Índice

Declaração de honra
Dedicatória
 7

Agradecimentos
 8

Mecanismos de Segurança da Informação

Uma vez conhecendo os principais riscos, ameaças e vulnerabilidades, tanto em redes
locais, quanto na grande rede mundial de computadores (internet), faz-se necessário o
entendimento dos principais mecanismos de segurança que nos auxiliam na tarefa de
proteger nosso computador, dispositivo conectado à rede ou a internet de um modo
geral.

Política de Segurança
Uma política de segurança corresponde a um conjunto de regras, que especificam o que
pode e o que não pode ser feito, geralmente aplicada a uma rede local de computadores
(principalmente em uma rede corporativa – ambiente de trabalho), bem como as
penalidades as quais estão sujeitos os usuários que dela não cumprem. Uma política de
segurança, pode ser única (aplicada a somente um foco), assim como pode abranger
uma série de políticas de segurança integradas, tais como:

 Política de senhas: define as regras do uso de senhas em uma rede, bem como
recursos computacionais que dela fazem parte. Entre as informações contidas
nesta política estão a periodicidade da troca de senha, tamanho mínimo e
máximo, composição da mesma;
 Política de backup: define regras específicas da realização da cópia de segu-
rança, como o tipo média a ser utilizado no backup, frequência de execução
(diária, semanal, mensal) e período de retenção.
 Política de privacidade: define como serão tratadas as informações pessoais,
sejam elas de usuários, clientes, funcionários, entre outros (bastante utilizada
também em serviços da internet).
Contas e Senhas
As contas e senhas de usuários são geralmente a forma de autenticação mais utilizada
em todo mundo, uma vez que sistemas operacionais, aplicativos comerciais, sites,
portais, entre outros serviços, utilizam-se deste tipo de autenticação para identificar e
autorizar, ou não, usuários e respectivos conteúdos/serviços a que se tenha acesso. A
autenticação pode ser classificada em três grupos básicos:
 Informações pessoais do usuário (biometria em geral – impressão digital, palma
da mão, olho, etc.).
 9

 Informações que o usuário possui (token, cartão de senhas, etc.).

 Informações que o usuário sabe (perguntas e respostas, senhas, etc.).

Elaboração de Senhas
Uma boa senha é aquela que é fácil de ser lembrada e difícil de ser descoberta.
Seguindo esta lógica, não é recomendável criar uma senha complexa mas que não seja
possível memorizá-la, nem tampouco criar uma senha fácil demais a ponto de um
atacante descobrir rapidamente a mesma. Abaixo são listados alguns itens que NÃO
devem ser utilizados na elaboração de uma senha:
 Qualquer tipo de dado pessoal: evitar nomes, sobrenomes, contas de usuá-
rio, número de documentos, placas de carro, telefones ou data de aniversário
por exemplo (este tipo de informação pode ser obtido através de observação,
busca na internet, redes sociais, entre outros, sendo de fácil associação a uma
possível senha do usuário).
 Sequências de teclado: evite senhas que sejam uma sequência do teclado,
pois as mesmas podem ser descobertas por observação, enquanto digita.
 Palavras que façam parte de listas: evitar nomes públicos, nomes de times
de futebol, músicas, filmes ou que possam ser encontrados em dicionários.
Existem softwares que tentam descobrir essas senhas fazendo associação
com uma lista pré-definida de palavras deste contexto apresentado.

Quanto as boas práticas para elaboração de senhas, temos:

 Números aleatórios: quanto mais ao acaso forem os números aleatórios,
melhor;
 Grande quantidade de caracteres: quanto mais longa for constituída a senha,
maior a dificuldade em descobri-la;
 Diferentes tipos de caracteres: quanto mais misturada uma senha, mais forte a
mesma será. Procure combinar números, letras maiúsculas, minúsculas e sinais
de pontuação, de modo que você tenha uma associação a esta senha (por
exemplo, uma frase com as iniciais de cada palavra).
 10

Criptografia
A criptografia de modo geral está relacionada a um conjunto que contempla o uso de
conceitos e técnicas utilizados em sistemas computacionais, com o propósito de cifrar
determinado conteúdo, de forma que somente emissor e receptor conseguem decifrá-la
e, posteriormente, entendê-la. Tal técnica se faz necessária devido à necessidade de
protecção de informações confidenciais.
Quanto à forma de funcionamento de um mecanismo de criptografia, a mesma se
baseia na utilização de um algoritmo e de uma chave. O algoritmo tem a função de
cifrar e decifrar os dados utilizando para isso a chave correta. Analisando por esta
perspectiva, mesmo que um atacante consiga interceptar os dados durante uma
comunicação criptografada, sem a chave correta, o mesmo não conseguirá decifrar e
entender o conteúdo ali transmitido. Desta forma, quanto maior a chave utilizada
(medida em bits), mais segura será a criptografia empregada. Através do emprego da
criptografia torna-se possível:
Proteger dados confidenciais armazenados no computador (arquivos de senhas,
arquivos com conteúdo específico), proteger backups contra acesso não-autorizado,
proteger comunicações via internet (autenticação, inserção de informações sigilosas,
compras em sites de e-commerce) entre outros.

Tipos de Criptografia

Existem dois métodos criptográficos que, de acordo com a chave usada, podem ser
divididos em duas grandes categorias:
 Criptografia de chave simétrica e;
 Criptografia de chaves assimétricas.
Criptografia de chave simétrica
Este método utiliza uma mesma chave no processo de codificação e no de decodificação
dos dados. Também denominada de criptografia de chave única ou secreta, seu
objectivo é a confidencialidade dos dados. Como exemplos de criptografia que utilizam
este método estão: 3DES, AES, IDEA e Blowfish.
Criptografia de chaves assimétricas
Este método criptográfico, também denominado de criptografia de chave pública, faz a
utilização de duas chaves distintas: uma chave pública e uma chave privada. A chave
 11

pública pode ser divulgada livremente, já a chave privada deve ser mantida em sigilo
por seu dono.
Quando um dado precisa ser enviado em uma comunicação, o emissor cifra estes dados,
utilizando a chave pública do receptor, que então utilizará a sua chave privada para de
criptografar e ter acesso aos dados. Esta chave privada pode ser armazenada no
computador de diferentes formas, como, por exemplo: arquivo, token, etc. Como
exemplos de métodos criptográficos que utilizam chaves assimétricas, podemos citar:
ECC, DAS, RSA, etc.

Assinatura digital
A assinatura digital corresponde a um código utilizado para garantir ao destinatário da
informação que o remetente é realmente quem diz ser. No mundo da computação, a
assinatura digital é o recurso utilizado para assinar documentos digitais para que esses
não possam ser adulterados. Para isso, é necessário que:
 O destinatário consiga verificar a identidade alegada pelo remetente;
 O remetente não possa renegar o conteúdo da informação;
 O destinatário não consiga alterar a informação.
Com estes três itens presentes em uma assinatura digital, o destinatário da mensagem
tem certeza de quem a enviou, o remetente não tem como negar o envio da mensagem e
o destinatário não pode forjar a mensagem recebida.

Cópias de Segurança (backups)

As cópias de segurança, também conhecidas como backups, permitem a um usuário se
resguardar quanto aos dados que estão gravados em seu computador. Diversos são os
factores que podem ocasionar a perda de dados, como, por exemplo, uma descarga
eléctrica, queima de um dispositivo, entre outros factores. Por isso o backup é um
procedimento tão importante quando o assunto é segurança da informação, pois permite:
 Protecção dos dados: o backup propicia que dados sejam recuperados em si-
tuações como falha de disco, actualização malsucedida do sistema operacional,
exclusão acidental de arquivos, acção de vírus, furto/perda de dispositivos, entre
outros.
 12

 Recuperação de versões: a possibilidade de retomar uma determinada versão

do sistema, de um banco de dados, de uma imagem de um disco rígido, enfim,
tudo isso só é possível através de um backup realizado previamente.
Ferramentas Anti-malware
As ferramentas anti-malware são aqueles softwares capazes de detectar, anular (colocar
em quarentena) ou remover códigos maliciosos de um computador. Na categoria de
ferramentas anti-malware estão os antivírus, antispyware, antirootkit e antitrojan.
Tipos de Ferramentas Anti-malware
Existem diferentes tipos de programas anti-malware, actuando da seguinte forma:
 Método de detecção: assinatura, na qual uma lista de assinaturas é utilizada à
procura de padrões. Heurística baseia-se nas estruturas, instruções e
características que o código malicioso possui em si. Por fim, comportamento que
se refere ao comportamento apresentado pelo código malicioso quando
executado;
 Forma de obtenção: podem ser gratuitos (obtidos livremente na internet e
usados por prazo indeterminado), experimentais (obtidos através de versões
trial, com utilização até determinado prazo), ou pagos (paga-se uma licença para
usar o software de protecção de sua versão completa);
 Execução: geralmente são instalados no computador, de onde são executados. É
possível também utilizar (quando disponível pelo fabricante do mesmo) versões
portáveis, ou seja, que não exigem instalação, somente execução do mesmo
(opção interessante para pendrives, discos externos, etc.). Existem ainda as
ferramentas online de verificação de vírus, disponíveis através de sites da web.
Exemplos de ferramentas anti-malware:
 MalwareBytes – Anti-malware: actualmente um dos melhores anti-malware gratuito,
disponível no mercado. Através deste software é possível fazer regularmente uma
verificação no computador (ou unidades móveis) para garantir que os mesmos estão
livres de vírus e outras pragas virtuais. A excepção da versão gratuita é que a mesma
não possui protecção em tempo real. Na figura 86, é apresentada a tela inicial do
software Malwarebytes Anti-Malware, versão free.
 13

 IOBit Malware Fighter: software anti-malware gratuito criado pela empresa IOBit.
Apesar de ser considerado menos eficiente que o Anti Malware Bytes, possui o recurso
de protecção de tempo real, possibilitando, desta forma, detectar arquivos maliciosos
assim que os mesmos entrem em acção junto ao sistema operacional;
 Dr. Web Curelt!: prático e intuitivo, este software anti-malware é uma excelente
opção para remoção de pragas virtuais e arquivos maliciosos, apesar de não contar
com proteção em tempo real, ou seja, é necessário executar o programa e acioná-lo
toda a vez que se deseja escanear determinada partição ou o sistema como um todo;
 Super AntiSpyware: mais uma opção entre os softwares de combate a spywares. Não
possui protecção em tempo real, porém é de fácil utilização e conta com recursos
intuitivos para protecção do computador;
 Emsisoft Emergency Kit: software portátil (não necessita instalação) utilizado para
verificar a limpar computadores, contra pragas virtuais e arquivos maliciosos. Com
interface fácil e intuitiva permite quatro níveis diferentes de verificação: buscar por
spywares de forma fácil, busca inteligente por spywares em arquivos do Windows,
busca profunda (mais demorada, porém mais minuciosa na busca por spywares) e a
busca personalizada, onde é possível definir o que será verificado em busca de
spywares
 14

Conclusão
 15

Bibliografia