SEGURANÇA DE DADOS EM COMPUTAÇÃO

Grupo C
Componentes:

Aline Rodrigues de Souza

Carlos Eduardo Guimarães de Salles
Carlos Eduardo Martins de Oliveira (CaEd)
Cristiane Barbosa da Cruz
Fabio dos Santos Moreira
José Osvaldo Amaral Tepedino
Maurício Domingues da Silva
Nívea Gonçalves da Silva
Paula Tabajaras
Rodrigo Otávio Guimarães Haydt
Simone de Miranda Milani
Sylvia Maria da Silva Seito
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras

ÍNDICE

Segurança de Dados em Computação

- Introdução
- Objetivos
- Princípios Básicos
- Situações de Insegurança
- Os Prejuízos
- Leis
- Usuários & Senhas
- Backup

Segurança de Redes

- Introdução
- Ameaças e Ataques
- Política de Segurança
- Serviços de Segurança
- Mecanismos de Segurança
 Criptografia
 Firewalls
 Assinatura Digital
 Autenticação
 Controle de Acesso
 Integridade de Dados
 Enchimento de tráfego
 Controle de Roteamento
 Segurança Física e de Pessoal
 Hardware / Software de Segurança
 Rótulos de Segurança
 Detecção e Informação de Eventos
 Registro de Eventos
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
SEGURANÇA DE DADOS EM COMPUTAÇÃO

INTRODUÇÃO

Um dos maiores problemas e um dos mais difíceis de resolver é o da segurança de

dados. O problema tem muitas facetas e envolve as instalações físicas, procedimentos
operacionais, características do hardware do computador e convenções do software e da
programação.
Vivemos em uma sociedade que se baseia em informações e que exibe uma
crescente propensão para coletar e armazenar informações, por isso a necessidade de se
ter mecanismos de segurança realmente eficientes.
A segurança de dados pode ser definida como a proteção de dados contra a
revelação acidental ou intencional a pessoas não autorizadas, e contra alterações não
permitidas.
A segurança no universo computacional se divide em segurança lógica e
segurança física, presentes tan to em co m p u tad o res stan d alo n es (P C ’s in d iv id u ais) co m o
em computadores ligados em rede (Internet ou Rede interna).

 Segurança Física:
Devemos atentar para ameaças sempre presentes, mas nem sempre lembradas;
incêndios, desabamentos, relâmpagos, alagamentos, problemas na rede elétrica, acesso
indevido de pessoas ao CPD, treinamento inadequado de funcionários, etc.
Medidas de proteção física, tais como serviços de guarda, uso de no-breaks, alarmes
e fechaduras, circuito interno de televisão e sistemas de escuta são realmente uma parte da
segurança de dados. As medidas de proteção física são freqüentemente citadas como
“seg u ran ça co m p u tacio n al”, v isto q u e têm u m im p o rtan te p ap el tam b ém n a p rev en ção d o s
itens citados no parágrafo acima.
O ponto-chave é que as técnicas de proteção de dados por mais sofisticadas que
sejam, não tem serventia nenhuma se a segurança física não for garantida.

 Segurança Lógica:
Esta requer um estudo maior, pois envolve investimento em softwares de segurança
ou elaboração dos mesmos.
Deve-se estar atento aos problemas causados por vírus, acesso de bisbilhoteiros
(invasores de rede), programas de backup desatualizados ou feito de maneira inadequada,
distribuição de senhas de acesso, etc..
Um recurso muito utilizado para se proteger dos bisbilhoteiros da Internet
(administrador de sistemas), é a utilização de um programa de criptografia que embaralha
o conteúdo da mensagem, de modo que ela se torna incompreensível para aqueles que não
sejam nem o receptor ou provedor da mesma.
Disco de partida, disquete que possibilita colocar em funcionamento o micro no
caso de um defeito no disco rígido, é uma ferramenta disponível no Windows 95 que vem
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
reforçar a segurança dos dados, bem como outras ferramentas que retiram vírus de macro,
protegem documentos no Word através de senhas, etc.
OBJETIVOS

O objetivo da segurança de dados abrange desde uma fechadura na porta da sala de

computadores até o uso de técnicas criptográficas sofisticadas e códigos de autorização.
Seu estudo não abrange somente o crime computacional (hackers), envolve
qualquer tipo de violação da segurança, como erros em processamento ou códigos de
programação.
A segurança de dados objetiva restringir o uso de informações (softwares e dados
armazenados) no computador e dispositivos de armazenamento associados a indivíduos
selecionados, e pode ser dividida nos seguintes tópicos:

Os objetivos da Segurança em Informática são:

 Preservação do patrimônio da empresa (os dados e as informações fazem parte do
patrimônio)
Deve-se preservá-lo protegendo-o contra revelações acidentais, erros operacionais
(montagem errada de um disco magnético, por exemplo) e contra as infiltrações que
podem ser de dois tipos:

 Infiltração deliberada: tem como objetivos principais o acesso ás informações dos

arquivos, descobrir os interesses da informação dos usuários, alterar ou destruir arquivos e
obter livre uso dos recursos do sistema..

 Infiltração ativa: consiste desde o exame periódico dos conteúdos das cestas de lixo
da área do computador até à gravação clandestina dos dados armazenados. Isto inclui:

 Sapear: envolve o uso do acesso legítimo ao sistema para obtenção de informação não-
autorizada;
 Usar disfarce: é a prática da obtenção de identificação própria através de meios
impróprios (como a gravação clandestina) e a seguir o acesso ao sistema como um
legítimo usuário.
 Detectar e usar alçapões: são dispositivos de hardware, limitações de software ou
pontos de entrada especialmente plantados que permitem que fonte não-autorizada
tenha acesso ao sistema.
 Infiltrar-se através de canais ativos de comunicações
 Meios físicos: incluem o acesso ao sistema através de uma posição no centro de
computação, ou seja, profissionais que ocupam cargos com acesso ao CPD e deliberam
as informações a terceiros; e o roubo de veículos removíveis de armazenamento.

 Manutenção dos serviços prestados pela empresa

 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
 Segurança do corpo funcional
 Em caso de problemas: detecção das causas e origens dos problemas no menor
prazo possível, minimização das conseqüências dos mesmos, retorno às condições
normais no menor prazo, com o menor custo e com o menor trauma possíveis
Os caminhos para alcançar estes objetivos são bastante claros:

 Detecção e análise dos pontos vulneráveis

 Estabelecimento de políticas de segurança (técnicas de segurança incluem aspectos
do hardware computacional, rotinas programadas e procedimentos manuais, bem
como os meios físicos usuais de segurança local e segurança de pessoal, fechaduras,
chaves e distintivos)
 Execução das políticas de segurança
 Acompanhamento
 Avaliação dos resultados contra os objetivos traçados
 Correção de objetivos e políticas
 Gerencia de acesso

Gerencia de acesso, ou controle de acesso, trata da prevenção para que usuários não
autorizados obtenham serviços do sistema computacional ou obtenham acesso aos
arquivos. Este controle é um pouco mais complicado quando se trata de rede, já que
qualquer um pode se passar por usuário autorizado, daí a importância do uso de
técnicas de segurança, como senhas ou identificação por cartões magnéticos
Este plano de segurança deve considerar os seguintes fatores:

1) Conteúdo das informações

Se refere à sensibilidade dos programas e dados que possam exigir uma das
seguintes coisas: nenhuma providência sobre segurança de dados, restrições normais a
necessidades de conhecimento, ou preocupações extensas para evitar revelação.

2) Ambiente:
Refere-se aos usuários e aos métodos pelos quais eles têm acesso ao sistema.

3) Comunicações:
Referem-se ao uso das facilidades das comunicações de dados, que podem ser no
local do computador, podem ser uma rede privada ou pode ser uma rede pública.

4) Facilidades de sistema:
Referem-se a serviços previstos pelo sistema computacional que podem incluir, no
mínimo, funções especializadas, solução de problema interativo, apoio remoto de
programação e um sistema total de informação.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Basicamente, deve ser criado um Plano de Segurança (como evitar problemas) e um
Plano de Contingência (o que fazer em caso de problemas).
É oportuno frisar que segurança absoluta não existe - ninguém é imune a ataques
nucleares, colisões com cometas ou asteróides, epidemias mortais, seqüestros, guerras, ou
a uma simples maionese com salmonela na festa de fim de ano da empresa.
Trata-se de descobrir os pontos vulneráveis, avaliar os riscos, tomar as providências
adequadas e investir o necessário para ter uma segurança homogênea e suficiente. Se sua
empresa fatura R$ 50.000,00 por mês você não pode ter a mesma segurança que uma
empresa que fature 1 ou 2 milhões mensais. Sempre existirão riscos. O que não se pode
admitir é o descaso com a segurança.

Deve-se perguntar:
 Proteger O QUE?
 Proteger DE QUEM?
 Proteger A QUE CUSTOS?
 Proteger COM QUE RISCOS?

O axioma da segurança é bastante conhecido de todos, mas é verdadeiro:

"Uma corrente não é mais forte do que o seu elo mais fraco"

PRINCÍPIOS BÁSICOS
Os princípios básicos de segurança em sistemas são:

 Confidencialidade: proteção da informação compartilhada contra acessos não

autorizados; obtém-se a confidencialidade pelo controle de acesso (senhas) e
controle das operações individuais de cada usuário (log)

 Autenticidade: garantia da identidade dos usuários

 Integridade: garantia da veracidade da informação, que não pode ser corrompida

(alterações acidentais ou não autorizadas)

 Disponibilidade: prevenção de interrupções na operação de todo o sistema

(hardware + software); uma quebra do sistema não deve impedir o acesso aos dados

SITUAÇÕES DE INSEGURANÇA

As ameaças podem ser oriundas das seguintes situações de insegurança:

 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras

Catástrofes

 Incêndio acidental ou intencional

 Alagamento por inundação de porões ou salas com risco potencial, por vazamento
dos encanamentos ou por goteiras
 Explosão intencional ou provocada por vazamento de gás (em butijões ou
encanado)
 Desabamento parcial ou total do prédio
 Impacto de escombros da cobertura (teto de gesso, forração ou telhado)
 Grande sobrecarga na rede elétrica ou relâmpagos que causam queima total de
equipamentos
 Terremotos, que normalmente provocam uma combinação dos itens acima
 Guerras - com conseqüências imprevisíveis

Problemas ambientais
 Variações térmicas - excesso de calor causa travamentos e destrói mídias; excesso
de frio congela fisicamente dispositivos mecânicos, como discos rígidos
 Umidade - inimigo potencial de todas as mídias magnéticas
 Poeira depositada nas cabeças de leitura e gravação dos drivers, pode destruir
fisicamente um disquete ou uma fita
 Radiações - além de causarem danos às pessoas, podem provocar problemas
diversos em computadores
 Ruído causa estresse no pessoal
 Vapores e gases corrosivos - em qualquer incêndio, bastam 100ºC para transformar
a água cristalizada nas paredes em vapor, que destrói mídias e componentes
 Fumaça - a fumaça do cigarro deposita uma camada de componentes químicos nas
cabeças de leitura e gravação dos drives, que pode inviabilizar a utilização de
disquetes e fitas; fumaça de incêndios próximos é muito mais perigosa
 Magnetismo - grande inimigo das mídias magnéticas, pode desgravar disquetes,
fitas e discos rígidos
 Trepidação - pode afrouxar placas e componentes em geral, além de destruir discos
rígidos

Supressão de serviços
 Falha de energia elétrica - grande risco potencial, à medida que paralisa totalmente
todas as funções relacionadas à informática
 Queda nas comunicações - grande risco potencial, pois isola o site do resto do
mundo; risco de perda de dados
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
 Pane nos equipamentos - problema bastante comum, resolvido com backup de
informações e de hardware
 Pane na rede - isola um ou mais computadores de um mesmo site; risco potencial de
perda de dados
 Problemas nos sistemas operacionais - risco potencialmente explosivo, pois podem
comprometer a integridade de todos os dados do sistema e até mesmo inviabilizar a
operação; eliminam a confiança da equipe
 Problemas nos sistemas corporativos - grande risco, causam grande transtorno e
perdas de dados
 Parada de sistema - igualmente um grande risco

Comportamento anti-social
 Paralisações e greves - problema contornável se houver condução política adequada
 Piquetes - risco maior do que as paralisações, exigem negociações mais complexas
 Invasões - altíssimo risco de destruição acidental ou intencional
 Hacker - indivíduo que conhece profundamente um computador e um sistema
operacional e invade o site sem finalidade destrutiva
 Alcoolismo e drogas - risco de comportamento anômalo de funcionários, com
conseqüências imprevisíveis
 Disputas exacerbadas entre pessoas podem levar à sabotagem e alteração ou
destruição de dados ou de cópias de segurança
 Falta de espírito de equipe - falta de coordenação, onde cada funcionário trabalha
individualmente; risco de omissão ou duplicação de procedimentos
 Inveja pessoal/profissional - podem levar um profissional a alterar ou destruir dados
de outro funcionário
 Rixas entre funcionários, setores, gerências, diretorias - mesmo caso do item
anterior, porém de conseqüências mais intensas

Ação criminosa
 Furtos e roubos - conseqüências imprevisíveis, podem inviabilizar completamente
os negócios da empresa
 Fraudes - modificação de dados, com vantagens para o elemento agressor
 Sabotagem - modificação deliberada de qualquer ativo da empresa
 Terrorismo - de conseqüências imprevisíveis, pode causar mortes, a destruição total
dos negócios ou de mesmo de toda a empresa
 Atentados - uso de explosivos, com as mesmas conseqüências do item anterior
 Seqüestros - ação contra pessoas que tenham alguma informação
 Espionagem industrial - captação não autorizada de software, dados ou
comunicação
 Cracker - indivíduo que conhece profundamente um computador e um sistema
operacional e invade o site com finalidade destrutiva
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras

Incidentes variados
 Erros de usuários - de conseqüências imprevisíveis, desde problemas
insignificantes até a perda de um faturamento inteiro; erros de usuários costumam
contaminar as cópias de segurança (backup) quando não detectados a tempo
 Erros em backups - risco sério de perda de dados; o backup sempre deve ser
verificado
 Uso inadequado dos sistemas - normalmente ocasionado por falta de treinamento,
falta de documentação adequada do sistema ou falta de capacidade de quem utiliza
o sistema de forma inadequada, tem os mesmos riscos do item Erros de usuários
 Manipulação errada de arquivos - costuma causar perda de arquivos e pode
contaminar as cópias de segurança
 Treinamento insuficiente - inevitavelmente causa erros e uso inadequado
 Ausência/demissão de funcionário - é problemático se a pessoa ausente for a única
que conhece determinados procedimentos
 Estresse/sobrecarga de trabalho - uma pessoa sobrecarregada é mais propensa a
cometer erros e adotar atitudes anti-sociais
 Equipe de limpeza - deve receber o treinamento adequado sobre segurança

Contaminação eletrônica
 Vírus - programa que insere uma cópia sua em outros programas executáveis ou no
setor de boot; os vírus se replicam através da execução do programa infectado
 Bactéria - programa que reproduz a si próprio e vai consumindo recursos do
processador e memória
 Verme - programa que se reproduz através de redes
 Cavalo de Tróia - programa aparentemente inofensivo e útil, mas que contém um
código oculto indesejável ou danoso
 Ameba - usuário que, sem ter conhecimento para tanto, mexe na configuração do
computador ou do software, causando problemas, perda de dados, travamento da
máquina, etc.
 Falhas na segurança dos serviços - os serviços da Internet são potencialmente
sujeitos a falhas de segurança, basicamente devido ao fato de o UNIX ter sido
gestionado em ambiente universitário, que visava um processamento cooperativo e
não a segurança; além disto, o UNIX é muito bem conhecido por hackers e crackers

OS PREJUÍZOS

A Informática é o centro nevrálgico da empresa. Qualquer pequeno problema no(s)

servidor(es) corporativo(s) ou em algum servidor departamental pode paralisar vários ou
mesmo todos os departamentos da empresa. Quanto maior o grau de integração dos
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
sistemas, quanto maior o volume e a complexidade dos negócios, maior será a
dependência em relação à Informática.

Graus de severidade. Podemos classificar os prejuízos decorrentes de problemas com

segurança em graus de severidade, conforme a abrangência dos danos e as providências
tomadas para retornar à normalidade:

 INSIGNIFICANTES - casos em que o problema ocorre, é detectado e corrigido sem

maiores repercussões. São problemas isolados, sem nenhuma repercussão na
estrutura computacional da empresa. O maior prejuízo é a despesa com a mão de
obra alocada, ou algum suprimento desperdiçado. Um exemplo é a presença de
vírus em um computador, que é prontamente detectado e exterminado. Certamente é
necessário um grande investimento em segurança para que os problemas possam ser
prontamente resolvidos e os prejuízos minimizados;

 PEQUENOS - o problema ocorre, existe uma pequena repercussão na estrutura

computacional e organizacional da empresa (atrasos, bloqueio de sistema, perdas de
movimentação, etc.), e o problema é resolvido. Um exemplo é a perda dos dados
corporativos, a recuperação via backup da posição anterior e a necessidade de
redigitação da movimentação de um dia. Ou, então, a destruição física, acidental ou
proposital, de um servidor corporativo, com a necessidade de substituição
emergencial, mas sem perda dos dados. Os prejuízos são restritos ao âmbito da
empresa, sem repercussões nos seus negócios e sem interferências com seus
clientes;

 MÉDIOS - o problema ocorre, provoca repercussão nos negócios da empresa e

interfere com os seus clientes, mas a situação consegue ser resolvida de maneira
satisfatória, normalmente com um grande esforço e com maior ou menor desgaste
interno e externo da empresa. Exemplos: erros graves no faturamento, perda de
dados sem backup;

 GRANDES - repercussões irreversíveis de caráter interno ou externo, com perda

total de dados, prejuízo financeiro irrecuperável, perda de clientes, perda de
imagem e posição no mercado;

 CATASTRÓFICOS - prejuízos irrecuperáveis, que podem dar origem a processos

judiciais e falência da empresa.

O que causa muita preocupação é que, via de regra, o tipo de erro não tem relação com
o grau de severidade dos prejuízos. A perda total de um servidor corporativo (incêndio,
queda de escombros, etc.) pode, se houver backups atualizados, causar um prejuízo
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
equivalente apenas ao valor do conserto ou substituição da máquina, ao passo que um
pequeno erro de programação (um if mal posicionado ou um comentário em uma linha de
programa que deveria estar ativa, erros de fácil correção) podem, facilmente, provocar
prejuízos catastróficos.

Prejuízos em função do tempo. Quando ocorre algum problema que provoque uma
paralisação, os prejuízos menos importantes são percebidos imediatamente. Outros,
normalmente os maiores, somente serão percebidos posteriormente, e será muito difícil,
ou mesmo impossível, repará-los.

Problemas de segurança com graus de severidade INSIGNIFICANTE e PEQUENO

somente causam prejuízos imediatos, tais como:
 Paralisação das atividades normais da empresa
 Danos materiais, variáveis conforme o problema ocorrido
 Sobrecarga na estrutura da empresa, que deve mobilizar os seus recursos,
normalmente exíguos, para a tentativa de recuperação dos problemas decorrentes do
erro
 Atritos internos em função da responsabilização pelo erro

Normalmente problemas com grau de severidade MÉDIO causam poucos prejuízos a

médio e longo prazos, que são:
 Desvio nos objetivos da empresa
 Perda de mercado
 Perda de imagem
 Perda de credibilidade
 Desânimo e perda de funcionários
 Atritos internos extremamente sérios e atritos externos em função da
responsabilização pelo erro

Problemas com grau de severidade GRANDE e CATASTRÓFICO certamente causam

os supra citados prejuízos a médio e longo prazo, podendo causar o encerramento das
atividades da empresa e pendências com a Justiça para seus diretores e funcionários.

A queda na eficiência dos negócios da empresa após um acidente sério com

informática é drástica, como indica o gráfico abaixo. Nas ordenadas, temos a eficiência da
empresa; nas abcissas, o intervalo em dias após o evento.

É óbvio que, em certos casos extremamente sérios, a eficiência cai a zero

imediatamente após o acidente.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Fonte: University of Minnesota, citado no catálogo "Segurança em Informática" da ACECO

Custos da reposição de informações. Podem ocorrer prejuízos altíssimos em caso de

problemas sérios, considerando, entre outros, alocação de recursos humanos adicionais,
busca de documentos, redigitação das informações, reconstrução do local e reposição de
hardware e software, multas, etc.

Multas: Além de todos os demais prejuízos, também existem multas pesadas!

A Instrução Normativa da SRF n. 068/95 de 27/12/95, baseada na Lei n. 8.218/91 e
a Portaria n. 13 de 28/12/95 da Secretaria da Receita Federal exigem a preservação dos
arquivos magnéticos e prevêem a aplicação de multa de 5% sobre o valor das operações
comerciais, fiscais e contábeis aos contribuintes que omitirem ou prestarem informações
incorretas em arquivos magnéticos.

É exigido (transcrito do catálogo "Segurança em Informática" da ACECO):

 Preservação dos arquivos magnéticos: todas as pessoas jurídicas (com exceção das
fiscalizadas pelo Banco Central), com patrimônio líquido acima de 2 milhões de
UFIRs (aproximadamente R$ 1,7 milhões no final de 1995) e que utilizem
computadores (próprios ou através de terceiros), devem preservar seus arquivos
magnéticos durante o período decadencial de guarda de documentação contábil e
fiscal, previsto na legislação tributária.
 Descrição dos arquivos magnéticos a serem preservados: Contabilidade,
Fornecedores/Clientes, Documentos Contábeis/Fiscais, Controle de
Estoque/Registro de Inventário, Correção Monetária de Balanço e Controle
Patrimonial, Folha de Pagamento, Relação Insumos/Produtos, Cadastro de Pessoas
Físicas e Pessoas Jurídicas aplicado aos arquivos fornecidos, Tabelas de Códigos
aplicados aos arquivos fornecidos.

Outras informações:
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
 A apresentação dos arquivos magnéticos é feita mediante Termo de Intimação
Fiscal, portanto não há periodicidade para o envio dos arquivos à Secretaria da
Receita Federal.
 Os arquivos magnéticos para a fiscalização devem ser apresentados nos formatos
descritos detalhadamente na Portaria n. 13.
 A preservação dos arquivos magnéticos à disposição da fiscalização começou em
1994, através da SRF 65/93. A Portaria n. 13 apenas reformatou a apresentação dos
arquivos magnéticos.
 A obrigatoriedade da entrega dos arquivos não dispensa a emissão de livros
prevista na legislação comercial e fiscal.

Exemplos de multa:

 Os arquivos magnéticos que continham informações sobre faturamento/saídas de

mercadorias dos últimos 3 anos foram destruídos por sabotagem ou incêndio, e
portanto não foram apresentados. Cálculo da multa: supondo que o faturamento
durante os últimos 3 anos foi de 100 milhões, a multa será de 5 milhões por
omissão das informações solicitadas.
 Os arquivos magnéticos que continham dados sobre as compras (entrada de
mercadoria) dos últimos 5 anos não puderam ser apresentados. Supondo que as
compras foram 50 milhões durante os últimos 5 anos, a multa será de 2,5 milhões.

Como se pode ver, a questão da Segurança em Informática não é meramente conceitual

ou acadêmica. Trata-se de uma questão estratégica que, se negligenciada, pode causar
todo e qualquer tipo de dano à empresa.

LEIS

Projeto de Lei 1.713 - Substitutivo - versão final - Dez

Dispõe sobre os crimes de informática e dá outras providências
O Congresso Nacional decreta:
CAPÍTULO I
DOS PRINCÍPIOS QUE REGULAM A PRESTAÇÃO DE
SERVIÇO POR REDES DE COMPUTADORES

Art. 1º. O acesso, o processamento e a disseminação de informações através das redes de

computadores devem estar a serviço do cidadão e da sociedade, respeitados os critérios de
garantia dos direitos individuais e coletivos e de privacidade e segurança de pessoas
físicas e jurídicas e da garantia de acesso às informações disseminadas pelos serviços da
rede.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras

Art. 2º. É livre a estruturação e o funcionamento das redes de computadores e seus

serviços, ressalvadas as
disposições específicas reguladas em lei.

CAPÍTULO II
DO USO DE INFORMAÇÕES DISPONÍVEIS EM
COMPUTADORES OU REDES DE COMPUTADORES

Art. 3º. Para fins desta lei, entende-se por informações privadas aquelas relativas a pessoa
física ou jurídica identificada ou identificável.

Parágrafo Único: É identificável a pessoa cuja individuação não envolva custos ou prazos
desproporcionados.

Art. 4º. Ninguém será obrigado a fornecer informações sobre sua pessoa ou de terceiros,
salvo nos casos previstos em lei.

Art. 5º. A coleta, o processamento e a distribuição, com finalidades comerciais, de

informações privadas ficam sujeitas à prévia aquiescência da pessoa a que se referem, que
poderá ser tornada sem efeito a qualquer momento, ressalvando-se o pagamento de
indenizações a terceiros, quando couberem.

§ 1º. A toda pessoa cadastrada dar-se-á conhecimento das informações privadas

armazenadas e das respectivas fontes.

§ 2º. Fica assegurado o direito à retificação de qualquer informação privada incorreta.

§ 3º. Salvo por disposição legal ou determinação judicial em contrário, nenhuma

informação privada será mantida à revelia da pessoa a que se refere ou além do tempo
previsto para a sua validade.

§ 4º. Qualquer pessoa, física ou jurídica, tem o direito de interpelar o proprietário de rede
de computadores ou provedor de serviço para saber se mantém informações a seu respeito,
e o respectivo teor.

Art. 6º. Os serviços de informações ou de acesso a bancos de dados não distribuirão

informações privadas referentes, direta ou indiretamente, a origem racial, opinião política,
filosófica, religiosa ou de orientação sexual, e de filiação a qualquer entidade, pública ou
privada, salvo autorização expressa do interessado.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Art. 7º. O acesso de terceiros, não autorizados pelos respectivos interessados, a
informações privadas mantidas em redes de computadores dependerá de prévia
autorização judicial.

CAPÍTULO III
DOS CRIMES DE INFORMÁTICA

Dano a dado ou programa de computador

Art. 8º. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente,
dado ou programa de computador, de forma indevida ou não autorizada.
Pena: detenção, de um a três anos e multa.
Parágrafo único. Se o crime é cometido:
I - contra o interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da
administração direta ou indireta ou de empresa concessionária de serviços públicos;

II - com considerável prejuízo para a vítima;

III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

IV - com abuso de confiança;

V - por motivo fútil;

VI - com o uso indevido de senha ou processo de identificação de terceiro; ou

VII - com a utilização de qualquer outro meio fraudulento.

Pena: detenção, de dois a quatro anos e multa

Acesso indevido ou não autorizado

Art. 9o. Obter acesso, indevido ou não autorizado, a computador ou rede de
computadores.

Pena: detenção, de seis meses a um ano e multa.

Parágrafo primeiro. Na mesma pena incorre quem, sem autorização ou indevidamente,

obtém, mantém ou fornece a terceiro qualquer meio de identificação ou acesso a
computador ou rede de computadores.

Parágrafo segundo. Se o crime é cometido:

 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
I - com acesso a computador ou rede de computadores da União, Estado, Distrito Federal,
Município, órgão ou entidade da administração direta ou indireta ou de empresa
concessionária de serviços públicos;

II - com considerável prejuízo para a vítima;

III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

IV - com abuso de confiança;

V - por motivo fútil;

VI - com o uso indevido de senha ou processo de identificação de terceiro; ou

VII - com a utilização de qualquer outro meio fraudulento.

Pena: detenção, de um a dois anos e multa.

Alteração de senha ou mecanismo de acesso a programa de computador ou dados

Art. 10o. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de forma
indevida ou não autorizada.

Pena: detenção, de um a dois anos e multa.

Obtenção indevida ou não autorizada de dado ou instrução de computador

Art. 11o. Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou instrução
de computador.

Pena: detenção, de três meses a um ano e multa.

Parágrafo único. Se o crime é cometido:

I - com acesso a computador ou rede de computadores da União, Estado, Distrito Federal,

Município, órgão ou entidade da administração direta ou indireta ou de empresa
concessionária de serviços públicos;

II - com considerável prejuízo para a vítima;

III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras

IV - com abuso de confiança;

V - por motivo fútil;

VI - com o uso indevido de senha ou processo de identificação de terceiro; ou

VII - com a utilização de qualquer outro meio fraudulento.

Pena: detenção, de um a dois anos e multa

Violação de segredo armazenado em computador, meio magnético de natureza magnética,

optica ou similar

Art. 12o. Obter segredos, de indústria ou comércio, ou informações pessoais armazenadas

em computador, rede de computadores, meio eletrônico de natureza magnética, óptica ou
similar, de forma indevida ou não autorizada.

Pena: detenção, de um a três anos e multa.

Criação, desenvolvimento ou inserção em computador de dados ou programa de

computador com fins nocivos

Art. 13o. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de

computadores, de forma indevida ou não autorizada, com a finalidade de apagar, destruir,
inutilizar ou modificar dado ou programa de computador ou de qualquer forma dificultar
ou impossibilitar, total ou parcialmente, a utilização de computador ou rede de
computadores.

Pena: reclusão, de um a quatro anos e multa.

Parágrafo único. Se o crime é cometido:

I - contra a interesse da União, Estado, Distrito Federal. Município, órgão ou entidade da

administração direta ou indireta ou de empresa concessionária de serviços públicos;

II - com considerável prejuízo para a vítima;

III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

IV - com abuso de confiança;

 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
V - por motivo fútil;

VI - com o uso indevido de senha ou processo de identificação de terceiro; ou

VII - com a utilização de qualquer outro meio fraudulento.

Pena: reclusão, de dois a seis anos e multa.

Veiculação de pornografia através de rede de computadores

Art. 14o. Oferecer serviço ou informação de caráter pornográfico, em rede de

computadores, sem exibir, previamente, de forma facilmente visível e destacada, aviso
sobre sua natureza, indicando o seu conteúdo e a inadequação para criança ou
adolescentes.

Pena: detenção, de um a três anos e multa.

CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS

Art. 15o. Se qualquer dos crimes previstos nesta lei é praticado no exercício de atividade
profissional ou funcional, a pena é aumentada de um sexto até a metade.

Art. 16o. Nos crimes definidos nesta lei somente se procede mediante representação do
ofendido, salvo se cometidos contra o interesse da União, Estado, Distrito Federal
Município, órgão ou entidade da administração direta ou indireta, empresa concessionária
de serviços públicos, fundações instituídas ou mantidas pelo poder público, serviços
sociais autônomos, instituições financeiras ou empresas que explorem ramo de atividade
controlada pelo poder público, casos em que a ação é pública incondicionada.

Art. 17o. Esta lei regula os crimes relativos à informática sem prejuízo das demais
cominações previstas em outros diplomas legais.

Art. 18o. Esta lei entra em vigor 30 (trinta) dias a contar da data de sua publicação.

Art. 19o. Revogam-se todas as disposições em contrário.

USUÁRIOS & SENHAS

 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Regras para Usuários e Senhas

Usuários

 não usar a conta do superusuário ou administrador para outros

setores/funcionários
 criar grupos por setores/áreas afins
 criar contas dos usuários de acordo com seus nomes, dentro dos grupos

Senhas - não usar

 mesmo nome do usuário (login)

 senha em branco
 palavras óbvias, como "senha", "pass" ou "password"
 mesma senha para diversos usuários
 primeiro e último nome do usuário
 nome da esposa/marido, pais ou filhos
 informação sobre si mesmo (placa do carro, data de nascimento, telefone,
CPF)
 somente números
 palavra contida em dicionário (tanto português quanto inglês)
 palavra com menos de 6 caracteres

Senhas - usar

 letras minúsculas e maiúsculas

 palavras com caracteres não alfabéticos (números ou sinais)
 fácil de lembrar para não ter que escrever
 fácil de digitar (sem ter que olhar o teclado)

Exemplos de senhas

 primeira ou segunda letra de cada palavra de um título ou frase fácil de

memorizar
 concatenação de duas palavras curtas com sinal de pontuação
 concatenação de duas palavras pequenas de línguas diferentes

Troca de senha

 periodicidade ideal: 3 meses

 periodicidade máxima: 6 meses
 sempre que houver suspeita de vazamento
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras

Dicas

 a senha de cada usuário é pessoal e intransferível, devendo ser rigorosamente

proibida a sua cessão a outra pessoa
 o responsável por cada setor (ou gerente geral) deverá ter as senhas dos seus
funcionários, em local seguro, para uso em caso emergencial
 JAMAIS escreva a senha num pedaço de papel e cole o mesmo no seu
teclado ou monitor, nem coloque na sua gaveta deschaveada

CASOS REAIS DE SEGURANÇA E INSEGURANÇA (EXEMPLOS)

Pára-raios Uma empresa situada às margens de um rio comprou dois computadores

S-700 da Prológica, lá pelo início da década de 80. Toda a instalação foi feita de forma
adequada, com aterramento, tomadas de 3 pinos e até estabilizador (fato não muito
comum na época). No dia seguinte ao primeiro temporal, constatou-se a queima
("torrefação") total das fontes, placas e demais componentes dos dois computadores, com
perda total dos equipamentos. Motivo: o pára-raios e o aterramento haviam sido feitos
muito próximos um ao outro, e o sub-solo encharcado provocou o retorno de um raio para
o aterramento.

Backup em disquete Certa empresa realizava religiosamente seus backups. Todo

dia. A funcionária encarregada da Informática (digitadora, operadora, conferente de slips
e responsável pelo setor de cadastro) ficava após o expediente e gravava os dados em
mais de 70 disquetes. Isto mesmo, 70 disquetes. Certo dia, o inevitável aconteceu. Numa
tarde de sábado, na tentativa de recuperar o backup, o velho 386 SX operando em XENIX
refugou o disco sessenta e poucos. Foram feitas 3 tentetivas de recuperação (toda a
seqüência de mais de 70 discos de cinco e um quarto). Sempre no mesmo disquete a
máquina engasgava. A solução foi a redigitação de parte do cadastro. Não houve perda de
dados, mas uma despesa grande em retrabalho.

Equipe de limpeza Todas as manhãs o operador constatava a parada do servidor, lá

pelas 2 e meia da madrugada, quando não havia ninguém no CPD. Foram feitas auditorias
no sistema operacional, no servidor, a crontab (tabela do UNIX que dispara processos
automaticamente em horários pré-determinados) foi revisada e alterada, mas nada
resolvia. Não havia registros de invasão do prédio. Até que o gerente do setor resolveu
passar uma noite escondido no CPD. O que se descobriu é que, lá pelas 2 e meia, vinha
uma equipe terceirizada realizar a limpeza do prédio, e uma senhora cuidadosamente
desligava o servidor da tomada, limpava, e religava a pobre máquina.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras

Servidores de baixo custo O velho servidor 486 (montado) já não tinha mais
espaço em disco, e foram feitas cotações para mais um Winchester IDE. A opção mais
barata era de uma marca boa, mas diferente do disco já instalado; tempo de acesso e
capacidade também diferentes. A máquina já apresentava algumas manias irritantes, como
perder a data e a hora, mas nada que comprometesse o funcionamento. O operador
resolvia. Numa manhã de sexta-feira, num bonito dia de inverno, o 486 resolveu que não
queria mais ler os discos rígidos. Perda total dos dados, sistemas aplicativos e sistema
operacional. O operador, que resolvia todos os "pepinos" da máquina, era precavido:
havia backup.

Assistência técnica barata A máquina aceitava o UNIX sem grandes problemas.

De vez em quando, no entanto, a mensagem de PANIC. Se o computador emite uma
mensagem de PANIC, imagine-se o estado do seu usuário. A assistência técnica foi
chamada, e foi aí que a confusão realmente começou: o diagnóstico mudava a cada novo
erro, peças eram trocadas aleatoriamente, e no fim a empresa ficou um mês (isto mesmo,
um mês!) sem o tal computador. A solução foi a troca da mother board por 3 ou 4 vezes.
Como estava na garantia, o prejuízo financeiro (grande) foi da assistência técnica...

Assaltos O CP-500 era uma máquina baseada no Z-80, e não tinha disco rígido. Na
sua configuração mais comum, tinha dois drives de 5¼", com capacidade de 180 KBytes
cada. Num drive se colocava o disco com o sistema operacional mais o aplicativo, no
outro o disco com os dados. Os discos estavam criteriosamente cadastrados e guardados,
com cópias de segurança em outro armário no mesmo ambiente. Numa madrugada de
sábado, ocorreu o assalto. Os ladrões, aparentemente, tiveram pouco tempo, mais
quebraram do que roubaram. Entre os objetos roubados, todos os discos dos sistemas e
dos dados do CP-500. Por precaução, havia cópias de segurança. Por sorte, não foram
roubadas, pois estavam no mesmo ambiente.

Vírus Aí existem dezenas de histórias. Vai uma interessante: pois tinha aquele
estudante, hacker frustrado, óculos de fundo de garrafa, que gostava de colecionar
software - todo e qualquer software, principalmente qualquer coisa que pudesse
representar algo doentio e desviante. Quando apareceu o primeiro vírus no laboratório foi
aquela festa. Enquanto o funcionário responsável se desdobrava em mil para
descontaminar os PC XT e alertar os usuários, o nosso reptílico aprendiz de malfeitor
contaminava seus próprios discos e recontaminava as máquinas.

Transporte A vítima, um Pentium 75 novinho. A insistência em levar a máquina

para um passeio de caminhonete, junto com malas e outras tralhas, gerou a ira do
responsável pela informática. No entanto, ordens são ordens, e lá se foi o Pentium desktop
conhecer outros ares (quase 2.000 km de estrada, ida e volta). Não havia backup de nada.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Por sorte, uma grande sorte, apenas o mouse e o teclado foram quebrados (esmagados) na
viagem...

Senhas (1) A informática insistia em atribuir senhas complicadas aos pobres

usuários, que nem sabiam prá que precisava de senha, pois já tinham de digitar o nome...
Aqueles teimosos da informática não aceitavam senhas simples, como as inicias do setor
ou do usuário, datas de nascimento ou senhas em branco. Pura má vontade. Aí os usuários
resolveram o problema de uma forma simples e eficiente: colaram os papeizinhos com as
senhas no teclado (não na parte de baixo, na parte de cima mesmo).

Senhas (2) O operador, responsável pelo cadastro, pela operação, etc., nunca
entendeu direito esta história de administração de usuários. Todo mundo usava a senha do
root (supervisor). Por sorte, a situação foi detectada antes de acontecer o óbvio.

Incêndios A loja estava progredindo, e estava conseguindo se informatizar. Já tinha

comprado um controle de estoque e uma contabilidade, nada integrado, mas servia bem. A
instalação do CPD era bem precária. Todos os dados no 386, e backup na mesma sala. Um
curto-circuito seguido de incêndio acabou com a informática da loja, e quase acabou com
a própria loja.

Fumaça A loja do lado também tinha computador. O incêndio da outra loja

provocou tanta fumaça que inutilizou todos os disquetes desta loja.

Vandalismo Certa empresa andava com uns probleminhas, e o CPD tinha, nos
discos, provas incriminadoras. A solução foi fácil: num fim de semana, quando não havia
nenhum funcionário de plantão, os backups foram sistematicamente destruídos. Segunda-
feira, surpresa geral...

Falta de energia elétrica Dia de faturamento, mais de um milhão de dólares a

receber, e a maldita luz acabou. Havia prazos bastante rígidos a cumprir, sem segunda
chance. O no-break senoidal inteligente de alguns KVA, que pareceu caro demais na hora
da compra, agora tinha de mostar seu valor. Corre-corre, desligados todos os
computadores não essenciais, apenas o servidor Pentium 100 ligado, processando.
Quando a energia voltou, mais de 4 horas depois, o faturamento estava pronto. Sem no-
break não haveria mais tempo, e o faturamento não teria sido emitido.

Inundação Aquela repartição pública, naquele velho prédio histórico cheio de

goteiras, o computador (um 486 novinho) na mais pré-histórica das salas históricas, no
gabinete da autoridade. Chove no fim de semana. Na segunda feira, o técnico é chamado
com urgência porque o computador não quer funcionar, apesar de ser novo e de ter sido
comprado com o dinheiro do contribuinte. A solução, após mandar consertar a goteira que
ficava exatamente acima do vídeo do computador, foi desmontar o pobre coitado, lavar as
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
placas e secá-las no ar condicionado. Não houve perda de dados porque o computador era
novo e não havia dados...

Estresse Fim de mês, o faturamento precisava sair de qualquer maneira, e o pessoal

trabalhando dia e noite para cumprir a tarefa. Os dedos a mil nos velhos terminais a
caracter, o servidor Pentium triturando os dados, e a margem de erro da digitação
aumentando sem parar. No fim da empreitada, mais correções do que digitação. Mas, o
objetivo, mais uma vez, foi alcançado.

Dono do conhecimento (esta não chegou a acontecer ainda, mas pode estar
ocorrendo neste exato instante). O fulano era a informática viva da empresa. Atendia a
todas as solicitações, por mais esdrúxulas que fossem. Nada destas frescuras de
documentação, toda a empresa estava na sua cabeça. Configuração de UNIX era com ele
mesmo. TCP/IP tranqüilo. Três ou quatro servidores Pentium interligados, cento e tantos
terminais, tudo na cabeça. O sistema, a linguagem, tudo na cabeça. Um dia, o infeliz se
excedeu no álcool e teve uma amnésia...

Bomba eletrônica Uma empresa com seu PC-XT e um programador que, para se
proteger, criptografava os códigos-fonte que desenvolvia. Ninguém tinha acesso aos
fontes. Em conseqüência, houve o desligamento da empresa, e o problema do próximo
programador, que não tinha estes hábitos. Solução: deletar tudo o que o desgraçado tinha
feito e recomeçar. Em função da detecção prematura do problema, houve pouco retrabalho
e nenhuma perda.

Temperatura e umidade Verão, meio da tarde, mais de 35 graus, a umidade lá

pelos 80%. Parece que vai chover. Não há dinheiro para o ar condicionado, abrem-se
todas as janelas, ligam-se dois ou três ventiladores, a papelada voa, e o sujeito triturando
aquele pobre 386 com o impiedoso Corel Draw. O led do winchester nem pisca mais, está
sempre aceso, e o inclemente operador resolve abrir o Page Maker para fazer outro
trabalho, o cliente está no telefone enchendo o saco. De repente, o inevitável, que até
estava demorando. Pára tudo.

Self made man Esta é a história do office-boy que tinha jeito prá coisa. Foi
subindo, subindo, subindo, passou pelo financeiro, contabilidade, até que acabou virando
programador, e para virar analista foi só uma questão de tempo. Primeira prostituta aos 13
anos. Nada desta boiolice de estudar, se formar, pois se garantia, era acadêmico da
Faculdade da Vida. Muita ousadia, muita iniciativa, um tanto de bajulação quando
necessário, sabia se virar. Confiava no taco. Até que, um dia, aconteceu o óbvio: a falta de
conhecimento teórico, a falta de metodologia, a inexperiência, os problemas não
resolvidos, a tentativa de levar no papo, a demissão, o prejuízo para a empresa.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Anapropégua Ou: analista- programador-operador-digitador-responsável pelo
cadastro, secretário e égua. De tanta coisa que faz ao mesmo tempo, acaba se estressando
e deixando tudo pela metade. Não pode tirar férias, não pode ficar doente, sem fim de
semana, mal sobra tempo para tomar as pastilhas anti-ácido e as vitaminas. Situação
potencialmente explosiva, e que costuma realmente explodir.

Linguagens O velho CLIPPER piratão, que funcionava tão bem no WINDOWS

3.11, se recusou a trabalhar com o WINDOWS 95. Mas que droga, parece que o Bill
Gates conspira contra a humanidade... Volta o 3.11 ou tenta mexer nos fontes? E quem
garante que não haverá novo estouro de memória numa situação não testada? E as perdas
de índices? E os arquivos corrompidos?

Vaso A secretária não abria mão de colocar o bendito vasinho com uma rosa bem
do lado do computador; misturava um pouco de açúcar na água, sabe Deus por quê.
Apesar de todos os alertas, não houve santo que a fizesse mudar de idéia. Um dia,
aconteceu o óbvio. Engraçado, parece que o óbvio sempre acaba por acontecer... Por
sorte, foi apenas o teclado que tomou um banho de água doce (literalmente), teve de ser
desmontado, lavado e secado.

Cabeamento inadequado Um servidor Pentium 100 SCSI rodando o WINDOWS

NT conectado, via TCP/IP, a outro servidor igual, que rodava SCO UNIX. Vinte terminais
no UNIX, umas dez máquinas em rede com o NT; diversas impressoras compartilhadas.
Uma beleza. O único problema era o famigerado cabeamento coaxial. Cada vez que uma
máquina parava, toda a rede saía do ar (somente do lado NT, o lado UNIX não era
afetado). Dois ou três técnicos de quatro no chão, tentando localizar o problema,
normalmente mau contato. Nunca chegou a ocorrer perda de dados, porque a equipe
estava consciente do problema, mas a perda de tempo era irritante e a situação era
potencialmente de risco. O final feliz, obviamente, foi a instalação de um cabeamento
estruturado, estupidamente mais caro, mas com uma confiabilidade e controlabilidade que
compensam largamente o custo.

Seqüência de erros O aplicativo foi instalado no diretório do grupo, e não no

diretório do usuário, como seria o procedimento mais correto. O usuário passou a senha a
outra pessoa, que acidentalmente deletou os arquivos de dados. Sem problemas, porque
havia backup em fita DAT. Embora não fosse feita a verificação sistemática do backup,
todo mundo sabia que os dados estavam a salvo. Pois não estavam. Na hora de voltar o tal
backup, justamente os arquivos deletados não puderam ser recuperados. Pânico. Alguém
teve a idéia de passar um fax ao fabricante do software de backup, enquanto a caça às
bruxas corria solta. Dois dias depois, a resposta do fax com a solução: fora executado um
patch no sistema operacional (Novell), adaptando-o à máquina multiprocessada, que trazia
problemas para a recuperação do backup. A partir daí, conseguiu-se tomar as providências
para recuperar os tais arquivos deletados.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Cito também alguns casos clássicos de invasão eletrônica:

Verme (worm) na Internet Um aluno de graduação da Universidade de Cornell,

Robert Morris Jr., paralisou cerca de 3.000 computadores conectados à Internet em 02 de
novembro de 1988 (cerca de 50% da Internet na época). Embora o verme não tivesse
efeitos destrutivos, a rede só conseguiu voltar ao normal alguns dias depois. O estudante
foi sentenciado, em 1990, a 3 anos de prisão, mais multa de U$ 10.000,00, mais 400 horas
de serviço comunitário.

Conexão KGB Em 1988, um espião da Alemanha Oriental tentou violar 450

computadores na área acadêmica e militar; vendia as informações para a KGB.

Caso Kevin Mitnick Causou danos à DEC, com o roubo de um sistema de

segurança secreto; roubou cerca de 20.000 números de cartão de crédito; atacou o
computador de um especialista de segurança em informática (no Natal); perseguido pelo
FBI, foi preso em 1995, e pode pegar até 20 anos de prisão, além de multa de U$
500.000,00.

BACKUP

Backup é uma cópia dos arquivos que julgamos ser mais importante para nós, ou
aqueles arquivos chaves (fundamentais) para uma empresa.
Com o uso cada vez mais constante de computadores, um sistema de backup que
garanta a segurança e disponibilidade full-time dos dados corporativos é fundamental.
Apesar de ser uma medida de segurança antiga, muitas empresas não possuem um
sistema de backup ou, o fazem de maneira incorreta.
Montar um sistema de backup requer um pouco de cautela. É importante por
exemplo, saber escolher o tipo de mídia para se armazenar as informações, como fitas
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
magnéticas,discos óticos ou sistemas RAID. No Brasil, como em outros países o
dispositivo mais usado é o DAT (Digital Audio Tape), pois oferece capacidade de
armazenamento de até 16GB, a um custo médio de um centavo por megabyte.
Para pessoas físicas e pequenas empresas, não é necessário um grande investimento
para implantar um sistema de backup. Os mais usados trabalham com drives externos -Zip
e Jaz-, equipamentos que possuem preço bem mais em conta, embora possuam menor
capacidade de armazenamento, que já é suficiente para estes casos.
Embora as mídias óticas se mostrem como última palavra em backup, não são muito
viáveis, pois possuem capacidade de armazenamento relativamente pequena (cerca de 600
MB em um CD)e, em muitos casos não são regraváveis. Um ponto a favor das mídias
óticas é a segurança, porém atualmente estão sendo utilizadas para a criação de uma
biblioteca de dados, o que caracteriza armazenamento de dados e não, backup.
A tecnologia RAID, consiste num conjunto de drives que é visto pelo sistema como
uma única unidade, continuando a propiciar acesso contínuo aos dados, mesmo que um
dos drives venha a falhar. Os dados são passam pelo nível 1, que significa espelhamento
de drives ou servidores (cópia dos dados de drives ou servidores), até o nível 5, que é o
particionamento com paridade (o mesmo arquivo repetido em diferentes discos). Esta
tecnologia é uma opção segura e confiável, sendo muito utilizada em empresas que
possuem rede non-stop e que não podem perder tempo interrompendo o sistema para fazer
backup.
Após a escolha da mídia para armazenamento, é muito importante decidir qual
software de backup é mais adequado para atender às necessidades do usuário. São três os
requisitos básicos que devem ser observados:

 Facilidade de automatização;
 Recuperação;
 Gerenciamento.

Isto significa que a ferramenta deve realizar, sem a intervenção humana,

determinadas rotinas, como abrir e fechar a base de dados ou copiar somente os arquivos
alterados. É importante que o produto também realize o gerenciamento centralizado,
permitindo fazer o backup tanto dos arquivos quanto do banco de dados através da mesma
interface.
 Como escolher um sistema de backup:

 Procure o tipo de mídia de armazenamento adequado ao volume de dados e às

necessidades de sua empresa;
 O ramo de atividade da empresa também é determinante. Companhias com sistemas
non-stop necessitam de sistemas rápidos e seguros;
 O software de backup deve realizar tarefas automatizadas, como cópia periódica dos
dados e atualização dos arquivos que foram modificados;
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
 Se a empresa possuir banco de dados, é importante que a ferramenta gerencie através da
mesma interface tanto o backup de arquivos quando do próprio banco de dados;
 É muito mais prático um software que permita o gerenciamento centralizado de toda
rede, mesmo em redes heterogêneas.

Falando em Internet, um mercado que vem surgindo é justamente o de backup via

Web. O usuário pode alugar um espaço no servidor para armazenar o backup de seus
dados, podendo atualizá-los ou carregá-los quando bem entender. A prestadora do serviço
é responsável pela segurança.
Porém, este serviço de backup via Internet ainda não é uma solução adequada para
as empresas, devido a dois problemas básicos: falta de infra-estrutura e de segurança.
Nenhuma empresa deseja ter seus dados armazenados em um lugar qualquer (indefinido)
na Internet.
Outro ponto muito importante e que é sempre bom lembrar, é que a maioria de
falhas na rede corporativa são frutos de erro humano. Isto significa que é necessário um
treinamento dos envolvidos, para que estes possam agir de maneira correta em caso de
emergência (restauração do backup).
Entre as falhas mais comuns, além da falta de preparo dos envolvidos, é o
armazenamento dos disquetes ou outra mídia de armazenamento no próprio local onde se
localiza o computador, o que no caso de qualquer desastre (incêndio,enchente), levará a
perda total dos dados.
Concluindo, deve se ter um plano de ação para montar um sistema de backup, ou
seja, as estratégias tanto de emergência quanto as da própria rotina devem ser estudadas e
padronizadas para que todos estejam preparados.

SEGURANÇA DE REDES

INTRODUÇÃO

A segurança em uma rede de computadores está relacionada à necessidade de

proteção dos dados, contra a leitura, escrita ou qualquer tipo de manipulação, intencional
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
ou não, confidencial ou não, e a utilização não autorizada do computador e seus
periféricos.
Quando você envia dados através da rede, a comunicação pode ser interceptada e
seus dados caem nas mãos do interceptador. Embora isso seja difícil de fazer, é possível.
É assim que os crackers conseguem os números de cartões de crédito dos outros, por
exemplo.
O maior perigo para as jóias intelectuais de uma companhia, segredos comerciais,
planos de preços e informações sobre consumidores, vem de companias rivais.
Alguns especialistas afirmam que o problema é que a natureza efervescente dos
dados eletrônicos pode amenizar, ou até mesmo apagar, os sentimentos de culpa. As
pessoas fazem coisas no ambiente do computador que nunca fariam fora dele. A maior
parte das pessoas não pensaria em entrar num escritório, na calada da noite, para remexer
em um arquivo confidencial. Mas, e se isso puder ser feito de forma muito mais cômoda,
entretanto no e-mail de uma outra pessoa a partir da própria mesa de trabalho no
escritório? Então, para proteger a comunicação, inventaram a criptografia e o firewall,
soluções para combater os hackers, porém, antes as empresas devem adotar uma política
de segurança específica e personalizada. Um caminho que pode fazer com que uma
empresa elimine os seus pontos vulneráveis, seria implantar um plano baseado em três
pilares: difusão da cultura de segurança, ferramentas para garantir a execução do projeto e
mecanismo de monitoração.

AMEAÇAS E ATAQUES

Algumas das principais ameaças as redes de computadores são :

 Destruição de informação ou de outros recursos.

 Modificação ou deturpação da informação.
 Roubo, remoção ou perda da informação ou de outros recursos.
 Revelação de informações.
 Interrupção de Serviços.

As ameaças podem ser acidentais, ou intencionais, podendo ser ambas ativas ou

passivas.
 Ameaças acidentais são as que não estão associadas à intenção premeditada.
Exemplo :
Descuidos operacionais.
Bugs de Software e Hardware

 Ameaças intencionais são as que estão associadas à intenção premeditada.

Exemplos:
Observação de dados com ferramentas simples de monitoramento da redes.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Alteração de dados, baseados no conhecimento do sistema

 Ameaças Passivas são as que, quando realizadas não resultam em qualquer

modificação nas informações contidas em um sistema.

 Ameaças Ativas envolvem alterações de informações contidas no sistema, ou

modificações em seu estado ou operação.

Os principais ataques que podem ocorrer em um ambiente de processamento e

comunicação de dados são os seguintes:
Personificação: uma entidade faz-se passar por outra. Uma entidade que possui poucos
privilégios pode fingir ser outra, para obter privilégios.

Replay: Uma mensagem, ou parte dela, é interceptada, e posteriormente transmitida para

produzir um efeito não autorizado.

Modificação: O conteúdo de uma mensagem é alterado implicando em efeitos não

autorizados sem que o sistema consiga identificar a alteração.
Exemplo: Alteração da mensagem "Aumentar o salário do José para R$300,00"
para "Aumentar o salário do José para R$3000,00"

Recusa ou Impedimento de Serviço: ocorre quando uma entidade não executa sua função
apropriadamente ou atua de forma a impedir que outras entidades executem suas funções.
Exemplo: Geração de mensagens com o intuito de atrapalhar o funcionamento de
algoritmos de roteamento.

Ataques Internos: Ocorrem quando usuário legítimos comportam-se de modo não

autorizado ou não esperado.

Armadilhas (Trapdoor): ocorre quando uma entidade do sistema é alterada para produzir
efeitos não autorizados em resposta a um comando (emitido pela entidade que está
atacando o sistema) ou a um evento, ou seqüência de eventos, premeditado.
Exemplo: A modificação do processo de autenticação de usuários para dispensar a
senha, em resposta a uma combinação de teclas específicas.

Cavalos de Tróia: Uma entidade executa funções não autorizadas, em adição às que está
autorizado a executar.
Exemplo: Um login modificado, que ao iniciar a sua sessão, grava as senhas em um
arquivo desprotegido.
POLÍTICA DE SEGURANÇA
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Uma política de segurança é um conjunto de leis, regras e práticas que regulam
como uma organização gerência, protege e distribui suas informações e recursos.
Uma política de segurança deve incluir regras detalhadas definindo como as
informações e recursos da organização devem ser manipulados, deve definir, também, o
que é, e o que não é permitido em termos de segurança, durante a operação de um dado
sistema.
Existem dois tipos de políticas:

Política baseada em regras: As Regras deste tipo de política utilizam os rótulos dos
recursos e dos processos para determinar o tipo de acesso que pode ser efetuado. No caso
de uma rede de computadores, os dispositivos que implementam os canais de
comunicação, quando é permitido transmitir dados nesses canais etc..

Política baseada em segurança: O objetivo deste tipo de política é permitir a

implementação de um esquema de controle de acesso que possibilite especificar o que
cada indivíduo pode ler, modificar ou usar.

SERVIÇOS DE SEGURANÇA

Os serviços de Segurança em uma rede de computadores tem como função:

Confidencialidade: proteger os dados de leitura por pessoas não autorizadas.

Integridade dos dados: evitar que pessoas não autorizadas insiram ou excluam mensagens.

Autenticação das partes envolvidas: verificar o transmissor de cada mensagem e tornar

possível aos usuários enviar documentos eletronicamente assinados.

MECANISMOS DE SEGURANÇA

Uma política de segurança e seus serviços podem ser implementados através de

vários mecanismos de segurança, entre eles, criptografia, assinatura digital, etc.

Criptografia
A criptografia é um método utilizado para modificar um texto original de uma
mensagem a ser transmitida (texto normal), gerando um texto criptografado na origem,
através de um processo de codificação definido por um método de criptografia. O texto
criptografado é então transmitido e, no destino, o inverso ocorre, isto é, o método de
criptografia é aplicado agora para decodificar o texto criptografado transformando-o no
texto original.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
Existem também a criptografia que utiliza uma chave de codificação. Isto é, para
um mesmo texto normal e um mesmo método de criptografia, chaves diferentes podem
produzir textos criptografados diferentes.

 Criptografia com Chaves Secretas (ou Simétricos)

Este método de criptografia, consiste em substituir as letras de uma mensagem pela

n-ésima letras após a sua posição no alfabeto. Assim o texto criptografado produzido para
um mesmo texto normal pode varia de acordo com o valor de n, que é a chave utilizada
nos processos de codificação e decodificação do método.

Data Encryption Standard (DES): é um dos principais métodos de criptografia

baseada em chave secreta. Foi desenvolvido pela IBM e adotado pelo governo do EUA
como método de criptografia padrão.

O método DES codifica blocos de 64 bits de texto normal gerando 64 bits de texto
criptografado. O algoritmo de codificação é parametrizado por uma chave K de 56 bits e
possui 19 estágios diferentes.

 Criptografia com chave Pública (Assimétricos)

Este método de criptografia baseia-se na utilização de chaves distintas: uma para

codificação(E) e outra para a decodificação (D), escolhidas de forma que a derivação de D
a partir de E seja em termos práticos, senão impossível, pelo menos difícil de ser
realizada.

RSA: o mais importante método de criptografia assimétrico é o RSA, cujo nome deriva
das inicia dos autores Rivest, Shamir e Aldeman. O método RSA baseia-se na dificuldade
de fatorar números primos muitos grandes.

FireWalls
Firewalls são mecanismos muito utilizados para aumentar a segurança de redes
ligadas a Internet, espécies de barreira de proteção, constituídas de um conjunto de
hardware e software.
Firewall é um sistema ou um grupo de sistemas que garante uma política de
controle de acesso entre duas redes (normalmente a Internet e uma rede local). Em
princípio firewalls podem ser vistos como um par de mecanismos: um que existe para
bloquear o tráfego e outro que existe para permitir o tráfego. Alguns firewalls dão maior
ênfase ao bloqueio de tráfego, enquanto outros enfatizam a permissão do tráfego, o
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
importante é configurar o firewall de acordo com a política de segurança da organização
que o utiliza, estabelecendo o tipo de acesso que deve ser permitido ou negado.
Como mencionado anteriormente existem várias soluções para segurança na
Internet, e isto também se aplica aos firewalls. Firewalls são classificados em três
categorias principais [SOA 95]: filtros de pacotes, gateways de aplicação e gateways de
circuitos.
Os filtros de pacotes utilizam endereços IP de origem e de destino, e portas UDP e
TCP para tomar decisões de controle de acesso. O administrador elabora uma lista de
máquinas e serviços que estão autorizados a transmitir datagramas nos possíveis sentidos
de transmissão (entrado ou saindo da rede interna), que é então usada para filtrar os
datagramas IP que tentam atravessar o firewall. Um exemplo de política de filtragem de
pacotes seria permitir o tráfego de datagramas carregando mensagens de SMTP e DNS
nas duas direções, tráfego Telnet só para pacotes saindo da rede interna e impedir todos os
outros tipos de tráfego.
A filtragem de pacotes é vulnerável a adulteração de endereços IP e não fornece
uma granularidade muito fina de controle de acesso, já que o acesso é controlado com
base nas máquinas de origem e de destino dos datagramas.
Na segunda categoria de firewalls, um gateway de circuitos atua como
intermediário de conexões TCP, funcionando como um TCP modificado. Para transmitir
dados, o usuário origem conecta-se a uma porta TCP no gateway, que por sua vez,
conecta-se ao usuário destino usando outra conexão TCP. Para que seja estabelecido um
circuito o usuário de origem deve fazer uma solicitação para o gateway no firewall,
passando como parâmetros a máquina e o serviço de destino. O gateway então estabelece
ou não o circuito, note que um mecanismo de autenticação pode ser implementado neste
protocolo.
Firewalls onde os gateways atuam a nível de aplicação utilizam implementações
especiais das aplicações desenvolvidas especificamente para funcionar de forma segura.
Devido a grande flexibilidade desta abordagem ela é a que pode fornecer maior grau de
proteção. Por exemplo, um gateway FTP pode ser programado para restringir as operações
de transferência a arquivos fisicamente localizados em um único host de acesso externo
(bastion host). Além disso, a aplicação FTP pode ser modificada para limitar a
transferência de arquivos da rede interna para a externa, dificultando ataques internos.

Assinatura Digital
O mecanismo de assinatura digital envolve dois procedimentos:

1. Que o receptor possa verificar a identidade declarada pelo transmissor (assinatura).

1. Que o transmissor não possa mais tarde negar a autoria da mensagem (verificação).

O procedimento de assinatura envolve a codificação da unidade de dados completa

ou a codificação de uma parte.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
O procedimento de verificação envolve a utilização de um método e uma chave
pública para determinar se a assinatura foi produzida com a informação privada do
signatário.

A característica essencial do mecanismo de assinatura digital é que ele deve garantir

que uma mensagem assinada só pode ter sido gerada com informações privadas do
signatário. Portanto uma vez verificada a assinatura com a chave pública, é possível
posteriormente provar para um terceiro (juiz em tribunal) que só o proprietário da chave
primária poderia ter gerado a mensagem.

Autenticação
A escolha do mecanismo de autenticação apropriado depende do ambiente onde se
dará a autenticação. Em uma primeira situação, os parceiros e os meios de comunicação
são todos de confiança. Neste caso, a identificação pode ser confirmada por uma senha.
Na segunda situação, cada entidade confia em seu parceiro porém não confia no meio de
comunicação. Nesse caso, a proteção contra ataques pode ser fornecida com o emprego de
métodos de criptografia.
Na terceira situação, as entidades não confiam nos seus parceiros nem no meio
de comunicação. Nesse caso, devem ser usadas técnicas que impeçam que uma entidade
negue que enviou ou recebeu uma unidade de dados. Ou seja, devem ser empregados
mecanismos de assinatura digital, ou mecanismos que envolvam o compromisso de um
terceiro confiável.

Controle de Acesso
Os mecanismos de controle de acesso são usados para garantir que o acesso a um
recurso seja limitado aos usuários devidamente autorizados. As técnicas utilizadas
incluem a utilização de listas ou matrizes de controles de acesso, que associam recursos a
usuários autorizados, ou passwords, capabilities e tokens associados aos recursos, cuja
posse determina os direitos de acesso do usuário que as possui.

Integridade de Dados
Para garantir a integridade dos dados, podem ser usadas técnicas de detecção de
modificação, normalmente associadas com a detecção de erros em bits, em blocos, ou
erros de seqüência introduzidos por enlaces e redes de comunicação. Entretanto se os
cabeçalhos e fechos carregando informações de controle não forem protegidas contra
modificações, um intruso, que conheça as técnicas pode contornar a verificação.

Enchimento de tráfego
A geração do tráfego espúrio e o enchimento das unidades de dados fazendo com
que elas apresentem um comprimento constante são formas para fornecer proteção contra
análise do tráfego. Cabe ressaltar que o mecanismo de enchimento de tráfego só tem
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
sentido caso as unidades de dados sejam criptografados, impedindo que o tráfego espúrio
seja distinguido do tráfego real.

Controle de Roteamento
A possibilidade de controlar o roteamento, especificando rotas preferenciais (ou
obrigatórias) para a transferência de dados, pode ser utilizada para garantir que os dados
sejam transmitidos em rotas fisicamente seguras ou para garantir que a informação
sensível seja transportada em rotas cujos canais de comunicação forneçam os níveis
apropriados de proteção.

Segurança Física e de Pessoal

Procedimentos operacionais devem ser definidos para delinear responsabilidades do
pessoal que interage com um dados sistema. A segurança de qualquer sistema depende,
em última instância, da segurança física dos seus recursos e do grau de confiança do
pessoal que opera o sistema. Ou seja, não adianta utilizar mecanismos sofisticados de
segurança se os intrusos puderem acessar fisicamente os recursos do sistema.

Hardware / Software de Segurança

O Hardware e o Software que fazem parte de um sistema devem fornecer garantias
que funcionam corretamente, para que possa confiar nos mecanismos de segurança que
implementam a política de segurança do sistema.

Rótulos de Segurança
Os recursos no sistema devem ser associados a rótulos de segurança que indicam,
por exemplo, seu nível de sensibilidade. O rótulo de segurança deve ser mantido junto
com os dados quando eles são transportados. Um rótulo de segurança pode ser
implementado com a adição de um campo aos dados, ou pode ser implícito, por exemplo,
indicado pela chave utilizada para criptografar os dados, ou pelo contexto dos dados no
sistema.

Detecção e Informação de Eventos

A detecção de eventos inclui a detecção de aparentes violações à segurança e deve
incluir a detecção de eventos normais, como um acesso bem sucedido ao sistema (login).
Esse mecanismo necessita do apoio de uma função de gerenciamento que determina quais
são os eventos que devem ser detectados.

Registro de Eventos
O registro de eventos possibilita a detecção e investigação de possíveis violações da
segurança de um sistema, além de tornar possível a realização de auditorias de segurança.
 www.projetoderedes.kit.net
Escola Técnica Pandiá Calógeras
A auditoria de segurança envolve duas tarefas :
O registro dos eventos no arquivo de auditoria de segurança (security audit log) e a
análise das informações armazenadas nesse arquivo para a geração de relatórios.