de Invaso e Software Antivrus:

- Firewall: combinao de hardware e software que controla o fluxo de trfego que entra ou sai da rede. Sistemas de deteco de invaso monitoram em redes corporativas para detectar e deter intrusos. - Software antivrus e antispyware: verifica a presena de malware em computadores e frequentemente tambm capaz de elimin-lo Um Firewall Corporativo: O firewall colocado entre a Internet pblica ou outra rede pouco confivel e a rede privada da empresa, com a inteno de proteger esta contra trfego no autorizado.

Um Firewall Corporativo (de rede): Sistema guardio que protege as intranets e outras redes de computadores de uma empresa contra a invaso, funcionando como um filtro e ponto seguro de transferncia para acesso Internet e outras redes. Um computador de rede firewall filtra todo o trfego de rede em busca de senhas corretas ou outros cdigos de segurana e somente permite transmisses autorizadas para dentro e para fora da rede. Os firewalls se tornaram um componente essencial de organizaes que se conectam com a Internet, em virtude da vulnerabilidade e falta de segurana da Internet. Os firewalls podem deter, mas no evitar inteiramente, o acesso no autorizado (hacking) s redes de computadores. Segurana em Redes Sem Fio: Algoritmos e mtodos de criptografia A segurana WEP (Wired Equivalent Privacy) pode ser melhorada quando usada com a tecnologia VPN (Virtual Private Network ) - Rede privada trafegando pela web (pblica), com protocolos de criptografia. Especificaes Wi-Fi Alliance/Acesso Protegido (WPA - Wi-Fi Protected Access) Protocolo de Autenticao Extensvel (EAP) - permite mtodos de autenticao arbitrrios que utilizam trocas de informaes e credenciais de tamanhos arbitrrios. Proteo contra redes falsas Criptografia e Infra-Estrutura de Chave Pblica: Criptografia: transformar textos comuns ou dados em um texto cifrado, que no possa ser lido por ningum a no ser o remetente e o destinatrio desejado.