RUBENS FERREIRA DE ARAJO

POLTICA DE SEGURANA DA INFORMAO:

Instrumento de defesa ciberntica

Trabalho de Concluso de Curso - Monografia apresentada ao Departamento de Estudos da Escola Superior de Guerra como requisito obteno
do diploma do Curso de Altos Estudos de Poltica
Estratgia.
Orientador: Cel Paulo Roberto Vilela Antunes

Rio de Janeiro
2014

Este trabalho, nos termos da legislao que

resguarda os direitos autorais, considerado
propriedade da ESCOLA SUPERIOR DE
GUERRA (ESG). permitido a transcrio parcial de textos do trabalho, ou mencion-los, para comentrios e citaes, desde que sem propsitos comerciais e que seja feita a referncia
bibliogrfica completa.
Os conceitos expressos neste trabalho so de
responsabilidade do autor e no expressam
qualquer orientao institucional da ESG.
______________________________________
Rubens Ferreira de Araujo Cel Cav

Biblioteca General Cordeiro de Farias

Araujo, Rubens.
Poltica de Segurana da Informao: Instrumento de defesa ciberntica /
Cel Rubens Ferreira de Araujo. - Rio de Janeiro: RJ, 2014
68f.
Orientador: Cel Paulo Roberto Vilela Antunes.
Trabalho de Concluso de Curso - Monografia apresentada ao Departamento de Estudos da Escola Superior de Guerra como requisito obteno
do diploma do Curso de Altos Estudos de Poltica e Estratgia (CAEPE), 2014.
1. Guerra ciberntica. 2. Poltica de segurana da informao. 3. Hackers
I. Ttulo

Aos integrantes da Seo de Telemtica do

Gabinete do Comandante do Exrcito pelo
profissionalismo com que desempenham suas atribuies e, em especial, pela maturidade com que tratam a Segurana da Informao.

A teoria por si s nada ensina. A aplicao por si

s nada ensina. A aprendizagem resultado da interao dinmica entre as duas.
Peter R. Scholtes

RESUMO
Esta monografia aborda a necessidade das organizaes disporem de uma Poltica
de Segurana da Informao para se prevenirem das ameaas cibernticas. O objetivo do estudo avaliar se as aes previstas em uma Poltica de Segurana da Informao podem proteger as organizaes contra ataques cibernticos. A metodologia adotada comportou uma pesquisa bibliogrfica, visando buscar referencias tericas. Tambm utilizou estudo de relatos de guerra ciberntica disponveis em livros e
sites especializados. O campo de estudo analisou trs casos concretos de guerra ciberntica que foram amplamente analisados por organizaes internacionais. Os
principais tpicos so o estudo de casos de guerra ciberntica, a anlise do perfil
dos atacantes cibernticos, o estudo das vulnerabilidades que permitem os ataques
e as invases a sistemas, as tcnicas empregadas pelas organizaes para se contraporem a estas ameaas, o estudo do planejamento de uma Poltica de Segurana
da Informao e os controles que devem ser implementados por esta poltica. Por ltimo, feita uma anlise para verificar se as aes previstas na Poltica de Segurana da Informao seriam capazes de deter as tcnicas de invases conhecidas e as
utilizadas pelos atacantes nos estudos de casos apresentados, concluindo se a Poltica de Segurana da Informao implementada pelas organizaes eficiente para
se contrapor s ameaas cibernticas ou se o Estado e os provedores de servio
que devem ser responsveis pela segurana contra ataques cibernticos.
Palavras chave: Guerra ciberntica. Poltica de segurana da informao. Hacker.

ABSTRACT
This study addresses the requirement for organizations put into force an information
security policy to prevent cyber threats. The objective of this research is to evaluate
the effectiveness and capacity of actions planned within an information security policy and how it enables organizations in their protection against cyber attacks. The
methodology adopted included a review of literature with a goal of encountering relevant theoretical references, as well as an examination of investigative reports of
acknowledged incidents of cyber attack available in books and specialized websites.
Three actual cases of cyber attack that were widely analyzed by international organizations were scrutinized to explain the highlighted topics within this research. These
topics included: evaluation of cyber attack cases; an analysis in the profile of cyber
attackers; vulnerabilities that permit malicious attacks and invasions on systems;
counter-tactics used by organizations against these threats; the study of initiating and
organizing a durable information security policy; and the various controls that must
be implemented within this policy. Finally, an analysis was performed to verify that
the actions foreseen in any information security policy would truly be able to prevent
the invasive techniques known and used by todays attackers. Ultimately, the study
weighs the benefits of instituting an effective information security policy within organizations or if placing this critical responsibility with the Government or system service
providers is required to ensure the systems of these organizations are protected
against future cyber attacks.
Keywords: Cyber attacks. Security policy information. Hacker.

LISTA DE ABREVIATURAS E SIGLAS

ABNT

Associao Brasileira de Normas Tcnicas

ASP

Active Server Pages

CCD COE

Cooperative Cyber Defense Centre of Excellence

CEI

Comunidade dos Estados Independentes

CIA

Central Intelligence Agency

DDoS

Distributed Denial of Service

DoS

Denial of Service

DNS

Domain Name System

DMZ

DeMilitarized Zone

EUA

Estados Unidos da Amrica

FBI

Federal Bureal of Investigation

FDDI

Fiber Distributed Data Interface

IP

Internet Protocol

ISU

Internet Service Unit

MIRA

Movement for Islamic Reform in Arabia

MTU

Maximum Transmission Unit

NAT

Network Address Translation

NSA

National Security Agency

OSCE

Organizao para a Segurana e Cooperao na Europa

OTAN

Organizao do Tratado do Atlntico Norte

P&D

Pesquisa e Desenvolvimento

PSI

Poltica de Segurana da Informao

SI

Segurana da Informao

SSL

Secure Socket Layer

TCC

Trabalho de Concluso de Curso

TCP

Transmission Control Protocol

TI

Tecnologia da Informao

UDP

User Datagram Protocol

VOIP

Voice over Internet Protocol

VPN

Virtual Private Network

SUMRIO
1
1.1
1.2
1.2.1 `
1.2.2
1.2.3
1.2.4
1.2.5
2
3
3.1
3.2
3.3
4
4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
5
5.1
5.2
5.2.1
5.2.2
5.2.3
5.2.4
5.2.5
5.2.6
5.2.7
5.3
5.3.1
5.3.2
5.3.3
5.3.4
5.4
5.4.1
5.4.2

INTRODUO ........................................................................................... 13
FORMULAO DA SITUAO PROBLEMA ............................................ 15
OBJETIVOS E ESCOPO ............................................................................ 15
Objetivo Geral ........................................................................................... 16
Objetivos especficos ............................................................................... 16
Escopo....................................................................................................... 16
Justificativa ............................................................................................... 17
Hipteses .................................................................................................. 17
FUNDAMENTAO TERICA ................................................................. 18
NO MUNDO REAL ..................................................................................... 20
O CASO ESTNIA ..................................................................................... 20
O CASO BELARUS .................................................................................... 23
O CASO ARBIA SAUDITA ....................................................................... 28
AS AMEAAS ........................................................................................... 32
CONSIDERAES INICIAIS ..................................................................... 32
SCRIPT KIDDIES ....................................................................................... 33
OS CYBERPUNKS ..................................................................................... 33
OS INSIDERS ............................................................................................ 34
OS CODERS .............................................................................................. 35
O WHITE HAT ............................................................................................ 36
O BLACK HAT ............................................................................................ 36
O GRAY HAT ............................................................................................. 37
OS CIBERTERRORISTAS ......................................................................... 37
AS VULNERABILIDADES ......................................................................... 38
O PLANEJAMENTO DE UM ATAQUE ....................................................... 38
ATAQUES PARA OBTENO DE INFORMAES ................................. 38
Informaes livres .................................................................................... 39
Trashing .................................................................................................... 39
Engenharia Social .................................................................................... 39
Ataque fsico ............................................................................................. 40
Packet Sniffing.......................................................................................... 40
Port Scanning ........................................................................................... 40
Escaneamento de vulnerabilidades ........................................................ 40
ATAQUES DE NEGAO DE SERVIOS ................................................ 41
Bugs em servios, aplicativos e sistemas operacionais ...................... 41
SYN Flooding ............................................................................................ 41
Fragmentao de pacotes de IP .............................................................. 42
Smurf ......................................................................................................... 43
ATAQUES ATIVOS CONTRA TCP ............................................................ 43
Sequestro de sesso ................................................................................ 43
Prognstico de nmero de sequncia TCP............................................ 43

5.5
5.6
5.6.1
5.6.2
5.6.3
5.6.4
5.6.5
5.6.6
6
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
6.9
7
7.1
7.2
7.3
7.4
7.5
8
8.1
8.2
8.3
8.4
8.5
8.6
8.7
8.8
8.9
8.10

ATAQUES COORDENADOS ..................................................................... 44

ATAQUES NO NVEL DA APLICAO ..................................................... 44
Ataques na Web........................................................................................ 44
Problemas com o SNMP .......................................................................... 45
Malware ..................................................................................................... 45
Spyware e Adware .................................................................................... 46
Rootkit ....................................................................................................... 47
Botnets ...................................................................................................... 47
TCNICAS E TECNOLOGIAS DE DEFESA ............................................. 48
O FIREWALL .............................................................................................. 48
FILTROS .................................................................................................... 48
PROXIES.................................................................................................... 49
BASTIONS HOSTS .................................................................................... 49
ZONA DESMILITARIZADA......................................................................... 49
NETWORK ADDRESS TRANSLATION NAT .......................................... 49
REDE PRIVADA VIRTUAL VPN ............................................................. 50
AUTENTICAO ....................................................................................... 50
BALANCEAMENTO DE CARGAS E ALTA DISPONIBILDIADE ................ 50
A POLTICA DE SEGURANA DA INFORMAO ................................. 51
REFERNCIA NORMATIVA ...................................................................... 51
CONTEXTO ORGANIZACIONAL............................................................... 52
A LIDERANA............................................................................................ 52
TRATAMENTO DOS RISCOS ................................................................... 52
OPERAO ............................................................................................... 53
CONTROLES ............................................................................................. 54
GC 1: POLTICAS DE SEGURANA DA INFORMAO .......................... 54
GC 2: ORGANIZAO DA SEGURANA DA INFORMAO .................. 55
GC 3: SEGURANA EM RECURSOS HUMANOS .................................... 55
GC 4: GESTO DE ATIVOS ...................................................................... 56
GC 5: CONTROLE DE ACESSO ............................................................... 56
GC 6: CRIPTOGRAFIA .............................................................................. 57
GC 7: SEGURANA FSICA DO AMBIENTE ............................................ 57
GC 8: SEGURANA NAS OPERAES................................................... 57
GC 9: SEGURANA DAS COMUNICAES............................................ 58
GC 10: AQUISIO, DESENVOLVIMENTO E MANUTENO DE SISTEMAS ....................................................................................................... 58
8.11
GC 11: RELACIONAMENTO NA CADEIA DE SUPRIMENTO................... 58
8.12
GC12: GESTO DE INCIDENTES EM SEGURANA DA INFORMAO 59
8.13
GC 13: ASPECTOS DA SEGURANA DA INFORMAO NA GESTO
DA CONTINUIDADE DO NEGCIO ......................................................................... 59
8.14
GC 14: CONFORMIDADES ....................................................................... 60
9
CONCLUSO ............................................................................................ 61
9.1
ANLISES PARCIAIS ................................................................................ 61

9.1.1
Anlise dos Casos Estnia, Belarus e Arbia Saudita .......................... 61
9.1.1.1 Caso Estnia .............................................................................................. 62
9.1.1.1.1 Situao 01................................................................................................. 62
9.1.1.1.2 Situao 02................................................................................................. 62
9.1.1.2 Caso Belarus .............................................................................................. 63
9.1.1.2.1 Situao 03................................................................................................. 63
9.1.1.2.2 Situao 04................................................................................................. 63
9.1.1.2.3 Situao 05................................................................................................. 63
9.1.1.2.4 Situao 06................................................................................................. 63
9.1.1.2.4 Situao 07................................................................................................. 64
9.1.1.3 Caso Arbia Saudita ................................................................................... 64
9.1.1.3.1 Situao 08................................................................................................. 64
9.1.1.3.2 Situao 09................................................................................................. 64
9.1.1.3.3 Situao 10................................................................................................. 65
9.1.2
Anlise das Vulnerabilidades .................................................................. 65
9.1.2.1 Anlise vulnerabilidades tcnicas ............................................................... 65
9.1.2.2 Anlise vulnerabilidades humanas ............................................................. 65
9.1.2.3 Anlise das vulnerabilidades fsicas ........................................................... 66
9.2
CONFRONTAO DAS HIPTESES ....................................................... 66
REFERNCIAS .......................................................................................... 67

13

1 INTRODUO
Em meados de 2013 o ex-tcnico de informao da Agncia de Segurana Nacional
Norteamericana1 (NSA sigla em ingls) Edward Snowden revelou ao mundo o programa de espionagem conduzido pelo governo dos EUA. Segundo as informaes
divulgadas por Snowden, os alvos foram governos, governantes, empresas, empresrios e cidados de vrios pases, aliados ou no dos EUA, tudo justificado pela gide do combate ao terrorismo. Ainda segundo Snowden, empresas como a Microsoft, Yahoo, Google, Facebook, Paltalk, Youtube, Skype, AOL e Apple fornecem acesso aos tcnicos da NSA para alimentarem as bases de dados de programas como o Prism2, que um programa de vigilncia eletrnica altamente secreto mantido por aquela agncia e que tem por finalidade o monitoramento e avaliao de mdias eletrnicas.
A imprensa estima que a NSA dispe de um oramento anual de 7 bilhes de dlares e conta com cerca de 60 mil colaboradores, mais que os efetivos e os oramentos da CIA e do FBI juntos. Com nmeros to altos como estes talvez a verdadeira
profundidade dos programas conduzidos pela NSA nunca seja de conhecimento pblico, talvez nem mesmo dos governantes norteamericanos. O que certo que, alm dos EUA, outros pases possuem agncias que exercem atividades semelhantes NSA.
Ataques cibernticos no so novidades, h vrios anos as comunidades de hackers
e crakers realizam ataques de negao de servios contra servidores Web, distribuindo programas maliciosos de computadores e explorando vulnerabilidades no cdigo-fonte de sistemas operacionais e sistemas de gerenciamento de rede.
A subtrao no autorizada de informaes ou a injeo de programas maliciosos
causam srios danos a governos e organizaes, tais como: prejuzos imagem,
perda de vantagem competitiva, comprometimento de sistemas informatizados crticos para a populao e roubo de pesquisas acadmicas e de projetos industriais.
_______________

NSA a agncia de segurana dos Estados Unidos, criada em 04 de novembro de 1952, com funes relacionadas inteligncia de sinais, incluindo interceptao e criptoanlise. um dos rgos
encarregados de proteger as comunicaes norte-americanas.
Prism: Um dos programas de vigilncia global da NSA que foi mantido secreto at junho de 2013 e
que permite coletar e monitorar vrias atividades de usurios que esto em poder de provedores de
servios de Internet, incluindo histrico de pesquisas, contedo de e-mails, transferncia de arquivos, vdeos, fotos, chamadas de voz e vdeo, detalhes de redes sociais, log-ins e outros dados em
poder das empresas de Internet.

14

Em alguns casos a recuperao destes danos pode ser custosa e demorada, em outros casos jamais ser possvel.
As leis que regulam o Direito Ciberntico no mbito internacional ainda so tmidas e
no tratam da subtrao de dados realizada por outros Estados. Estas aes maliciosas so difceis de serem descobertas e na maior parte das vezes a vtima s toma conhecimento que sofreu uma subtrao de informao quando v seus dados
publicados em sites da Internet ou em outras mdias, de outra forma, dificilmente saber que foi alvo de um ataque ciberntico.
Para que se possa ter noo da complexidade envolvida, vamos imaginar um agente
A acessando um computador B no pas C. Atravs do computador "B", o agente
"A" acessa sequencialmente uma srie de computadores zumbis3 espalhados pelo
mundo para finalmente, a partir do ltimo computador "zumbi", invadir silenciosamente a rede de uma organizao localizada no pas D. Caso este ataque seja
percebido, como localizar sua origem? Como descobrir quantos computadores foram
envolvidos? Como achar a localizao fsica de cada um deles? Como fazer a forense computacional em cada um deles? Qual pas seria responsvel por faz-la? Onde
o crime seria julgado e por qual lei? Como descobrir o agente que executou tal ato?
Hoje, nenhuma destas perguntas fcil de responder.
Ataques cibernticos no so fico, acontecem a todo momento. So silenciosos e
as vtimas, sejam elas Estados ou organizaes, no alardeiam que foram atacadas.
Das 500 empresas citadas na revista Fortune, 97% foram "hackeadas" e os 3% restantes no podem afirmar que no foram (SINGER; FRIEDMAN, 2014). A grande
questo saber as dimenses que estes ataques podem alcanar.
Um cdigo malicioso, com capacidade de corromper transaes, instalado em um
sistema bancrio pode arruinar tanto os clientes como o prprio banco. O desafio
para a equipe de segurana da informao saber como livrar-se de um vrus que
pode estar espalhado pelos computadores dos funcionrios, clientes e parceiros e
que se reinfesta a cada conexo. Quanto tempo levar a organizao para identificar
e restaurar o sistema? Os antivrus esto preparados para esta ameaa? Como se-

_______________

Termo empregado para classificar computadores utilizados por hackers para envio de spam e ataques a sites sem que o dono do computador saiba de tal atividade. O termo ser contextualizado na
seo 5.6.9 Botnets.

15

ro recuperadas as transaes financeiras corrompidas? E se as informaes corrompidas no puderem ser recuperadas?

Um ataque como descrito no pargrafo anterior no simples de ser executado. So
necessrios conhecimentos excepcionais sobre o cdigo-fonte do sistema bancrio,
a arquitetura da rede, o sistema de back-up de dados e as medidas de segurana
adotadas pela organizao. Porm, se estas informaes puderem ser obtidas, seja
por engenharia social4 e por outros mtodos, a organizao poder estar vulnervel
a esta ameaa.
A Segurana Ciberntica uma questo de Estado e, como veremos no decorrer
deste trabalho, no h e nunca poder haver uma soluo definitiva. So vrios os
pontos onde as vulnerabilidades podero surgir e ser exploradas e o Estado sozinho
no poder garantir a Segurana do Setor Ciberntico. As aes de mitigao passam pelo Estado, pelos provedores de servios de Internet, pelas operadoras de telecomunicaes, pelos fabricantes de hardwares e softwares e, principalmente, pelas organizaes e seus usurios.
1.1 FORMULAO DA SITUAO PROBLEMA
Com base no contexto apresentado, este trabalho visa responder ao seguinte questionamento: "Como as organizaes podem minimizar as possibilidades de danos
causados por ataques cibernticos?".
Para responder a esta questo, o TCC analisar a efetividade da criao e implementao de Polticas de Segurana da Informao como medidas para mitigao
de ataques cibernticos nas organizaes.
1.2 OBJETIVOS E ESCOPO
Este trabalho apresenta dois conjuntos de objetivos, um objetivo geral e trs objetivos especficos.
Como o espao ciberntico muito vasto, h necessidade de restrio do escopo de
trabalho.

_______________

Engenharia social a tcnica de obter informaes explorando as vulnerabilidades humanas e sociais dos funcionrios da organizao.

16

1.2.1 Objetivo Geral

Avaliar se as aes previstas em uma Poltica de Segurana da Informao podem
proteger as organizaes contra ataques cibernticos.
1.2.2 Objetivos especficos
Apresentar casos reais de ataques cibernticos, envolvendo o papel do Estado, dos
provedores de servio de Internet, empresas de telecomunicaes e organizaes,
analisando os fatores que possibilitaram a sua execuo;
Analisar os perfis dos atacantes e estudar as suas formas de atuao;
Apresentar os controles que devem ser implementados em uma Poltica de Segurana da Informao, verificando se eles so capazes de contraporem-se s formas
de atuao dos atacantes.
1.2.3 Escopo
O escopo desta monografia a segurana ciberntica no mbito das organizaes.
No sero analisadas medidas de segurana que devam ser implementadas ou coordenadas pelo Estado, provedores de servios de Internet, empresas de telecomunicaes, fabricantes de hardware e software.
O fato do trabalho estar focado na implementao de controles previstos nas Polticas de Segurana da Informao das organizaes no implica que as aes sob
responsabilidade de outros rgos podero ser dispensadas, na realidade elas se
complementam. O que se pretende analisar como uma organizao pode conseguir um excelente nvel de proteo dependendo somente dos seus meios.
Na terceira seo, "O Mundo Real", sero estudados casos reais de guerra ciberntica acontecidos em trs pases: Estnia, Belarus e Arbia Saudita. Ser realizada
uma anlise de como aconteceu cada um destes ataques e os fatores que permitiram a sua execuo.
Na quarta seo, "As Ameaas", ser apresentado o perfil, a motivao dos potenciais atacantes, a terminologia utilizada no mundo dos hackers.
Na quinta seo, "As Vulnerabilidades", sero estudadas as "brechas" exploradas
pelos atacantes e a forma como realizam os ataques.

17

Na sexta seo, "Tcnicas e Tecnologias para a Defesa", sero apresentados os

conceitos de Firewall, sistemas de deteco de intruso, forense computacional e
criptografia. Pretende-se demonstrar que para que uma Poltica de Segurana da Informao seja eficiente h a necessidade de integrao de processos gerenciais e
tcnicos.
Na stima seo, "A Poltica de Segurana da Informao", sero apresentados os
objetivos, estrutura e controles de uma PSI.
A ltima seo, "Concluso"ser uma anlise dos casos reais, identificando as vulnerabilidades exploradas, o perfil dos atacantes e como a existncia de uma PSI nas
organizaes envolvidas poderia neutralizar ou mitigar os ataques cibernticos sofridos. Finalmente, no contexto do trabalho, ser realizada uma anlise das hipteses
apresentadas.
1.2.4 Justificativa
A ameaa ciberntica s comeou a ser de conhecimento pela maior parte do pblico a partir dos eventos apresentados na introduo deste trabalho, mas apesar disto, muitos dirigentes de organizaes pblicas, privadas e acadmicas no possuem
a real noo do efeito que estes ataques podem causar. Os dirigentes destas organizaes acreditam que a responsabilidade pela segurana ciberntica do pessoal
de TI da organizao, do Estado, dos provedores de servios de Internet, das empresas de telecomunicaes ou dos fabricantes de antivrus. Em parte, eles tm razo, mas grande parte das aes de SI de responsabilidade da liderana das organizaes e deve ser de conhecimento de todos os usurios.
1.2.5 Hipteses
Sero tratadas duas hipteses:
Hiptese 1: A segurana ciberntica mais efetiva quando implementada pelo Estado, pelos provedores de servios de Internet e pelas empresas de telecomunicaes.
Hiptese 2: A segurana ciberntica mais efetiva quando implementada pela prpria organizao.

18

2 FUNDAMENTAO TERICA
Embora a bibliografia pesquisada e consultada seja relativamente extensa, o presente trabalho baseou-se fundamentalmente nas obras desenvolvidas por Geers (2011),
Nakamura (2007) e na Norma Brasileira ABNT NBR ISO/IEC 27001(2013)5.
Geers (2011) argumenta em seu trabalho que a segurana computacional evoluiu de
uma disciplina tcnica para um conceito estratgico com a crescente dependncia
do mundo em uma Internet vulnervel, combinada com as capacidades dos
atacantes cibernticos. Para ele, a ameaa agora no somente contra usurios e
organizaes contra a segurana nacional e internacional.
Segundo Geers (2011), o Estado pode utilizar quatro abordagens para a mitigao
de um ataque ciberntico:

Internet Protocol verso 6 (IPv6);

a Arte da Guerra, de Sun Tzu;

dissuaso de ataques cibernticos; e

controle de armas cibernticas.

A primeira abordagem, IPV6, uma soluo tcnica. A Arte da Guerra uma abordagem militar. As terceira e quarta abordagens so hbridas: a dissuaso uma mistura de consideraes militares e polticas; o controle de armas cibernticas uma
mistura de consideraes polticas e tcnicas.
Em sua obra, Nakamura (2007) trata o problema da segurana da informao em
ambientes corporativos, fazendo uma anlise tcnica do perfil dos atacantes e das
vulnerabilidades tecnolgicas. A partir dela e considerando o perfil das organizaes
e a disponibilidade de recursos, Nakamura (2007) pondera as tecnologias disponveis para a defesa ciberntica. Desta forma, so analisadas:

Poltica de Segurana;

Sistema de Firewall;

Sistema de deteco de intruso;

Criptografia e PKI;

Redes privadas virtuais; e

Autenticao.

_______________
5

Information technology -- Security techniques -- Information security management systems -- Requirements

19

Com base na anlise destas tecnologias, Nakamura (2007) apresenta diversos cenrios que representam as redes das organizaes, cada um com as suas complexidades. Ele analisa diversas configuraes de componentes importantes para a segurana da organizao.
A Associao Brasileira de Normas Tcnicas produziu a srie ISO/IEC 270006, que
trata da gesto da segurana da informao e sua implementao, gesto de riscos,
mtricas, auditoria, certificao e ameaas cibernticas. Neste trabalho so analisados os controles sugeridos na ISO/IEC 27001.

_______________
6

ISO/IEC 27001 Information technology Security techniques Information security management

systems Overview and vocabulary

20

3 NO MUNDO REAL
Em 2007, pelo menos 94 milhes de contas de cartes de crdito Visa e Master
Card podem ter sido expostas a fraudes em decorrncia de uma falha de segurana
na empresa TJX Companies (JEWELL, 2007). Saber exatamente como se deu o ataque, as vulnerabilidades exploradas e que informaes foram comprometidas no
uma tarefa fcil. As organizaes no divulgam os detalhes das fraudes porque
estas informaes expem sua credibilidade junto aos clientes, o que poder acarretar prejuzos maiores que as fraudes de que foram vtimas. Assim, no caso da empresa TJX Companies e de outras organizaes, as tcnicas e a falhas exploradas
pelos atacantes provavelmente nunca sero divulgadas.
Os trs casos reais apresentados a seguir foram selecionados por terem sido exaustivamente estudados pela OTAN e por permitirem uma anlise do papel desempenhado pelo Estado, organizaes, provedores de infraestrutura e provedores de servios de Internet.
3.1 O CASO ESTNIA
A Repblica da Estnia um dos trs pases blticos. Situada na Europa Setentrional, constituda de uma poro continental e um grande arquiplago no mar Bltico. Limita-se ao norte com o golfo da Finlndia, a leste com a Rssia, ao sul com a
Letnia e a oeste com o mar Bltico. Possui pouco mais de um milho e trezentos
mil habitantes distribudos em 45 mil quilmetros quadrados. Em 2004, a Estnia
tornou-se membro da OTAN e da Unio Europeia.
Durante a ocupao sovitica entre 1944 e 1991, grandes contingentes tnicos de
russos mudaram-se para a Estnia em busca de uma vida melhor. At o momento
do colapso da Unio Sovitica, as minorias tnicas russas compunham 40% da populao da Estnia.
A Letnia e a Litunia, dois pases vizinhos da Estnia, concederam a cidadania universal a todos residentes de outras etnias que viviam dentro das suas fronteiras,
permitindo a integrao entre os diferentes grupos tnicos e a populao nativa, tornando-se, desta forma, uma populao mais coesa. A Estnia recusou-se a fazer o
mesmo, em vez disso, o governo insistiu que todos estonianos no tnicos deveriam
ser tratados como estrangeiros. Assim, em vez de integrar as diversas etnias sob a
mesma bandeira, esta poltica serviu como uma barreira, solidificando ainda mais a

21

diviso entre as etnias estoniana e russa dentro das fronteiras do pas e criando uma
situao instvel com a Rssia.
Segundo Geers (2011), a Estnia uma nao altamente informatizada. Estima-se
que 60% dos servios considerados cruciais para a populao e 96% das transaes bancrias sejam realizadas pela Internet. Em 2007, a Estnia tinha a reputao
de ser o pas mais conectado da Europa.
Esta no era a situao em 1991. Aps o colapso da Unio Sovitica, apenas metade da populao da Estnia tinha acesso a uma linha telefnica. O novo governo viu
nessa deficincia uma oportunidade para o crescimento e passou a destinar parte
substancial do seu oramento para P&D na rea de tecnologia da informao e comunicao. Porm, poucos investimentos foram feitos na defesa contra potenciais
ataques cibernticos.
Em abril de 2007, o governo da Estnia resolveu mudar a localizao do memorial
do "Soldado de Bronze", da praa principal da capital Tallin para um cemitrio militar.
Este memorial foi erguido em homenagem a um soldado sovitico desconhecido
morto durante a 2 Guerra Mundial pelos nazistas e cujos restos mortais, juntamente
com os de ao menos treze companheiros, foram encontrados em uma vala naquele
local. A deciso de mudana de local fez com que russos e outras pessoas que eram contra a transferncia da esttua fossem s ruas protestar. Este episdio deflagrou a primeira guerra ciberntica do mundo.
O ciberataque iniciou s 10:00 horas do dia 26 de abril de 2007. Atacantes desconhecidos lanaram um ataque de negao de servios, tambm conhecidos como
DDoS7, em grande escala contra o governo da Estnia. Inicialmente, os hackers atacaram o site do Ministrio da Defesa e, posteriormente, os ataques se espalharam
para sites de partidos polticos e do governo, incluindo o site oficial do parlamento da
Estnia. Ao final da primeira semana, os ataques deixaram estes sites completamente inacessveis. Na semana seguinte, a lista de alvos estendeu-se aos principais
sites de notcia, deixando-os indisponveis por uma semana.
Quando as autoridades descobriram que a fonte dos ataques eram computadores
"zumbis" localizados fora do pas, todo o trfego internacional foi bloqueado. A mdia
_______________

O Ataque DDoS (Distributed Denial of Service) causa uma sobrecarga no sistema da vtima, fazendo-o reiniciar ou a consumir todos os recursos de memria e processamento de forma que ele no
possa mais fornecer seu servio.

22

da Estnia lamentou o fato de no poder comunicar ao mundo o que estava acontecendo em seu pas, mas esta foi a nica maneira de diminuir o trfego de dados para um nvel razovel suportado pelos servidores.
Os ciberataques continuaram at que a meia-noite de 09 de maio, horrio de Moscou, a Estnia testemunhou o seu maior pesadelo: desta vez, os atacantes concentraram seus esforos sobre seu sistema bancrio. Em 10 de maio, os ataques cibernticos foraram o Hansabank, maior banco do pas, a encerrar as operaes baseadas na Internet. Este ataque foi significativo primeiramente porque em um pas onde 97% das transaes bancrias so realizadas pela Internet os clientes foram privados deste servio, segundo porque as conexes do Hansabank e de seus caixas
eletrnicos em todo o pas foram suspensas e terceiro porque rompeu a ligao do
Hansabank com o resto do mundo, impedindo a utilizao de cartes de dbito de
cidados estonianos fora do pas.
Os ciberataques duraram trs semanas e causaram extensa devastao. Em 26 de
abril, eles haviam comeado com cerca de mil pacotes de dados por hora e no segundo dia tinham evoludo para dois mil por hora, subindo a uma taxa exponencial
ao longo das trs semanas, chegando no dia 09 de maio a 4 milhes de pacotes por
segundo. Foram centenas de sites atacados, incluindo governo, mdia, universidades e organizaes privadas.
Depois de tentar, em vo, afastar as ondas de DDoS, o governo bloqueou todo o trfego internacional e, ao fazer isso, isolou a Estnia do resto do mundo. No entanto,
esta medida drstica foi recebida com sucesso, com a carga sobre os sites voltando
a nveis normais. Em 19 de maio, da mesma forma que comeou, os ataques pararam e a primeira guerra ciberntica do mundo chegou ao fim.
Na anlise realizada por Geers (2011), os hackers que orquestraram estes ataques
postaram informaes sobre o ciberataque em blogs e salas de chat, disponibilizando horas e datas dos ataques, listas de sites estonianos vulnerveis e, at mesmo
instrues sobre a melhor forma de realizar ataques DDoS contra a infraestrutura de
informao da Estnia. Muitos dos computadores "zumbis" utilizados pelas botnets8
nos ataques estavam localizados em mais de 50 pases, incluindo os Estados Unidos da Amrica.
_______________

Botnet uma rede de computadores zumbis administrada por um hacker para realizar ataques a outros servidores e computadores.

23

O governo da Estnia acusou o governo russo pelos ataques por vrias razes. Primeiramente o governo russo recriminara publicamente a deciso da Estnia de remover o memorial e pedira a renuncia do governo estoniano. Assim, os ataques cibernticos serviriam para promover ainda mais a instabilidade na regio. Em segundo lugar, o governo estoniano rastreou com sucesso um dos ataques, vinculando um
endereo IP a um computador do governo russo. A Rssia negou veementemente
qualquer envolvimento, informando mais tarde que o computador em questo foi utilizado como um computador "zumbi" em uma botnet.
Aps investigaes conduzidas pelo governo da Estnia e pela OTAN chegou-se a
concluso que os hackers que conduziram os ciberataques agiram por iniciativa prpria como forma de protesto poltico. Estes "hacktivistas" eram uma combinao de
hackers experientes, que queriam demonstrar o poder de suas botnets e de seus
cdigos maliciosos, e de novatos que seguiram as instrues do tipo "como fazer"
encontradas em vrios sites de hackers na Internet.
Aps estes ataques houve um aumento da conscincia relacionada s vulnerabilidades e necessidade de instituir salvaguardas para a infraestrutura da informao. A
OTAN criou o Cooperative Cyber Defense Centre of Excellence (CCD COE), em Tallinn, para conduzir pesquisas sobre respostas a ciberterrorismo e estabelecer um
protocolo padro para ataques cibernticos.
3.2 O CASO BELARUS
Belarus um pas sem sada para o mar localizado no Leste Europeu e que faz fronteira com a Rssia a nordeste, com a Ucrnia ao sul, com a Polnia a oeste, e com
Litunia e Letnia a noroeste. Sua capital Minsk e cerca de 40% da sua rea total
de 207 mil quilmetros quadrados so cobertos por florestas. Seus setores econmicos que mais se destacam so a agricultura e a indstria manufatureira.
Belarus uma repblica governada por um presidente e por uma assembleia nacional. De acordo com a constituio de 1994, o presidente eleito a cada cinco anos,
mas depois de uma eleio disputada em 1996, este mandato passou para sete anos.

24

O Governo formado por um Conselho de Ministros indicados pelo presidente da

repblica e os juzes dos supremos tribunais tambm so indicados pelo presidente.
Desde 1994, Alexander Lukashenko o presidente de Belarus.
Na eleio presidencial de 2006, Lukashenko teve como opositores Aleksandar Milinkievic, candidato que representava uma coligao de partidos de oposio, e Aleksandar Kazulin, do partido Social Democrata. Lukashenko venceu a eleio com
80% dos votos. A Federao Russa e a Comunidade de Estados Independentes9
declararam as eleies livres e justas enquanto a Organizao para Segurana e
Cooperao na Europa10 e outras organizaes declararam-na fraudulenta.
A situao poltica de Belarus no mudou muito desde o final da Guerra Fria. A Freedom House uma organizao sem fins lucrativos que promove os direitos humanos,
a democracia, o estado de direito e a independncia dos meios de comunicao,
classificou Belarus como uma das piores democracias do mundo, ficando atrs somente do Turquesto e do Uzbequisto (HABDANK-KOACZKOWSKA, 2014).
Segundo a organizao Charter 97 (apud GEERS, 2011, p.74), Alexander Lukashenko governa Belarus como um autocrata. Seu governo suprimiu a liberdade de
expresso e h mais de uma dcada, no h nenhum meio de comunicao independente em Belarus. Os jornais populares da dcada de 1990 deixaram de existir
ou tem a circulao muito reduzida. As estaes de rdio independentes foram fechadas e no h um canal de televiso independente.
Segundo Geers (2011), o Charter 97 tem sido um local para discusses polticas por
mais de uma dcada e pelo fato de aliar-se com os dissidentes polticos, o site da
organizao tem sido alvo de inmeras estratgias de bloqueio na Internet.
Belarus tem uma histria significativa de batalhas polticas no ciberespao. A estatal
Beltelecom tem o monoplio de telefonia e conectividade com a Internet, exercendo
um controle rigoroso sobre todas as tecnologias de telecomunicaes. A empresa
acusada de perseguir e de exigir demonstraes de lealdade de seus usurios. Em
_______________

A Comunidade dos Estados Independentes (CEI) uma organizao governamental fundada no dia
8 de dezembro de 1991, composta pelas antigas repblicas soviticas e, de certa forma, sucessora
parcial da antiga Unio Sovitica. Esta comunidade composta por 10 membros: Rssia, Belarus,
Armnia, Azerbaijo, Kasaquisto, Moldvia, Uzbequisto, Kirgisto, Tajiquisto e Turcomenisto.
10
A Organizao para a Segurana e Cooperao na Europa (OSCE) uma organizao de pases
do Ocidente voltada para a promoo da democracia e do liberalismo econmico na Europa. formada por 56 pases membros, da Europa (incluindo a Federao Russa e todos os pases da Unio
Europeia), da sia Central e da Amrica do Norte (Canad e Estados Unidos).

25

Belarus, antenas de satlite, transceptores e telefonia IP so proibidos. Apesar de

tudo isto e do alto custo, a Internet a nica fonte de informao objetiva para um
quarto da populao de Belarus.
Segundo Geers (2011), em 2001, 2003, 2004 e 2005 houve vrios problemas de acesso aos sites que criticavam o governo. Enquanto a oposio informou que os sites estavam inacessveis por completo e que foram deliberadamente bloqueados pelas autoridades, o governo informou que os problemas com os sites foram decorrentes de sobrecarga de acesso.
O Charter 97(apud GEERS, 2011, p.74) fez um cronograma dos eventos polticos
que coincidiram com problemas nos sites de oposio ao governo.
Em 09 de setembro de 2001, dia das eleies nacionais, os usurios da Internet de
Belarus descobriram o poder do governo para travar a guerra ciberntica contra
seus prprios cidados. s 12:00 horas, a Beltelecom bloqueou o acesso a vrios sites polticos. Embora os sites permanecessem acessveis no exterior, ningum em
Belarus pode acess-los at s 16:00 horas do dia seguinte, quando o bloqueio terminou.
Do ponto de vista tcnico, este tipo de censura fcil para um governo que detm o
monoplio das telecomunicaes. Os pacotes de dados podem ser filtrados no provedor de servios Internet com base exclusivamente no endereo IP dos sites em
questo. Esta tcnica pode ser facilmente identificada pelos usurios com a utilizao de softwares como o traceroute, que informa os caminhos e tempo de trnsito
de pacotes de dados atravs das redes e so usados para identificar o ponto exato
da interrupo do trfego de dados.
Inmeros sites, incluindo o prprio www.charter97.org reagiram criando sites "espelhos11" de seu contedo em outros endereos na web, em um esforo para ficar online, porm todos estes "espelhos" foram tambm bloqueados pelo governo.
A Beltelecom e o Ministrio das Comunicaes de Belarus anunciaram que a paralisao resultou da tentativa de muitos acessos simultneos e que isso havia causado
uma negao de servio (DDoS). Apesar desta histria poder ser facilmente refutada
atravs de uma anlise tcnica, as autoridades nunca conduziram uma investigao
oficial sobre os fatos.
_______________

11

Site espelho uma cpia do site original armazenado em outro servidor e acessado atravs de outro endereo IP.

26

Em 24 de outubro de 2001, o site do Charter 97 foi completamente excludo do seu

servidor por um hacker no identificado. Poucos dias depois do ataque, a empresa
de hospedagem na Internet, rompendo o contrato de forma unilateral, disse que no
era mais possvel hospedar o site www.charter97.org nos seus servidores.
Em 20 de janeiro de 2004, o Charter 97 foi alvo de um ataque de negao de servio
(DDoS) que durou mais de trs semanas e foi apoiado por uma botnet composta por
mais de 55.000 endereos IPs12. Esta botnet era composta por computadores localizados na Amrica Latina, Estados Unidos da Amrica, sul da sia, China e ndia. A
origem dos IPs e a intensidade variaram neste perodo, indicando um comando e
controle ativos sobre as atividades. Foi impossvel provar que o ataque DDoS foi
motivado por interesses polticos.
Em 14 de julho de 2004, por 02 horas, um ataque ciberntico paralisou o servidor
que hospedava o site do Charter 97. Acredita-se que este evento foi um teste para
facilitar o que ocorreu uma semana depois.
Em 21 de julho de 2004, por ocasio do 10 aniversrio do governo de Lukashenko,
foram marcados protestos em massa na cidade de Minsk. O Charter 97 tinha planejado hospedar um webcast13 em apoio aos protestos. Pela segunda vez, o site foi
bloqueado sob um DDoS que comeou s 14:00 horas, 04 horas antes do incio das
manifestaes e s terminou quando os protestos polticos acabaram. Este DDoS foi
muito semelhante ao ocorrido no dia 20 de janeiro de 2004.
Em 10 de outubro 2004 houve um bloqueio ao Charter 97 e outros sites independentes. Este bloqueio ocorreu durante a realizao de eleies parlamentares e de
um referendo sobre a possibilidade de elevar os limites do mandato presidencial em
Belarus. Um dia antes da eleio, os correspondentes da imprensa no somente
no tiveram acesso ao site, como no conseguiram realizar ligaes por telefone fixo
ou mvel. Outros sites da oposio tambm foram bloqueados por um filtro no roteador principal da Beltelecom. Desta vez, os usurios estavam mais bem preparados
e imediatamente mudaram para outros proxies14 e proxies annimos15. Infelizmente,
_______________

12

IP (Internet Protocol) o principal protocolo de comunicao da Internet. Ele o responsvel por

enderear e encaminhar os pacotes que trafegam pela rede mundial de computadores. Pacotes so
os blocos de informaes enviados na Internet e podem ser considerados como as cartas enviadas
pelo servio de correios.
13
Webcast a transmisso ao vivo de udio e vdeo pela Internet
14
Proxy um servio que gerencia as requisies entre a rede dos usurios e os servidores na Internet.

27

o governo tinha uma nova arma ciberntica eficaz em seu arsenal: a modulao da
largura de banda da Internet. Esta ttica permitiu que os sites proibidos ficassem acessveis, mas demorava de 05 a 10 minutos para que as pginas fossem carregadas no navegador. Assim, os usurios eram simplesmente incapazes de obter acesso completo ao Charter 97 e outros sites da oposio. Outros sites no polticos
permaneceram acessveis normalmente. Nem a Beltelecom nem o Ministrio das
Comunicaes manifestaram-se sobre o assunto e nenhuma investigao oficial foi
realizada.
Os incidentes seguintes aconteceram em 2006, durante as eleies presidenciais.
Antecipando-se a estratgia do governo, o Charter 97, bem antes da eleio, ofereceu a seus visitantes inmeras maneiras de contornar a censura em uma iniciativa
chamada de "Internet livre". Em parte, devido a estes esforos, a filtragem da Beltelecom falhou, porm o controle de banda foi utilizado novamente com relativo sucesso.
Outros eventos utilizando DDoS ou controle de banda aconteceram nos dias 18 e 19
de maro de 2006, vspera e dia das eleies presidenciais e nos dias 25 e 26 de
abril de 2008, vspera e dia previstos para manifestaes.
Geers (2011) concluiu que a principal lio de Belarus que a vigilncia do governo
e a filtragem na Internet no tm que ser abrangentes para serem eficazes. O direcionamento seletivo aos adversrios e o aumento das operaes de rede em momentos crticos, como durante as eleies, podem ser muito teis aos interesses de
um governo. O monoplio de infraestruturas de comunicaes, sejam pblicos ou
privados, permite o abuso do poder, principalmente se estiverem sob a influncia de
interesses polticos. O patrocnio de negao de servio (DDoS) pelo estado contra
a sociedade civil inaceitvel e este problema no est confinado nas fronteiras do
pas, ele pode ser uma ameaa para outros pases.

______________

15

Proxies annimos executam servios semelhantes aos proxies normais, porm no esto localizados nas redes dos usurios e sim em provedores na Internet e permitem que os usurios possam
acess-lo anonimamente.

28

3.3 O CASO ARBIA SAUDITA

A Arbia Saudita o pas dos cidados mais educados do mundo rabe. uma monarquia absoluta teocrtica onde o rei no apenas o chefe do Estado, mas tambm
chefe do Governo. Na Arbia Saudita no h Poder Legislativo, partidos polticos
nem uma constituio, o rei governa de acordo com a Shara, a lei sagrada do Islamismo. A lei bsica adotada em 1992 declarou que a Arbia Saudita uma monarquia governada pelos filhos e pelos netos do rei Abd Al Aziz Al Saud.
Devido s presses internacionais, a Arbia Saudita vem diminuindo o rigor do seu
regime absolutista. Em 2005 foram convocadas as primeiras eleies municipais naquele pas.
At 1999, o acesso Internet na Arbia Saudita era restrito s faculdades e hospitais, hoje h centenas de cibercafs onde os cidados sauditas passam em mdia
03 horas conectados rede.
Segundo Geers (2011), o Governo saudita tem uma percepo muito forte da relao entre segurana computacional e segurana nacional. Sobre o pretexto de manter os valores e a cultura mulumanos, ele exerce uma censura muito forte na Internet, baseando-se no mix de moralidade, segurana e poltica. Em razo disto, a organizao Reprteres Sem Fronteiras colocou a Arbia Saudita no grupo dos 10 pases "Inimigos da Internet" (REPORTERS WITHOUT BORDERS, 2011).
Para o Governo difcil balancear as necessidades individuais dos cidados com as
necessidades governamentais e manter a segurana sobre controle. Desde outubro
de 2006, a Arbia Saudita redireciona todo o trfego internacional da Internet para
uma grande instalao de Proxy, localizada no KACST16, na cidade de Riyadh. Este
Proxy mantm qualquer cidado afastado de contedos da Internet considerados "inapropriados". Nesta instalao, a filtragem implementada baseando-se em duas
listas mantidas pela Unidade de Servios da Internet (ISU): uma contendo materiais
imorais, como sites pornogrficos, e outra baseada nas decises de um comit de
segurana dirigido pelo Ministro do Interior, que inclui os sites que fazem crticas ao
governo. Uma caracterstica interessante deste sistema que os prprios cidados
_______________

16

O KACST (King Abdulaziz City for Science and Technology) uma organizao cientfica independente administrativamente, mas subordinada ao primeiro ministro saudita. Tem como funo o desenvolvimento cientfico, formulao de polticas de tecnologia, coleta de dados, financiamento de
pesquisa e registro de patentes.

29

sauditas so ativamente encorajados a solicitar o bloqueio de sites atravs de um

formulrio no site da ISU.
O projeto do Proxy durou dois anos e foi necessrio contratar tcnicos dos EUA e da
Escandinvia para implementar as regras de filtragem. O Sistema funciona da seguinte forma: para os sites que so permitidos, os cidados acessam um cache17,
hospedado na Arbia Saudita. Quando um usurio tenta acessar um site que no
est em cache, incia-se um segundo estgio no Proxy. Ele procura palavras proibidas e se uma palavra for achada a busca interrompida. Quando um usurio tenta
acessar um site proibido, seja por j estar na lista, seja por conter uma palavra proibida, uma advertncia em rabe e em ingls enviada ao usurio, informando que
ele est tentando acessar um site que possui informaes que no so permitidas e
que a navegao est sendo monitorada. Na Arbia Saudita existem pelo menos 30
categorias de informaes proibidas e a lista de sites bloqueados vai a centena de
milhares.
As aes de censura no se limitam aos sites. Em teoria, os administradores do
Proxy podem ler, bloquear, excluir ou alterar qualquer informao da rede com base
no endereo de e-mail, IP, ou palavras-chave na mensagem. Se as expresses "famlia real' e "corrupto" forem encontradas na mesma frase, essa mensagem pode
ser marcada para uma inspeo mais detalhada, talvez por autoridades policiais. Para que estas aes sejam possveis, os servidores de Internet precisam implementar
regras de filtragem, o que no uma tarefa difcil uma vez que as telecomunicaes
so controladas pelo governo.
Censurar pornografia mais fcil, pois palavras pornogrficas podem ser filtradas
com facilidade. Censurar poltica mais difcil, dependendo do contexto, a palavra
pode ter um sentido negativo ou positivo. Alm disso, tem-se que considerar que algumas vezes as palavras podem ser utilizadas com sentido irnico, sarcstico ou
stira. Softwares podem reconhecer palavras individualmente, mas reconhecer como elas so empregadas por um autor em determinado contexto muito mais difcil.
Na prtica, conveniente bloquear um site com material ofensivo bloqueando seu
IP, isto significa que todos os sites que compartilham o mesmo endereo IP no servidor tambm sero bloqueados. Na Arbia Saudita, um atacante pode explorar esta
_______________
17

Cache uma cpia de uma pgina ou um site da Internet que fica armazenado num servidor.

30

situao e conduzir um ataque de negao de servio simplesmente colocando contedo proibido em um dos sites hospedados no servidor.
Outra forma de bloquear sites atravs das solicitaes de bloqueio realizadas pelos usurios. Mensalmente, cerca de 7.000 sites so adicionados na lista negra, contra 100 solicitaes para desbloqueio.
Os defensores da privacidade criticam os fabricantes de softwares por permitirem a
filtragem e a negao de servios, mas eles se defendem dizendo que no so responsveis pelo uso que se faz do software.
Segundo Geers (2011), o governo saudita sofre crticas por negar o acesso a sites
polticos sobre o pretexto de combater a disseminao da pornografia. Um destes
crticos o grupo dissidente chamado de Movimento de Reforma Islmica na Arbia
(MIRA), que tem sede em Londres. O endereo IP do MIRA foi colocado na lista de
sites proibidos, mas o grupo mudou o endereo IP do site e ele passou a ficar novamente disponvel na Internet. O grupo no sabe por que o segundo estgio no
bloqueou o acesso, mas com esta tcnica o grupo consegue ficar disponvel por
uma semana na Arbia Saudita at que o site seja novamente bloqueado.
No satisfeito, o MIRA desenvolveu uma soluo mais interessante. Primeiro criou
um processo randomizado para selecionar o nmero da porta para o endereo de email, escolhendo uma em mais de 60.000 possveis. Esta ao dificultou o trabalho
do governo, pois o nmero tradicional da porta de e-mail a 80 e agora pode ser
qualquer uma entre todas as possveis. O passo seguinte foi desenvolver um novo
processo para informar o novo endereo email. Seu servidor de e-mail foi programado para responder automaticamente a qualquer webmail contendo e-mail em branco
com o novo endereo IP do MIRA. Como os e-mails em branco so enviados de e
esto em branco, quase impossvel para o governo impedir a disseminao dinmica do endereo IP do site do MIRA.
Segundo o dirigente do MIRA, Dr Saad Fagih (WHITAKER, 2001), o nmero de visitantes Sauditas de cerca de 75.000 por dia. Sob o ponto de vista tcnico, a troca
constante de IPs e portas um desafio para a censura da Internet na Arbia Saudita.
O problema com a censura que quando os cidados esto dispostos a obter informaes do exterior, eles iro encontrar um meio para isto. Alguns cidados acessam
estas informaes atravs de ligaes telefnicas para provedores de servios de

31

Internet (ISP) localizados no exterior; outros adquirem servio de acesso Internet

via satlite, com antenas discretas o suficiente para serem colocadas no telhado
sem chamar a ateno.
Existem muitas formas de enviar informaes com segurana para o exterior. Programas de chats so permitidos, so proibidos somente se forem utilizados para distribuir pornografia. Existem tambm servios de re-mail que removem todas as informaes pessoais da mensagem, sendo possvel para o censor identificar que um
usurio acessou um servio de re-mail, mas no sendo possvel saber o contedo
da informao.

32

4 AS AMEAAS
No Sculo VI A.C. Sun Tzu disse que se o general conhece tanto o inimigo quanto a
si mesmo, no precisar temer o resultado de cem batalhas. Se ele conhece somente a si mesmo e no seu inimigo, para cada vitria conseguida tambm sofrer uma
derrota. Se ele no conhece nem a si mesmo nem o inimigo, perder todas as batalhas. Estes dizeres permanecem atuais nos dias de hoje e adaptam-se perfeitamente ao contexto ciberntico. Conhecer o perfil psicolgico, as motivaes e o potencial
dos atacantes fundamental para a estruturao e implementao de uma Poltica
de Segurana da Informao (PSI) eficaz.
Nesta seo ser descrito o perfil e as motivaes dos atacantes cibernticos, que,
combinados com o contexto no qual a organizao est inserida e a conjuntura do
momento, ajudar a organizao a se prevenir contra as potenciais ameaas.
4.1 CONSIDERAES INICIAIS
Na definio original, hackers, so indivduos que utilizam seus conhecimentos para
invadir sistemas, no com o intuito de causar danos s vtimas, mas como desafio s
suas habilidades tcnicas. Eles invadem sistemas, capturam ou modificam arquivos
para provar sua capacidade e depois compartilhar suas proezas com os colegas. Eles no tm a inteno de prejudicar, mas apenas de demonstrar que conhecimento
poder. So exmios programadores e conhecedores dos segredos que envolvem
as redes e os programas de computadores e no gostam de serem confundidos com
os crackers.
Os crackers so indivduos que invadem sistemas com a inteno de roubar informaes e causar danos s vtimas. Atualmente, com o crescimento da Internet e a
difuso do tema na mdia, a imprensa mundial generalizou o termo hacker.
Nakamura e Geus (2007) definem os seguintes tipos de hackers:
Script kiddies: iniciantes;
Cyberpunks: mais velhos e antissociais;
Insiders: empregados insatisfeitos;
Coders: os que escrevem sobre suas proezas;
White hat: profissionais contratados para consultorias em SI;
Black hat: crackers; e
Gray hat: hackers que vivem no limite entre white hat e black hat.

33

Nakamura e Geus (2007) alertam que no so apenas os hackers que causam problemas de segurana nos sistemas, os usurios, mesmo sem ms intenes, tambm podem causar danos ou negar servios de rede por meio de seus erros, ignorncia ou descumprimento de procedimentos de SI.
4.2 SCRIPT KIDDIES
Nakamura e Geus (2007), definem os script kiddies como jovens inexperientes que
conseguem ferramentas de hacker, principalmente na Internet, e as utilizam sem conhecimento dos conceitos e dos cdigos que elas implementam.
Devido grande facilidade em obter essas ferramentas na Internet, os script kiddies
so considerados perigosos para um grande nmero de organizaes. Principalmente as que, por no terem uma PSI, apresentam "brechas" de segurana geradas pela
falta de atualizao de patch18 de servidor. Isto suficiente para que os script kiddies executem as ferramentas e causem estragos considerveis s organizaes.
importante salientar que as aes praticadas pelos script kiddies foram as responsveis pelo incio da conscientizao das organizaes quanto SI. Eles so a imensa maioria dos hackers na Internet e uma grande quantidade de incidentes
causada por eles.
4.3 OS CYBERPUNKS
Segundo Nakamura e Geus (2007), os cyberpunks so os hackers dos tempos romnticos que se dedicam s invases de sistemas por puro divertimento e desafio.
Eles tm grande conhecimento tcnico e so obcecados pela privacidade de seus
dados, o que faz com que todas as suas comunicaes sejam criptografadas. Sua
preocupao principal o governo que, segundo o pensamento deles, pode estar
acessando as informaes privadas dos cidados.
Geralmente so eles que descobrem novas vulnerabilidades em servios, sistemas
e protocolos e publicam as vulnerabilidades encontradas. Desta forma, eles prestam

_______________

18

Conforme novas falhas de segurana vo sendo identificadas nos softwares, os fabricantes lanam
pacotes e softwares (patches) para corrigir estas falhas.

34

um grande servio s organizaes, possibilitando que a indstria de software corrija

estas vulnerabilidades.
4.4 OS INSIDERS
Apesar do maior nmero de ataques terem origem na Internet, so os ataques provenientes de dentro da prpria organizao os que causam as maiores perdas financeiras. Estes ataques envolvem roubo de propriedade intelectual e esto relacionados a funcionrios descontentes, concorrentes ou governos estrangeiros.
Assim, grande importncia deve ser dada aos ataques originados na prpria rede interna, realizados por funcionrios, ex-funcionrios ou pessoas que conseguem se infiltrar nas organizaes. Uma srie de questes est envolvida com esse tema, desde a engenharia social at a relao do funcionrio com o chefe, passando pelo suborno e pela espionagem industrial.
De acordo com a pesquisa da American Society for Industrial Security (apud
NAKAMURA; GEUS, 2007, p. 70), realizada em 1997, mais de 56% das 172 empresas pesquisadas sofreram tentativas de apropriao indevida de informaes privadas e em um perodo de 17 meses, mais de 1.100 incidentes de roubo de propriedade intelectual foram documentados, resultando em prejuzos da ordem de 44 bilhes
de dlares.
Nas organizaes, os prprios funcionrios so as maiores ameaas, pois tm o
tempo e a liberdade necessrios para procurar algo de seu interesse nas mesas das
pessoas, ler memorandos confidenciais, copiar documentos, abusar da amizade de
colegas e copiar facilmente uma grande quantidade de informaes em uma pen
drive. Estes funcionrios conhecem as operaes, a cultura e os detalhes da organizao, o que facilita muito a espionagem.
A identificao dos insiders pode ser difcil, geralmente so funcionrios descontentes com seu trabalho, que sentem que suas funes so subestimadas pelos seus
chefes. Frequentemente so maltratados e querem mostrar seu real valor realizando
algo para se sentirem importantes. Esse tipo de funcionrio pode ser facilmente cooptado pelos concorrentes, que sabem persuadir as pessoas que se encontram em
uma posio pouco confortvel dentro da organizao.
Outro tipo de insider aquele que busca alguma atividade excitante para modificar
sua rotina de trabalho. Os insiders so de extrema importncia, pois a organizao

35

pode estar perdendo espao, mercado e imagem para o concorrente, sem saber o
real motivo disso.
Um cuidado especial deve ser dado aos ex-funcionrios, que so muitas vezes os
elementos mais perigosos. Se um funcionrio for demitido, ele pode querer se vingar. Se ele sair da empresa sob bons termos, pode querer demonstrar seus conhecimentos e seu valor para o novo empregador, que pode ser um concorrente da organizao em que trabalhava anteriormente.
Funcionrios terceirizados tambm podem ser uma fonte de risco para a organizao. Se, por um lado, no podem ter acesso s informaes confidenciais, por outro
podem passar a estudar e a conhecer os procedimentos, os hbitos e os pontos fracos da organizao, que podero ser explorados posteriormente.
Tambm possvel que os funcionrios terceirizados aceitem subornos para efetuar
a divulgao de informaes consideradas confidenciais ou mesmo que subornem
outros funcionrios da organizao com o objetivo de obter segredos organizacionais.
Deve haver controle sobre o pessoal da segurana e da limpeza, pois eles tm acesso a vrios locais da organizao e podem ser facilmente utilizados pela engenharia social.
4.5 OS CODERS
Os coders so os hackers que resolveram compartilhar seus conhecimentos escrevendo livros ou proferindo cursos, palestras e seminrios sobre suas proezas.
O caso de Kevin Mitnick muito interessante. Aps cumprir pena na priso por suas
atividades notrias envolvendo engenharia social e tcnicas avanadas de apropriao de informaes confidenciais de diversas empresas, ele passou a ser um dos
hackers mais requisitados para proferir palestras sobre SI. Isso depois de conseguir
uma aprovao formal para tal, pois ele estava proibido de utilizar computadores,
procurar empregos como consultor tcnico ou mesmo escrever sobre tecnologia,
sem a devida aprovao. Apenas em 2001 ele readquiriu o direito de utilizar um telefone celular e, aps vencer o perodo de observao, ele abriu uma empresa de
consultoria e lanou um livro de engenharia social.

36

4.6 O WHITE HAT

Os white hats so tambm conhecidos como "hackers do bem", "hackers ticos",
samurais ou sneakers. Eles utilizam seus conhecimentos para descobrir vulnerabilidades nos sistemas e aplicar as correes necessrias, trabalhando de maneira profissional e legal dentro das organizaes que os contratam contra os black hats. Eles
so os responsveis pelos testes de invases, em que simulam ataques para medir
o nvel de segurana da rede, e tambm pelas diversas anlises de segurana necessrias para a proteo da informao em uma organizao.
A organizao que contrata os servios de um white hat deve deixar claro o escopo
de atuao, como a definio dos limites de simulao dos ataques, a fim de no
expor os dados sigilosos da organizao.
Tambm recomendvel garantir que as informaes obtidas permanecero em sigilo e que as vulnerabilidades descobertas sero corrigidas.
A utilizao destes profissionais importante para a organizao, mas deve-se ter
cuidado em relao utilizao dos seus servios. Um white hat pode encontrar
uma srie de vulnerabilidades no sistema e querer cobrar para fazer as correes
necessrias. Como novas vulnerabilidades vo sendo descobertas com o tempo e
como novas funcionalidades implementadas trazem consigo novas vulnerabilidades,
so necessrias novas anlises de segurana, o que gera mais custos. A segurana
um processo constante e talvez seja mais interessante a organizao manter um
gestor de segurana dentro da prpria organizao.
Porm, esta abordagem de utilizar um administrador de segurana interno pode representar riscos caso ele no possua os conhecimentos necessrios para avaliar
corretamente o nvel de segurana dos sistemas. importante lembrar que a segurana multidisciplinar, compreende diversos aspectos e as pessoas tendem a achar que esto seguras quando na verdade no conhecem os riscos envolvidos.
4.7 O BLACK HAT
Segundo Nakamura e Geus (2007), os black hats so conhecidos como crackers.
Esse grupo utiliza seus conhecimentos para invadir sistemas e roubar informaes
secretas das organizaes. Posteriormente tentam vender as informaes roubadas
de volta para a vtima, ameaando-a de divulg-las caso o valor desejado no seja
pago.

37

Qualquer ao prejudicial que visa afetar negativamente e causar prejuzos s vtimas pode ser considerada de autoria de um black hat.
4.8 O GRAY HAT
Os gray hats so black hats que fazem o papel de white hats, a fim de trabalharem
na rea de segurana. Porm, diferentemente destes, cuja formao tem base em
conhecimentos profundos sobre a segurana, os gray hats tm conhecimento sobre
atividades de hacking. Algumas organizaes os contratam para realizar anlises de
segurana, porm diversos incidentes j demonstraram que o nvel de confiana necessrio para a realizao de trabalhos to crticos e estratgicos no alcanado
por meio desta abordagem.
4.9 OS CIBERTERRORISTAS
O termo ciberterrorista utilizado para definir os hackers que realizam seus ataques
contra alvos selecionados cuidadosamente com o objetivo de transmitir uma mensagem poltica ou religiosa (hackvism), para derrubar a infraestrutura de comunicaes
ou para obter informaes que podem comprometer a segurana nacional de alguma nao.
Os meios para que isso seja alcanado so:
ataque semntico como consequncia de uma pichao de sites (defacement), no
qual o contedo do site altrerado para disseminar informaes falsas, mensagens
polticas ou religiosas;
ataques distribudos de negao de servios (DDoS); e
invases a sistemas com objetivo de obter informaes confidenciais.

38

5 AS VULNERABILIDADES
As invases aos sistemas so possveis graas existncia de vulnerabilidades que
podem ser exploradas atravs da engenharia social ou do conhecimento tcnico.
Essas invases exploram deficincias na concepo, implementao, configurao
ou gerenciamento dos servios e sistemas. Elas continuaro existindo porque o
mercado centrado nas funcionalidades dos produtos e no em segurana.
Os atacantes exploram as "brechas" existentes em sistemas operacionais, protocolos, redes de dados, aplicaes, usurios e nas infraestruturas fsica. Desta forma, o
trabalho do gerente de segurana muito mais difcil que o do atacante, pois basta
que este explore apenas uma vulnerabilidade que o acesso informao poder ser
conseguido, enquanto que aquele precisa encontrar e fechar todas as brechas existentes.
Esta seo abordar as diversas formas de ataque utilizadas pelos hackers e as
vulnerabilidades exploradas.
5.1 O PLANEJAMENTO DE UM ATAQUE
O primeiro passo para a realizao de um ataque a obteno de informaes sobre o sistema alvo, o que pode ser feito atravs de diversas tcnicas que sero descritas logo a seguir. Aps a obteno destas informaes, o atacante pode agir no
sistema por meio de uma das quatro formas:

monitoramento da rede;

penetrao do sistema;

insero de cdigo malicioso ou informaes falsas no sistema; e

envio de uma enxurrada de pacotes desnecessrios ao sistema, comprometendo a disponibilidade do mesmo.

Um ponto importante a salientar que aps a efetivao dos ataques, os atacantes

tentaro encobrir todos os procedimentos realizados por eles.
5.2 ATAQUES PARA OBTENO DE INFORMAES
Segundo Nakamura e Geus (2007), as seguintes tcnicas e ferramentas podem ser
utilizadas para a obteno de informaes relevantes para a realizao de um ataque.

39

5.2.1 Informaes livres

A obteno de informaes livres no propriamente um ataque uma vez que as informaes obtidas esto disponveis, principalmente na Internet. Esta tcnica inclui
consulta aos servidores de DNS, anlise de cabealhos de e-mail e busca de informaes em lista de discusso. Por meio delas, obtm-se detalhes sobre sistemas,
topologias e usurios.
Alguns detalhes interessantes que podem ser encontrados em listas de discusso
so os cargos e as funes de usurios e os nmeros de telefone, os quais podero
ser utilizadas em um ataque de engenharia social.
5.2.2 Trashing
a atividade na qual o lixo verificado em busca de informaes sobre a organizao ou a rede da vtima. Nomes de contas, senhas, informaes pessoais e confidenciais podem ser obtidas desta forma.
Essa tcnica eficiente e muito utilizada e uma caracterstica importante que ela
no ilegal, pois as informaes so coletadas diretamente no lixo.
5.2.3 Engenharia Social
Segundo Mitnick e Simon (2003), a engenharia social a tcnica que explora as fraquezas humanas e sociais em vez de explorar a tecnologia. Ela tem como objetivo
enganar as pessoas assumindo-se uma falsa identidade a fim de que elas revelem
informaes restritas. Essa tcnica explora a atitude proativa dos usurios de estarem sempre dispostos a ajudar e colaborar com os servios da organizao.
Um ataque da engenharia social clssico consiste em se fazer passar por um alto
funcionrio que tem problemas urgentes de acesso ao sistema. O atacante, assim,
como um ator, que, no papel que est representando, ataca o elo mais fraco da segurana de uma organizao, que o ser humano. Esse ataque difcil de ser identificado, pois o que est em jogo a confiana, a psicologia e a manipulao das
pessoas.

40

5.2.4 Ataque fsico

No ataque fsico organizao so realizados roubos ou sequestros de equipamentos e dispositivos de armazenagem, constituindo um mtodo menos comum.
Esta forma de ataque permite que a ao seja realizada diretamente nos dispositivos
que armazenam as informaes, o que facilita as atividades de obteno dos dados,
pois no necessria a utilizao de tcnicas de ataques remotos.
Com o acesso direto ao sistema possvel executar uma srie de aes maliciosas
ou destrutivas, tais como copiar documentos confidenciais, ler e-mails, obter informaes restritas, modificar arquivos importantes, implantar bombas lgicas, alterar
configuraes ou aumentar os privilgios de alguns usurios.
5.2.5 Packet Sniffing
Essa tcnica consiste em monitorar o trfego da rede, capturando e lendo os pacotes de dados que nela transitam. Assim, senhas que trafegam em claro, e-mails e
documentos podem perder a sua privacidade.
5.2.6 Port Scanning
Numerosos programas que utilizam a Internet podem ser executados simultaneamente e isto possvel graas utilizao do IP e das portas. O IP serve como endereo do servidor na Internet e a porta como endereo do programa (servio) dentro do servidor.
O Escaneamento de portas uma tcnica utilizada para a obteno de informaes
referente aos servios que so acessveis e definidos por meio do mapeamento das
portas TCP e UDP. Com a utilizao desta tcnica, evita-se o desperdcio de esforo
em ataques a servios inexistentes, assim o atacante pode concentrar-se em utilizar
tcnicas que explorem servios especficos, que de fato possam ser explorados.
5.2.7 Escaneamento de vulnerabilidades
Aps o escaneamento de portas, as vulnerabilidades especficas de cada servio sero identificadas por meio do escaneamento de vulnerabilidades.

41

As ferramentas de scanners realizam diversos tipos de testes nos servidores procura de falhas de segurana, seja em protocolos e servios, seja em aplicativos e
sistemas operacionais. Algumas destas falhas so:

compartilhamento de arquivos que no esto protegidos por senhas;

configuraes incorretas;

softwares desatualizados;

pacotes TCP que podem ter seus nmeros de sequncia adivinhados;

buffer overflow em servios, aplicativos e no sistema operacional;

falhas no nvel do protocolo de rede;

configuraes de roteadores;

checagem de senhas fceis de serem adivinhadas;

configuraes de servios; e

possibilidade de negao de servio (DoS).

5.3 ATAQUES DE NEGAO DE SERVIOS

Os ataques de negao de servios (Denial-of-Service Attack - DoS) fazem com que
recursos de memria e processamento dos servidores sejam sobrecarregados, de
modo que eles fiquem impossibilitados de atender as requisies dos usurios legtimos.
5.3.1 Bugs em servios, aplicativos e sistemas operacionais
Os maiores responsveis pelos ataques de negao de servios so os prprios desenvolvedores de software. Diversas falhas intencionais na implementao e na
concepo de servios, aplicativos, protocolos e sistemas operacionais abrem vulnerabilidades que podem ser exploradas em ataques contra a organizao. Alguns tipos de falhas que oferecem condies de buffer overflow podem ser utilizados para
que cdigos maliciosos sejam executados, resultando em acesso no autorizado
aos recursos.
5.3.2 SYN Flooding
Esse ataque explora o mecanismo de estabelecimento de conexes TCP entre os
usurios e o servidor. A caracterstica dos ataques de SYN flooding que um grande nmero de requisies de conexo enviado ao servidor de tal forma que ele

42

no capaz de responder a todas elas, causando uma sobrecarga na memria do

servidor e fazendo com que conexes de usurios legtimos sejam desprezadas.
5.3.3 Fragmentao de pacotes de IP
A fragmentao de pacotes est relacionada Maximum Transfer Unit (MTU), que
especifica a quantidade mxima de dados que podem estar contidos em um pacote
que trafega pela rede. Por exemplo, a rede Ethernet limita a transferncia a 1.500
octetos de dados, enquanto o FDDI permite 4.470 octetos de dados por pacote. Com
isso, caso um pacote, partindo de uma rede FDDI (com 4.470 octetos) passe por
uma rede Ethernet (com 1.500 octetos), ele dividido em quatro fragmentos com
1.500 octetos cada um, que podem ser enviados pela rede Ethernet.
Em um ambiente como a Internet, no qual existe uma grande variedade fsica de redes, definir uma MTU pequena resulta em ineficincia, pois esses pacotes podem
passar por uma rede que capaz de transferir pacotes maiores. Porm, definir uma
MTU grande, maior do que a da rede com MTU mnima, tem como resultado a fragmentao desse pacote, uma vez que seus dados no cabem nos pacotes que trafegam por essa rede com MTU mnima. Os fragmentos resultantes trafegam pela rede e, quando chegam ao seu destino final, so reagrupados, com base em off-sets19,
reconstituindo o pacote original. Todo esse processo de fragmentao e reagrupamento feito de modo automtico e transparente para o usurio, de acordo com definio do protocolo IP.
A possibilidade de ataques por meio da fragmentao de pacotes de IP ocorre devido ao modo como a fragmentao e o reagrupamento so implementados. Tipicamente, os sistemas no tentam processar o pacote at que todos os fragmentos sejam recebidos e reagrupados. Isso cria a possibilidade de ocorrer um overflow na pilha TCP quando h o reagrupamento de pacotes maiores que o permitido. O resultado disso so problemas como o travamento do sistema, caracterizando ataques do
tipo Denial-of- Service (DoS).

_______________
19

Offset: campo de deslocamento que indica a poro de dados enviados em um fragmento em relao ao datagrama original.

43

5.3.4 Smurf
O Smurf um ataque no qual um grande trfego de pacotes ping20 enviado para o
endereo IP do broadcast da rede, tendo como origem o endereo de IP da vtima.
Assim, com o broadcast, cada host da rede recebe a requisio, passando todos eles a responderem para o endereo de origem. A rede afetada, pois todos os seus
hosts respondem requisio, passando a atuar como um amplificador e a vtima
que teve seu endereo IP falsificado, recebe os pacotes de todos esses hosts, ficando desabilitada para executar suas funes normais, sofrendo assim uma negao
de servio.
5.4 ATAQUES ATIVOS CONTRA TCP
Alm dos ataques de negao de servios, ataques mais sofisticados, que permitem
o sequestro da conexo ou a injeo de trfego tambm podem ser utilizados.
5.4.1 Sequestro de sesso
Este ataque realizado em trs etapas. Na primeira etapa o usurio legtimo estabelece a comunicao com o servidor, utilizando nome de usurio e senha. Na segunda etapa, o atacante, que est "escutando" a comunicao entre o usurio e o servidor, captura a sesso estabelecida entre o usurio e o servidor. Na terceira etapa, o
atacante interrompe a conexo legtima entre o usurio e servidor e com a sesso
capturada passa a agir como se fosse o usurio legtimo, podendo realizar todas as
transaes que o usurio legtimo tem direito.
5.4.2 Prognstico de nmero de sequncia TCP
Cada pacote de dados que trafega pela rede possui um cabealho de dados. Este
cabealho contm uma srie de nmeros que permitem, entre outras coisas, identificar o endereo IP de destino, a porta do servio no servidor, e a sequncia para o
reagrupamento dos pacotes quando estes chegarem ao destino. A vulnerabilidade
_______________

20

Ping ou latncia como podemos chamar, um utilitrio que usa o protocolo ICMP para testar a conectividade entre equipamentos. um comando disponvel praticamente em todos os sistemas operacionais. Seu funcionamento consiste no envio de pacotes para o equipamento de destino e na
"escuta" das respostas. Se o equipamento de destino estiver ativo, uma "resposta" (o "pong", uma
analogia ao famoso jogo de ping-pong) devolvida ao computador solicitante.

44

est no fato de alguns sistemas possurem um comportamento padro para gerar a

sequncia de nmeros dos cabealhos.
Com o conhecimento do padro para gerao de nmeros, o atacante cria pacotes
de dados que permitem que ele se insira na conexo entre o usurio e o servidor
(man in the middle), assim, toda a informao trafegada entre o usurio legtimo e o
servidor passar tambm pelo atacante.
5.5 ATAQUES COORDENADOS
Uma botnet pode ser formada por centenas ou milhares de computadores que foram
previamente infectados com algum tipo de malware, transformando-os em computadores "zumbis". Aps a infeco, o computador continua a funcionar normalmente
sob o comando do seu usurio legtimo, mas a qualquer momento, o gerente da botnet pode utiliz-lo para executar aes criminosas sem que o usurio legtimo tenha
conhecimento.
Um ataque coordenado se d quando o gerente de uma botnet utiliza diversos computadores da sua rede para desencadear ataques contra um nico alvo. Isso resulta
em um ataque extremamente eficiente, no qual a vtima fica praticamente indefesa,
sem ao menos descobrir a origem dos ataques, pois eles procedem de computadores intermedirios controlados pelo atacante.
5.6 ATAQUES NO NVEL DA APLICAO
Esse tipo de ataque explora vulnerabilidades em aplicaes, servios e protocolos
que funcionam no nvel aplicao e sero vistos nas sees a seguir.
5.6.1 Ataques na Web
Ataques na Web, navegadores de Internet, scripts Common Gateway Interface (CGI)
e scripts Active Server Pages (ASP) so as vulnerabilidades mais exploradas, mais
simples e mais comuns de serem vistas. por meio delas que os atacantes conseguem modificar arquivos dos servidores Web, resultando em modificaes no contedo das pginas Web (Web defacement) e na consequente degradao da imagem
das organizaes. Esses so os ataques que ganham destaques nos noticirios.
Outro tipo de ataque baseado na Web o Web Spoofing ou Hyperlink Spoofing.
Neste ataque o usurio iludido a pensar que est em uma pgina autntica quan-

45

do, na verdade, ela falsificada. Ele acessa uma pgina segura, protegida pelo protocolo SSL, e induzido a fornecer suas informaes pessoais ao falso servidor. Esse tipo de ataque muito utilizado contra usurios de Internet Banking, que tendem
a digitar suas senhas achando que esto na pgina do banco.
O usurio levado aos sites falsos via mensagens de e-mail pedindo para atualizao de cadastro, ou por pginas j comprometidas, que possuem um link para a pgina falsa.
5.6.2 Problemas com o SNMP
O Simple Network Management Protocol (SNMP) utilizado para o gerenciamento de
equipamentos de rede, tem diversos problemas de segurana, principalmente quanto ao vazamento de informaes sobre os sistemas. O SNMP pode prover diversas
informaes, tais como tabelas de rotas, tabelas de Address Resolution Protocol
(ARP) e conexes UDP e TCP.
Essas informaes facilitam o planejamento de ataques pelos atacantes, de modo
que os sistemas devem estar muito bem protegidos. Um dos problemas que possibilita o uso desta tcnica que o SNMP no tem mecanismos de travamento de senhas, permitindo ataques de fora bruta.
5.6.3 Malware
Malware o nome genrico que se d aos cdigos maliciosos que so executados
no computador do usurio sem que este tenha conhecimento. Existem trs categorias de malware: vrus, worm e cavalo de Tria.
O vrus computacional um programa que secretamente anexado por ele mesmo
a um "transportador", que neste caso pode ser um documento ou programa. O vrus
executado quando o documento aberto ou o programa iniciado.
Quando um vrus infecta um computador, ele realiza duas tarefas distintas. Primeiro,
procura meios de replicar-se para contaminar outros computadores. Ele faz isso se
acoplando a um programa ou documento no computador da vtima e ento procurando meios para enviar este "tranportador" para outro computador.
A segunda tarefa realizada pelo vrus aps a infeco ativar o cdigo malicioso. O
vrus pode realizar desde uma tarefa simples, como a exibio de uma mensagem,
at tarefas que possam causar prejuzos para o usurio, tais como remover arquivos

46

do computador, instalar programas com o objetivo de interceptar dados pessoais e

confidenciais e remet-los para outro computador.
A segunda categoria de malware o worm (verme). Este malware concebido para
invadir o computador, tirando vantagem de uma vulnerabilidade em uma aplicao
ou sistema operacional. No passo seguinte, atravs da rede, ele procura por outro
computador com a mesma vulnerabilidade para invadir.
Os worms so bastante confundidos com vrus, mas so significativamente diferentes. O vrus necessita de um "agente transportador" para se disseminar enquanto
que o worm utiliza a prpria rede para sua disseminao, sem necessidade de um
"agente transportador". Outra diferena importante que o vrus necessita de ao
para iniciar a infeco, como a execuo de um programa ou a abertura de um documento anexado ao e-mail, enquanto o worms no requer nenhuma ao por parte
do usurio para iniciar sua execuo.
Os cavalos de Tria (Trojan Horse) so programas que entram no sistema escondidos em outros programas. O usurio recebe o programa imaginando que este designado para uma determinada funo, mas na realidade ele carrega instrues maliciosas que podem abrir uma brecha no sistema, permitindo que o atacante invada a
mquina ou envie informaes privadas do usurio.
5.6.4 Spyware e Adware
O spyware um termo geral utilizado para descrever softwares que violam a privacidade das informaes dos usurios. O spyware monitoram as atividades dos usurios, coletando informaes pessoais do usurio.
O adware, diferentemente do spyware, associado a qualquer tipo de software que
exibe propaganda, com ou sem consentimento do usurio. Essa caracterstica largamente utilizada por programas shareware21.O adware tambm atua como spyware, mas com a diferena de apenas fazer propaganda em vez de obter dados privados do usurio.

_______________

21

Shareware um programa de computador disponibilizado gratuitamente, porm com algum tipo de

limitao. Sharewares geralmente possuem funcionalidades limitadas.

47

5.6.5 Rootkit
Um rootkit um programa que permite o acesso privilegiado e contnuo a um computador, mas mantm-se oculto. Eles podem controlar o sistema operacional ou outras aplicaes.
Rootkits agem como uma forma de malware e podem alterar as prioridades das
threads22, realizar captura do teclado (keylogging), agir como um capturador do trfego de rede (network sniffer), ocultar outros arquivos de outras aplicaes,ou criar
portas. Quando o rootkit oculta determinados processos e arquivos, ele permite que
o atacante use outras pores do sistema operacional sem que o usurio ou aplicao saiba o que est acontecendo, impossibilitando que softwares de proteo, como antivrus, por exemplo, detectem o rootkit.
5.6.6 Botnets
Botnet um temor genrico para um conjunto de softwares "robotizados", apelidados de "bots", que so executados automaticamente e de forma annima. Este termo tambm utilizado quando um grupo de computadores, tipicamente vinte ou
mais, esto comprometidos por um conjunto de softwares maliciosos tais como vrus, worms e cavalos de Tria. Os atacantes utilizam estas redes de computadores
"zumbis" para realizarem ataques, bem como para realizar ataques de negao de
servio distribudos (DDoS), desestabilizando servios de Internet tais como a Web e
servios de correio.

_______________

22

Thread o processo que permite o processador executar duas ou mais atividades independentes
simultaneamente.

48

6 TCNICAS E TECNOLOGIAS DE DEFESA

Problemas tcnicos exigem solues tcnicas. A finalidade desta seo apresentar
as diversas tecnologias disponveis para a proteo da informao em uma organizao.
6.1 O FIREWALL
O firewall uma soluo formada por um ou vrios componentes localizados em
uma extremidade da rede organizacional por onde passa todo o fluxo de dados entre
a organizao e o mundo exterior, includos a Internet e outras redes corporativas.
Ele tem por finalidade realizar a segurana, o controle, a autenticao e os registros
de todo o trfego realizado. Esse ponto nico constitui um mecanismo para proteger
a rede organizacional de uma rede pblica no confivel.
Cada um dos componentes de um firewall tem uma funcionalidade diferente e desempenha um papel que influi diretamente no nvel de segurana do sistema. Um
sistema de firewall pode ter as seguintes funcionalidades:

Filtros;

proxy;

bastion hosts;

zonas desmilitarizadas (DMZ);

network address translation NAT;

rede privada virtual (VPN);

autenticao; e

certificao.

O balanceamento de cargas e a alta disponibilidade tambm possuem importncia,

principalmente porque todo o trfego entre as redes deve passar pelo firewall.
6.2 FILTROS
Os filtros realizam o roteamento de pacotes de maneira seletiva, ou seja, aceitam ou
descartam pacotes por meio da anlise das informaes de seus cabealhos. Essa
deciso tomada de acordo com as regras de filtragem definidas na PSI da organizao.

49

6.3 PROXIES
Um servidor Proxy caracteriza-se por agir como um sistema intermedirio entre a Internet e a rede interna. ele que faz a intermediao das solicitaes entre os usurios e o mundo externo. medida que o servidor Proxy faz estes encaminhamentos
ele tambm pode iniciar o processo de cache das pginas web em disco local. Com
isso, da prxima vez que um usurio fizer a requisio para a mesma pgina web, o
servidor Proxy no precisa mais ir a Internet para obter a pgina, pois ela j est armazenada localmente, proporcionando economia de banda de Internet e maior agilidade para as pesquisas dos usurios.
6.4 BASTIONS HOSTS
Os bastions hosts so servidores onde so instalados os servios a serem disponibilizados para usurios externos organizao. Como esto em contato direto com as
conexes externas, os bastions hosts devem ser protegidos da melhor maneira possvel. Essa mxima proteo possvel significa que o bastion host deve executar apenas os servios e aplicaes para os quais se destinam, sempre com os patches
de segurana instalados imediatamente aps sua criao. Assim, os bastions hosts
podem ser chamados tambm de servidores fortificados, com a minimizao dos
possveis pontos de ataque. Uma grande interao ocorre entre os bastions hosts e
a zona desmilitarizada (DMZ), pois os servios que sero oferecidos pela DMZ devem ser inequivocamente instalados em bastion hosts.
6.5 ZONA DESMILITARIZADA
A Zona Desmilitarizada uma rede que fica entre a rede interna e a rede externa e
onde esto instalados os hardwares e softwares que fazem a interface entre os servios utilizados pelos usurios externos e internos organizao. Essa segmentao faz com que, caso algum equipamento dessa rede desmilitarizada (um bastion
host) seja comprometido, a rede interna continue intacta e segura.
6.6 NETWORK ADDRESS TRANSLATION NAT
O NAT no foi criado com a inteno de ser usado como um componente de segurana, mas sim, para tratar de problemas em redes de grande porte nas quais a es-

50

cassez de endereos IP representa um problema. Dessa forma, a rede interna pode

utilizar endereos IP privados, sendo o NAT o responsvel pela converso desses
endereos invlidos e reservados para endereos vlidos e roteveis quando a rede
externa acessada. Sob o ponto de vista de segurana, o NAT pode esconder os
endereos dos equipamentos da rede interna e, consequentemente, sua topologia
de rede, dificultando os eventuais ataques externos.
6.7 REDE PRIVADA VIRTUAL VPN
A Virtual Private Network - VPN permite que informaes, normalmente de negcios,
trafeguem com segurana pela Internet. Os conceitos fundamentais da VPN so a
criptografia e o tunelamento. A criptografia utilizada para garantir a autenticidade,
o sigilo e a integridade das conexes e a base da segurana dos tneis, que permitem que os dados organizacionais trafeguem por uma rede pblica atravs de um
tnel criptografado.
6.8 AUTENTICAO
Autenticao o processo que garante que algo ou algum autntico. As maneiras
para validar a identidade podem ser baseadas em endereos IP, senhas, certificados digitais, tokens, smartcards ou biometria.
6.9 BALANCEAMENTO DE CARGAS E ALTA DISPONIBILDIADE
Como pode ser visto, o firewall deve ser o nico ponto de acesso a uma determinada rede organizacional, de modo que todo o trfego deve passar por ele. Assim, ele
pode representar tambm um gargalo dessa rede, sendo recomendvel que mecanismos de contingncia sejam utilizados.
O balanceamento de cargas de firewalls um desses mecanismos que visam diviso do trfego entre dois firewalls que trabalham paralelamente. Os firewalls com
cargas balanceadas devem operar exatamente com as mesmas regras de segurana.

51

7 A POLTICA DE SEGURANA DA INFORMAO

O estabelecimento e a implementao de uma PSI em uma organizao so influenciados pelas suas necessidades, objetivos, estrutura organizacional, tamanho,
processos organizacionais, requisitos de segurana, e recursos disponveis. Ao longo do tempo esperado que estes fatores se modifiquem o que implicar na reviso
da PSI.
Segundo Singer e Friedman (2014), quatro so as metas a serem perseguidas em
PSI: confidencialidade, integridade, disponibilidade e resilncia.
Confidencialidade a capacidade de manter a privacidade dos dados. No somente
os segredos organizacionais e dados pessoais, mas tambm dados transacionais,
que podem revelar detalhes importantes sobre o relacionamento entre organizaes
e indivduos. Assim, confidencialidade de fundamental importncia e suportada
tanto por ferramentas e tcnicas, como a criptografia e o controle de acesso, como
por protees legais.
Integridade significa que o sistema e os dados no foram alterados ou modificados
inadvertidamente ou sem autorizao.
Disponibilidade significa que os dados estaro disponveis e os sistemas funcionando perfeitamente.
Resilincia a capacidade de se manter operacional apesar dos ataques e incidentes, que acontecem em uma base contnua em qualquer organizao.
As medidas previstas em uma PSI devem preservar a confidencialidade, integridade,
disponibilidade e a resilincia da informao por meio da aplicao de um processo
de gerenciamento de riscos, dando confiana para as partes interessadas de que os
riscos so adequadamente gerenciados.
7.1 REFERNCIA NORMATIVA
A srie ISO 27000 constitui um padro de certificao de sistemas e gesto pela Internacional Organization for Standardization (ISO), neste caso aplica-se implementao de Sistemas de Gesto de Segurana da Informao, atravs do estabelecimento de uma poltica de controles adequados e da gesto de riscos.
A sua implementao no garantir que a organizao no sofra ataques, mas garantir a idealizao e implementao de uma Poltica de Segurana da Informao

52

PSI robusta e adequada necessidade de SI da organizao, restringindo bastante os riscos que possam causar danos significativos organizao.
7.2 CONTEXTO ORGANIZACIONAL
Para a elaborao de uma PSI, a organizao deve determinar quais questes internas e externas so relevantes para o propsito organizacional e afetam a capacidade de alcanar os resultados pretendidos.
Neste trabalho, a organizao deve analisar as interfaces e dependncias entre as
atividades desempenhadas por ela e as por outras instituies, considerando os requisitos legais e contratuais.
7.3 A LIDERANA
O papel da alta direo fundamental para o sucesso de uma PSI. Os lderes devem assegurar o alinhamento entre os objetivos da SI, a estratgia organizacional e
a compatibilidade com os processos organizacionais.
Definido o direcionamento, os lderes devem assegurar a disponibilidade dos recursos necessrios a sua implementao e executar aes de comunicao, orientao
e apoio para que os resultados pretendidos sejam alcanados.
Os lderes devem materializar o seu comprometimento com a segurana da informao, explicitando o propsito da organizao, os objetivos e os requisitos de segurana da informao que devero ser perseguidos.
A PSI dever ser documentada e estar disponvel para todas as partes interessadas,
cabendo alta direo comunic-la dentro da organizao e assegurar a conformidade de sua implementao, bem como a incorporao de melhorias.
7.4 TRATAMENTO DOS RISCOS
No planejamento, a organizao deve definir e aplicar um processo de avaliao de
riscos de segurana da informao. Para isso, o primeiro passo o estabelecimento
de critrios para a avaliao e aceitao dos riscos de SI. Estes critrios permitiro
que as contnuas avaliaes de riscos produzam resultados comparveis, vlidos e
consistentes.
Estabelecidos estes critrios, a organizao dever identificar os riscos de SI relacionados perda de confidencialidade, integridade, disponibilidade da informao.

53

Nesta fase, a liderana dever identificar as pessoas responsveis por acompanhar

cada um dos riscos identificados.
O passo seguinte ser analisar independentemente cada risco identificado. Para isto, os riscos sero avaliados em relao s potenciais consequncias caso sejam
materializados. Nesta fase, dever ser calculada a probabilidade atual de ocorrncia
de cada um destes riscos.
A seguir, os riscos quantificados devero ser comparados com os critrios de aceitao de riscos estabelecidos inicialmente e priorizados. Isto determinar a resposta
que se dar a cada um.
O processo de gerenciamento de riscos constante e periodicamente o responsvel
por cada risco dever reavaliar o impacto e a probabilidade de ocorrncia. Todo este
processo dever ser documentado.
7.5 OPERAO
Na fase operacional, a organizao dever possuir processos de medio, anlise e
avaliao da SI, com o estabelecimento de mtodos de avaliao e indicadores de
desempenho.

54

8 CONTROLES
A ISO/IEC 27000 no estabelece os procedimentos que devero ser realizados pela
organizao para garantir a SI. Estes procedimentos devero ser construdos pela
prpria organizao, considerando seus ativos de informao, os recursos disponveis e os riscos que est disposta a aceitar. Porm, a ISO/IEC 27000 estabelece
uma srie de 14 grupos de controles que orientam a confeco de uma PSI.
Esta seo tem por finalidade apresentar o propsito de cada um destes grupos de
controle:

Polticas de segurana da informao;

Organizao da segurana da informao;

Segurana em recursos humanos;

Gesto de ativos;

Controle de acesso;

Criptografia;

Segurana fsica do ambiente;

Segurana nas operaes;

Segurana nas comunicaes;

Aquisio, desenvolvimento e manuteno de sistemas;

Relacionamento na cadeia de suprimento;

Gesto de incidentes em segurana da informao;

Aspectos da segurana da informao na gesto da continuidade do negcio;

Conformidades

8.1 GC 1: POLTICAS DE SEGURANA DA INFORMAO

Estabelece que um conjunto de polticas, normas, planos e procedimentos deve ser
definido pela alta direo da organizao e ser de conhecimento de todos os usurios, sejam eles usurios internos ou externos. Este conjunto de polticas deve ser
periodicamente revisado a fim de manter-se atualizado e pertinente ao propsito da
organizao em relao segurana da informao.

55

Este conjunto de normas permitir a capacitao dos recursos humanos, garantindo

que a organizao tenha o mesmo entendimento sobre as prticas que regulam os
procedimentos de SI.
8.2 GC2: ORGANIZAO DA SEGURANA DA INFORMAO
A direo da organizao dever estabelecer uma estrutura interna de gerenciamento para controlar todo o processo de planejamento, implementao e gesto da operao da SI. Papis e responsabilidades devem ser atribudos aos membros da organizao e as funes conflitantes devem ser segregadas a fim de reduzir possibilidades de modificao (integridade) ou uso indevido (confidencialidade) dos ativos
de informao da organizao.
A PSI dever estabelecer as condies e as medidas de procedimentos necessrias
para o uso de dispositivo mvel e acesso remoto aos ativos de informao da organizao.
8.3 GC3: SEGURANA EM RECURSOS HUMANOS
Estabelece que a organizao dever assegurar que os funcionrios, prestadores de
servio e terceirizados entendam as suas responsabilidades e estejam capacitados
a desempenhar as funes para quais foram selecionados. Assim, no processo seletivo, devero ser realizados procedimentos para verificar se o perfil do candidato est de acordo com a tica e a capacitao exigida pela organizao.
Durante a contratao, os usurios devero receber treinamento de acordo com as
funes que iro desempenhar e sempre que houver uma atualizao na PSI, os
usurios devero ser recapacitados. Procedimentos disciplinares devero ser previstos em caso de violao das normas de segurana da informao.
A organizao dever manter um processo formal para os usurios por ocasio de
seu desligamento ou modificao da contratao.
Com estes procedimentos, o funcionrio somente estar apto a exercer as funes
para quais foi contratado aps ter sido capacitado nas habilidades necessrias SI.

56

8.4 GC4: GESTO DE ATIVOS

Estabelece que a organizao deva inventariar todos os ativos de informao23 bem
como dos ativos responsveis pelo processamento desta informao. A organizao
dever regular o uso de cada ativo atribuindo-lhe um responsvel. Dever assegurar
que os responsveis tenham pleno conhecimento de suas responsabilidades.
A organizao dever estabelecer um sistema para classificar toda a informao de
acordo com seu valor, sensibilidade e criticidade. Procedimentos devero ser estabelecidos quanto distribuio e circulao da informao a fim de evitar modificaes ou divulgao no autorizada.
Procedimentos tambm devero ser estabelecidos para o gerenciamento de mdias
mveis, descartes e transferncias de mdias para evitar o acesso no autorizado,
uso imprprio ou modificao do seu contedo.
8.5 GC5: CONTROLE DE ACESSO
Estabelece que o acesso informao e aos recursos de acesso informao deve
ser limitado. Os usurios devem ter acesso somente s redes e aos servios para
qual estejam autorizados a utilizar.
A organizao deve ter procedimentos formais para permitir o acesso dos usurios
aos ativos de informao, tudo de acordo com o perfil e a funo de cada um deles.
Deve haver, tambm, procedimentos para a retirada ou modificao do acesso dos
usurios por ocasio do seu desligamento ou trocas de funo.
O registro dos acessos realizados em sistemas (logs) deve ser mantido pela organizao para possibilitar futuras auditorias quando necessrio.
Os responsveis pelos ativos de informao e o pessoal da rea tcnica de TI devem regularmente avaliar os procedimentos e as permisses dados a cada usurio,
realizando modificaes sempre que necessrio.
A organizao deve manter um sistema de gerenciamento que assegure a qualidade
das senhas.

_______________

23

Ativo de informao todo ativo material ou imaterial que contm informaes (ex. arquivo fsico de
documentos, HD, sistemas e outros).

57

8.6 GC6: CRIPTOGRAFIA

Estabelece que para garantir a confidencialidade, autenticidade e integridade da informao, a organizao deve utilizar controles criptogrficos. A poltica deve prever
o uso, a proteo e o tempo de vida das chaves criptogrficas.
8.7 GC7: SEGURANA FSICA DO AMBIENTE
Estabelece que a organizao deva adotar medidas para prevenir o acesso fsico
no autorizado s instalaes onde esto localizados os ativos de informao e os
ativos de processamento. Entende-se por instalaes no somente os locais onde
esto hospedados os meios de armazenamento das informaes, mas tambm os
locais por onde passam os cabeamentos de dados e os servios pblicos como eletricidade.
Dever ser dada ateno proteo das salas e instalaes onde esto os ativos de
informao. Um permetro de segurana com controles eficazes de entrada e sada
deve ser estabelecido nestas reas.
Alm das medidas contra acesso no autorizado s informaes, devero haver aes com relao segurana fsica das instalaes contra desastres naturais, acidentes e ataques maliciosos.
8.8 GC8: SEGURANA NAS OPERAES
Estabelece que a organizao deve manter um controle sobre a gesto de mudanas de processos de negcio e dos recursos de processamento da informao, a fim
de no impossibilitar a utilizao da informao pelos setores da organizao ou abrir novas "brechas" de segurana.
Deve haver controle sobre a gesto da capacidade, com monitoramento dos recursos utilizados para processar a informao (capacidade do processador, memria,
banda de internet, eletricidade e outros) de forma que o uso da informao no futuro
no seja comprometido devido ao desbalanceamento entre a demanda e a oferta.
Na rea de desenvolvimento de sistemas, dever haver segregao das funes de
desenvolvimento, testes e operao.

58

Com relao aos malwares, a norma ABNT NBR ISO/IEC 27001 (2013) prev a existncia de procedimentos para a deteco, preveno e remoo de malwares que
devem ser combinados com um programa de conscientizao dos usurios.
Estabelece tambm a existncia de procedimentos para o gerenciamento das cpias
de segurana das informaes (back-up), registro e proteo dos logs, instalao de
softwares e realizao de auditorias.
8.9 GC9: SEGURANA DAS COMUNICAES
Estabelece que a organizao deva assegurar a segurana das informaes que trafegam nas redes bem como dos meios utilizados para process-las.
A PSI dever prever controles especficos para a transferncia de informaes entre
organizaes. Para isso, devero ser realizados acordos para a manuteno do sigilo apropriado da informao quando da transferncia de dados e troca de mensagens eletrnicas entre as organizaes.
8.10 GC10: AQUISIO, DESENVOLVIMENTO E MANUTENO DE SISTEMAS
No que diz respeito ao processo de aquisio, desenvolvimento e manuteno de
sistemas, estabelece que os requisitos de segurana sejam especificados na fase de
levantamento dos requisitos do sistema e que qualquer alterao que se pretenda
fazer em outros sistemas, para efeitos de compatibilidade ou integrao, seja precedida de uma anlise cuidadosa a fim de evitar criao de falhas de segurana.
Os ambientes de desenvolvimento de sistemas devero ser protegidos para evitar
que vulnerabilidades sejam propositalmente inseridas.
As bases de dados utilizadas para os testes dos sistemas devero ser previamente
preparadas a fim de evitar a exposio de informaes sensveis e, aps os testes, o
destino da base de dados utilizada dever ser previsto.
8.11 GC11: RELACIONAMENTO NA CADEIA DE SUPRIMENTO
A organizao deve estabelecer procedimentos regulando a proteo dos ativos de
informao acessados pelos fornecedores e prestadores de servio. Para isto, devem ser estabelecidos acordos tratando sobre segurana da informao relativo aos
componentes supridos, recolhidos e quando aos acessos dos tcnicos responsveis
pelos servios.

59

A organizao dever realizar periodicamente auditoria nos suprimentos e nos servios realizados para garantir que os acordos estejam sendo cumpridos.
8.12 GC12: GESTO DE INCIDENTES EM SEGURANA DA INFORMAO
Segundo a norma ABNT NBR ISO/IEC 27001 (2013), a organizao dever estabelecer procedimentos para o tratamento de incidentes em segurana da informao.
Todos os incidentes de segurana da informao devero ser formalmente registrados e tratados, sejam eles j conhecidos ou novos. A partir destes registros, a organizao ir analis-los para verificar os fatores que permitiram a repetio de sua
ocorrncia e, no caso de novos incidentes, permitir que a organizao estude-os e
aprenda com eles.
Toda a organizao dever saber os procedimentos para preservao do ambiente
onde ocorreu o incidente de SI, a fim de permitir que a equipe tcnica possa colher
evidncias que ajudem a esclarecer as causas, motivaes e responsabilidades,
bem como dimensionar a extenso do incidente e dos danos causados.
8.13 GC13: ASPECTOS DA SEGURANA DA INFORMAO NA GESTO DA
CONTINUIDADE DO NEGCIO
Alm dos controles previstos para incidentes de segurana, a norma estabelece controles para a continuidade do negcio.So dois os aspectos relativos continuidade
do negcio.
O primeiro diz respeito continuidade em caso de ocorrncia de sinistros que possam destruir ou danificar as infraestruturas ou meios de processamento da informao. Neste caso, a organizao dever conduzir uma anlise de riscos e realizar um
planejamento para a implementao da redundncia de equipamentos e instalaes
conforme anlise de risco realizada.
O segundo aspecto diz respeito capacidade de processar a informao. Neste caso, a organizao dever monitorar continuamente a utilizao dos seus recursos de
processamento da informao, adequando o seu parque tecnolgico conforme o
aumento da demanda pelo processamento da informao ou os avanos tecnolgicos que se faam necessrios.

60

8.14 GC14: CONFORMIDADES

A organizao dever estabelecer procedimentos para evitar a violao de alguma
obrigao legal, normativa ou contratual.
Procedimentos devem ser estabelecidos para a proteo de requisitos legais, contratuais, de propriedade intelectual e proteo da privacidade de informaes pessoais. Para isso, a organizao dever regularmente conduzir auditorias e revises de
seus procedimentos.

61

9 ANLISE
O objetivo deste trabalho "avaliar se as aes previstas em uma Poltica de Segurana da Informao podem proteger as organizaes contra ataques cibernticos".
Para atingir este objetivo, os seguintes objetivos especficos foram definidos:

Apresentar casos reais de ataques cibernticos, analisando os fatores que

possibilitaram sua execuo;

Analisar os perfis dos atacantes e estudar as suas formas de atuao;

Apresentar os controles que devem ser implementados em um Poltica de

Segurana da Informao, verificando se eles so eficazes para contraporemse s formas de atuao dos atacantes.

Duas hipteses foram levantadas.

Hiptese 1: A segurana ciberntica mais efetiva quando implementada pelo Estado, pelos provedores de servios de Internet e pelas empresas de telecomunicaes.
Hiptese 2: A segurana ciberntica mais efetiva quando implementada pela prpria organizao.
9.1 ANLISES PARCIAIS
Neste tpico sero feitas duas anlises parciais. No primeiro grupo sero analisadas as vulnerabilidades exploradas nos trs estudos de caso apresentados na seo
3, os quais sero confrontados com os grupos de controle mencionados na seo 8
e previstos na ISO/IEC 27000. Pretende-se analisar se a existncia de uma PSI que
regulasse os controles apresentados seria suficiente para evitar os ataques cibernticos.
No segundo grupo, sero confrontadas as vulnerabilidades apresentadas na seo 5
com os grupos de controle apresentados na seo 8, verificando se os controles apresentados so suficientes para evitar ataques cibernticos.
9.1.1 Anlise dos Casos Estnia, Belarus e Arbia Saudita
Sero analisados se uma Poltica de Segurana da Informao poderia evitar ou mitigar as aes relatadas nos casos da Estnia, Belarus e Arbia Saudita.

62

9.1.1.1 Caso Estnia

Sero analisadas os ataques DDoS e a presena de computadores zumbis em rgos pblicos.
9.1.1.1.1 Situao 01
Ataque massivo de DDoS dirigido s instituies pblicas, comerciais, acadmicas e
de mdia a partir de botnets localizadas em mais de 50 pases. Este ataque teve uma
durao relativamente longa (3 semanas) e no foi possvel a identificao dos responsveis pelas botnets.
Anlise: Os ataques de DDoS so direcionados aos servidores que hospedam os sites. Estes servidores podem ser da prpria organizao ou podem ser servidores
comerciais. No primeiro caso, a organizao pode adquirir uma soluo anti-DDoS e
no segundo caso, pode ter uma clusula contratual especificando a soluo antiDDoS.
Controles: 8 (Segurana nas operaes), 13 (Aspectos da Segurana da informao
na gesto da continuidade do negcio)
9.1.1.1.2 Situao 02
Existncia de 01 computador "zumbi" em rgo governamental de outro pas (Rssia), que quase causou um incidente diplomtico.
Anlise: um dos ataques identificados partiu de um computador localizado em uma
repartio pblica russa, o que inicialmente levou a crer que o governo russo estava
orquestrando os ataques cibernticos Estnia. Posteriormente, chegou-se a concluso que o computador utilizado, apesar de pertencer a uma organizao pblica,
fazia parte de uma botnet.
A situao poderia ter tido um desdobramento muito mais grave se uma botnet fosse
formada exclusivamente por computadores desta organizao e tivesse sido utilizado para realizar ataques s instituies de outros pases.
Controles: 1(Poltica de Segurana da Informao), 3 (Segurana em recursos humanos); 8 (Segurana nas operaes)

63

9.1.1.2 Caso Belarus

Sero analisados o bloqueio de proxies dos servidores comerciais, a criao de sites
de contingenciamento, ataques de DDoS, uso de proxies annimos e modelagem de
largura de banda.
9.1.1.2.1 Situao 03
Bloqueio de sites nos proxies dos provedores comerciais de servios Web.
Anlise: Neste caso, o bloqueio do site da organizao foi realizado pela provedora
de servio com o consentimento do governo. Uma auditoria interna (regras de filtragem e logs de acesso) no provedor de servio seria suficiente para identificar os
responsveis pelo bloqueio. Porm, auditorias como estas s so factveis em pases que possuam instituies democrticas fortes, no sendo o caso de Belarus.
O bloqueio de sites pode e deve ser utilizado pela organizao para coibir o acesso
a sites proibidos (ex: sites de pedofilia, racistas etc).
Controle: 8 (Segurana nas operaes); 11 (Relacionamento na cadeia de suprimento); 13 (Aspectos da Segurana da informao na gesto da continuidade do negcio); 14 (Conformidades)
9.1.1.2.2 Situao 04
A criao de sites "espelhos" como contingenciamento foi parcialmente eficaz.
Anlise: Dois dos princpios a serem perseguidos em uma PSI so a disponibilidade
e a resilincia , assim, dependendo da avaliao de riscos, a organizao dever ter
sites de contingenciamento.
Controle: 11 (Relacionamento na cadeia de suprimento); 13 (Aspectos da Segurana
da informao na gesto da continuidade do negcio).
9.1.1.2.3 Situao 05
Ataques DDoS a partir de botnets.
Anlise: idntica a Situao 01.
Controles: idntica a Situao 01.
9.1.1.2.4 Situao 06
Uso de proxies annimos.

64

Anlise: O uso de proxies annimos uma ameaa a PSI de qualquer organizao,

pois eles burlam as regras e abrem brechas na segurana da organizao. Tecnicamente, quase impossvel impedir o acesso a proxies annimos sem que se impea o acesso Internet. Neste caso, toda a ao tem que ser feita atravs de normas proibindo esta prtica, complementada por auditoria de logs de acesso Internet e utilizao de procedimentos disciplinares, se for o caso.
Controles: 1 (Polticas de Segurana da Informao), 3 (Segurana em recursos
humanos).
9.1.1.2.4 Situao 07
Modulao de largura de banda por parte do provedor de servios de Internet.
Anlise: No estudo apresentado, a largura de banda foi alterada pela operadora com
o consentimento do governo.
No caso de uma organizao, ela pode exigir em contrato, a garantia de disponibilidade de uma largura mnima de banda.
Controles: 11 (Relacionamento na cadeia de suprimento), 13 (Aspectos da Segurana da informao na gesto da continuidade do negcio).
9.1.1.3 Caso Arbia Saudita
Sero analisados o uso de proxies annimos, utilizao de servios de re-email
9.1.1.3.1 Situao 08
Utilizao de proxies annimos.
Anlise: idntica a Situao 06
Controles: idntica a Situao 06
9.1.1.3.2 Situao 09
Modificao das portas padres dos servios
A modificao das configuraes padres de determinados servios, como o servio
de e-mail, mostrou ser uma tcnica eficaz, pois dificulta a ao do atacante que ter
que descobrir o novo endereo de porta do servio.
Controles: 12 (Gesto de incidentes de segurana da informao).

65

9.1.1.3.3 Situao 10
Utilizao de servios de re-email.
Anlise: O acesso a servios de provedores de e-mails externos organizao e de
re-email, dependendo da anlise de risco realizada, podem ser uma ameaa organizao.
Controles: 1 (Polticas de Segurana da Informao), 3 (Segurana em recursos
humanos).
9.1.2 Anlise das Vulnerabilidades
Para esta anlise, as vulnerabilidades sero divididas em trs grupos: vulnerabilidades tcnicas, vulnerabilidades humanas e vulnerabilidades fsicas.
Vulnerabilidades tcnicas: packet sniffing ,port scanning, escaneamento de vulnerabilidades, bugs em servios, aplicativos e sistemas operacionais; SYN flooding,
fragmentao de pacotes de IP; smurf, sequestro de sesso, prognstico de nmero
de sequncia TCP, ataques na Web, problemas com o SNMP, malware, spyware,
adware e rootkit.
Vulnerabilidades Humanas: informaes livres, trashing, engenharia social.
Vulnerabilidades Fsicas: ataques fsicos.
9.1.2.1 Anlise vulnerabilidades tcnicas
Anlise: problemas tcnicos exigem solues tcnicas e para isto so necessrios
recursos materiais especficos e recursos humanos capacitados.
Controles: Todos os controles se aplicam a este grupo de vulnerabilidades.
9.1.2.2 Anlise vulnerabilidades humanas
Anlise: As vulnerabilidades humanas so tratadas pelos processos de seleo,
treinamento/capacitao e desligamento.
Controles: 1 (Polticas de Segurana da Informao), 2 (Organizao da Segurana
da Informao), 3 (Segurana em recursos humanos), 5 (Controle de Acesso), 9
(Segurana nas comunicaes), 11 (Relacionamento na cadeia de suprimento), 12
(Gesto de incidentes em segurana da informao), 14 (Conformidades)

66

9.1.2.3 Anlise das vulnerabilidades fsicas

Anlise: Alm do ambiente ciberntico, o ambiente fsico deve ser considerado na
PSI da organizao, afinal, nem todos os ativos de informao so virtuais.
Controles: 1 (Polticas de Segurana da Informao), 2 (Organizao da Segurana
da Informao), 3 (Segurana em recursos humanos), 5 (Controle de Acesso), 7
(Segurana fsica do ambiente), 9 (Segurana nas comunicaes), 11 (Relacionamento na cadeia de suprimento), 12 (Gesto de incidentes em segurana da informao), 14 (Conformidades).
9.2 CONFRONTAO DAS HIPTESES
De acordo com o que foi apresentado, o Estado, os provedores de servios de Internet e as empresas de telecomunicaes no tm autonomia para agir na correo
de vulnerabilidades especficas das empresas. Porm, as vulnerabilidades dos provedores de servios de Internet e das empresas de telecomunicaes podem se tornar uma vulnerabilidade para as organizaes que utilizam seus servios.
O Estado pode agir como um inibidor de incidentes cibernticos, propondo leis, participando de acordos internacionais e conduzindo investigaes contra agentes que
cometem crimes cibernticos.
O emprego de uma PSI em uma organizao pode ser eficiente na efetivao das
quatro metas de um Sistema de Gesto de Segurana da Informao (confidencialidade, integridade, capacidade e resilincia), mas sua eficcia depender do apoio
da liderana da organizao, da capacidade dos recursos humanos, da disponibilidade de recursos financeiros e de um bom processo de gerenciamento de riscos. A
organizao, em seus contratos com os prestadores de servios de Internet e com
empresas de telecomunicaes, pode e deve ter clusulas contratuais que minimizem as vulnerabilidades na prestao de servio.
A organizao deve ter um plano de contingenciamento para garantir a capacidade e
a resilincia.
A Hiptese 2, "A segurana ciberntica mais efetiva quando implementada pela
prpria organizao", a mais apropriada para a organizao que deseja protegerse de ameaas cibernticas.
O Estado, os provedores de servios de Internet e as empresas de telecom so importantes e necessrios na SI para uma organizao, mas no so determinantes.

67

REFERNCIAS

ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 27001:

tecnologia da informao: tcnicas de segurana:sistemas de gesto da segurana
informao: requisitos . Rio de Janeiro, 2013. 30p.
COUNCIL OF EUROPE. Convention on Cybercrime. Budapest, 2001.
FERNANDES, J. H. C. Gesto da segurana da informao e comunicaes .
Braslia,DF: UNB, 2010.V.I.
FREITAS, W. L. D.; BARROS, O. S. D. R.; GOMES, U. D. M. Desafios estratgicos
para segurana e defesa ciberntica. Braslia, DF: Secretaria de Assuntos
Estratgicos da Presidncia da Repblica, 2011.
GEERS, K. Strategic Cyber Security. Tallinn: CCD COE Publication, 2011. ISBN
9789949904075.
HABDANK-KOACZKOWSKA, Sylvana. Nations in Transit 2014: eurasias rupture
with democracy. Freedon House, Washington, DC, 2014. Disponivel em:
<http://freedomhouse.org/sites/default/files/NIT2014%20booklet_WEBSITE.pdf>.
Acesso em: 25 Jun 2014.
JEWELL, M. Security.TJX breach could top 94 million acoounts. NBC News ,Boston,
Ma, 2007. Disponivel em:
<http://www.nbcnews.com/id/21454847/ns/technology_and_science-security/t/tjxbreach-could-top-million-accounts/#.U7NR-_ldWis>. Acesso em: 01 jul. 2014.
LANGEVIN, J. R. et al. Securing cyberspace for the 44th Presidency.
Washington, DC: Center for Strategic and International Studies, 2008.
LEE, T. B. Heres everything we know about PRISM to date. The Washington Post.
Washington, DC, 12 jun 2013. Disponivel em:
<http://www.washingtonpost.com/blogs/wonkblog/wp/2013/06/12/heres-everythingwe-know-about-prism-to-date/>. Acesso em: 30 jun. 2014.
MANDARINO, R. Segurana e defesa do espao ciberntico brasileiro. Recife:
Cubzac, 2010. ISBN 9788561293130.
MITNICK, K. D.; SIMON, W. L. Mitnick : a arte de enganar. So Paulo: Pearson
Education do Brasil, 2003.
UNIVERSITY OF TORONTO. Munk Centre for International Studies. Tracking
GhostNet: Investigating a Cyber EspionageNetwork. Otawa, 2009.

68

NAKAMURA, E. T.; GEUS, P. L. D. Segurana de redes em ambientes

cooporativos. So Paulo: Novatec Ed. 2007. ISBN 9788575221365.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Framework for
Improving Critical Infrastructure Cybersecurity. [S.l.: s.n.], 2014.
OFFICE OF THE DIRECTOROF NATIONAL INTELLIGENCE. National. Washington
Post, 2013. Disponivel em: <http://apps.washingtonpost.com/g/page/national/insidethe-2013-us-intelligence-black-budget/420/#document/p1/a117329>. Acesso em: 30
jun. 2014.
REPORTERS without borders. Repressive regulations target Internet freedon of
expression. Reporters Without Borders: for freedon of information. 08 Jan. 2011.
Disponivel em: <http://en.rsf.org/saudi-arabia-repressive-regulations-target-08-012011,39243.html>. Acesso em: 24 jun. 2014.
SINGER, P. W.; FRIEDMAN, A. A. Cybersecurity and cyberwar: what everyone
needs to know. New York: Oxford University Press, 2014.
WHITAKER, Brian. Losing the Saudi cyberwar. The Guardian, London, 26 fev. 2001.
Disponivel em: <http://www.theguardian.com/world/2001/feb/26/saudiarabia>.
Acesso em: 25 jun. 2014.