Você está na página 1de 13

Os pilares da Segurana da informao

Segurana da Informao
o conjunto de aes que objetivam viabilizar e assegurar a
disponibilidade, a integridade, a confidencialidade e a autenticidade das
informaes.
O termo aes induz o raciocnio para a amplitude e o alcance do que se
pretende com a segurana da informao e comunicaes.
Dentre os significados possveis, destaca-se o termo ao para designar
modo de proceder: comportamento ou atitude.
Por se tratar de comportamento ou atitude, observa se que segurana da
informao e comunicaes no uma atividade a ser executada somente
por profissionais habilitados. Ela faz parte da conduta de cada componente
de uma organizao.
O que exige capacitao e especializao a gesto de segurana da
informao e comunicaes. O objetivo das aes tambm importante
destacar.
Dois verbos: viabilizar e assegurar foram utilizados para direcionar as aes.
Viabilizar tem o sentido de conquistar algo que ainda no se tem,
pressupondo esforo organizacional no sentido de executar uma srie de
aes com a finalidade de conquistar e construir sua prpria segurana da
informao e comunicaes e no adaptar ou copiar modelos de outras
organizaes.
O verbo assegurar pressupe que a segurana da informao e
comunicaes uma conquista que a cada dia deve ser mantida na
organizao e para isso tambm existem aes a serem executadas
portodos aqueles que compem tal organizao.
Dessa forma, as aes de segurana da informao e comunicaes so
realizadas com dois propsitos:
*primeiro para conquistar
*segundo para assegurar um conjunto de quatro propriedades essenciais
para as informaes, quais sejam:
Disponibilidade
Integridade,
Confidencialidade
Autenticidade.
O mecanismo para facilitar a memorizao do conceito DICA, sendo:
Disponibilidade Integridade Confidencialidade Autenticidade.
Entender o significado de cada propriedade que integra a DICA essencial
para entender o conceito de segurana da informao e comunicaes.

Disponibilidade
Disponibilidade a propriedade de que a informao esteja acessvel e
utilizvel sob demanda por uma pessoa fsica, por um rgo ou sistema

(IN01 GSIPR, 2008).


Na disponibilidade ainda pode ser acrescentado o princpio da oportunidade
de acesso informao. No basta ter acesso para utilizar uma informao
na medida em que a ela perde seu valor ou at seu significado se no for
disponibilizada no momento certo. Isto oportunidade.
Uma srie de aes ou de boas prticas necessria para manter a
disponibilidade. Destacam-se as seguintes:
Uso de backups; cpias de segurana; redundncia de sistemas; eficcia
no controle de acesso; e eficiente gesto de continuidade de negcios
(GCN).
Aeficcia do controle de acesso uma varivel muito difcil de ser avaliada,
pois tem como contrapeso a confidencialidade, que tende a no tornar
disponvel a informao.
Entretanto a disponibilidade de acesso informao em organizaes
governamentais deve ser observada como regra, enquanto as medidas de
controle de acesso da confidencialidade devem ser utilizadas como
excees.
Sabe-se que no existe garantia total de plena disponibilidade, pois existem
mltiplas variveis que podem interromper um servio.
Por isso, a disponibilidade uma propriedade de altssima relevncia para
segurana da informao e comunicaes com a preocupao de
estabelecer relaes de confiana. A gesto de continuidade do negcio
(GCN) um processo fundamental para atender tal demanda.
Integridade
Integridade a propriedade de que a informao no foi modificada ou
destruda de maneira no autorizada ou acidental (IN01 GSIPR, 2008).
Nota-se que o conceito de integridade mais complexo e justifica-se pela
necessidade de tornar bem claro no ambiente das organizaes
governamentais o que significa completeza e exatido da informao.
Para destruio de uma informao nas organizaes governamentais
importante observar normas que regulamentam tal procedimento. Alm
disso, importante observar que o termo integridade tambm pode dizer
respeito ao comportamentode quem trata a informao.
Desejvel o comportamento tico, responsvel e sustentado em bases
legais. Integridade, dessa forma, uma atitude da pessoa compromissada
com a legalidade, a justia e a tica atravs das aes no cotidiano.
A integridade pode ser analisada sob diversos aspectos, entretanto, para
segurana da informao e comunicaes, tal propriedade estaria
relacionada com o processo de gesto de riscos. A gesto de riscos garante
a identificao de aes, que possam comprometer a existncia da
informao.
Confidencialidade
Confidencialidade a propriedade de que a informao no esteja
disponvel a quem no tem autorizao nem esteja credenciado. A questo
do credenciamento relaciona-se com a necessidade de conhecer.
A confidencialidade envolve a classificao em graus de sigilo, o
credenciamento de acesso e medidas de proteo e de acesso em geral.

A confidencialidade, na maioria das vezes, apresentado sob enfoque de


sigilo, o que no deixa de estar correto, porm existe outro aspecto a
considerar que a tica de preservar ou guardar um informao nem
sempre classificada como sigilosa.
Isto significa que nem sempre a informao tenha de receber um grau de
sigilo para justificar a necessidade de medidas de proteo.
O principal instrumento da confidencialidade a classificao em graus de
sigilo das informaes.A norma do governo brasileiro que regulamenta a
classificao de informaes sob o aspecto de sigilo o Decreto n. 4553,
de 22 de dezembro de 2002.
As informaes podem receber os seguintes graus de sigilo: reservado,
confidencial, secreto, ultra-secreto. A condio bsica para receber um grau
de sigilo se caracterizar como uma informao cuja divulgao possa
comprometer a segurana da sociedade, do estado ou a honra e a imagem
da pessoa.
Para confidencialidade, outro instrumento no menos importante que
classificao em graus de sigilo a criptografia.
Autenticidade
Autenticidade a propriedade de que a informao foi produzida,
modificada ou descartada por uma determinada pessoa fsica, rgo,
entidade ou sistema.
Esta propriedade tem relevncia fundamental para a segurana da
informao e comunicaes, quando se incluem os processos de
transmisso e replicao da informao no termo comunicaes. Nesse
aspecto necessrio estabelecer protocolos e regras claras para o emissor
e o receptor da informao.
A autenticidade relaciona-se com a confirmao de autoria, a certificao e
a originalidade da informao. Uma das formas para verificar a
autenticidade em meio eletrnico a assinatura digital.
O governo brasileiro editou a Medida Provisria n. 2.200, de 28 de junho de
2001, que regulamentou a assinatura digital no Brasil. Em seu art.1 est
descrito que: fica instituda a Infra-Estrutura de Chaves Pblica Brasileira ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurdica
de documentos em forma eletrnica,...
Por que o termo comunicaes?
Depreende se que as comunicaes fazem parte do universo da segurana
da informao. Tal viso parece estar em conformidade com a ABNT 27002.
Nessa norma, a gesto das operaes e comunicaes tratada como
sendo uma das sees que compem o conjunto de controles a serem
implementados,pela segurana da informao. Certamente a seo com
maior nmero de categorias e respectivos objetivos de controle, sendo dez
categorias que se subdividem em trinta e dois objetivos de controles.
Esta forma de tratar as comunicaes no parece satisfatria quando se
trata de organizaes governamentais, por reduzir a aplicao do termo aos
nveis tticos e operacionais da gesto de segurana da informao.
Vale resgatar o entendimento do termo comunicaes em seu sentido mais
amplo, incluindo todo o processo pelo qual uma mente influi sobre a outra.

Dessa forma, comunicaes poderiam envolver todos os aspectos dinmicos


para sobrevivncia de um sistema. Comunicaes seriam os processos, os
comportamentos, as relaes e as trocas entre as estruturas (informaes)
de um sistema.
Para entender um pouco mais argumentao, que promove ascomunicaes
ao mesmo patamar de importncia da segurana da informao, vale
recordar que existem trs nveis de problemas de comunicao:
Nvel A Com que exatido pode ser transmitida os smbolos de
comunicao? (Este o problema tcnico.)
Nvel B Com que preciso os smbolos transmitidos transferem o
significado desejado? (Este o problema de semntica.)
Nvel C Com que eficincia o significado recebido afeta o comportamento,
a conduta do receptor em relao finalidade desejada e prevista? (Este o
problema da eficincia.)
Nesse sentido, esses pilares, juntamente com mecanismos de proteo tm
por objetivo prover suporte a restaurao de sistemas informaes,
adicionando-lhes capacidades deteco, reao e proteo.
Os componentes criptogrficos da segurana da informao tratam da
confidencialidade, integridade, no repdio e autenticidade. Vale, no
entanto, ressaltar que o uso desses pilares feito em conformidade com as
necessidades especficas de cada organizao.
Assim, o uso desses pilares pode ser determinado pela suscetibilidade das
informaes ou sistemas de informaes, pelo nvel de ameaas ou por
quaisquer outras decises de gesto de riscos.
Dessa forma, torna-se necessrio dispor de uma estratgia, levando em
conta os pilares acima mencionados, a fim de compor uma arquitetura de
segurana que venha unificar os propsitos dos cinco pilares. Neste
contexto, asorganizaes e, mais amplamente, os pases incluem em suas
metas:
Forte uso de criptografia;
Incentivo a educao em questes de segurana;
Disponibilidade de tecnologia da informao com suporte a segurana;
Infra estrutura de gesto de segurana;
Disponibilidade de mecanismos monitoramento de ataques, capacidade de
alerta e aes coordenadas.
Dentro desse contexto, a confidencialidade oferece suporte preveno de
revelao no autorizada de informaes, alm de manter dados e recursos
ocultos a usurios sem privilgio de acesso.
J a integridade previne a modificao no autorizada de informaes.
Por outro lado, a disponibilidade prover suporte a um acesso confivel e
prontamente disponvel a informaes.
Isto implica em dados e sistemas prontamente disponveis e confiveis.
Adicionalmente, o no repdio e autenticidade compreendem o que poderia
ser denominado de responsabilidade final e, dessa forma, busca-se fazer a
verificao da identidade e autenticidade de uma pessoa ou agente externo
de um sistema a fim de assegurar a integridade de origem.
Os pilares acima visam prover os sistemas de informaes contra os mais

variados tipos de ameaas como, por exemplo:


Revelao de informaes em casos de espionagem;
Fraude no reconhecimento da origem, modificao de informaes ou
mesmo caso de espionagem;
Interrupo modificao de informaes;
Usurpao modificao deinformaes, negao de servios ou
espionagem.
Vale ressaltar que as ameaas acima podem ser de diversas naturezas e,
nesse sentido, as ameaas so, geralmente, classificadas como passiva,
ativa, maliciosa, no maliciosa. Para lidar com essas ameaas, torna-se
necessrio a definio de polticas e mecanismos de segurana, visando dar
suporte a:
Preveno evitar que invasores violem os mecanismos de segurana;
Deteco habilidade de detectar invaso aos mecanismos de segurana;
Recuperao mecanismo para interromper a ameaa, avaliar e reparar
danos, alm de manter a operacionalidade do sistema caso ocorra invaso
ao sistema.
Algumas questes de natureza operacional surgem em decorrncia da
necessidade de prover suporte segurana de sistemas de informaes,
tais como:
menos dispendioso prevenir ou corrigir danos?
Qual o grau de segurana a ser imposto aos sistemas de informaes?
Qual o nvel de legalidade das medidas de segurana desejadas?
Poltica Geral de Segurana
1. No deve haver administrao remota do servidor, que no seja do
console e todas as funes do servidor no podem ser executadas
remotamente;
2. Todas as operaes do administrador devem ser executadas a partir da
console principal;
3. Os programas de usurio devem ser executados somente das estaes de
trabalho;
4. Nenhum servidor ou qualquer recurso do servidor deve seracessado
atravs de boot por disco flexvel;
5. No deve existir comunicao direta ponto a ponto. Toda comunicao
deste tipo deve ser feita atravs de um servidor;
6. No devem existir mltiplas identificaes/senhas de entrada no sistema,
devendo haver indicao quando o mesmo usurio tentar utilizar sua
identificao simultaneamente;
7. Todos os recursos de monitores de trfego, roteadores e hubs devem ser
autorizados, identificados e supervisionados;

8. Deve existir um planejamento formal, completo e testado de recuperao


de desastres, de qualquer recurso, para todas as redes locais;
9. Informaes classificadas como sensveis ou relevantes no devem ser
transmitidas atravs de qualquer tipo de formato texto.
Portanto a implementao de segurana tem que ser feita por um conjunto
de hardware e software, na maioria dos casos presentes no prprio sistema
operacional e mquinas servidoras.
Os programas devem possuir funes de identificao de usurios, controle
de acessos e operaes, alm de permitir auditoria do sistema e dos
procedimentos. Para mensurar o nvel de segurana dos softwares, o padro
internacionalmente aceito o estabelecido pelo National Computer Security
Center (NCSC) no seu livro padro conhecido como Orange book onde so
estabelecidas classificaes referentes aos mecanismos de segurana lgica
necessrios aos programas. O Orange book contm especificaesde
quatro grupos gerais divididos em subnveis.
Na diviso D, encontram-se os programas com recursos mnimos,
recomendados para funes menos crticas.
A diviso C se refere aos programas que fazem o controle de acesso
discricionrio, ou seja, somente as pessoas autorizadas pelo administrador
do ambiente operacional podem entrar no sistema. No nvel C1, os
softwares controlam o acesso por meio de senhas.
No C2, j possvel restringir o acesso a dados e operaes de cada
usurio. No C3, h instrumentos de auditoria, que indicam quem fez o que
fez e quem autorizou.
Neste nvel obrigatrio que, quando um arquivo for excludo, por exemplo,
o sistema destrua o dado, limpando o arquivo em disco e memria,
impedindo assim a recuperao indevida da informao.
Na maioria dos casos as organizaes se do por satisfeitas com nveis C1 e
C2 o que mostra - se insuficiente na qualificao de programas adquiridos
de fornecedores diversos.
A diviso B se refere ao controle de acesso mandatrio, em que s o
administrador, e no o usurio responsvel pela informao determina
quem pode ter acesso a qu. No nvel B1, o controle de acesso obrigatrio
e h a rotulao dos objetos e dos dispositivos para exportao de dados. O
B2 exige maior uso dos rtulos e uma separao mais clara entre as funes
operacionais e de administrao.
O B3 assegura ainda a recuperao de dados, caso hajaqueda acidental ou
recarga do sistema operacional.
Uma ferramenta ou software para obter o certificado de nvel A, s admite
quando se comprova que o mesmo invulnervel aos ataques atravs de
algoritmos matemticos que atuam na lgica do sistema.
um grau de segurana extremamente formal e complexo que no obtido
por aplicaes e sistemas de utilizao comercial.

Depois de identificado o potencial de ataque, as organizaes tm que


decidir o nvel de segurana a estabelecer para uma rede ou sistema os
recursos fsicos e lgicos a necessitar de proteo.
No nvel de segurana devem ser quantificados os custos associados aos
ataques e os associados implementao de mecanismos de proteo para
minimizar a probabilidade de ocorrncia de um ataque.
Segurana fsica
Considera as ameaas fsicas como incndios, desabamentos, relmpagos,
alagamento, acesso indevido de pessoas, forma inadequada de tratamento
e manuseio do material.
Segurana lgica
Atenta contra ameaas ocasionadas por vrus, acessos remotos rede,
backup desatualizados, violao de senhas, etc.
Segurana lgica a forma como um sistema protegido no nvel de
sistema operacional e de aplicao. Normalmente considerada como
proteo contra ataques, mas tambm significa proteo de sistemas contra
erros no intencionais, como remoo acidental de importantesarquivos de
sistema ou aplicao.
Mtodos de imposio de segurana
*Controle de acesso;
*Autenticao de usurio;
*Criptografia;
*Utiliza dispositivos de hardware e software que permite o que pode ou no
passar no permetro interno de comunicao da organizao.
*Roteadores; Firewalls
Polticas de segurana
De acordo com o RFC 2196 (The Site Security Handbook), uma poltica de
segurana consiste num conjunto formal de regras que devem ser seguidas
pelos utilizadores dos recursos de uma organizao.
As polticas de segurana devem ter implementao realista, e definir
claramente as reas de responsabilidade dos utilizadores, do pessoal de
gesto de sistemas e redes e da direo.
Deve tambm adaptar-se a alteraes na organizao. As polticas de
segurana fornecem um enquadramento para a implementao de
mecanismos de segurana, definem procedimentos de segurana
adequados, processos de auditoria segurana e estabelecem uma base
para procedimentos legais na sequncia de ataques. O documento que
define a poltica de segurana deve deixar de fora todos os aspectos
tcnicos de implementao dos mecanismos de segurana, pois essa
implementao pode variar ao longo do tempo.
Deve ser tambm um documento de fcil leitura e compreenso, alm de
resumido. Algumas normas definem aspectos que devem ser levados em
considerao ao elaborar polticasde segurana.
Entre essas normas esto a BS 7799 (elaborada pela British Standards
Institution) e a NBR ISO/IEC 17799 (a verso brasileira desta primeira).
A ISO comeou a publicar a srie de normas 27000, em substituio ISO
17799 (e, por conseguinte BS 7799), das quais a primeira, ISO 27001, foi

publicada em 2005.
Existem duas filosofias por trs de qualquer poltica de segurana: a
proibitiva (tudo que no expressamente permitido proibido) e a
permissiva (tudo que no proibido permitido).
Os elementos da poltica de segurana devem ser considerados:
A Disponibilidade: o sistema deve estar disponvel de forma que quando o
usurio necessitar possa usar. Dados crticos devem estar disponveis
ininterruptamente.
A Utilizao: o sistema deve ser utilizado apenas para os determinados
objetivos.
A Integridade: o sistema deve estar sempre ntegro e em condies de ser
usado.
A Autenticidade: o sistema deve ter condies de verificar a identidade dos
usurios, e este terem condies de analisar a identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados somente aos
donos dos dados ou ao grupo por ele liberado.
Polticas de Senhas
Dentre as polticas utilizadas pelas grandes corporaes a composio da
senha ou password a mais controversa. Por um lado profissionais com
dificuldade de memorizar varias senhas deacesso, por outros funcionrios
displicentes que anotam a senha sob o teclado no fundo das gavetas, em
casos mais graves o colaborador anota a senha no monitor.
Recomenda-se a adoo das seguintes regras para minimizar o problema,
mas a regra fundamental a conscientizao dos colaboradores quanto ao
uso e manuteno das senhas.
Senha com data para expirao
Adota-se um padro definido onde a senha possui prazo de validade com 30
ou 45 dias, obrigando o colaborador ou usurio a renovar sua senha.
Inibir a repetio
Adota-se atravs de regras predefinidas que uma senha uma vez utilizada
no poder ter mais que 60% dos caracteres repetidos, p. ex: senha anterior
123senha nova senha deve ter 60% dos caracteres diferentes como
456seuse, neste caso foram repetidos somente os caracteres s e os
demais diferentes.
Obrigar a composio com nmero mnimo de caracteres numricos e
alfabticos
Define-se obrigatoriedade de quatro caracteres alfabticos e quatro
caracteres numricos, por exemplo:
1s4e3u2s ou posicional os quatro primeiros caracteres devem ser numricos
e os quatro subseqentes alfabticos, por exemplo: 1432seuz.
Criar um conjunto com possveis senhas que no podem ser utilizadas
Monta-se uma base de dados com formatos conhecidos de senhas e proibir
o seu uso, como por exemplo, o usurio chama-se Jose da Silva, logo sua
senha no deve conter partes do nome como 1221jose ou 1212silvetc., os
formatos DDMMAAAA ou 19XX, 1883emc ou I2B3M4 etc.
Tipos de ataques a segurana

Os ataques a instalaes de Informtica tm se tornado cinematogrfico. A


mera ameaa, ou boato a respeito, j merece destaque em rgos da
imprensa e da prpria Internet.
Denncias de roubo de acervos, violaes de privacidade, abertura ilegal de
contedos, impedimento de servios e outros tm sido freqentes,
aumentando a preocupao de usurios, sendo uma contrapartida
evoluo dos prprios servios eletrnicos.
Alterao de domnios
Consiste na troca de endereamento real de determinados domnios da
Internet. Ao digitar, por exemplo, www.banco.com, um possvel cliente do
"Banco" encaminhado para outro site, que no o original, porque algum
criminoso alterou o endereo final de acesso.
Desta forma, se o site for "clonado", o usurio poder digitar informaes e
fornecer dados sigilosos, que estaro de posse dos detentores desta cpia.
Este mecanismo j foi utilizado para cpia de sites de acesso a bancos,
rgos pblicos e servios de mdia, levando usurios confuso e
causando transtornos para os reais detentores. Em 1997 ocorreu a
distribuio na rede de uma tabela de traduo de domnios (servio DNS)
que continha erros. Apenas este dano involuntrio ocasionou
indisponibilidade e grandes problemas no uso da Internet, sendo que seu
impacto foi sentidopor dias (muitos servidores so atualizados
automaticamente, sem interveno humana, e passaram a falhar, ento).
Cavalos de Tria (Trojan Horse)
Idntico ao fato enunciado pelos contos picos, estes arquivos - geralmente
executveis - tm um nome, uma hipottica identidade, mas realizam
outras atividades. Entre as caractersticas, temos programas que, enquanto
exibem informaes ou animaes vo, em paralelo, destruindo os seus
arquivos em disco rgido, outros apagam arquivos com algumas extenses e
assim por diante.
O problema com estes arquivos malignos o fato de, com sua identificao
falsa, iludirem aos usurios, pois tm nomes divertidos ou relativos a fatos
recentes, que enganam os que os recebem.
A preveno, nestes casos, fica substancialmente dificultada. Casos como
estes foram os recentes "Happy99", "Iloveyou" e variaes, onde os nomes
e identificaes de mensagens e arquivos anexos a elas, iludiam os
usurios, fazendo-os no s serem infectados, mas participarem
involuntariamente do processo de distribuio dos mesmos, que se replicam
de forma automtica.
Roubos de senha
Os terminais de vdeo e as estaes conectadas em rede habitualmente
possuem um pequeno programa, por vezes chamado de "monitor" que
permite um nvel limitado de programao - para, por exemplo, utilizar
recursos grficos de tela, como vdeos reversos, picantes, brilhantes, etc.Um
recurso eletrnico utilizado para acesso indevido s senhas e cdigos de
usurios (pode ser, por exemplo, um nmero de conta bancria ou de carto
de crdito) desenvolver e instalar ali um programa que simule o processo
de "login" em uma rede. Uma vez em execuo, este programa ir permitir

ao seu proprietrio, conhecer todas as entradas emitidas pelo usurio,


"abrindo" a identificao digitada, capacitando-o a us-la posteriormente.
Ao invasor bastava traduzir os cdigos, usando uma simples tabela de
transcrio, e ter acesso aos dgitos informados, passando a poder se
"logar." como aquele usurio.
Este tipo de ao deu origem a tipos de vrus e "vermes" que capturam
cdigos e senhas em redes e em sistemas multiusurio, "quebrando" a
segurana dos mesmos, liberando estas informaes aos invasores.
Ddos - Denial of Service
Verdadeiro "sucesso" de ataques no incio do ano 2000, estes crimes
consistiram na replicao de um programa que encaminharia requisies a
sites de comrcio eletrnico e prestao de servios ininterruptamente,
assim que ativados. Estas cpias ficaram armazenadas em instalaes s
quais os atacantes tiveram possibilidade de invadir.
Uma vez "chegada a hora", os requisitores de servios (como, por exemplo,
chamadas de servidores de e-mail), iniciavam um processo sistemtico de
requisio, chegando, no total, a encaminhar centenasde milhares de
solicitaes a um mesmo endereo.
Ao alocar, continuamente, recursos para o atendimento s requisies
encaminhadas, o site de servios acabava por no conseguir atender a
demanda pela simples exausto de capacidade, pela falta de recursos de
memria e banda. As demais requisies - muitas delas verdadeiras - no
podiam, portanto, ser atendidas.
Existem algumas variaes deste tipo de dano, tendo como alvo instalaes
de difuso de sinais de udio e vdeo, servidores de FTP e WWW.
Invases de Sites (Backdoor)
Funcionam ao instalar num computador conectado a uma rede um
programa cliente que permite a um programa servidor utilizar esta mquina
sem restries. Estes programas foram desenvolvidos originariamente para
tele-atendimento, til funo onde um profissional de suporte controla a
mquina de um usurio visando esclarecer uma dvida, ou verificar um
problema operacional qualquer.
Algumas alteraes maliciosas e este programa foram colocados a servio
"do mal", pois como um programa cliente permite abrir, durante uma
conexo Internet, uma "porta traseira" de acesso (backdoor) na estao
usuria, habilitando o invasor a controlar a mquina completamente eliminando, copiando e criando arquivos, impedindo o uso de perifricos,
avariando o acesso a determinados servios, tendo acesso a acervos e
informaes sigilosas, etc.
Alguns destes programas atingiramnveis perigosos de sofisticao e foram
utilizados para ataques a grandes instalaes. A exemplo dos vrus, o
mecanismo de "abertura" de portas acha-se atualmente incorporado em
diversos ataques de vrus e de invases, sendo agora um mecanismo
agregado a estas invases, para que o atacante consiga acesso s
informaes do computador invadido.
Sugador de pacotes ("Packet Sniffer")
Programas e agentes (programas diminutos, que rodam em ambientes de

pequeno porte e em redes, com poucos recursos), capturam "pacotes"


TCP/IP transmitidos em redes, interceptando-os. Neste momento, cpias
destes podem ser feitos, partes de transmisses serem interceptadas e
eliminadas, impedindo a comunicao, etc.
Enchentes ("Flood")
um tipo de ataque Ddos, que objetiva solicitar todas as requisies
disponveis em um servidor, levando-o a no conseguir mais absorver o
fluxo advindo dos usurios normais. O termo Synflood vem sendo aplicado
ao tipo de ataque que envolve a manipulao dos sinais de sincronismo
(chamados de SYN) no incio do estabelecimento de uma conexo TCP/IP.
Desta forma, a estao ficaria "em suspenso" aguardando uma mensagem
de reconhecimento de conexo, que jamais chegar. Com muitas "esperas"
deste tipo, um novo atendimento torna-se impossvel ou a velocidade de
atendimento normal cai para tempos inaceitveis.
"IP Spoofing"
Assusta saber que este tipo de servio disponibilizado em sites daInternet
com propagandas e links diversos, como se fora um site comercial. Este
recurso objetiva que o nmero de IP de mquina conectada rede no
possa ser identificado. Desta forma, muitos dos servios de segurana
disponveis deixam de funcionar, incluindo os "rastreamentos" que
permitem a identificao de segurana das fontes de origem de ataques.
Nas pginas consultadas, obviamente no includas, surpreenderam a
existncia de verses para sistemas operacionais diversos, informaes do
uso e patrocnio do uso dos "softwares" sendo oferecidos. A tese de que se
destinariam a pesquisas, experimentos ou outras funes mais nobres no
procede, uma vez que, geralmente, as prprias pginas recomendavam seu
uso maligno.
"Ping da Morte" (Ping of Death)
Recurso que consiste no envio de pacotes TCP/IP de tamanho invlidos para
servidores, levando-os ao travamento ou impedimento de trabalho. Este
recurso foi muito utilizado no incio dos provimentos Internet no Brasil, para
o impedimento de servios. Atualmente so bloqueados por boa parte dos
sistemas bsicos de segurana.
Explorao de "furos" em sistemas, servidores e clientes No param de
ocorrer casos e informaes (verdicas, em sua maioria, posto que seja
reconhecida pelos fornecedores) sobre mau funcionamento de programas
deste tipo, que podem permitir aos invasores que atuem da forma como
quiserem.
Tomamos conhecimento, recentemente, de um casoonde um invasor
aproveitou-se de um "furo" (mau funcionamento) de um servidor de
impresso de um sistema Unix, que havia sido informado num arquivo de
atualizao, em verso posterior. O atacante ps-se a procurar um sistema
que funcionasse base daquela verso do Unix, conseguindo encontr-la
aps alguma pesquisa. O "furo" consistia numa operao invlida que o
permitia ter acesso a funes privativas do sistema operacional, ao alcance
do super usurio.
De posse destas funes, sucessivamente, instalou ali um servidor de "chat"

que visava atender custa do processamento em mquina alheia s suas


conversas com amigos.
O servidor, aps muitos problemas de atendimento aos seus reais usurios,
foi recuperado com a eliminao do programa de "chat", reinstalado em
seqncia pelo invasor. Na segunda desinstalao, este aproveitou novo
acesso mquina conectada para destruir arquivos e avariar a instalao
do sistema de forma irrecupervel, levando parada do sistema e
conseqentes prejuzos.
Vemos, noticiado na imprensa, constantemente que a verso X do servidor
ou cliente Y, possui uma falha de segurana - atravs da qual um atacante
ou invasor poderia se servir para perpetrar seus crimes reconhecidos pelo
fabricante, que j teria, disponibilizado sua correo em seu site.
Este tipo de comportamento no deve ser visto como habitual, as questes
de violao de segurana so crticas e como taisdevem ser relevadas.
Code Red
Code Red um worm, que um ataque de computador que
propaga atravs de redes sem usurio. de interveno. Este particular faz
uso de uma vulnerabilidade no Microsoft Informaes da Internet (IIS)
Servidor Web Services a software.
Code Red II tambm um worm que explora o IIS mesmo . vulnerabilidade.
No entanto, o tambm abre uma em um infectados servidor que permite
que qualquer atacante remoto execuo arbitrria comandos.
SirCam um mal-intencionados vrus de computador que se espalha
atravs de e-mail potencial atravs de
rede desprotegida conexes. Uma vez que o cdigo malicioso tenha sido
executado em um sistema, podem revelar ou apagar informaes
confidenciais.

REFERNCIAS BIBLIOGRFICAS
BATISTA, Emerson de Oliveira. Sistema de Informao: o uso consciente da
tecnologia
Para o gerenciamento. So Paulo: Saraiva 2004.
E. Amoroso, Fundamentals of Computer Security Technology, Prentice Hall,
1994.
M. Bishop, Computer Security: Art and Science, Addison Wesley, 2003.
J. H. Saltzer, The Protection of Information in Computer Systems,
http://web.mit.edu/Saltzer/www/publications/protection/index.htmlpt.wikiped
ia.org/wiki/Orange_Book
Livres Protocolos seguros: uso de protocolos que garantem um grau de
segurana e usam... de usurios legtimos de sistemas de informao

(Insiders) -- o que...
PT. wikipedia.org/wiki/Segurana_da_informao