FACULDADES METROPOLITANAS UNIDAS

SEGURANA E AUDITORIA DE SISTEMAS

MEMRIAS DE AULA
AMEAAS E VULNERABILIDADES
Prof. Ms. Marcelo Ferreira Zochio
So Paulo
2011
1. AS AMEAAS
As ameaas so causa potencial de um incidente indesejado, que caso se concretize pode
resultar em dano. Ameaas exploram as falhas de segurana, que denominamos pontos fracos,
e, como conseqncia, provocam perdas ou danos aos ativos de uma empresa, afetando os
seus negcios.
Os ativos esto constantemente sob ameaas que podem colocar em risco a integridade, a
confidencialidade e a disponibilidade das informaes. Essas ameaas sempre existiro e esto
relacionadas a causas que representam riscos, as quais podem ser:
Causas naturais ou no-naturais
Causas internas ou externas
Dessa forma, entendemos que um dos objetivos da segurana da informao impedir que as
ameaas explorem os pontos fracos e afetem um dos princpios bsicos da segurana da
informao (integridade, disponibilidade, confidencialidade), provocando danos ao negcio
das empresas. Dados a importncia das ameaas e o impacto que elas pode ter para as
informaes das organizaes, vamos revisar agora a sua classificao.
As ameaas so constantes e podem ocorrer a qualquer momento. Essa relao de freqncia-
tempo se baseia no conceito de risco, o qual representa a probabilidade de que uma ameaa
se concretize por meio de uma vulnerabilidade ou ponto fraco. Elas podem se dividir em trs
grandes grupos:
Ameaas naturais condies da natureza e a intemprie que podero provocar danos
nos ativos, tais como fogo, inundao, terremotos.
Intencionais so ameaas deliberadas, fraudes, vandalismo, sabotagens,
espionagem, invases e furtos de informaes, entre outros.
Involuntrias so ameaas resultantes de aes inconscientes de usurios, por vrus
eletrnicos, muitas vezes causados pela falta de conhecimento no uso dos ativos, tais
como erros e acidentes.
Entre as principais ameaas, a ocorrncia de vrus, a divulgao de senhas e a ao de hackers
esto entre as mais freqentes. Com a importncia estratgica que vem conquistando as
tecnologias da informao, os prejuzos com as invases e incidentes na Internet provocam a
cada ano, um impacto mais profundo nos negcios das empresas brasileiras.
O mercado est mais atento aos novos perigos que resultam da presena e do uso da Internet.
Sete de cada dez executivos entrevistados acreditam que haver um aumento no nmero de
problemas de segurana em 2000; 93% reconhecem a grande importncia da proteo dos
dados para o sucesso do negcio, sendo que 39% a consideram a proteo de dados para o
ambiente corporativo.
O controle daquilo que ocorre nas redes corporativas foi um dos pontos mais fracos nas
empresas brasileiras. Destacamos os seguintes fatores crticos detectados pela pesquisa a ser
analisada na figura a seguir:
Figura 1 Principais ameaas
Somente 27% afirmam nunca ter sofrido algum tipo de ataque.
Cerca de 41% nem sequer sabem que foram invadidos, revelando o grande risco que
as organizaes correm em no conhecer os pontos fracos da intranet.
Para 85% das empresas, no foi possvel quantificar as perdas causadas por invases
ou contingncias ocorridas.
O acesso Internet por modem permitido em 38% das empresas. Este um grande
perigo indicado pela pesquisa, j que as empresas no destacaram a utilizao de
medidas de segurana para esse uso.
Setenta e cinco por cento das empresas mencionam que os vrus so a maior ameaa
segurana da informao nas empresas. Embora 93% das corporaes afirmem ter
adotado sistemas de preveno contra vrus, 48% viram seus sistemas contaminados
nos ltimos seis meses e apenas 11% das empresas entrevistadas declaram nunca ter
sido infectadas.
A divulgao de senhas foi indicada como a segunda maior ameaa segurana, sendo
mencionada por 57% das empresas. Os hackers, tradicionalmente os maiores viles da
Internet, aparecem em terceiro lugar (44%), e os funcionrios insatisfeitos (42%) em
quarto lugar.
2. VULNERABILIDADES
As ameaas sempre existiram e de se esperar que, medida que a tecnologia progride,
tambm surjam novas formas atravs das quais as informaes podem ficar expostas;
portanto, importante conhecer a estrutura geral de como se classificam as vulnerabilidades
ou pontos fracos que podem fazer com que essas ameaas causem menos impactos em nossos
sistemas, comprometendo os princpios da segurana da informao.
As vulnerabilidades cujos ativos podem estar expostos incluem:
Fsicas
Naturais
De hardware
De software
De meios de armazenagem
De comunicao
Humanas
As vulnerabilidades so os elementos que, ao serem explorados por ameaas, afetam a
confidencialidade, a disponibilidade e a integridade das informaes de um indivduo ou
empresa.
Um dos primeiros passos para a implementao da segurana rastrear e eliminar os pontos
fracos de um ambiente de tecnologia da informao. Ao se identificarem as vulnerabilidades
ou pontos fracos, ser possvel dimensionar os riscos aos quais o ambiente est exposto e
definir as medidas de segurana apropriadas para sua correo.
As vulnerabilidades dependem da forma como se organizou o ambiente em que se gerenciam
as informaes. A existncia de vulnerabilidades est relacionada presena de elementos
que prejudicam o uso adequado da informao e da mdia que ela est utilizando. Podemos
compreender agora outro objetivo da segurana da informao: a correo de
vulnerabilidades ou pontos fracos existentes no ambiente em que se usa a informao, com o
objetivo de reduzir os riscos a que ela est submetida, evitando, assim, a concretizao de uma
ameaa.
A seguir ser detalhada a descrio de cada um desses tipos de vulnerabilidades.
2.1. Vulnerabilidades fsicas
Os pontos fracos de ordem fsica so aqueles presentes nos ambientes em que esto sendo
armazenadas ou gerenciadas as informaes.
Exemplos:
instalaes inadequadas do espao de trabalho;
ausncia de recursos para o combate a incndios;
disposio desorganizada dos cabos de energia e de rede;
no-identificao de pessoas e de locais.
Esses pontos fracos, ao serem explorados por ameaas, afetam diretamente os princpios
bsicos da segurana da informao, principalmente a disponibilidade.
2.2. VULNERABILIDADES NATURAIS
Os pontos fracos naturais so aqueles relacionados s condies da natureza que podem
colocar em risco as informaes.
Exemplos:
ambientes sem proteo contra incndios;
locais prximos a rios propensos a inundaes;
infra-estrutura incapaz de resistir s manifestaes da natureza, como terremotos,
maremotos e furaces.
Muitas vezes, a umidade, o p e a contaminao podem provocar danos aos ativos. Por isso,
eles devem ficar protegidos para poder garantir suas funes. A probabilidade de estar
expostos s ameaas naturais fundamental na escolha e na preparao de um ambiente.
Devem ser tomados cuidados especiais com o local, de acordo com o tipo de ameaa natural
que possa ocorrer em uma determinada regio geogrfica.
2.3. VULNERABILIDADES DE HARDWARE
Os possveis defeitos de fabricao ou configurao dos equipamentos da empresa que
poderiam permitir o ataque ou a alterao dos mesmos.
Exemplo:
A falta de configurao de suportes ou equipamentos de contingncia poderia
representar uma vulnerabilidade para os sistemas da empresa.
Existem muitos elementos que representam pontos fracos do hardware. Dentre eles, podemos
mencionar:
A ausncia de atualizaes de acordo com as orientaes dos fabricantes dos
programas utilizados;
A conservao inadequada dos equipamentos.
Por isso, a segurana da informao busca avaliar:
Se o hardware utilizado est dimensionado corretamente para as suas funes;
Se possui rea de armazenamento suficiente, processamento e velocidade adequados.
2.4. Vulnerabilidades de softwares
Os pontos fracos dos aplicativos permitem que ocorram acessos indevidos aos sistemas de
computador, inclusive sem o conhecimento de um usurio ou administrador de rede.
Exemplo:
Programas de email que permitem a execuo de cdigos maliciosos, editores de texto
que permitem a execuo de vrus de macro, etc. esses pontos fracos colocam em
risco a segurana dos ambientes tecnolgicos.
Tambm podero ter pontos fracos os programas utilizados para edio de texto e imagem,
para a automatizao de processos e os que permitem a leitura das informaes de uma
pessoa ou empresa, como os navegadores de pginas da Internet.
Esses aplicativos so vulnerveis a vrias aes que afetam sua segurana, como, por exemplo,
a configurao e a instalao inadequadas, a ausncia de atualizaes, programao insegura,
etc.
Os pontos fracos relacionados ao software podero ser explorados por diversas ameaas j
conhecidas. Dentre eles, destacamos:
A configurao e a instalao indevidas dos programas de computador, que podero levar ao
uso abusivo dos recursos por parte de usurios mal-intencionados. s vezes, a liberdade de
uso implica aumento do risco.
Os aplicativos so os elementos que fazem a leitura das informaes e que permitem que os
usurios acessem determinados dados em mdia eletrnica e, por isso, se transformam no
objetivo preferido dos agentes causadores de ameaas.
Os sistemas operacionais, como Microsoft Windows e Unix , que oferecem a interface para
configurao e organizao de um ambiente tecnolgico, so o alvo dos ataques, pois, atravs
deles, ser possvel realizar qualquer alterao na estrutura de um computador ou rede.
2.5. Vulnerabilidades dos meios de armazenamento
Os meios de armazenamento so os suportes fsicos ou magnticos utilizados para armazenar
as informaes. Entre os tipos de suporte ou meios de armazenamento das informaes que
esto expostos, podemos citar os seguintes:
Disquetes
CD-ROMs
Fitas magnticas
Discos rgidos dos servidores e dos bancos de dados, bem como o que est registrado
em papel.
Portanto, se os suportes que armazenam as informaes no forem utilizados de forma
adequada, seu contedo poder estar vulnervel a uma srie de fatores que podero afetar a
integridade, a disponibilidade e a confidencialidade das informaes.
Os meios de armazenamento podem ser afetados por pontos fracos que podem danific-los ou
deix-los indisponveis. Dentre os pontos fracos, destacamos os seguintes:
Prazo de validade e expirao
Defeito de fabricao
Uso incorreto
Local de armazenamento em locais insalubres ou com alto nvel de umidade,
magnetismo ou esttica, mofo, etc.
2.6. Vulnerabilidades de comunicao
Esse tipo de ponto fraco abrange todo o trfego de informaes. Onde quer que transitem as
informaes, seja por cabo, satlite, fibra ptica ou ondas de rdio, deve existir segurana. O
sucesso no trfego dos dados um aspecto fundamental para a implementao da segurana
da informao.
Exemplos
A ausncia de sistemas de criptografia nas comunicaes poderia permitir que pessoas
alheias organizao obtivessem informaes privilegiadas;
A m escolha dos sistemas de comunicao para envio de mensagens de alta
prioridade da empresa poderia fazer com que elas no alcanassem o destino
esperado ou que a mensagem fosse interceptada no meio do caminho.
H um grande intercmbio de dados atravs dos meios de comunicao que rompem as
barreiras fsicas, como telefone, Internet, WAP, fax, etc. Dessa forma, esses meio devero
receber tratamento de segurana adequado com o propsito de evitar que:
Qualquer falha na comunicao faa com que uma informao fique indisponvel para os seus
usurios, ou, pelo contrrio, fique disponvel para quem no possua direitos de acesso.
As informaes sejam alteradas em seu estado original, afetando sua integridade.
Assim, a segurana da informao tambm est associada ao desempenho dos equipamentos
envolvidos na comunicao, pois se preocupa com: a qualidade do ambiente que foi preparado
para o trfego, tratamento, armazenamento e leitura das informaes.
2.7. Vulnerabilidades humanas
Essa categoria de vulnerabilidade relaciona-se aos danos que as pessoas podem causar s
informaes e ao ambiente tecnolgico que lhes oferece suporte.
Exemplo:
Senhas fracas, falta de uso de criptografia na comunicao, compartilhamento de
identificadores como nome de usurio ou credencial de acesso.
Os pontos fracos humanos tambm podem ser intencionais ou no. Muitas vezes, os erros e
acidentes que ameaam a segurana da informao ocorrem em ambientes institucionais. A
maior vulnerabilidade o desconhecimento das medidas de segurana adequadas que so
adotadas por cada elemento do sistema, principalmente os membros internos da empresa. A
seguir so destacados os pontos fracos humanos de acordo com seu grau de freqncia:
A falta de capacitao especfica para a execuo das atividades inerentes s funes
de cada um;
A falta de conscincia de segurana para as atividades de rotina, os erros, omisses,
descontentamentos.
No que se refere s vulnerabilidades humanas de origem externa, podemos considerar todas
aquelas que podem ser exploradas por ameaas como:
vandalismo,
fraudes,
invases.
3. REFERNCIAS
Modulo Security. Curso de Segurana da Informao. Microsoft, 2008. 1CD.