Escolar Documentos
Profissional Documentos
Cultura Documentos
Autores:
RESUMO
PALAVRAS-CHAVE
Auditoria, segurança lógica, logs, vulnerabilidade, confidencialidade.
AUDITORIA DE SEGURANÇA LÓGICA E DA
CONFIDENCIALIDADE EM COMPUTAÇÃO
1. INTRODUÇÃO E CONTEXTUALIZAÇÃO
2. REVISÃO BIBLIOGRÁFICA
Avaliar (quando, quem, como), relatar (eventos, ocorrências e situações) e agir (reforçar,
implementar e rever medidas) são providencias de segurança em informática sistemática,
normal e de adoção constante para a qualidade da segurança lógica empresarial e em
informática.
2.4. ISO 17799
A ISO 17799 cobre os mais diversos tópicos da área de segurança, possuindo mais de
100 controles que devem ser atendidos para garantir a segurança das informações de uma
empresa, de forma que a obtenção da certificação pode ser um processo demorado e muito
trabalhoso. A ISO 17799 é bem abrangente, pretendendo contemplar todos os aspectos da
segurança da informação. Divide-se em 12 capítulos ou partes, cada qual abordando um
aspecto da segurança da informação. A norma brasileira segue a mesma estrutura de
capítulos, itens e controles. Os capítulos que compõem a norma são os seguintes:
1- Objetivo
2- Termos e definições
3- Política de segurança
4- Segurança organizacional
5- Classificação e controle dos ativos de informação
6- Segurança em pessoas
7- Segurança ambiental e física
8-Gerenciamento das operações e comunicações
9- Controle de acesso
10- Desenvolvimento de sistemas e manutenção
11- Gestão de continuidade do negócio
12- Conformidade
De acordo com o autor GIL [1], informações e software dizem respeito à captação
devida de recursos tecnológicos, permitindo e monitorando acessos autorizados.
As informações e programas armazenados em meios magnéticos são ativos intangíveis
fundamentais para o sucesso e a continuidade empresarial.
É importante destacar que o acesso indevido/ indiscriminado, estimulado pela facilidade,
volume e rapidez de consulta a dados, disponibilizados pela tecnologia de processamento
eletrônico de dados, pode revelar novas relações de dados. Portanto, a combinação de
informações pode resultar em nova informação, mais sensível à organização.
Uma mecânica de proteção pode ser exercida através da concessão de autorização de acesso
em função de:
• Grau de sigilo necessário à informação ou programa;
• Nível de confiança pessoal adquirido pelo profissional;
• Fidelidade, Cargo e nível hierárquico do funcionário;
• Uma sistemática para segregação de funções e correspondente controle de
acesso a programas e informações implica a atribuição de níveis de
confidencial idade, consoante, por exemplo, a seguinte estrutura;
• Controle especial (ultra-secreto);
• Confidencial (secreto);
• Privado (confidencial/pessoal);
• Uso interno (restrito);
• Divulgação (conhecimento geral).;
• A atribuição de grau de sigilo deve ser responsabilidade conjunta dos
proprietários da informação, da área de informática e da administração da
organização.
De acordo com o autor GIL [2], alguns dos controles lógicos são:
• verificação de numeração/seqüência;
• dado só será aceito se houver dupla informação a seu respeito;
• formato dos dados:
• preenchimento dos dados nos campos;
• verificação de datas:
• bidigitação de campos alfanuméricos;
• verificação de coerência;
• verificação de transações pendentes;
• dígito de verificação;
• verificação de limites;
• verificação de totais de lote;
• formulários pré-preenchidos;
• entrada por exceção;
Nos programas de saída são feitas verificações para evitar a passagem de informações
erradas para os usuários. Alguns desses controles são:
• classificação de relatório quanto ao nível de sigilo;
• destruição de relatórios sigilosos;
• fixação de horários e estabelecimento de protocolo de tramitação de relatórios;
• tempo de resposta em terminal/micro.
As seguintes ferramentas não somente informam dados de logs, como também coletam
tais dados de fontes diversas:
3.1.1. SWATCH
Baseia-se em arquivos de configurações locais, onde qualquer usuário com privilégios
adequados podem utilizá-lo. Esta ferramenta fornece monitoração, registro em log, informe
em tempo real, é portável e extensível.
Autor: Stephen E. Hansen e E. Todd Atkins
URL: http://packetstorm.securify.com/UNIX/IDS/swatch-3.0b4.tar.gz
3.1.2. WATCHER
Analisa vários logs em processos, procurando por atividades radicalmente anormais.
Autor: Kenneth Ingham
URL: http://www.i-pi.com/watcher.html
3.2. FERRAMENTAS QUE ANALISAM ARQUIVOS DE LOG, EXTRAEM
DADOS E FAZEM RELATÓRIOS
3.2.1. LOGSURFER
É uma ferramenta de análise de log abrangente. O programa analisa arquivos de log
em texto simples e, com base no que se encontra (e as regras que o administrador fornece),
pode realizar varias ações, incluindo criar um alerta, executar um programa externo ou mesmo
tomar parte dos dados de log e enviá-los para alimentar comandos ou processos externos.
Autor: Univ. Hamburg, Dept. of Computer Science
ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/
3.2.2. ANALOG
É provavelmente o único analisador de arquivos de log realmente multiplataforma,
também tem suporte embutido para uma ampla variedade de idiomas, faz pesquisas reversas
de DNS, tem linguagem de script embutida e suporta a maioria dos mais conhecidos formatos
de log de servidor da Web.
Autor: Stephen Turner
URL: http://www.statslab.cam.ac.uk/~sretl/analog/
O sistema de votação do Senado brasileiro era tido como seguro e inviolável, já que era
informatizado. Porém, havia um “botão suspeito”, encomendado e acobertado por quem
poderia dele se beneficiar, registrando jetons (palavra de origem francesa, que significa
dinheiro extra) e votos de senadores ausentes, quando da votação do senado sobre a cassação
do senador Luis Estevão, em junho de 2000. E das dezoito formas de nele se violar o sigilo
de votações, como ficou provado, os “caciques” escolheram a mais complexa, numa véspera e
com inúmeros rastros.
As revelações da quebra do sigilo da votação secreta no Senado Federal tornaram-se
manchete dos principais jornais e capa das revistas semanais, com desdobramentos políticos
até então desconhecidos. Foi examinado mais especificamente o lado técnico da questão,
dando ênfase ao papel fundamental dos profissionais de informática envolvidos no caso, e
discutindo as responsabilidades destes profissionais perante a sociedade. Precisa-se esclarecer
que, como profissionais de informática, a profissão foi denegrida e é preciso mostrar que
existe um lado mais iluminado da questão.
O painel do Senado é uma “engenhoca” cuja função é facilitar o registro dos votos dos
senadores. O software do computador que controla o painel foi feito por uma empresa
especializada, e posteriormente foi confiado ao Prodasen (serviço de informática do Senado),
após o término do contrato de manutenção pelo fabricante. O software original incluía
mecanismos para preservar o sigilo dos votos dos senadores em votações secretas, em acordo
com o artigo 55º da Constituição Federal para votar a cassação de um senador por falta de
decoro parlamentar. Segundo as declarações em abril de 2001, da Sra. Regina Célia Borges,
ex-diretora da Prodasen, profissional de informática, foi ela mesma quem comandou o
processo de adulteração destes mecanismos, realizado durante a madrugada que antecedia a
votação da cassação do senador Luís Estêvão. Ela alega que apenas cumpria ordens
superiores, apesar da flagrante inconstitucionalidade de qualquer ordem neste sentido. E só
foram dadas estas suas declarações depois da perícia realizada por profissionais da Unicamp
(Universidade de Campinas), demonstrando cabalmente a adulteração efetuada,
provavelmente porque um dos seus subordinados iria denunciá-la como mandante do crime.
Antes da realização da perícia da Unicamp, ela mentira sobre o caso. Foi assistido a derrocada
da carreira profissional desta senhora, que traiu a ética e a lei no exercício da sua profissão, e
pagou ou está pagando por isto. Ela se achava soberana no manejo dos computadores sob sua
responsabilidade, sem nada dever à sua profissão e à comunidade (a nação, neste caso), e
esqueceu que poderia ser realizada uma auditoria destes computadores por outros
profissionais não comandados por ela.
O programa era seguro em relação a ações externas, mas vulnerável a agentes do próprio
sistema, especificamente pelo Security Officer, como ocorreu neste episódio, com um
agravante: o desdém no discurso oficial à possibilidade de fraudes de origem interna.
Fonte: www.estadão.com.br/ext/especiais/tempestade/tempestade.htm
5. CONSIDERAÇÕES FINAIS
A proteção de informações e dados tornou-se uma tarefa muito difícil atualmente. São
incontáveis os exemplos de pessoas e empresas que negligenciaram o risco e acabaram tendo
muitos prejuízos. Alguns porque foram atacados por Hackers Black Hat, outros simplesmente
porque demoraram a fazer backup. É necessário que haja uma política de Auditoria e
Segurança nas empresas pois, segundo PORTER [7], a informação alavanca negócios, cria
vantagens competitivas, traz diferencial para o negócio, torna a empresa mais competitiva.
Enfim, a informação é peça chave no mundo globalizado e competitivo desta época.
A confidencialidade é um fator muito importante para a segurança dos ativos intangíveis
de uma organização, pois o acesso às informações deve ser restrito às pessoas autorizadas,
conforme estabelecido na atribuição de grau de sigilo.
À medida que os sistemas de segurança se sofisticam, também o fazem as técnicas de
invasão. Se as empresas quiserem manter a integridade de seus dados, o preço desta segurança
será a constante auditoria.
Não foi possível inserir neste trabalho os sistemas especialistas nem os sistemas
multiagentes, que se acredita serem úteis para a minimização de problemas de segurança de
informações.
6. REFERÊNCIAS BIBLIOGRÁFICAS
[1] GIL, Antonio de Loureiro. Segurança em Informática. 2. Ed. São Paulo: Atlas, 1998.
[2] GIL, Antonio de Loureiro. Auditoria de Computadores. 4. Ed. São Paulo: Atlas, 1999.
[3] SCHNEIER, Bruce. Segurança.com, Tradução de “Secrets & Lies”, Segredos e
Mentiras sobre a Proteção na Vida Digital, Criptografia, Criptografia no Contexto,
Identificação e Autenticação.
[4] BUCHMANN, Johannes A. Introdução à Criptografia, Codificação Criptográfica ou
Cifragem, Chave Pública, Assinaturas Digitais.
[5] Segurança Máxima. 3. ed. Rio de Janeiro: Campus, 2001.
[6]. SÊMOLA, Marcos. Gestão da Segurança da Informação. 1. Ed. Rio de Janeiro:
Campus, 2003.
[7] PORTER, Michael E. Estratégia Competitiva: Técnicas para Análise de Indústrias e
da Concorrência. 7. Ed. Rio de Janeiro: Campus, 1986.
Fonte de pesquisa:
STANTON, Marcos. A ética e o profissional de Informática. Online. Disponível na Internet
em 12 de maio de 2004 na URL
http://www.estadão.com.br/ext/especiais/tempestade/tempestade.htm - acessado em
09/05/2004 às 23:15 hs. Jornal “O Estado de São Paulo” – 21/04/2001.