Escolar Documentos
Profissional Documentos
Cultura Documentos
Trabalho de Concluso de Curso - Monografia apresentada ao Departamento de Estudos da Escola Superior de Guerra como requisito obteno
do diploma do Curso de Altos Estudos de Poltica
Estratgia.
Orientador: Cel Paulo Roberto Vilela Antunes
Rio de Janeiro
2014
RESUMO
Esta monografia aborda a necessidade das organizaes disporem de uma Poltica
de Segurana da Informao para se prevenirem das ameaas cibernticas. O objetivo do estudo avaliar se as aes previstas em uma Poltica de Segurana da Informao podem proteger as organizaes contra ataques cibernticos. A metodologia adotada comportou uma pesquisa bibliogrfica, visando buscar referencias tericas. Tambm utilizou estudo de relatos de guerra ciberntica disponveis em livros e
sites especializados. O campo de estudo analisou trs casos concretos de guerra ciberntica que foram amplamente analisados por organizaes internacionais. Os
principais tpicos so o estudo de casos de guerra ciberntica, a anlise do perfil
dos atacantes cibernticos, o estudo das vulnerabilidades que permitem os ataques
e as invases a sistemas, as tcnicas empregadas pelas organizaes para se contraporem a estas ameaas, o estudo do planejamento de uma Poltica de Segurana
da Informao e os controles que devem ser implementados por esta poltica. Por ltimo, feita uma anlise para verificar se as aes previstas na Poltica de Segurana da Informao seriam capazes de deter as tcnicas de invases conhecidas e as
utilizadas pelos atacantes nos estudos de casos apresentados, concluindo se a Poltica de Segurana da Informao implementada pelas organizaes eficiente para
se contrapor s ameaas cibernticas ou se o Estado e os provedores de servio
que devem ser responsveis pela segurana contra ataques cibernticos.
Palavras chave: Guerra ciberntica. Poltica de segurana da informao. Hacker.
ABSTRACT
This study addresses the requirement for organizations put into force an information
security policy to prevent cyber threats. The objective of this research is to evaluate
the effectiveness and capacity of actions planned within an information security policy and how it enables organizations in their protection against cyber attacks. The
methodology adopted included a review of literature with a goal of encountering relevant theoretical references, as well as an examination of investigative reports of
acknowledged incidents of cyber attack available in books and specialized websites.
Three actual cases of cyber attack that were widely analyzed by international organizations were scrutinized to explain the highlighted topics within this research. These
topics included: evaluation of cyber attack cases; an analysis in the profile of cyber
attackers; vulnerabilities that permit malicious attacks and invasions on systems;
counter-tactics used by organizations against these threats; the study of initiating and
organizing a durable information security policy; and the various controls that must
be implemented within this policy. Finally, an analysis was performed to verify that
the actions foreseen in any information security policy would truly be able to prevent
the invasive techniques known and used by todays attackers. Ultimately, the study
weighs the benefits of instituting an effective information security policy within organizations or if placing this critical responsibility with the Government or system service
providers is required to ensure the systems of these organizations are protected
against future cyber attacks.
Keywords: Cyber attacks. Security policy information. Hacker.
ASP
CCD COE
CEI
CIA
DDoS
DoS
Denial of Service
DNS
DMZ
DeMilitarized Zone
EUA
FBI
FDDI
IP
Internet Protocol
ISU
MIRA
MTU
NAT
NSA
OSCE
OTAN
P&D
Pesquisa e Desenvolvimento
PSI
SI
Segurana da Informao
SSL
TCC
TCP
TI
Tecnologia da Informao
UDP
VOIP
VPN
SUMRIO
1
1.1
1.2
1.2.1 `
1.2.2
1.2.3
1.2.4
1.2.5
2
3
3.1
3.2
3.3
4
4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
5
5.1
5.2
5.2.1
5.2.2
5.2.3
5.2.4
5.2.5
5.2.6
5.2.7
5.3
5.3.1
5.3.2
5.3.3
5.3.4
5.4
5.4.1
5.4.2
INTRODUO ........................................................................................... 13
FORMULAO DA SITUAO PROBLEMA ............................................ 15
OBJETIVOS E ESCOPO ............................................................................ 15
Objetivo Geral ........................................................................................... 16
Objetivos especficos ............................................................................... 16
Escopo....................................................................................................... 16
Justificativa ............................................................................................... 17
Hipteses .................................................................................................. 17
FUNDAMENTAO TERICA ................................................................. 18
NO MUNDO REAL ..................................................................................... 20
O CASO ESTNIA ..................................................................................... 20
O CASO BELARUS .................................................................................... 23
O CASO ARBIA SAUDITA ....................................................................... 28
AS AMEAAS ........................................................................................... 32
CONSIDERAES INICIAIS ..................................................................... 32
SCRIPT KIDDIES ....................................................................................... 33
OS CYBERPUNKS ..................................................................................... 33
OS INSIDERS ............................................................................................ 34
OS CODERS .............................................................................................. 35
O WHITE HAT ............................................................................................ 36
O BLACK HAT ............................................................................................ 36
O GRAY HAT ............................................................................................. 37
OS CIBERTERRORISTAS ......................................................................... 37
AS VULNERABILIDADES ......................................................................... 38
O PLANEJAMENTO DE UM ATAQUE ....................................................... 38
ATAQUES PARA OBTENO DE INFORMAES ................................. 38
Informaes livres .................................................................................... 39
Trashing .................................................................................................... 39
Engenharia Social .................................................................................... 39
Ataque fsico ............................................................................................. 40
Packet Sniffing.......................................................................................... 40
Port Scanning ........................................................................................... 40
Escaneamento de vulnerabilidades ........................................................ 40
ATAQUES DE NEGAO DE SERVIOS ................................................ 41
Bugs em servios, aplicativos e sistemas operacionais ...................... 41
SYN Flooding ............................................................................................ 41
Fragmentao de pacotes de IP .............................................................. 42
Smurf ......................................................................................................... 43
ATAQUES ATIVOS CONTRA TCP ............................................................ 43
Sequestro de sesso ................................................................................ 43
Prognstico de nmero de sequncia TCP............................................ 43
5.5
5.6
5.6.1
5.6.2
5.6.3
5.6.4
5.6.5
5.6.6
6
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
6.9
7
7.1
7.2
7.3
7.4
7.5
8
8.1
8.2
8.3
8.4
8.5
8.6
8.7
8.8
8.9
8.10
9.1.1
Anlise dos Casos Estnia, Belarus e Arbia Saudita .......................... 61
9.1.1.1 Caso Estnia .............................................................................................. 62
9.1.1.1.1 Situao 01................................................................................................. 62
9.1.1.1.2 Situao 02................................................................................................. 62
9.1.1.2 Caso Belarus .............................................................................................. 63
9.1.1.2.1 Situao 03................................................................................................. 63
9.1.1.2.2 Situao 04................................................................................................. 63
9.1.1.2.3 Situao 05................................................................................................. 63
9.1.1.2.4 Situao 06................................................................................................. 63
9.1.1.2.4 Situao 07................................................................................................. 64
9.1.1.3 Caso Arbia Saudita ................................................................................... 64
9.1.1.3.1 Situao 08................................................................................................. 64
9.1.1.3.2 Situao 09................................................................................................. 64
9.1.1.3.3 Situao 10................................................................................................. 65
9.1.2
Anlise das Vulnerabilidades .................................................................. 65
9.1.2.1 Anlise vulnerabilidades tcnicas ............................................................... 65
9.1.2.2 Anlise vulnerabilidades humanas ............................................................. 65
9.1.2.3 Anlise das vulnerabilidades fsicas ........................................................... 66
9.2
CONFRONTAO DAS HIPTESES ....................................................... 66
REFERNCIAS .......................................................................................... 67
13
1 INTRODUO
Em meados de 2013 o ex-tcnico de informao da Agncia de Segurana Nacional
Norteamericana1 (NSA sigla em ingls) Edward Snowden revelou ao mundo o programa de espionagem conduzido pelo governo dos EUA. Segundo as informaes
divulgadas por Snowden, os alvos foram governos, governantes, empresas, empresrios e cidados de vrios pases, aliados ou no dos EUA, tudo justificado pela gide do combate ao terrorismo. Ainda segundo Snowden, empresas como a Microsoft, Yahoo, Google, Facebook, Paltalk, Youtube, Skype, AOL e Apple fornecem acesso aos tcnicos da NSA para alimentarem as bases de dados de programas como o Prism2, que um programa de vigilncia eletrnica altamente secreto mantido por aquela agncia e que tem por finalidade o monitoramento e avaliao de mdias eletrnicas.
A imprensa estima que a NSA dispe de um oramento anual de 7 bilhes de dlares e conta com cerca de 60 mil colaboradores, mais que os efetivos e os oramentos da CIA e do FBI juntos. Com nmeros to altos como estes talvez a verdadeira
profundidade dos programas conduzidos pela NSA nunca seja de conhecimento pblico, talvez nem mesmo dos governantes norteamericanos. O que certo que, alm dos EUA, outros pases possuem agncias que exercem atividades semelhantes NSA.
Ataques cibernticos no so novidades, h vrios anos as comunidades de hackers
e crakers realizam ataques de negao de servios contra servidores Web, distribuindo programas maliciosos de computadores e explorando vulnerabilidades no cdigo-fonte de sistemas operacionais e sistemas de gerenciamento de rede.
A subtrao no autorizada de informaes ou a injeo de programas maliciosos
causam srios danos a governos e organizaes, tais como: prejuzos imagem,
perda de vantagem competitiva, comprometimento de sistemas informatizados crticos para a populao e roubo de pesquisas acadmicas e de projetos industriais.
_______________
NSA a agncia de segurana dos Estados Unidos, criada em 04 de novembro de 1952, com funes relacionadas inteligncia de sinais, incluindo interceptao e criptoanlise. um dos rgos
encarregados de proteger as comunicaes norte-americanas.
Prism: Um dos programas de vigilncia global da NSA que foi mantido secreto at junho de 2013 e
que permite coletar e monitorar vrias atividades de usurios que esto em poder de provedores de
servios de Internet, incluindo histrico de pesquisas, contedo de e-mails, transferncia de arquivos, vdeos, fotos, chamadas de voz e vdeo, detalhes de redes sociais, log-ins e outros dados em
poder das empresas de Internet.
14
Em alguns casos a recuperao destes danos pode ser custosa e demorada, em outros casos jamais ser possvel.
As leis que regulam o Direito Ciberntico no mbito internacional ainda so tmidas e
no tratam da subtrao de dados realizada por outros Estados. Estas aes maliciosas so difceis de serem descobertas e na maior parte das vezes a vtima s toma conhecimento que sofreu uma subtrao de informao quando v seus dados
publicados em sites da Internet ou em outras mdias, de outra forma, dificilmente saber que foi alvo de um ataque ciberntico.
Para que se possa ter noo da complexidade envolvida, vamos imaginar um agente
A acessando um computador B no pas C. Atravs do computador "B", o agente
"A" acessa sequencialmente uma srie de computadores zumbis3 espalhados pelo
mundo para finalmente, a partir do ltimo computador "zumbi", invadir silenciosamente a rede de uma organizao localizada no pas D. Caso este ataque seja
percebido, como localizar sua origem? Como descobrir quantos computadores foram
envolvidos? Como achar a localizao fsica de cada um deles? Como fazer a forense computacional em cada um deles? Qual pas seria responsvel por faz-la? Onde
o crime seria julgado e por qual lei? Como descobrir o agente que executou tal ato?
Hoje, nenhuma destas perguntas fcil de responder.
Ataques cibernticos no so fico, acontecem a todo momento. So silenciosos e
as vtimas, sejam elas Estados ou organizaes, no alardeiam que foram atacadas.
Das 500 empresas citadas na revista Fortune, 97% foram "hackeadas" e os 3% restantes no podem afirmar que no foram (SINGER; FRIEDMAN, 2014). A grande
questo saber as dimenses que estes ataques podem alcanar.
Um cdigo malicioso, com capacidade de corromper transaes, instalado em um
sistema bancrio pode arruinar tanto os clientes como o prprio banco. O desafio
para a equipe de segurana da informao saber como livrar-se de um vrus que
pode estar espalhado pelos computadores dos funcionrios, clientes e parceiros e
que se reinfesta a cada conexo. Quanto tempo levar a organizao para identificar
e restaurar o sistema? Os antivrus esto preparados para esta ameaa? Como se-
_______________
Termo empregado para classificar computadores utilizados por hackers para envio de spam e ataques a sites sem que o dono do computador saiba de tal atividade. O termo ser contextualizado na
seo 5.6.9 Botnets.
15
_______________
Engenharia social a tcnica de obter informaes explorando as vulnerabilidades humanas e sociais dos funcionrios da organizao.
16
17
18
2 FUNDAMENTAO TERICA
Embora a bibliografia pesquisada e consultada seja relativamente extensa, o presente trabalho baseou-se fundamentalmente nas obras desenvolvidas por Geers (2011),
Nakamura (2007) e na Norma Brasileira ABNT NBR ISO/IEC 27001(2013)5.
Geers (2011) argumenta em seu trabalho que a segurana computacional evoluiu de
uma disciplina tcnica para um conceito estratgico com a crescente dependncia
do mundo em uma Internet vulnervel, combinada com as capacidades dos
atacantes cibernticos. Para ele, a ameaa agora no somente contra usurios e
organizaes contra a segurana nacional e internacional.
Segundo Geers (2011), o Estado pode utilizar quatro abordagens para a mitigao
de um ataque ciberntico:
A primeira abordagem, IPV6, uma soluo tcnica. A Arte da Guerra uma abordagem militar. As terceira e quarta abordagens so hbridas: a dissuaso uma mistura de consideraes militares e polticas; o controle de armas cibernticas uma
mistura de consideraes polticas e tcnicas.
Em sua obra, Nakamura (2007) trata o problema da segurana da informao em
ambientes corporativos, fazendo uma anlise tcnica do perfil dos atacantes e das
vulnerabilidades tecnolgicas. A partir dela e considerando o perfil das organizaes
e a disponibilidade de recursos, Nakamura (2007) pondera as tecnologias disponveis para a defesa ciberntica. Desta forma, so analisadas:
Poltica de Segurana;
Sistema de Firewall;
Criptografia e PKI;
Autenticao.
_______________
5
19
Com base na anlise destas tecnologias, Nakamura (2007) apresenta diversos cenrios que representam as redes das organizaes, cada um com as suas complexidades. Ele analisa diversas configuraes de componentes importantes para a segurana da organizao.
A Associao Brasileira de Normas Tcnicas produziu a srie ISO/IEC 270006, que
trata da gesto da segurana da informao e sua implementao, gesto de riscos,
mtricas, auditoria, certificao e ameaas cibernticas. Neste trabalho so analisados os controles sugeridos na ISO/IEC 27001.
_______________
6
20
3 NO MUNDO REAL
Em 2007, pelo menos 94 milhes de contas de cartes de crdito Visa e Master
Card podem ter sido expostas a fraudes em decorrncia de uma falha de segurana
na empresa TJX Companies (JEWELL, 2007). Saber exatamente como se deu o ataque, as vulnerabilidades exploradas e que informaes foram comprometidas no
uma tarefa fcil. As organizaes no divulgam os detalhes das fraudes porque
estas informaes expem sua credibilidade junto aos clientes, o que poder acarretar prejuzos maiores que as fraudes de que foram vtimas. Assim, no caso da empresa TJX Companies e de outras organizaes, as tcnicas e a falhas exploradas
pelos atacantes provavelmente nunca sero divulgadas.
Os trs casos reais apresentados a seguir foram selecionados por terem sido exaustivamente estudados pela OTAN e por permitirem uma anlise do papel desempenhado pelo Estado, organizaes, provedores de infraestrutura e provedores de servios de Internet.
3.1 O CASO ESTNIA
A Repblica da Estnia um dos trs pases blticos. Situada na Europa Setentrional, constituda de uma poro continental e um grande arquiplago no mar Bltico. Limita-se ao norte com o golfo da Finlndia, a leste com a Rssia, ao sul com a
Letnia e a oeste com o mar Bltico. Possui pouco mais de um milho e trezentos
mil habitantes distribudos em 45 mil quilmetros quadrados. Em 2004, a Estnia
tornou-se membro da OTAN e da Unio Europeia.
Durante a ocupao sovitica entre 1944 e 1991, grandes contingentes tnicos de
russos mudaram-se para a Estnia em busca de uma vida melhor. At o momento
do colapso da Unio Sovitica, as minorias tnicas russas compunham 40% da populao da Estnia.
A Letnia e a Litunia, dois pases vizinhos da Estnia, concederam a cidadania universal a todos residentes de outras etnias que viviam dentro das suas fronteiras,
permitindo a integrao entre os diferentes grupos tnicos e a populao nativa, tornando-se, desta forma, uma populao mais coesa. A Estnia recusou-se a fazer o
mesmo, em vez disso, o governo insistiu que todos estonianos no tnicos deveriam
ser tratados como estrangeiros. Assim, em vez de integrar as diversas etnias sob a
mesma bandeira, esta poltica serviu como uma barreira, solidificando ainda mais a
21
diviso entre as etnias estoniana e russa dentro das fronteiras do pas e criando uma
situao instvel com a Rssia.
Segundo Geers (2011), a Estnia uma nao altamente informatizada. Estima-se
que 60% dos servios considerados cruciais para a populao e 96% das transaes bancrias sejam realizadas pela Internet. Em 2007, a Estnia tinha a reputao
de ser o pas mais conectado da Europa.
Esta no era a situao em 1991. Aps o colapso da Unio Sovitica, apenas metade da populao da Estnia tinha acesso a uma linha telefnica. O novo governo viu
nessa deficincia uma oportunidade para o crescimento e passou a destinar parte
substancial do seu oramento para P&D na rea de tecnologia da informao e comunicao. Porm, poucos investimentos foram feitos na defesa contra potenciais
ataques cibernticos.
Em abril de 2007, o governo da Estnia resolveu mudar a localizao do memorial
do "Soldado de Bronze", da praa principal da capital Tallin para um cemitrio militar.
Este memorial foi erguido em homenagem a um soldado sovitico desconhecido
morto durante a 2 Guerra Mundial pelos nazistas e cujos restos mortais, juntamente
com os de ao menos treze companheiros, foram encontrados em uma vala naquele
local. A deciso de mudana de local fez com que russos e outras pessoas que eram contra a transferncia da esttua fossem s ruas protestar. Este episdio deflagrou a primeira guerra ciberntica do mundo.
O ciberataque iniciou s 10:00 horas do dia 26 de abril de 2007. Atacantes desconhecidos lanaram um ataque de negao de servios, tambm conhecidos como
DDoS7, em grande escala contra o governo da Estnia. Inicialmente, os hackers atacaram o site do Ministrio da Defesa e, posteriormente, os ataques se espalharam
para sites de partidos polticos e do governo, incluindo o site oficial do parlamento da
Estnia. Ao final da primeira semana, os ataques deixaram estes sites completamente inacessveis. Na semana seguinte, a lista de alvos estendeu-se aos principais
sites de notcia, deixando-os indisponveis por uma semana.
Quando as autoridades descobriram que a fonte dos ataques eram computadores
"zumbis" localizados fora do pas, todo o trfego internacional foi bloqueado. A mdia
_______________
O Ataque DDoS (Distributed Denial of Service) causa uma sobrecarga no sistema da vtima, fazendo-o reiniciar ou a consumir todos os recursos de memria e processamento de forma que ele no
possa mais fornecer seu servio.
22
da Estnia lamentou o fato de no poder comunicar ao mundo o que estava acontecendo em seu pas, mas esta foi a nica maneira de diminuir o trfego de dados para um nvel razovel suportado pelos servidores.
Os ciberataques continuaram at que a meia-noite de 09 de maio, horrio de Moscou, a Estnia testemunhou o seu maior pesadelo: desta vez, os atacantes concentraram seus esforos sobre seu sistema bancrio. Em 10 de maio, os ataques cibernticos foraram o Hansabank, maior banco do pas, a encerrar as operaes baseadas na Internet. Este ataque foi significativo primeiramente porque em um pas onde 97% das transaes bancrias so realizadas pela Internet os clientes foram privados deste servio, segundo porque as conexes do Hansabank e de seus caixas
eletrnicos em todo o pas foram suspensas e terceiro porque rompeu a ligao do
Hansabank com o resto do mundo, impedindo a utilizao de cartes de dbito de
cidados estonianos fora do pas.
Os ciberataques duraram trs semanas e causaram extensa devastao. Em 26 de
abril, eles haviam comeado com cerca de mil pacotes de dados por hora e no segundo dia tinham evoludo para dois mil por hora, subindo a uma taxa exponencial
ao longo das trs semanas, chegando no dia 09 de maio a 4 milhes de pacotes por
segundo. Foram centenas de sites atacados, incluindo governo, mdia, universidades e organizaes privadas.
Depois de tentar, em vo, afastar as ondas de DDoS, o governo bloqueou todo o trfego internacional e, ao fazer isso, isolou a Estnia do resto do mundo. No entanto,
esta medida drstica foi recebida com sucesso, com a carga sobre os sites voltando
a nveis normais. Em 19 de maio, da mesma forma que comeou, os ataques pararam e a primeira guerra ciberntica do mundo chegou ao fim.
Na anlise realizada por Geers (2011), os hackers que orquestraram estes ataques
postaram informaes sobre o ciberataque em blogs e salas de chat, disponibilizando horas e datas dos ataques, listas de sites estonianos vulnerveis e, at mesmo
instrues sobre a melhor forma de realizar ataques DDoS contra a infraestrutura de
informao da Estnia. Muitos dos computadores "zumbis" utilizados pelas botnets8
nos ataques estavam localizados em mais de 50 pases, incluindo os Estados Unidos da Amrica.
_______________
Botnet uma rede de computadores zumbis administrada por um hacker para realizar ataques a outros servidores e computadores.
23
O governo da Estnia acusou o governo russo pelos ataques por vrias razes. Primeiramente o governo russo recriminara publicamente a deciso da Estnia de remover o memorial e pedira a renuncia do governo estoniano. Assim, os ataques cibernticos serviriam para promover ainda mais a instabilidade na regio. Em segundo lugar, o governo estoniano rastreou com sucesso um dos ataques, vinculando um
endereo IP a um computador do governo russo. A Rssia negou veementemente
qualquer envolvimento, informando mais tarde que o computador em questo foi utilizado como um computador "zumbi" em uma botnet.
Aps investigaes conduzidas pelo governo da Estnia e pela OTAN chegou-se a
concluso que os hackers que conduziram os ciberataques agiram por iniciativa prpria como forma de protesto poltico. Estes "hacktivistas" eram uma combinao de
hackers experientes, que queriam demonstrar o poder de suas botnets e de seus
cdigos maliciosos, e de novatos que seguiram as instrues do tipo "como fazer"
encontradas em vrios sites de hackers na Internet.
Aps estes ataques houve um aumento da conscincia relacionada s vulnerabilidades e necessidade de instituir salvaguardas para a infraestrutura da informao. A
OTAN criou o Cooperative Cyber Defense Centre of Excellence (CCD COE), em Tallinn, para conduzir pesquisas sobre respostas a ciberterrorismo e estabelecer um
protocolo padro para ataques cibernticos.
3.2 O CASO BELARUS
Belarus um pas sem sada para o mar localizado no Leste Europeu e que faz fronteira com a Rssia a nordeste, com a Ucrnia ao sul, com a Polnia a oeste, e com
Litunia e Letnia a noroeste. Sua capital Minsk e cerca de 40% da sua rea total
de 207 mil quilmetros quadrados so cobertos por florestas. Seus setores econmicos que mais se destacam so a agricultura e a indstria manufatureira.
Belarus uma repblica governada por um presidente e por uma assembleia nacional. De acordo com a constituio de 1994, o presidente eleito a cada cinco anos,
mas depois de uma eleio disputada em 1996, este mandato passou para sete anos.
24
A Comunidade dos Estados Independentes (CEI) uma organizao governamental fundada no dia
8 de dezembro de 1991, composta pelas antigas repblicas soviticas e, de certa forma, sucessora
parcial da antiga Unio Sovitica. Esta comunidade composta por 10 membros: Rssia, Belarus,
Armnia, Azerbaijo, Kasaquisto, Moldvia, Uzbequisto, Kirgisto, Tajiquisto e Turcomenisto.
10
A Organizao para a Segurana e Cooperao na Europa (OSCE) uma organizao de pases
do Ocidente voltada para a promoo da democracia e do liberalismo econmico na Europa. formada por 56 pases membros, da Europa (incluindo a Federao Russa e todos os pases da Unio
Europeia), da sia Central e da Amrica do Norte (Canad e Estados Unidos).
25
11
Site espelho uma cpia do site original armazenado em outro servidor e acessado atravs de outro endereo IP.
26
12
27
o governo tinha uma nova arma ciberntica eficaz em seu arsenal: a modulao da
largura de banda da Internet. Esta ttica permitiu que os sites proibidos ficassem acessveis, mas demorava de 05 a 10 minutos para que as pginas fossem carregadas no navegador. Assim, os usurios eram simplesmente incapazes de obter acesso completo ao Charter 97 e outros sites da oposio. Outros sites no polticos
permaneceram acessveis normalmente. Nem a Beltelecom nem o Ministrio das
Comunicaes manifestaram-se sobre o assunto e nenhuma investigao oficial foi
realizada.
Os incidentes seguintes aconteceram em 2006, durante as eleies presidenciais.
Antecipando-se a estratgia do governo, o Charter 97, bem antes da eleio, ofereceu a seus visitantes inmeras maneiras de contornar a censura em uma iniciativa
chamada de "Internet livre". Em parte, devido a estes esforos, a filtragem da Beltelecom falhou, porm o controle de banda foi utilizado novamente com relativo sucesso.
Outros eventos utilizando DDoS ou controle de banda aconteceram nos dias 18 e 19
de maro de 2006, vspera e dia das eleies presidenciais e nos dias 25 e 26 de
abril de 2008, vspera e dia previstos para manifestaes.
Geers (2011) concluiu que a principal lio de Belarus que a vigilncia do governo
e a filtragem na Internet no tm que ser abrangentes para serem eficazes. O direcionamento seletivo aos adversrios e o aumento das operaes de rede em momentos crticos, como durante as eleies, podem ser muito teis aos interesses de
um governo. O monoplio de infraestruturas de comunicaes, sejam pblicos ou
privados, permite o abuso do poder, principalmente se estiverem sob a influncia de
interesses polticos. O patrocnio de negao de servio (DDoS) pelo estado contra
a sociedade civil inaceitvel e este problema no est confinado nas fronteiras do
pas, ele pode ser uma ameaa para outros pases.
______________
15
Proxies annimos executam servios semelhantes aos proxies normais, porm no esto localizados nas redes dos usurios e sim em provedores na Internet e permitem que os usurios possam
acess-lo anonimamente.
28
16
O KACST (King Abdulaziz City for Science and Technology) uma organizao cientfica independente administrativamente, mas subordinada ao primeiro ministro saudita. Tem como funo o desenvolvimento cientfico, formulao de polticas de tecnologia, coleta de dados, financiamento de
pesquisa e registro de patentes.
29
Cache uma cpia de uma pgina ou um site da Internet que fica armazenado num servidor.
30
situao e conduzir um ataque de negao de servio simplesmente colocando contedo proibido em um dos sites hospedados no servidor.
Outra forma de bloquear sites atravs das solicitaes de bloqueio realizadas pelos usurios. Mensalmente, cerca de 7.000 sites so adicionados na lista negra, contra 100 solicitaes para desbloqueio.
Os defensores da privacidade criticam os fabricantes de softwares por permitirem a
filtragem e a negao de servios, mas eles se defendem dizendo que no so responsveis pelo uso que se faz do software.
Segundo Geers (2011), o governo saudita sofre crticas por negar o acesso a sites
polticos sobre o pretexto de combater a disseminao da pornografia. Um destes
crticos o grupo dissidente chamado de Movimento de Reforma Islmica na Arbia
(MIRA), que tem sede em Londres. O endereo IP do MIRA foi colocado na lista de
sites proibidos, mas o grupo mudou o endereo IP do site e ele passou a ficar novamente disponvel na Internet. O grupo no sabe por que o segundo estgio no
bloqueou o acesso, mas com esta tcnica o grupo consegue ficar disponvel por
uma semana na Arbia Saudita at que o site seja novamente bloqueado.
No satisfeito, o MIRA desenvolveu uma soluo mais interessante. Primeiro criou
um processo randomizado para selecionar o nmero da porta para o endereo de email, escolhendo uma em mais de 60.000 possveis. Esta ao dificultou o trabalho
do governo, pois o nmero tradicional da porta de e-mail a 80 e agora pode ser
qualquer uma entre todas as possveis. O passo seguinte foi desenvolver um novo
processo para informar o novo endereo email. Seu servidor de e-mail foi programado para responder automaticamente a qualquer webmail contendo e-mail em branco
com o novo endereo IP do MIRA. Como os e-mails em branco so enviados de e
esto em branco, quase impossvel para o governo impedir a disseminao dinmica do endereo IP do site do MIRA.
Segundo o dirigente do MIRA, Dr Saad Fagih (WHITAKER, 2001), o nmero de visitantes Sauditas de cerca de 75.000 por dia. Sob o ponto de vista tcnico, a troca
constante de IPs e portas um desafio para a censura da Internet na Arbia Saudita.
O problema com a censura que quando os cidados esto dispostos a obter informaes do exterior, eles iro encontrar um meio para isto. Alguns cidados acessam
estas informaes atravs de ligaes telefnicas para provedores de servios de
31
32
4 AS AMEAAS
No Sculo VI A.C. Sun Tzu disse que se o general conhece tanto o inimigo quanto a
si mesmo, no precisar temer o resultado de cem batalhas. Se ele conhece somente a si mesmo e no seu inimigo, para cada vitria conseguida tambm sofrer uma
derrota. Se ele no conhece nem a si mesmo nem o inimigo, perder todas as batalhas. Estes dizeres permanecem atuais nos dias de hoje e adaptam-se perfeitamente ao contexto ciberntico. Conhecer o perfil psicolgico, as motivaes e o potencial
dos atacantes fundamental para a estruturao e implementao de uma Poltica
de Segurana da Informao (PSI) eficaz.
Nesta seo ser descrito o perfil e as motivaes dos atacantes cibernticos, que,
combinados com o contexto no qual a organizao est inserida e a conjuntura do
momento, ajudar a organizao a se prevenir contra as potenciais ameaas.
4.1 CONSIDERAES INICIAIS
Na definio original, hackers, so indivduos que utilizam seus conhecimentos para
invadir sistemas, no com o intuito de causar danos s vtimas, mas como desafio s
suas habilidades tcnicas. Eles invadem sistemas, capturam ou modificam arquivos
para provar sua capacidade e depois compartilhar suas proezas com os colegas. Eles no tm a inteno de prejudicar, mas apenas de demonstrar que conhecimento
poder. So exmios programadores e conhecedores dos segredos que envolvem
as redes e os programas de computadores e no gostam de serem confundidos com
os crackers.
Os crackers so indivduos que invadem sistemas com a inteno de roubar informaes e causar danos s vtimas. Atualmente, com o crescimento da Internet e a
difuso do tema na mdia, a imprensa mundial generalizou o termo hacker.
Nakamura e Geus (2007) definem os seguintes tipos de hackers:
Script kiddies: iniciantes;
Cyberpunks: mais velhos e antissociais;
Insiders: empregados insatisfeitos;
Coders: os que escrevem sobre suas proezas;
White hat: profissionais contratados para consultorias em SI;
Black hat: crackers; e
Gray hat: hackers que vivem no limite entre white hat e black hat.
33
Nakamura e Geus (2007) alertam que no so apenas os hackers que causam problemas de segurana nos sistemas, os usurios, mesmo sem ms intenes, tambm podem causar danos ou negar servios de rede por meio de seus erros, ignorncia ou descumprimento de procedimentos de SI.
4.2 SCRIPT KIDDIES
Nakamura e Geus (2007), definem os script kiddies como jovens inexperientes que
conseguem ferramentas de hacker, principalmente na Internet, e as utilizam sem conhecimento dos conceitos e dos cdigos que elas implementam.
Devido grande facilidade em obter essas ferramentas na Internet, os script kiddies
so considerados perigosos para um grande nmero de organizaes. Principalmente as que, por no terem uma PSI, apresentam "brechas" de segurana geradas pela
falta de atualizao de patch18 de servidor. Isto suficiente para que os script kiddies executem as ferramentas e causem estragos considerveis s organizaes.
importante salientar que as aes praticadas pelos script kiddies foram as responsveis pelo incio da conscientizao das organizaes quanto SI. Eles so a imensa maioria dos hackers na Internet e uma grande quantidade de incidentes
causada por eles.
4.3 OS CYBERPUNKS
Segundo Nakamura e Geus (2007), os cyberpunks so os hackers dos tempos romnticos que se dedicam s invases de sistemas por puro divertimento e desafio.
Eles tm grande conhecimento tcnico e so obcecados pela privacidade de seus
dados, o que faz com que todas as suas comunicaes sejam criptografadas. Sua
preocupao principal o governo que, segundo o pensamento deles, pode estar
acessando as informaes privadas dos cidados.
Geralmente so eles que descobrem novas vulnerabilidades em servios, sistemas
e protocolos e publicam as vulnerabilidades encontradas. Desta forma, eles prestam
_______________
18
Conforme novas falhas de segurana vo sendo identificadas nos softwares, os fabricantes lanam
pacotes e softwares (patches) para corrigir estas falhas.
34
35
pode estar perdendo espao, mercado e imagem para o concorrente, sem saber o
real motivo disso.
Um cuidado especial deve ser dado aos ex-funcionrios, que so muitas vezes os
elementos mais perigosos. Se um funcionrio for demitido, ele pode querer se vingar. Se ele sair da empresa sob bons termos, pode querer demonstrar seus conhecimentos e seu valor para o novo empregador, que pode ser um concorrente da organizao em que trabalhava anteriormente.
Funcionrios terceirizados tambm podem ser uma fonte de risco para a organizao. Se, por um lado, no podem ter acesso s informaes confidenciais, por outro
podem passar a estudar e a conhecer os procedimentos, os hbitos e os pontos fracos da organizao, que podero ser explorados posteriormente.
Tambm possvel que os funcionrios terceirizados aceitem subornos para efetuar
a divulgao de informaes consideradas confidenciais ou mesmo que subornem
outros funcionrios da organizao com o objetivo de obter segredos organizacionais.
Deve haver controle sobre o pessoal da segurana e da limpeza, pois eles tm acesso a vrios locais da organizao e podem ser facilmente utilizados pela engenharia social.
4.5 OS CODERS
Os coders so os hackers que resolveram compartilhar seus conhecimentos escrevendo livros ou proferindo cursos, palestras e seminrios sobre suas proezas.
O caso de Kevin Mitnick muito interessante. Aps cumprir pena na priso por suas
atividades notrias envolvendo engenharia social e tcnicas avanadas de apropriao de informaes confidenciais de diversas empresas, ele passou a ser um dos
hackers mais requisitados para proferir palestras sobre SI. Isso depois de conseguir
uma aprovao formal para tal, pois ele estava proibido de utilizar computadores,
procurar empregos como consultor tcnico ou mesmo escrever sobre tecnologia,
sem a devida aprovao. Apenas em 2001 ele readquiriu o direito de utilizar um telefone celular e, aps vencer o perodo de observao, ele abriu uma empresa de
consultoria e lanou um livro de engenharia social.
36
37
Qualquer ao prejudicial que visa afetar negativamente e causar prejuzos s vtimas pode ser considerada de autoria de um black hat.
4.8 O GRAY HAT
Os gray hats so black hats que fazem o papel de white hats, a fim de trabalharem
na rea de segurana. Porm, diferentemente destes, cuja formao tem base em
conhecimentos profundos sobre a segurana, os gray hats tm conhecimento sobre
atividades de hacking. Algumas organizaes os contratam para realizar anlises de
segurana, porm diversos incidentes j demonstraram que o nvel de confiana necessrio para a realizao de trabalhos to crticos e estratgicos no alcanado
por meio desta abordagem.
4.9 OS CIBERTERRORISTAS
O termo ciberterrorista utilizado para definir os hackers que realizam seus ataques
contra alvos selecionados cuidadosamente com o objetivo de transmitir uma mensagem poltica ou religiosa (hackvism), para derrubar a infraestrutura de comunicaes
ou para obter informaes que podem comprometer a segurana nacional de alguma nao.
Os meios para que isso seja alcanado so:
ataque semntico como consequncia de uma pichao de sites (defacement), no
qual o contedo do site altrerado para disseminar informaes falsas, mensagens
polticas ou religiosas;
ataques distribudos de negao de servios (DDoS); e
invases a sistemas com objetivo de obter informaes confidenciais.
38
5 AS VULNERABILIDADES
As invases aos sistemas so possveis graas existncia de vulnerabilidades que
podem ser exploradas atravs da engenharia social ou do conhecimento tcnico.
Essas invases exploram deficincias na concepo, implementao, configurao
ou gerenciamento dos servios e sistemas. Elas continuaro existindo porque o
mercado centrado nas funcionalidades dos produtos e no em segurana.
Os atacantes exploram as "brechas" existentes em sistemas operacionais, protocolos, redes de dados, aplicaes, usurios e nas infraestruturas fsica. Desta forma, o
trabalho do gerente de segurana muito mais difcil que o do atacante, pois basta
que este explore apenas uma vulnerabilidade que o acesso informao poder ser
conseguido, enquanto que aquele precisa encontrar e fechar todas as brechas existentes.
Esta seo abordar as diversas formas de ataque utilizadas pelos hackers e as
vulnerabilidades exploradas.
5.1 O PLANEJAMENTO DE UM ATAQUE
O primeiro passo para a realizao de um ataque a obteno de informaes sobre o sistema alvo, o que pode ser feito atravs de diversas tcnicas que sero descritas logo a seguir. Aps a obteno destas informaes, o atacante pode agir no
sistema por meio de uma das quatro formas:
monitoramento da rede;
penetrao do sistema;
39
40
41
As ferramentas de scanners realizam diversos tipos de testes nos servidores procura de falhas de segurana, seja em protocolos e servios, seja em aplicativos e
sistemas operacionais. Algumas destas falhas so:
configuraes incorretas;
softwares desatualizados;
configuraes de roteadores;
configuraes de servios; e
42
_______________
19
Offset: campo de deslocamento que indica a poro de dados enviados em um fragmento em relao ao datagrama original.
43
5.3.4 Smurf
O Smurf um ataque no qual um grande trfego de pacotes ping20 enviado para o
endereo IP do broadcast da rede, tendo como origem o endereo de IP da vtima.
Assim, com o broadcast, cada host da rede recebe a requisio, passando todos eles a responderem para o endereo de origem. A rede afetada, pois todos os seus
hosts respondem requisio, passando a atuar como um amplificador e a vtima
que teve seu endereo IP falsificado, recebe os pacotes de todos esses hosts, ficando desabilitada para executar suas funes normais, sofrendo assim uma negao
de servio.
5.4 ATAQUES ATIVOS CONTRA TCP
Alm dos ataques de negao de servios, ataques mais sofisticados, que permitem
o sequestro da conexo ou a injeo de trfego tambm podem ser utilizados.
5.4.1 Sequestro de sesso
Este ataque realizado em trs etapas. Na primeira etapa o usurio legtimo estabelece a comunicao com o servidor, utilizando nome de usurio e senha. Na segunda etapa, o atacante, que est "escutando" a comunicao entre o usurio e o servidor, captura a sesso estabelecida entre o usurio e o servidor. Na terceira etapa, o
atacante interrompe a conexo legtima entre o usurio e servidor e com a sesso
capturada passa a agir como se fosse o usurio legtimo, podendo realizar todas as
transaes que o usurio legtimo tem direito.
5.4.2 Prognstico de nmero de sequncia TCP
Cada pacote de dados que trafega pela rede possui um cabealho de dados. Este
cabealho contm uma srie de nmeros que permitem, entre outras coisas, identificar o endereo IP de destino, a porta do servio no servidor, e a sequncia para o
reagrupamento dos pacotes quando estes chegarem ao destino. A vulnerabilidade
_______________
20
Ping ou latncia como podemos chamar, um utilitrio que usa o protocolo ICMP para testar a conectividade entre equipamentos. um comando disponvel praticamente em todos os sistemas operacionais. Seu funcionamento consiste no envio de pacotes para o equipamento de destino e na
"escuta" das respostas. Se o equipamento de destino estiver ativo, uma "resposta" (o "pong", uma
analogia ao famoso jogo de ping-pong) devolvida ao computador solicitante.
44
45
do, na verdade, ela falsificada. Ele acessa uma pgina segura, protegida pelo protocolo SSL, e induzido a fornecer suas informaes pessoais ao falso servidor. Esse tipo de ataque muito utilizado contra usurios de Internet Banking, que tendem
a digitar suas senhas achando que esto na pgina do banco.
O usurio levado aos sites falsos via mensagens de e-mail pedindo para atualizao de cadastro, ou por pginas j comprometidas, que possuem um link para a pgina falsa.
5.6.2 Problemas com o SNMP
O Simple Network Management Protocol (SNMP) utilizado para o gerenciamento de
equipamentos de rede, tem diversos problemas de segurana, principalmente quanto ao vazamento de informaes sobre os sistemas. O SNMP pode prover diversas
informaes, tais como tabelas de rotas, tabelas de Address Resolution Protocol
(ARP) e conexes UDP e TCP.
Essas informaes facilitam o planejamento de ataques pelos atacantes, de modo
que os sistemas devem estar muito bem protegidos. Um dos problemas que possibilita o uso desta tcnica que o SNMP no tem mecanismos de travamento de senhas, permitindo ataques de fora bruta.
5.6.3 Malware
Malware o nome genrico que se d aos cdigos maliciosos que so executados
no computador do usurio sem que este tenha conhecimento. Existem trs categorias de malware: vrus, worm e cavalo de Tria.
O vrus computacional um programa que secretamente anexado por ele mesmo
a um "transportador", que neste caso pode ser um documento ou programa. O vrus
executado quando o documento aberto ou o programa iniciado.
Quando um vrus infecta um computador, ele realiza duas tarefas distintas. Primeiro,
procura meios de replicar-se para contaminar outros computadores. Ele faz isso se
acoplando a um programa ou documento no computador da vtima e ento procurando meios para enviar este "tranportador" para outro computador.
A segunda tarefa realizada pelo vrus aps a infeco ativar o cdigo malicioso. O
vrus pode realizar desde uma tarefa simples, como a exibio de uma mensagem,
at tarefas que possam causar prejuzos para o usurio, tais como remover arquivos
46
_______________
21
47
5.6.5 Rootkit
Um rootkit um programa que permite o acesso privilegiado e contnuo a um computador, mas mantm-se oculto. Eles podem controlar o sistema operacional ou outras aplicaes.
Rootkits agem como uma forma de malware e podem alterar as prioridades das
threads22, realizar captura do teclado (keylogging), agir como um capturador do trfego de rede (network sniffer), ocultar outros arquivos de outras aplicaes,ou criar
portas. Quando o rootkit oculta determinados processos e arquivos, ele permite que
o atacante use outras pores do sistema operacional sem que o usurio ou aplicao saiba o que est acontecendo, impossibilitando que softwares de proteo, como antivrus, por exemplo, detectem o rootkit.
5.6.6 Botnets
Botnet um temor genrico para um conjunto de softwares "robotizados", apelidados de "bots", que so executados automaticamente e de forma annima. Este termo tambm utilizado quando um grupo de computadores, tipicamente vinte ou
mais, esto comprometidos por um conjunto de softwares maliciosos tais como vrus, worms e cavalos de Tria. Os atacantes utilizam estas redes de computadores
"zumbis" para realizarem ataques, bem como para realizar ataques de negao de
servio distribudos (DDoS), desestabilizando servios de Internet tais como a Web e
servios de correio.
_______________
22
Thread o processo que permite o processador executar duas ou mais atividades independentes
simultaneamente.
48
Filtros;
proxy;
bastion hosts;
autenticao; e
certificao.
49
6.3 PROXIES
Um servidor Proxy caracteriza-se por agir como um sistema intermedirio entre a Internet e a rede interna. ele que faz a intermediao das solicitaes entre os usurios e o mundo externo. medida que o servidor Proxy faz estes encaminhamentos
ele tambm pode iniciar o processo de cache das pginas web em disco local. Com
isso, da prxima vez que um usurio fizer a requisio para a mesma pgina web, o
servidor Proxy no precisa mais ir a Internet para obter a pgina, pois ela j est armazenada localmente, proporcionando economia de banda de Internet e maior agilidade para as pesquisas dos usurios.
6.4 BASTIONS HOSTS
Os bastions hosts so servidores onde so instalados os servios a serem disponibilizados para usurios externos organizao. Como esto em contato direto com as
conexes externas, os bastions hosts devem ser protegidos da melhor maneira possvel. Essa mxima proteo possvel significa que o bastion host deve executar apenas os servios e aplicaes para os quais se destinam, sempre com os patches
de segurana instalados imediatamente aps sua criao. Assim, os bastions hosts
podem ser chamados tambm de servidores fortificados, com a minimizao dos
possveis pontos de ataque. Uma grande interao ocorre entre os bastions hosts e
a zona desmilitarizada (DMZ), pois os servios que sero oferecidos pela DMZ devem ser inequivocamente instalados em bastion hosts.
6.5 ZONA DESMILITARIZADA
A Zona Desmilitarizada uma rede que fica entre a rede interna e a rede externa e
onde esto instalados os hardwares e softwares que fazem a interface entre os servios utilizados pelos usurios externos e internos organizao. Essa segmentao faz com que, caso algum equipamento dessa rede desmilitarizada (um bastion
host) seja comprometido, a rede interna continue intacta e segura.
6.6 NETWORK ADDRESS TRANSLATION NAT
O NAT no foi criado com a inteno de ser usado como um componente de segurana, mas sim, para tratar de problemas em redes de grande porte nas quais a es-
50
51
52
PSI robusta e adequada necessidade de SI da organizao, restringindo bastante os riscos que possam causar danos significativos organizao.
7.2 CONTEXTO ORGANIZACIONAL
Para a elaborao de uma PSI, a organizao deve determinar quais questes internas e externas so relevantes para o propsito organizacional e afetam a capacidade de alcanar os resultados pretendidos.
Neste trabalho, a organizao deve analisar as interfaces e dependncias entre as
atividades desempenhadas por ela e as por outras instituies, considerando os requisitos legais e contratuais.
7.3 A LIDERANA
O papel da alta direo fundamental para o sucesso de uma PSI. Os lderes devem assegurar o alinhamento entre os objetivos da SI, a estratgia organizacional e
a compatibilidade com os processos organizacionais.
Definido o direcionamento, os lderes devem assegurar a disponibilidade dos recursos necessrios a sua implementao e executar aes de comunicao, orientao
e apoio para que os resultados pretendidos sejam alcanados.
Os lderes devem materializar o seu comprometimento com a segurana da informao, explicitando o propsito da organizao, os objetivos e os requisitos de segurana da informao que devero ser perseguidos.
A PSI dever ser documentada e estar disponvel para todas as partes interessadas,
cabendo alta direo comunic-la dentro da organizao e assegurar a conformidade de sua implementao, bem como a incorporao de melhorias.
7.4 TRATAMENTO DOS RISCOS
No planejamento, a organizao deve definir e aplicar um processo de avaliao de
riscos de segurana da informao. Para isso, o primeiro passo o estabelecimento
de critrios para a avaliao e aceitao dos riscos de SI. Estes critrios permitiro
que as contnuas avaliaes de riscos produzam resultados comparveis, vlidos e
consistentes.
Estabelecidos estes critrios, a organizao dever identificar os riscos de SI relacionados perda de confidencialidade, integridade, disponibilidade da informao.
53
54
8 CONTROLES
A ISO/IEC 27000 no estabelece os procedimentos que devero ser realizados pela
organizao para garantir a SI. Estes procedimentos devero ser construdos pela
prpria organizao, considerando seus ativos de informao, os recursos disponveis e os riscos que est disposta a aceitar. Porm, a ISO/IEC 27000 estabelece
uma srie de 14 grupos de controles que orientam a confeco de uma PSI.
Esta seo tem por finalidade apresentar o propsito de cada um destes grupos de
controle:
Gesto de ativos;
Controle de acesso;
Criptografia;
Conformidades
55
56
_______________
23
Ativo de informao todo ativo material ou imaterial que contm informaes (ex. arquivo fsico de
documentos, HD, sistemas e outros).
57
58
Com relao aos malwares, a norma ABNT NBR ISO/IEC 27001 (2013) prev a existncia de procedimentos para a deteco, preveno e remoo de malwares que
devem ser combinados com um programa de conscientizao dos usurios.
Estabelece tambm a existncia de procedimentos para o gerenciamento das cpias
de segurana das informaes (back-up), registro e proteo dos logs, instalao de
softwares e realizao de auditorias.
8.9 GC9: SEGURANA DAS COMUNICAES
Estabelece que a organizao deva assegurar a segurana das informaes que trafegam nas redes bem como dos meios utilizados para process-las.
A PSI dever prever controles especficos para a transferncia de informaes entre
organizaes. Para isso, devero ser realizados acordos para a manuteno do sigilo apropriado da informao quando da transferncia de dados e troca de mensagens eletrnicas entre as organizaes.
8.10 GC10: AQUISIO, DESENVOLVIMENTO E MANUTENO DE SISTEMAS
No que diz respeito ao processo de aquisio, desenvolvimento e manuteno de
sistemas, estabelece que os requisitos de segurana sejam especificados na fase de
levantamento dos requisitos do sistema e que qualquer alterao que se pretenda
fazer em outros sistemas, para efeitos de compatibilidade ou integrao, seja precedida de uma anlise cuidadosa a fim de evitar criao de falhas de segurana.
Os ambientes de desenvolvimento de sistemas devero ser protegidos para evitar
que vulnerabilidades sejam propositalmente inseridas.
As bases de dados utilizadas para os testes dos sistemas devero ser previamente
preparadas a fim de evitar a exposio de informaes sensveis e, aps os testes, o
destino da base de dados utilizada dever ser previsto.
8.11 GC11: RELACIONAMENTO NA CADEIA DE SUPRIMENTO
A organizao deve estabelecer procedimentos regulando a proteo dos ativos de
informao acessados pelos fornecedores e prestadores de servio. Para isto, devem ser estabelecidos acordos tratando sobre segurana da informao relativo aos
componentes supridos, recolhidos e quando aos acessos dos tcnicos responsveis
pelos servios.
59
A organizao dever realizar periodicamente auditoria nos suprimentos e nos servios realizados para garantir que os acordos estejam sendo cumpridos.
8.12 GC12: GESTO DE INCIDENTES EM SEGURANA DA INFORMAO
Segundo a norma ABNT NBR ISO/IEC 27001 (2013), a organizao dever estabelecer procedimentos para o tratamento de incidentes em segurana da informao.
Todos os incidentes de segurana da informao devero ser formalmente registrados e tratados, sejam eles j conhecidos ou novos. A partir destes registros, a organizao ir analis-los para verificar os fatores que permitiram a repetio de sua
ocorrncia e, no caso de novos incidentes, permitir que a organizao estude-os e
aprenda com eles.
Toda a organizao dever saber os procedimentos para preservao do ambiente
onde ocorreu o incidente de SI, a fim de permitir que a equipe tcnica possa colher
evidncias que ajudem a esclarecer as causas, motivaes e responsabilidades,
bem como dimensionar a extenso do incidente e dos danos causados.
8.13 GC13: ASPECTOS DA SEGURANA DA INFORMAO NA GESTO DA
CONTINUIDADE DO NEGCIO
Alm dos controles previstos para incidentes de segurana, a norma estabelece controles para a continuidade do negcio.So dois os aspectos relativos continuidade
do negcio.
O primeiro diz respeito continuidade em caso de ocorrncia de sinistros que possam destruir ou danificar as infraestruturas ou meios de processamento da informao. Neste caso, a organizao dever conduzir uma anlise de riscos e realizar um
planejamento para a implementao da redundncia de equipamentos e instalaes
conforme anlise de risco realizada.
O segundo aspecto diz respeito capacidade de processar a informao. Neste caso, a organizao dever monitorar continuamente a utilizao dos seus recursos de
processamento da informao, adequando o seu parque tecnolgico conforme o
aumento da demanda pelo processamento da informao ou os avanos tecnolgicos que se faam necessrios.
60
61
9 ANLISE
O objetivo deste trabalho "avaliar se as aes previstas em uma Poltica de Segurana da Informao podem proteger as organizaes contra ataques cibernticos".
Para atingir este objetivo, os seguintes objetivos especficos foram definidos:
62
63
64
65
9.1.1.3.3 Situao 10
Utilizao de servios de re-email.
Anlise: O acesso a servios de provedores de e-mails externos organizao e de
re-email, dependendo da anlise de risco realizada, podem ser uma ameaa organizao.
Controles: 1 (Polticas de Segurana da Informao), 3 (Segurana em recursos
humanos).
9.1.2 Anlise das Vulnerabilidades
Para esta anlise, as vulnerabilidades sero divididas em trs grupos: vulnerabilidades tcnicas, vulnerabilidades humanas e vulnerabilidades fsicas.
Vulnerabilidades tcnicas: packet sniffing ,port scanning, escaneamento de vulnerabilidades, bugs em servios, aplicativos e sistemas operacionais; SYN flooding,
fragmentao de pacotes de IP; smurf, sequestro de sesso, prognstico de nmero
de sequncia TCP, ataques na Web, problemas com o SNMP, malware, spyware,
adware e rootkit.
Vulnerabilidades Humanas: informaes livres, trashing, engenharia social.
Vulnerabilidades Fsicas: ataques fsicos.
9.1.2.1 Anlise vulnerabilidades tcnicas
Anlise: problemas tcnicos exigem solues tcnicas e para isto so necessrios
recursos materiais especficos e recursos humanos capacitados.
Controles: Todos os controles se aplicam a este grupo de vulnerabilidades.
9.1.2.2 Anlise vulnerabilidades humanas
Anlise: As vulnerabilidades humanas so tratadas pelos processos de seleo,
treinamento/capacitao e desligamento.
Controles: 1 (Polticas de Segurana da Informao), 2 (Organizao da Segurana
da Informao), 3 (Segurana em recursos humanos), 5 (Controle de Acesso), 9
(Segurana nas comunicaes), 11 (Relacionamento na cadeia de suprimento), 12
(Gesto de incidentes em segurana da informao), 14 (Conformidades)
66
67
REFERNCIAS
68