Você está na página 1de 46

www.projetoderedes.kit.

net

Escola Tcnica Pandi Calgeras

SEGURANA DE DADOS EM COMPUTAO

Grupo C
Componentes:
Aline Rodrigues de Souza Carlos Eduardo Guimares de Salles

Carlos Eduardo Martins de Oliveira (CaEd) Cristiane Barbosa da Cruz Fabio dos Santos Moreira Jos Osvaldo Amaral Tepedino Maurcio Domingues da Silva Nvea Gonalves da Silva Paula Tabajaras Rodrigo Otvio Guimares Haydt

Simone de Miranda Milani Sylvia Maria da Silva Seito


NDICE

Segurana de Dados em Computao

Introduo Objetivos Princpios Bsicos Situaes de Insegurana Os Prejuzos Leis Usurios & Senhas Backup

Segurana de Redes

Introduo Ameaas e Ataques Poltica de Segurana Servios de Segurana Mecanismos de Segurana

Criptografia Firewalls Assinatura Digital Autenticao Controle de Acesso Integridade de Dados

Enchimento de trfego Controle de Roteamento Segurana Fsica e de Pessoal Hardware / Software de Segurana Rtulos de Segurana Deteco e Informao de Eventos Registro de Eventos

SEGURANA DE DADOS EM COMPUTAO


INTRODUO

Um dos maiores problemas e um dos mais difceis de resolver o da segurana de dados. O problema tem muitas facetas e envolve as instalaes fsicas, procedimentos operacionais, caractersticas do hardware do computador e convenes do software e da programao. Vivemos em uma sociedade que se baseia em informaes e que exibe uma crescente propenso para coletar e armazenar informaes, por isso a necessidade de se ter mecanismos de segurana realmente eficientes. A segurana de dados pode ser definida como a proteo de dados contra a revelao acidental ou intencional a pessoas no autorizadas, e contra alteraes no permitidas.

A segurana no universo computacional se divide em segurana lgica e segurana fsica, presentes tanto em computadores standalones (PCs individuais) como em computadores ligados em rede (Internet ou Rede interna).

Segurana Fsica: Devemos atentar para ameaas sempre presentes, mas nem sempre lembradas; incndios, desabamentos, relmpagos, alagamentos, problemas na rede eltrica, acesso indevido de pessoas ao CPD, treinamento inadequado de funcionrios, etc. Medidas de proteo fsica, tais como servios de guarda, uso de no-breaks, alarmes e fechaduras, circuito interno de televiso e sistemas de escuta so realmente uma parte da segurana de dados. As medidas de proteo fsica so freqentemente citadas como segurana computacional, visto que tm um importante papel tambm na preveno dos itens citados no pargrafo acima. O ponto-chave que as tcnicas de proteo de dados por mais sofisticadas que sejam, no tem serventia nenhuma se a segurana fsica no for garantida.

Segurana Lgica: Esta requer um estudo maior, pois envolve investimento em softwares de segurana ou elaborao dos mesmos. Deve-se estar atento aos problemas causados por vrus, acesso de bisbilhoteiros (invasores de rede), programas de backup desatualizados ou feito de maneira inadequada, distribuio de senhas de acesso, etc.. Um recurso muito utilizado para se proteger dos bisbilhoteiros da Internet (administrador de sistemas), a utilizao de um programa de criptografia que embaralha o contedo da mensagem, de modo que ela se torna incompreensvel para aqueles que no sejam nem o receptor ou provedor da mesma. Disco de partida, disquete que possibilita colocar em funcionamento o micro no caso de um defeito no disco rgido, uma ferramenta disponvel no Windows 95 que vem reforar a segurana dos dados, bem como outras ferramentas que retiram vrus de macro, protegem documentos no Word atravs de senhas, etc.
OBJETIVOS

O objetivo da segurana de dados abrange desde uma fechadura na porta da sala de computadores at o uso de tcnicas criptogrficas sofisticadas e cdigos de autorizao. Seu estudo no abrange somente o crime computacional (hackers), envolve qualquer tipo de violao da segurana, como erros em processamento ou cdigos de programao. A segurana de dados objetiva restringir o uso de informaes (softwares e dados armazenados) no computador e dispositivos de armazenamento associados a indivduos selecionados, e pode ser dividida nos seguintes tpicos:

Os objetivos da Segurana em Informtica so: Preservao do patrimnio da empresa (os dados e as informaes fazem parte do patrimnio)
Deve-se preserv-lo protegendo-o contra revelaes acidentais, erros operacionais (montagem errada de um disco magntico, por exemplo) e contra as infiltraes que podem ser de dois tipos:

Infiltrao deliberada: tem como objetivos principais o acesso s informaes dos arquivos, descobrir os interesses da informao dos usurios, alterar ou destruir arquivos e obter livre uso dos recursos do sistema..

Infiltrao ativa: consiste desde o exame peridico dos contedos das cestas de lixo da rea do computador at gravao clandestina dos dados armazenados. Isto inclui:

Sapear: envolve o uso do acesso legtimo ao sistema para obteno de informao no-autorizada; Usar disfarce: a prtica da obteno de identificao prpria atravs de meios imprprios (como a gravao clandestina) e a seguir o acesso ao sistema como um legtimo usurio. Detectar e usar alapes: so dispositivos de hardware, limitaes de software ou pontos de entrada especialmente plantados que permitem que fonte no-autorizada tenha acesso ao sistema. Infiltrar-se atravs de canais ativos de comunicaes Meios fsicos: incluem o acesso ao sistema atravs de uma posio no centro de computao, ou seja, profissionais que ocupam cargos com acesso ao CPD e

deliberam as informaes a terceiros; e o roubo de veculos removveis de armazenamento.

Manuteno dos servios prestados pela empresa Segurana do corpo funcional Em caso de problemas: deteco das causas e origens dos problemas no menor prazo possvel, minimizao das conseqncias dos mesmos, retorno s condies normais no menor prazo, com o menor custo e com o menor trauma possveis Os caminhos para alcanar estes objetivos so bastante claros:

Deteco e anlise dos pontos vulnerveis Estabelecimento de polticas de segurana (tcnicas de segurana incluem aspectos do hardware computacional, rotinas programadas e procedimentos manuais, bem como os meios fsicos usuais de segurana local e segurana de pessoal, fechaduras, chaves e distintivos) Execuo das polticas de segurana Acompanhamento Avaliao dos resultados contra os objetivos traados Correo de objetivos e polticas Gerencia de acesso

Gerencia de acesso, ou controle de acesso, trata da preveno para que usurios no autorizados obtenham servios do sistema computacional ou obtenham acesso aos arquivos. Este controle um pouco mais complicado quando se trata de rede, j que qualquer um pode se passar por usurio autorizado, da a importncia do uso de tcnicas de segurana, como senhas ou identificao por cartes magnticos Este plano de segurana deve considerar os seguintes fatores:

1) Contedo das informaes Se refere sensibilidade dos programas e dados que possam exigir uma das seguintes coisas: nenhuma providncia sobre segurana de dados, restries normais a necessidades de conhecimento, ou preocupaes extensas para evitar revelao.

2) Ambiente: Refere-se aos usurios e aos mtodos pelos quais eles tm acesso ao sistema.

3) Comunicaes: Referem-se ao uso das facilidades das comunicaes de dados, que podem ser no local do computador, podem ser uma rede privada ou pode ser uma rede pblica.

4) Facilidades de sistema: Referem-se a servios previstos pelo sistema computacional que podem incluir, no mnimo, funes especializadas, soluo de problema interativo, apoio remoto de programao e um sistema total de informao.

Basicamente, deve ser criado um Plano de Segurana (como evitar problemas) e um Plano de Contingncia (o que fazer em caso de problemas). oportuno frisar que segurana absoluta no existe - ningum imune a ataques nucleares, colises com cometas ou asterides, epidemias mortais, seqestros, guerras, ou a uma simples maionese com salmonela na festa de fim de ano da empresa. Trata-se de descobrir os pontos vulnerveis, avaliar os riscos, tomar as providncias adequadas e investir o necessrio para ter uma segurana homognea e suficiente. Se sua empresa fatura R$ 50.000,00 por ms voc no pode ter a mesma segurana que uma empresa que fature 1 ou 2 milhes mensais. Sempre existiro riscos. O que no se pode admitir o descaso com a segurana.

Deve-se perguntar: Proteger O QUE? Proteger DE QUEM? Proteger A QUE CUSTOS? Proteger COM QUE RISCOS?

O axioma da segurana bastante conhecido de todos, mas verdadeiro:

"Uma corrente no mais forte do que o seu elo mais fraco"


Princpios Bsicos

Os princpios bsicos de segurana em sistemas so:

Confidencialidade: proteo da informao compartilhada contra acessos no autorizados; obtm-se a confidencialidade pelo controle de acesso (senhas) e controle das operaes individuais de cada usurio (log)

Autenticidade: garantia da identidade dos usurios

Integridade: garantia da veracidade da informao, que no pode ser corrompida (alteraes acidentais ou no autorizadas)

Disponibilidade: preveno de interrupes na operao de todo o sistema (hardware + software); uma quebra do sistema no deve impedir o acesso aos dados

SITUAES DE INSEGURANA

As ameaas podem ser oriundas das seguintes situaes de insegurana:


Catstrofes

Incndio acidental ou intencional Alagamento por inundao de pores ou salas com risco potencial, por vazamento dos encanamentos ou por goteiras Exploso intencional ou provocada por vazamento de gs (em butijes ou encanado)

Desabamento parcial ou total do prdio Impacto de escombros da cobertura (teto de gesso, forrao ou telhado) Grande sobrecarga na rede eltrica ou relmpagos que causam queima total de equipamentos Terremotos, que normalmente provocam uma combinao dos itens acima Guerras - com conseqncias imprevisveis
Problemas ambientais

Variaes trmicas - excesso de calor causa travamentos e destri mdias; excesso de frio congela fisicamente dispositivos mecnicos, como discos rgidos Umidade - inimigo potencial de todas as mdias magnticas Poeira depositada nas cabeas de leitura e gravao dos drivers, pode destruir fisicamente um disquete ou uma fita Radiaes - alm de causarem danos s pessoas, podem provocar problemas diversos em computadores Rudo causa estresse no pessoal Vapores e gases corrosivos - em qualquer incndio, bastam 100C para transformar a gua cristalizada nas paredes em vapor, que destri mdias e componentes Fumaa - a fumaa do cigarro deposita uma camada de componentes qumicos nas cabeas de leitura e gravao dos drives, que pode inviabilizar a utilizao de disquetes e fitas; fumaa de incndios prximos muito mais perigosa Magnetismo - grande inimigo das mdias magnticas, pode desgravar disquetes, fitas e discos rgidos Trepidao - pode afrouxar placas e componentes em geral, alm de destruir discos rgidos

Supresso de servios

Falha de energia eltrica - grande risco potencial, medida que paralisa totalmente todas as funes relacionadas informtica Queda nas comunicaes - grande risco potencial, pois isola o site do resto do mundo; risco de perda de dados Pane nos equipamentos - problema bastante comum, resolvido com backup de informaes e de hardware Pane na rede - isola um ou mais computadores de um mesmo site; risco potencial de perda de dados Problemas nos sistemas operacionais - risco potencialmente explosivo, pois podem comprometer a integridade de todos os dados do sistema e at mesmo inviabilizar a operao; eliminam a confiana da equipe Problemas nos sistemas corporativos - grande risco, causam grande transtorno e perdas de dados Parada de sistema - igualmente um grande risco

Comportamento anti-social

Paralisaes e greves - problema contornvel se houver conduo poltica adequada Piquetes - risco maior do que as paralisaes, exigem negociaes mais complexas Invases - altssimo risco de destruio acidental ou intencional Hacker - indivduo que conhece profundamente um computador e um sistema operacional e invade o site sem finalidade destrutiva Alcoolismo e drogas - risco de comportamento anmalo de funcionrios, com conseqncias imprevisveis Disputas exacerbadas entre pessoas podem levar sabotagem e alterao ou destruio de dados ou de cpias de segurana Falta de esprito de equipe - falta de coordenao, onde cada funcionrio trabalha individualmente; risco de omisso ou duplicao de procedimentos Inveja pessoal/profissional - podem levar um profissional a alterar ou destruir dados de outro funcionrio Rixas entre funcionrios, setores, gerncias, diretorias - mesmo caso do item anterior, porm de conseqncias mais intensas

Ao criminosa

Furtos e roubos - conseqncias imprevisveis, podem inviabilizar completamente os negcios da empresa Fraudes - modificao de dados, com vantagens para o elemento agressor Sabotagem - modificao deliberada de qualquer ativo da empresa Terrorismo - de conseqncias imprevisveis, pode causar mortes, a destruio total dos negcios ou de mesmo de toda a empresa Atentados - uso de explosivos, com as mesmas conseqncias do item anterior Seqestros - ao contra pessoas que tenham alguma informao Espionagem industrial - captao no autorizada de software, dados ou comunicao Cracker - indivduo que conhece profundamente um computador e um sistema operacional e invade o site com finalidade destrutiva

Incidentes variados

Erros de usurios - de conseqncias imprevisveis, desde problemas insignificantes at a perda de um faturamento inteiro; erros de usurios costumam contaminar as cpias de segurana (backup) quando no detectados a tempo Erros em backups - risco srio de perda de dados; o backup sempre deve ser verificado Uso inadequado dos sistemas - normalmente ocasionado por falta de treinamento, falta de documentao adequada do sistema ou falta de capacidade de quem utiliza o sistema de forma inadequada, tem os mesmos riscos do item Erros de usurios

Manipulao errada de arquivos - costuma causar perda de arquivos e pode contaminar as cpias de segurana Treinamento insuficiente - inevitavelmente causa erros e uso inadequado Ausncia/demisso de funcionrio - problemtico se a pessoa ausente for a nica que conhece determinados procedimentos Estresse/sobrecarga de trabalho - uma pessoa sobrecarregada mais propensa a cometer erros e adotar atitudes anti-sociais Equipe de limpeza - deve receber o treinamento adequado sobre segurana

Contaminao eletrnica

Vrus - programa que insere uma cpia sua em outros programas executveis ou no setor de boot; os vrus se replicam atravs da execuo do programa infectado Bactria - programa que reproduz a si prprio e vai consumindo recursos do processador e memria Verme - programa que se reproduz atravs de redes Cavalo de Tria - programa aparentemente inofensivo e til, mas que contm um cdigo oculto indesejvel ou danoso Ameba - usurio que, sem ter conhecimento para tanto, mexe na configurao do computador ou do software, causando problemas, perda de dados, travamento da mquina, etc. Falhas na segurana dos servios - os servios da Internet so potencialmente sujeitos a falhas de segurana, basicamente devido ao fato de o UNIX ter sido gestionado em ambiente universitrio, que visava um processamento cooperativo e no a segurana; alm disto, o UNIX muito bem conhecido por hackers e crackers
OS PREJUZOS

A Informtica o centro nevrlgico da empresa. Qualquer pequeno problema no(s) servidor(es) corporativo(s) ou em algum servidor departamental pode paralisar vrios ou mesmo todos os departamentos da empresa. Quanto maior o grau de integrao dos sistemas, quanto maior o volume e a complexidade dos negcios, maior ser a dependncia em relao Informtica.

Graus de severidade. Podemos classificar os prejuzos decorrentes de problemas com segurana em graus de severidade, conforme a abrangncia dos danos e as providncias tomadas para retornar normalidade:

INSIGNIFICANTES - casos em que o problema ocorre, detectado e corrigido sem maiores repercusses. So problemas isolados, sem nenhuma repercusso na estrutura computacional da empresa. O maior prejuzo a despesa com a mo de obra alocada, ou algum suprimento desperdiado. Um exemplo a presena de vrus em um computador, que prontamente detectado e exterminado. Certamente necessrio um grande investimento em segurana para que os problemas possam ser prontamente resolvidos e os prejuzos minimizados;

PEQUENOS - o problema ocorre, existe uma pequena repercusso na estrutura computacional e organizacional da empresa (atrasos, bloqueio de sistema, perdas de movimentao, etc.), e o problema resolvido. Um exemplo a perda dos dados corporativos, a recuperao via backup da posio anterior e a necessidade de redigitao da movimentao de um dia. Ou, ento, a destruio fsica, acidental ou proposital, de um servidor corporativo, com a necessidade de substituio emergencial, mas sem perda dos dados. Os prejuzos so restritos ao mbito da empresa, sem repercusses nos seus negcios e sem interferncias com seus clientes;

MDIOS - o problema ocorre, provoca repercusso nos negcios da empresa e interfere com os seus clientes, mas a situao consegue ser resolvida de maneira satisfatria, normalmente com um grande esforo e com maior ou menor desgaste interno e externo da empresa. Exemplos: erros graves no faturamento, perda de dados sem backup;

GRANDES - repercusses irreversveis de carter interno ou externo, com perda total de dados, prejuzo financeiro irrecupervel, perda de clientes, perda de imagem e posio no mercado;

CATASTRFICOS - prejuzos irrecuperveis, que podem dar origem a processos judiciais e falncia da empresa.

O que causa muita preocupao que, via de regra, o tipo de erro no tem relao com o grau de severidade dos prejuzos. A perda total de um servidor corporativo (incndio, queda

de escombros, etc.) pode, se houver backups atualizados, causar um prejuzo equivalente apenas ao valor do conserto ou substituio da mquina, ao passo que um pequeno erro de programao (um if mal posicionado ou um comentrio em uma linha de programa que deveria estar ativa, erros de fcil correo) podem, facilmente, provocar prejuzos catastrficos.

Prejuzos em funo do tempo. Quando ocorre algum problema que provoque uma paralisao, os prejuzos menos importantes so percebidos imediatamente. Outros, normalmente os maiores, somente sero percebidos posteriormente, e ser muito difcil, ou mesmo impossvel, repar-los.

Problemas de segurana com graus de severidade INSIGNIFICANTE e PEQUENO somente causam prejuzos imediatos, tais como:

Paralisao das atividades normais da empresa Danos materiais, variveis conforme o problema ocorrido Sobrecarga na estrutura da empresa, que deve mobilizar os seus recursos, normalmente exguos, para a tentativa de recuperao dos problemas decorrentes do erro Atritos internos em funo da responsabilizao pelo erro

Normalmente problemas com grau de severidade MDIO causam poucos prejuzos a mdio e longo prazos, que so: Desvio nos objetivos da empresa Perda de mercado Perda de imagem Perda de credibilidade Desnimo e perda de funcionrios Atritos internos extremamente responsabilizao pelo erro

srios

atritos

externos

em

funo

da

Problemas com grau de severidade GRANDE e CATASTRFICO certamente causam os supra citados prejuzos a mdio e longo prazo, podendo causar o encerramento das atividades da empresa e pendncias com a Justia para seus diretores e funcionrios.

A queda na eficincia dos negcios da empresa aps um acidente srio com informtica drstica, como indica o grfico abaixo. Nas ordenadas, temos a eficincia da empresa; nas abcissas, o intervalo em dias aps o evento.

bvio que, em certos casos extremamente srios, a eficincia cai a zero imediatamente aps o acidente.

Fonte: University of Minnesota, citado no catlogo "Segurana em Informtica" da ACECO

Custos da reposio de informaes. Podem ocorrer prejuzos altssimos em caso de problemas srios, considerando, entre outros, alocao de recursos humanos adicionais, busca de documentos, redigitao das informaes, reconstruo do local e reposio de hardware e software, multas, etc. Multas: Alm de todos os demais prejuzos, tambm existem multas pesadas! A Instruo Normativa da SRF n. 068/95 de 27/12/95, baseada na Lei n. 8.218/91 e a Portaria n. 13 de 28/12/95 da Secretaria da Receita Federal exigem a preservao dos arquivos magnticos e prevem a aplicao de multa de 5% sobre o valor das operaes comerciais, fiscais e contbeis aos contribuintes que omitirem ou prestarem informaes incorretas em arquivos magnticos.

exigido (transcrito do catlogo "Segurana em Informtica" da ACECO):

Preservao dos arquivos magnticos: todas as pessoas jurdicas (com exceo das fiscalizadas pelo Banco Central), com patrimnio lquido acima de 2 milhes de UFIRs (aproximadamente R$ 1,7 milhes no final de 1995) e que utilizem computadores (prprios ou atravs de terceiros), devem preservar seus arquivos magnticos durante o perodo decadencial de guarda de documentao contbil e fiscal, previsto na legislao tributria. Descrio dos arquivos magnticos a serem preservados: Contabilidade, Fornecedores/Clientes, Documentos Contbeis/Fiscais, Controle de Estoque/Registro de Inventrio, Correo Monetria de Balano e Controle Patrimonial, Folha de Pagamento, Relao Insumos/Produtos, Cadastro de Pessoas Fsicas e Pessoas Jurdicas aplicado aos arquivos fornecidos, Tabelas de Cdigos aplicados aos arquivos fornecidos.

Outras informaes:

A apresentao dos arquivos magnticos feita mediante Termo de Intimao Fiscal, portanto no h periodicidade para o envio dos arquivos Secretaria da Receita Federal. Os arquivos magnticos para a fiscalizao devem ser apresentados nos formatos descritos detalhadamente na Portaria n. 13. A preservao dos arquivos magnticos disposio da fiscalizao comeou em 1994, atravs da SRF 65/93. A Portaria n. 13 apenas reformatou a apresentao dos arquivos magnticos. A obrigatoriedade da entrega dos arquivos no dispensa a emisso de livros prevista na legislao comercial e fiscal.

Exemplos de multa:

Os arquivos magnticos que continham informaes sobre faturamento/sadas de mercadorias dos ltimos 3 anos foram destrudos por sabotagem ou incndio, e

portanto no foram apresentados. Clculo da multa: supondo que o faturamento durante os ltimos 3 anos foi de 100 milhes, a multa ser de 5 milhes por omisso das informaes solicitadas. Os arquivos magnticos que continham dados sobre as compras (entrada de mercadoria) dos ltimos 5 anos no puderam ser apresentados. Supondo que as compras foram 50 milhes durante os ltimos 5 anos, a multa ser de 2,5 milhes.

Como se pode ver, a questo da Segurana em Informtica no meramente conceitual ou acadmica. Trata-se de uma questo estratgica que, se negligenciada, pode causar todo e qualquer tipo de dano empresa.
LEIS

Projeto de Lei 1.713 - Substitutivo - verso final - Dez Dispe sobre os crimes de informtica e d outras providncias O Congresso Nacional decreta: CAPTULO I DOS PRINCPIOS QUE REGULAM A PRESTAO DE SERVIO POR REDES DE COMPUTADORES

Art. 1. O acesso, o processamento e a disseminao de informaes atravs das redes de computadores devem estar a servio do cidado e da sociedade, respeitados os critrios de garantia dos direitos individuais e coletivos e de privacidade e segurana de pessoas fsicas e jurdicas e da garantia de acesso s informaes disseminadas pelos servios da rede.

Art. 2. livre a estruturao e o funcionamento das redes de computadores e seus servios, ressalvadas as disposies especficas reguladas em lei.

CAPTULO II DO USO DE INFORMAES DISPONVEIS EM COMPUTADORES OU REDES DE COMPUTADORES

Art. 3. Para fins desta lei, entende-se por informaes privadas aquelas relativas a pessoa fsica ou jurdica identificada ou identificvel.

Pargrafo nico: identificvel a pessoa cuja individuao no envolva custos ou prazos desproporcionados.

Art. 4. Ningum ser obrigado a fornecer informaes sobre sua pessoa ou de terceiros, salvo nos casos previstos em lei.

Art. 5. A coleta, o processamento e a distribuio, com finalidades comerciais, de informaes privadas ficam sujeitas prvia aquiescncia da pessoa a que se referem, que poder ser tornada sem efeito a qualquer momento, ressalvando-se o pagamento de indenizaes a terceiros, quando couberem.

1. A toda pessoa cadastrada dar-se- conhecimento das informaes privadas armazenadas e das respectivas fontes.

2. Fica assegurado o direito retificao de qualquer informao privada incorreta.

3. Salvo por disposio legal ou determinao judicial em contrrio, nenhuma informao privada ser mantida revelia da pessoa a que se refere ou alm do tempo previsto para a sua validade.

4. Qualquer pessoa, fsica ou jurdica, tem o direito de interpelar o proprietrio de rede de computadores ou provedor de servio para saber se mantm informaes a seu respeito, e o respectivo teor.

Art. 6. Os servios de informaes ou de acesso a bancos de dados no distribuiro informaes privadas referentes, direta ou indiretamente, a origem racial, opinio poltica, filosfica, religiosa ou de orientao sexual, e de filiao a qualquer entidade, pblica ou privada, salvo autorizao expressa do interessado.

Art. 7. O acesso de terceiros, no autorizados pelos respectivos interessados, a informaes privadas mantidas em redes de computadores depender de prvia autorizao judicial.

CAPTULO III DOS CRIMES DE INFORMTICA

Dano a dado ou programa de computador

Art. 8. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador, de forma indevida ou no autorizada. Pena: deteno, de um a trs anos e multa. Pargrafo nico. Se o crime cometido: I - contra o interesse da Unio, Estado, Distrito Federal, Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios pblicos;

II - com considervel prejuzo para a vtima;

III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro;

IV - com abuso de confiana;

V - por motivo ftil;

VI - com o uso indevido de senha ou processo de identificao de terceiro; ou

VII - com a utilizao de qualquer outro meio fraudulento. Pena: deteno, de dois a quatro anos e multa

Acesso indevido ou no autorizado Art. 9o. Obter acesso, indevido ou no autorizado, a computador ou rede de computadores.

Pena: deteno, de seis meses a um ano e multa.

Pargrafo primeiro. Na mesma pena incorre quem, sem autorizao ou indevidamente, obtm, mantm ou fornece a terceiro qualquer meio de identificao ou acesso a computador ou rede de computadores.

Pargrafo segundo. Se o crime cometido:

I - com acesso a computador ou rede de computadores da Unio, Estado, Distrito Federal, Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios pblicos;

II - com considervel prejuzo para a vtima;

III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro;

IV - com abuso de confiana;

V - por motivo ftil;

VI - com o uso indevido de senha ou processo de identificao de terceiro; ou

VII - com a utilizao de qualquer outro meio fraudulento.

Pena: deteno, de um a dois anos e multa.

Alterao de senha ou mecanismo de acesso a programa de computador ou dados

Art. 10o. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou no autorizada.

Pena: deteno, de um a dois anos e multa.

Obteno indevida ou no autorizada de dado ou instruo de computador

Art. 11o. Obter, manter ou fornecer, sem autorizao ou indevidamente, dado ou instruo de computador.

Pena: deteno, de trs meses a um ano e multa.

Pargrafo nico. Se o crime cometido:

I - com acesso a computador ou rede de computadores da Unio, Estado, Distrito Federal, Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios pblicos;

II - com considervel prejuzo para a vtima;

III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro;

IV - com abuso de confiana;

V - por motivo ftil;

VI - com o uso indevido de senha ou processo de identificao de terceiro; ou

VII - com a utilizao de qualquer outro meio fraudulento.

Pena: deteno, de um a dois anos e multa

Violao de segredo armazenado em computador, meio magntico de natureza magntica, optica ou similar

Art. 12o. Obter segredos, de indstria ou comrcio, ou informaes pessoais armazenadas em computador, rede de computadores, meio eletrnico de natureza magntica, ptica ou similar, de forma indevida ou no autorizada.

Pena: deteno, de um a trs anos e multa.

Criao, desenvolvimento ou insero em computador de dados ou programa de computador com fins nocivos

Art. 13o. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de computadores, de forma indevida ou no autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dado ou programa de computador ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilizao de computador ou rede de computadores.

Pena: recluso, de um a quatro anos e multa.

Pargrafo nico. Se o crime cometido:

I - contra a interesse da Unio, Estado, Distrito Federal. Municpio, rgo ou entidade da administrao direta ou indireta ou de empresa concessionria de servios pblicos;

II - com considervel prejuzo para a vtima;

III - com intuito de lucro ou vantagem de qualquer espcie, prpria ou de terceiro;

IV - com abuso de confiana;

V - por motivo ftil;

VI - com o uso indevido de senha ou processo de identificao de terceiro; ou

VII - com a utilizao de qualquer outro meio fraudulento.

Pena: recluso, de dois a seis anos e multa.

Veiculao de pornografia atravs de rede de computadores

Art. 14o. Oferecer servio ou informao de carter pornogrfico, em rede de computadores, sem exibir, previamente, de forma facilmente visvel e destacada, aviso sobre sua natureza, indicando o seu contedo e a inadequao para criana ou adolescentes.

Pena: deteno, de um a trs anos e multa.

CAPTULO IV DAS DISPOSIES FINAIS

Art. 15o. Se qualquer dos crimes previstos nesta lei praticado no exerccio de atividade profissional ou funcional, a pena aumentada de um sexto at a metade.

Art. 16o. Nos crimes definidos nesta lei somente se procede mediante representao do ofendido, salvo se cometidos contra o interesse da Unio, Estado, Distrito Federal Municpio, rgo ou entidade da administrao direta ou indireta, empresa concessionria de servios pblicos, fundaes institudas ou mantidas pelo poder pblico, servios sociais autnomos, instituies financeiras ou empresas que explorem ramo de atividade controlada pelo poder pblico, casos em que a ao pblica incondicionada.

Art. 17o. Esta lei regula os crimes relativos informtica sem prejuzo das demais cominaes previstas em outros diplomas legais.

Art. 18o. Esta lei entra em vigor 30 (trinta) dias a contar da data de sua publicao.

Art. 19o. Revogam-se todas as disposies em contrrio.

Usurios & Senhas

Regras para Usurios e Senhas

Usurios

o no usar a conta do superusurio ou administrador para outros setores/funcionrios o criar grupos por setores/reas afins o criar contas dos usurios de acordo com seus nomes, dentro dos grupos
Senhas - no usar

o mesmo nome do usurio (login)

senha em branco palavras bvias, como "senha", "pass" ou "password" mesma senha para diversos usurios primeiro e ltimo nome do usurio nome da esposa/marido, pais ou filhos informao sobre si mesmo (placa do carro, data de nascimento, telefone, CPF) o somente nmeros o palavra contida em dicionrio (tanto portugus quanto ingls) o palavra com menos de 6 caracteres o o o o o o
Senhas - usar

o o o o

letras minsculas e maisculas palavras com caracteres no alfabticos (nmeros ou sinais) fcil de lembrar para no ter que escrever fcil de digitar (sem ter que olhar o teclado)

Exemplos de senhas

o primeira ou segunda letra de cada palavra de um ttulo ou frase fcil de memorizar o concatenao de duas palavras curtas com sinal de pontuao o concatenao de duas palavras pequenas de lnguas diferentes
Troca de senha

o periodicidade ideal: 3 meses o periodicidade mxima: 6 meses o sempre que houver suspeita de vazamento
Dicas

o a senha de cada usurio pessoal e intransfervel, devendo ser rigorosamente proibida a sua cesso a outra pessoa

o o responsvel por cada setor (ou gerente geral) dever ter as senhas dos seus

funcionrios, em local seguro, para uso em caso emergencial o JAMAIS escreva a senha num pedao de papel e cole o mesmo no seu teclado ou monitor, nem coloque na sua gaveta deschaveada

CASOS REAIS DE SEGURANA E INSEGURANA (EXEMPLOS)

Pra-raios Uma empresa situada s margens de um rio comprou dois computadores S-700 da Prolgica, l pelo incio da dcada de 80. Toda a instalao foi feita de forma adequada, com aterramento, tomadas de 3 pinos e at estabilizador (fato no muito comum na poca). No dia seguinte ao primeiro temporal, constatou-se a queima ("torrefao") total das fontes, placas e demais componentes dos dois computadores, com perda total dos equipamentos. Motivo: o pra-raios e o aterramento haviam sido feitos muito prximos um ao outro, e o sub-solo encharcado provocou o retorno de um raio para o aterramento.

Backup em disquete Certa empresa realizava religiosamente seus backups. Todo dia. A funcionria encarregada da Informtica (digitadora, operadora, conferente de slips e responsvel pelo setor de cadastro) ficava aps o expediente e gravava os dados em mais de 70 disquetes. Isto mesmo, 70 disquetes. Certo dia, o inevitvel aconteceu. Numa tarde de sbado, na tentativa de recuperar o backup, o velho 386 SX operando em XENIX refugou o disco sessenta e poucos. Foram feitas 3 tentetivas de recuperao (toda a seqncia de mais de 70 discos de cinco e um quarto). Sempre no mesmo disquete a mquina engasgava. A soluo foi a redigitao de parte do cadastro. No houve perda de dados, mas uma despesa grande em retrabalho.

Equipe de limpeza Todas as manhs o operador constatava a parada do servidor, l pelas 2 e meia da madrugada, quando no havia ningum no CPD. Foram feitas auditorias no sistema operacional, no servidor, a crontab (tabela do UNIX que dispara processos automaticamente em horrios pr-determinados) foi revisada e alterada, mas nada resolvia. No havia registros de invaso do prdio. At que o gerente do setor resolveu passar uma noite escondido no CPD. O que se descobriu que, l pelas 2 e meia, vinha uma equipe

terceirizada realizar a limpeza do prdio, e uma senhora cuidadosamente desligava o servidor da tomada, limpava, e religava a pobre mquina.

Servidores de baixo custo O velho servidor 486 (montado) j no tinha mais espao em disco, e foram feitas cotaes para mais um Winchester IDE. A opo mais barata era de uma marca boa, mas diferente do disco j instalado; tempo de acesso e capacidade tambm diferentes. A mquina j apresentava algumas manias irritantes, como perder a data e a hora, mas nada que comprometesse o funcionamento. O operador resolvia. Numa manh de sexta-feira, num bonito dia de inverno, o 486 resolveu que no queria mais ler os discos rgidos. Perda total dos dados, sistemas aplicativos e sistema operacional. O operador, que resolvia todos os "pepinos" da mquina, era precavido: havia backup.

Assistncia tcnica barata A mquina aceitava o UNIX sem grandes problemas. De vez em quando, no entanto, a mensagem de PANIC. Se o computador emite uma mensagem de PANIC, imagine-se o estado do seu usurio. A assistncia tcnica foi chamada, e foi a que a confuso realmente comeou: o diagnstico mudava a cada novo erro, peas eram trocadas aleatoriamente, e no fim a empresa ficou um ms (isto mesmo, um ms!) sem o tal computador. A soluo foi a troca da mother board por 3 ou 4 vezes. Como estava na garantia, o prejuzo financeiro (grande) foi da assistncia tcnica...

Assaltos O CP-500 era uma mquina baseada no Z-80, e no tinha disco rgido. Na sua configurao mais comum, tinha dois drives de 5", com capacidade de 180 KBytes cada. Num drive se colocava o disco com o sistema operacional mais o aplicativo, no outro o disco com os dados. Os discos estavam criteriosamente cadastrados e guardados, com cpias de segurana em outro armrio no mesmo ambiente. Numa madrugada de sbado, ocorreu o assalto. Os ladres, aparentemente, tiveram pouco tempo, mais quebraram do que roubaram. Entre os objetos roubados, todos os discos dos sistemas e dos dados do CP-500. Por precauo, havia cpias de segurana. Por sorte, no foram roubadas, pois estavam no mesmo ambiente.

Vrus A existem dezenas de histrias. Vai uma interessante: pois tinha aquele estudante, hacker frustrado, culos de fundo de garrafa, que gostava de colecionar software - todo e qualquer software, principalmente qualquer coisa que pudesse representar algo doentio e desviante. Quando apareceu o primeiro vrus no laboratrio foi aquela festa. Enquanto o funcionrio responsvel se desdobrava em mil para descontaminar os PC XT e alertar os

usurios, o nosso reptlico aprendiz de malfeitor contaminava seus prprios discos e recontaminava as mquinas.

Transporte A vtima, um Pentium 75 novinho. A insistncia em levar a mquina para um passeio de caminhonete, junto com malas e outras tralhas, gerou a ira do responsvel pela informtica. No entanto, ordens so ordens, e l se foi o Pentium desktop conhecer outros ares (quase 2.000 km de estrada, ida e volta). No havia backup de nada. Por sorte, uma grande sorte, apenas o mouse e o teclado foram quebrados (esmagados) na viagem...

Senhas (1) A informtica insistia em atribuir senhas complicadas aos pobres usurios, que nem sabiam pr que precisava de senha, pois j tinham de digitar o nome... Aqueles teimosos da informtica no aceitavam senhas simples, como as inicias do setor ou do usurio, datas de nascimento ou senhas em branco. Pura m vontade. A os usurios resolveram o problema de uma forma simples e eficiente: colaram os papeizinhos com as senhas no teclado (no na parte de baixo, na parte de cima mesmo).

Senhas (2) O operador, responsvel pelo cadastro, pela operao, etc., nunca entendeu direito esta histria de administrao de usurios. Todo mundo usava a senha do root (supervisor). Por sorte, a situao foi detectada antes de acontecer o bvio.

Incndios A loja estava progredindo, e estava conseguindo se informatizar. J tinha comprado um controle de estoque e uma contabilidade, nada integrado, mas servia bem. A instalao do CPD era bem precria. Todos os dados no 386, e backup na mesma sala. Um curto-circuito seguido de incndio acabou com a informtica da loja, e quase acabou com a prpria loja.

Fumaa A loja do lado tambm tinha computador. O incndio da outra loja provocou tanta fumaa que inutilizou todos os disquetes desta loja.

Vandalismo Certa empresa andava com uns probleminhas, e o CPD tinha, nos discos, provas incriminadoras. A soluo foi fcil: num fim de semana, quando no havia nenhum funcionrio de planto, os backups foram sistematicamente destrudos. Segunda-feira, surpresa geral...

Falta de energia eltrica Dia de faturamento, mais de um milho de dlares a receber, e a maldita luz acabou. Havia prazos bastante rgidos a cumprir, sem segunda chance. O nobreak senoidal inteligente de alguns KVA, que pareceu caro demais na hora da compra, agora tinha de mostar seu valor. Corre-corre, desligados todos os computadores no essenciais, apenas o servidor Pentium 100 ligado, processando. Quando a energia voltou, mais de 4 horas depois, o faturamento estava pronto. Sem no-break no haveria mais tempo, e o faturamento no teria sido emitido.

Inundao Aquela repartio pblica, naquele velho prdio histrico cheio de goteiras, o computador (um 486 novinho) na mais pr-histrica das salas histricas, no gabinete da autoridade. Chove no fim de semana. Na segunda feira, o tcnico chamado com urgncia porque o computador no quer funcionar, apesar de ser novo e de ter sido comprado com o dinheiro do contribuinte. A soluo, aps mandar consertar a goteira que ficava exatamente acima do vdeo do computador, foi desmontar o pobre coitado, lavar as placas e sec-las no ar condicionado. No houve perda de dados porque o computador era novo e no havia dados...

Estresse Fim de ms, o faturamento precisava sair de qualquer maneira, e o pessoal trabalhando dia e noite para cumprir a tarefa. Os dedos a mil nos velhos terminais a caracter, o servidor Pentium triturando os dados, e a margem de erro da digitao aumentando sem parar. No fim da empreitada, mais correes do que digitao. Mas, o objetivo, mais uma vez, foi alcanado.

Dono do conhecimento (esta no chegou a acontecer ainda, mas pode estar ocorrendo neste exato instante). O fulano era a informtica viva da empresa. Atendia a todas as solicitaes, por mais esdrxulas que fossem. Nada destas frescuras de documentao, toda a empresa estava na sua cabea. Configurao de UNIX era com ele mesmo. TCP/IP tranqilo. Trs ou quatro servidores Pentium interligados, cento e tantos terminais, tudo na cabea. O sistema, a linguagem, tudo na cabea. Um dia, o infeliz se excedeu no lcool e teve uma amnsia...

Bomba eletrnica Uma empresa com seu PC-XT e um programador que, para se proteger, criptografava os cdigos-fonte que desenvolvia. Ningum tinha acesso aos fontes. Em conseqncia, houve o desligamento da empresa, e o problema do prximo programador, que no tinha estes hbitos. Soluo: deletar tudo o que o desgraado tinha feito e

recomear. Em funo da deteco prematura do problema, houve pouco retrabalho e nenhuma perda.

Temperatura e umidade Vero, meio da tarde, mais de 35 graus, a umidade l pelos 80%. Parece que vai chover. No h dinheiro para o ar condicionado, abrem-se todas as janelas, ligam-se dois ou trs ventiladores, a papelada voa, e o sujeito triturando aquele pobre 386 com o impiedoso Corel Draw. O led do winchester nem pisca mais, est sempre aceso, e o inclemente operador resolve abrir o Page Maker para fazer outro trabalho, o cliente est no telefone enchendo o saco. De repente, o inevitvel, que at estava demorando. Pra tudo.

Self made man Esta a histria do office-boy que tinha jeito pr coisa. Foi subindo, subindo, subindo, passou pelo financeiro, contabilidade, at que acabou virando programador, e para virar analista foi s uma questo de tempo. Primeira prostituta aos 13 anos. Nada desta boiolice de estudar, se formar, pois se garantia, era acadmico da Faculdade da Vida. Muita ousadia, muita iniciativa, um tanto de bajulao quando necessrio, sabia se virar. Confiava no taco. At que, um dia, aconteceu o bvio: a falta de conhecimento terico, a falta de metodologia, a inexperincia, os problemas no resolvidos, a tentativa de levar no papo, a demisso, o prejuzo para a empresa.

Anapropgua Ou: analista- programador-operador-digitador-responsvel pelo cadastro, secretrio e gua. De tanta coisa que faz ao mesmo tempo, acaba se estressando e deixando tudo pela metade. No pode tirar frias, no pode ficar doente, sem fim de semana, mal sobra tempo para tomar as pastilhas anti-cido e as vitaminas. Situao potencialmente explosiva, e que costuma realmente explodir.

Linguagens O velho CLIPPER pirato, que funcionava to bem no WINDOWS 3.11, se recusou a trabalhar com o WINDOWS 95. Mas que droga, parece que o Bill Gates conspira contra a humanidade... Volta o 3.11 ou tenta mexer nos fontes? E quem garante que no haver novo estouro de memria numa situao no testada? E as perdas de ndices? E os arquivos corrompidos?

Vaso A secretria no abria mo de colocar o bendito vasinho com uma rosa bem do lado do computador; misturava um pouco de acar na gua, sabe Deus por qu. Apesar de todos os alertas, no houve santo que a fizesse mudar de idia. Um dia, aconteceu o bvio.

Engraado, parece que o bvio sempre acaba por acontecer... Por sorte, foi apenas o teclado que tomou um banho de gua doce (literalmente), teve de ser desmontado, lavado e secado.

Cabeamento inadequado Um servidor Pentium 100 SCSI rodando o WINDOWS NT conectado, via TCP/IP, a outro servidor igual, que rodava SCO UNIX. Vinte terminais no UNIX, umas dez mquinas em rede com o NT; diversas impressoras compartilhadas. Uma beleza. O nico problema era o famigerado cabeamento coaxial. Cada vez que uma mquina parava, toda a rede saa do ar (somente do lado NT, o lado UNIX no era afetado). Dois ou trs tcnicos de quatro no cho, tentando localizar o problema, normalmente mau contato. Nunca chegou a ocorrer perda de dados, porque a equipe estava consciente do problema, mas a perda de tempo era irritante e a situao era potencialmente de risco. O final feliz, obviamente, foi a instalao de um cabeamento estruturado, estupidamente mais caro, mas com uma confiabilidade e controlabilidade que compensam largamente o custo.

Seqncia de erros O aplicativo foi instalado no diretrio do grupo, e no no diretrio do usurio, como seria o procedimento mais correto. O usurio passou a senha a outra pessoa, que acidentalmente deletou os arquivos de dados. Sem problemas, porque havia backup em fita DAT. Embora no fosse feita a verificao sistemtica do backup, todo mundo sabia que os dados estavam a salvo. Pois no estavam. Na hora de voltar o tal backup, justamente os arquivos deletados no puderam ser recuperados. Pnico. Algum teve a idia de passar um fax ao fabricante do software de backup, enquanto a caa s bruxas corria solta. Dois dias depois, a resposta do fax com a soluo: fora executado um patch no sistema operacional (Novell), adaptando-o mquina multiprocessada, que trazia problemas para a recuperao do backup. A partir da, conseguiu-se tomar as providncias para recuperar os tais arquivos deletados. Cito tambm alguns casos clssicos de invaso eletrnica:

Verme (worm) na Internet Um aluno de graduao da Universidade de Cornell, Robert Morris Jr., paralisou cerca de 3.000 computadores conectados Internet em 02 de novembro de 1988 (cerca de 50% da Internet na poca). Embora o verme no tivesse efeitos destrutivos, a rede s conseguiu voltar ao normal alguns dias depois. O estudante foi sentenciado, em 1990, a 3 anos de priso, mais multa de U$ 10.000,00, mais 400 horas de servio comunitrio.

Conexo KGB Em 1988, um espio da Alemanha Oriental tentou violar 450 computadores na rea acadmica e militar; vendia as informaes para a KGB.

Caso Kevin Mitnick Causou danos DEC, com o roubo de um sistema de segurana secreto; roubou cerca de 20.000 nmeros de carto de crdito; atacou o computador de um especialista de segurana em informtica (no Natal); perseguido pelo FBI, foi preso em 1995, e pode pegar at 20 anos de priso, alm de multa de U$ 500.000,00.

Backup

Backup uma cpia dos arquivos que julgamos ser mais importante para ns, ou aqueles arquivos chaves (fundamentais) para uma empresa.

Com o uso cada vez mais constante de computadores, um sistema de backup que garanta a segurana e disponibilidade full-time dos dados corporativos fundamental. Apesar de ser uma medida de segurana antiga, muitas empresas no possuem um sistema de backup ou, o fazem de maneira incorreta. Montar um sistema de backup requer um pouco de cautela. importante por exemplo, saber escolher o tipo de mdia para se armazenar as informaes, como fitas magnticas,discos ticos ou sistemas RAID. No Brasil, como em outros pases o dispositivo mais usado o DAT (Digital Audio Tape), pois oferece capacidade de armazenamento de at 16GB, a um custo mdio de um centavo por megabyte. Para pessoas fsicas e pequenas empresas, no necessrio um grande investimento para implantar um sistema de backup. Os mais usados trabalham com drives externos -Zip e Jaz-, equipamentos que possuem preo bem mais em conta, embora possuam menor capacidade de armazenamento, que j suficiente para estes casos. Embora as mdias ticas se mostrem como ltima palavra em backup, no so muito viveis, pois possuem capacidade de armazenamento relativamente pequena (cerca de 600 MB em um CD)e, em muitos casos no so regravveis. Um ponto a favor das mdias ticas a segurana, porm atualmente esto sendo utilizadas para a criao de uma biblioteca de dados, o que caracteriza armazenamento de dados e no, backup. A tecnologia RAID, consiste num conjunto de drives que visto pelo sistema como uma nica unidade, continuando a propiciar acesso contnuo aos dados, mesmo que um dos drives venha a falhar. Os dados so passam pelo nvel 1, que significa espelhamento de drives ou servidores (cpia dos dados de drives ou servidores), at o nvel 5, que o particionamento com paridade (o mesmo arquivo repetido em diferentes discos). Esta tecnologia uma opo segura e confivel, sendo muito utilizada em empresas que possuem rede non-stop e que no podem perder tempo interrompendo o sistema para fazer backup. Aps a escolha da mdia para armazenamento, muito importante decidir qual software de backup mais adequado para atender s necessidades do usurio. So trs os requisitos bsicos que devem ser observados:

Facilidade de automatizao; Recuperao; Gerenciamento.

Isto significa que a ferramenta deve realizar, sem a interveno humana, determinadas rotinas, como abrir e fechar a base de dados ou copiar somente os arquivos alterados. importante que o produto tambm realize o gerenciamento centralizado, permitindo fazer o backup tanto dos arquivos quanto do banco de dados atravs da mesma interface. Como escolher um sistema de backup:

Procure o tipo de mdia de armazenamento adequado ao volume de dados e s necessidades de sua empresa; O ramo de atividade da empresa tambm determinante. Companhias com sistemas non-stop necessitam de sistemas rpidos e seguros; O software de backup deve realizar tarefas automatizadas, como cpia peridica dos dados e atualizao dos arquivos que foram modificados; Se a empresa possuir banco de dados, importante que a ferramenta gerencie atravs da mesma interface tanto o backup de arquivos quando do prprio banco de dados; muito mais prtico um software que permita o gerenciamento centralizado de toda rede, mesmo em redes heterogneas.

Falando em Internet, um mercado que vem surgindo justamente o de backup via Web. O usurio pode alugar um espao no servidor para armazenar o backup de seus dados, podendo atualiz-los ou carreg-los quando bem entender. A prestadora do servio responsvel pela segurana. Porm, este servio de backup via Internet ainda no uma soluo adequada para as empresas, devido a dois problemas bsicos: falta de infra-estrutura e de segurana. Nenhuma empresa deseja ter seus dados armazenados em um lugar qualquer (indefinido) na Internet. Outro ponto muito importante e que sempre bom lembrar, que a maioria de falhas na rede corporativa so frutos de erro humano. Isto significa que necessrio um treinamento dos envolvidos, para que estes possam agir de maneira correta em caso de emergncia (restaurao do backup). Entre as falhas mais comuns, alm da falta de preparo dos envolvidos, o armazenamento dos disquetes ou outra mdia de armazenamento no prprio local onde se localiza o computador, o que no caso de qualquer desastre (incndio,enchente), levar a perda total dos dados.

Concluindo, deve se ter um plano de ao para montar um sistema de backup, ou seja, as estratgias tanto de emergncia quanto as da prpria rotina devem ser estudadas e padronizadas para que todos estejam preparados.

Segurana de redes
Introduo

A segurana em uma rede de computadores est relacionada necessidade de proteo dos dados, contra a leitura, escrita ou qualquer tipo de manipulao, intencional ou no, confidencial ou no, e a utilizao no autorizada do computador e seus perifricos. Quando voc envia dados atravs da rede, a comunicao pode ser interceptada e seus dados caem nas mos do interceptador. Embora isso seja difcil de fazer, possvel. assim que os crackers conseguem os nmeros de cartes de crdito dos outros, por exemplo.

O maior perigo para as jias intelectuais de uma companhia, segredos comerciais, planos de preos e informaes sobre consumidores, vem de companias rivais. Alguns especialistas afirmam que o problema que a natureza efervescente dos dados eletrnicos pode amenizar, ou at mesmo apagar, os sentimentos de culpa. As pessoas fazem coisas no ambiente do computador que nunca fariam fora dele. A maior parte das pessoas no pensaria em entrar num escritrio, na calada da noite, para remexer em um arquivo confidencial. Mas, e se isso puder ser feito de forma muito mais cmoda, entretanto no e-mail de uma outra pessoa a partir da prpria mesa de trabalho no escritrio? Ento, para proteger a comunicao, inventaram a criptografia e o firewall, solues para combater os hackers, porm, antes as empresas devem adotar uma poltica de segurana especfica e personalizada. Um caminho que pode fazer com que uma empresa elimine os seus pontos vulnerveis, seria implantar um plano baseado em trs pilares: difuso da cultura de segurana, ferramentas para garantir a execuo do projeto e mecanismo de monitorao.

Ameaas e Ataques

Algumas das principais ameaas as redes de computadores so :

Destruio de informao ou de outros recursos. Modificao ou deturpao da informao. Roubo, remoo ou perda da informao ou de outros recursos. Revelao de informaes. Interrupo de Servios.

As ameaas podem ser acidentais, ou intencionais, podendo ser ambas ativas ou passivas. Ameaas acidentais so as que no esto associadas inteno premeditada. Exemplo : Descuidos operacionais. Bugs de Software e Hardware

Ameaas intencionais so as que esto associadas inteno premeditada. Exemplos: Observao de dados com ferramentas simples de monitoramento da redes. Alterao de dados, baseados no conhecimento do sistema

Ameaas Passivas so as que, quando realizadas no resultam em qualquer modificao nas informaes contidas em um sistema.

Ameaas Ativas envolvem alteraes de informaes contidas no sistema, ou modificaes em seu estado ou operao.

Os principais ataques que podem ocorrer em um ambiente de processamento e comunicao de dados so os seguintes: Personificao: uma entidade faz-se passar por outra. Uma entidade que possui poucos privilgios pode fingir ser outra, para obter privilgios.

Replay: Uma mensagem, ou parte dela, interceptada, e posteriormente transmitida para produzir um efeito no autorizado.

Modificao: O contedo de uma mensagem alterado implicando em efeitos no autorizados sem que o sistema consiga identificar a alterao. Exemplo: Alterao da mensagem "Aumentar o salrio do Jos para R$300,00" para "Aumentar o salrio do Jos para R$3000,00"

Recusa ou Impedimento de Servio: ocorre quando uma entidade no executa sua funo apropriadamente ou atua de forma a impedir que outras entidades executem suas funes.

Exemplo: Gerao de mensagens com o intuito de atrapalhar o funcionamento de algoritmos de roteamento.

Ataques Internos: Ocorrem quando usurio legtimos comportam-se de modo no autorizado ou no esperado.

Armadilhas (Trapdoor): ocorre quando uma entidade do sistema alterada para produzir efeitos no autorizados em resposta a um comando (emitido pela entidade que est atacando o sistema) ou a um evento, ou seqncia de eventos, premeditado.
Exemplo: A modificao do processo de autenticao de usurios para dispensar a senha, em resposta a uma combinao de teclas especficas.

Cavalos de Tria: Uma entidade executa funes no autorizadas, em adio s que est autorizado a executar. Exemplo: Um login modificado, que ao iniciar a sua sesso, grava as senhas em um arquivo desprotegido. Poltica de Segurana

Uma poltica de segurana um conjunto de leis, regras e prticas que regulam como uma organizao gerncia, protege e distribui suas informaes e recursos. Uma poltica de segurana deve incluir regras detalhadas definindo como as informaes e recursos da organizao devem ser manipulados, deve definir, tambm, o que , e o que no permitido em termos de segurana, durante a operao de um dado sistema. Existem dois tipos de polticas:

Poltica baseada em regras: As Regras deste tipo de poltica utilizam os rtulos dos recursos e dos processos para determinar o tipo de acesso que pode ser efetuado. No caso de uma rede de computadores, os dispositivos que implementam os canais de comunicao, quando permitido transmitir dados nesses canais etc..

Poltica baseada em segurana: O objetivo deste tipo de poltica permitir a implementao de um esquema de controle de acesso que possibilite especificar o que cada indivduo pode ler, modificar ou usar.

Servios de Segurana

Os servios de Segurana em uma rede de computadores tem como funo:

Confidencialidade: proteger os dados de leitura por pessoas no autorizadas.

Integridade dos dados: evitar que pessoas no autorizadas insiram ou excluam mensagens.

Autenticao das partes envolvidas: verificar o transmissor de cada mensagem e tornar possvel aos usurios enviar documentos eletronicamente assinados.

Mecanismos de Segurana

Uma poltica de segurana e seus servios podem ser implementados atravs de vrios mecanismos de segurana, entre eles, criptografia, assinatura digital, etc.

Criptografia A criptografia um mtodo utilizado para modificar um texto original de uma mensagem a ser transmitida (texto normal), gerando um texto criptografado na origem, atravs de um processo de codificao definido por um mtodo de criptografia. O texto criptografado ento transmitido e, no destino, o inverso ocorre, isto , o mtodo de criptografia aplicado agora para decodificar o texto criptografado transformando-o no texto original.

Existem tambm a criptografia que utiliza uma chave de codificao. Isto , para um mesmo texto normal e um mesmo mtodo de criptografia, chaves diferentes podem produzir textos criptografados diferentes.

Criptografia com Chaves Secretas (ou Simtricos)

Este mtodo de criptografia, consiste em substituir as letras de uma mensagem pela n-sima letras aps a sua posio no alfabeto. Assim o texto criptografado produzido para um mesmo texto normal pode varia de acordo com o valor de n, que a chave utilizada nos processos de codificao e decodificao do mtodo.

Data Encryption Standard (DES): um dos principais mtodos de criptografia baseada em chave secreta. Foi desenvolvido pela IBM e adotado pelo governo do EUA como mtodo de criptografia padro.

O mtodo DES codifica blocos de 64 bits de texto normal gerando 64 bits de texto criptografado. O algoritmo de codificao parametrizado por uma chave K de 56 bits e possui 19 estgios diferentes.

Criptografia com chave Pblica (Assimtricos)

Este mtodo de criptografia baseia-se na utilizao de chaves distintas: uma para codificao(E) e outra para a decodificao (D), escolhidas de forma que a derivao de D a partir de E seja em termos prticos, seno impossvel, pelo menos difcil de ser realizada.

RSA: o mais importante mtodo de criptografia assimtrico o RSA, cujo nome deriva das inicia dos autores Rivest, Shamir e Aldeman. O mtodo RSA baseia-se na dificuldade de fatorar nmeros primos muitos grandes.

FireWalls Firewalls so mecanismos muito utilizados para aumentar a segurana de redes ligadas a Internet, espcies de barreira de proteo, constitudas de um conjunto de hardware e software. Firewall um sistema ou um grupo de sistemas que garante uma poltica de controle de acesso entre duas redes (normalmente a Internet e uma rede local). Em princpio firewalls podem ser vistos como um par de mecanismos: um que existe para bloquear o trfego e outro que existe para permitir o trfego. Alguns firewalls do maior nfase ao bloqueio de trfego, enquanto outros enfatizam a permisso do trfego, o importante configurar o firewall de acordo com a poltica de segurana da organizao que o utiliza, estabelecendo o tipo de acesso que deve ser permitido ou negado. Como mencionado anteriormente existem vrias solues para segurana na Internet, e isto tambm se aplica aos firewalls. Firewalls so classificados em trs categorias principais [SOA 95]: filtros de pacotes, gateways de aplicao e gateways de circuitos. Os filtros de pacotes utilizam endereos IP de origem e de destino, e portas UDP e TCP para tomar decises de controle de acesso. O administrador elabora uma lista de mquinas e servios que esto autorizados a transmitir datagramas nos possveis sentidos de transmisso (entrado ou saindo da rede interna), que ento usada para filtrar os datagramas IP que tentam atravessar o firewall. Um exemplo de poltica de filtragem de pacotes seria permitir o trfego de datagramas carregando mensagens de SMTP e DNS nas duas direes, trfego Telnet s para pacotes saindo da rede interna e impedir todos os outros tipos de trfego. A filtragem de pacotes vulnervel a adulterao de endereos IP e no fornece uma granularidade muito fina de controle de acesso, j que o acesso controlado com base nas mquinas de origem e de destino dos datagramas. Na segunda categoria de firewalls, um gateway de circuitos atua como intermedirio de conexes TCP, funcionando como um TCP modificado. Para transmitir dados, o usurio origem conecta-se a uma porta TCP no gateway, que por sua vez, conecta-se ao usurio destino usando outra conexo TCP. Para que seja estabelecido um circuito o usurio de origem deve fazer uma solicitao para o gateway no firewall, passando como parmetros a mquina e o servio de destino. O gateway ento estabelece ou no o circuito, note que um mecanismo de autenticao pode ser implementado neste protocolo. Firewalls onde os gateways atuam a nvel de aplicao utilizam implementaes especiais das aplicaes desenvolvidas especificamente para funcionar de forma segura. Devido a grande flexibilidade desta abordagem ela a que pode fornecer maior grau de proteo. Por

exemplo, um gateway FTP pode ser programado para restringir as operaes de transferncia a arquivos fisicamente localizados em um nico host de acesso externo (bastion host). Alm disso, a aplicao FTP pode ser modificada para limitar a transferncia de arquivos da rede interna para a externa, dificultando ataques internos.

Assinatura Digital O mecanismo de assinatura digital envolve dois procedimentos:

1. Que o receptor possa verificar a identidade declarada pelo transmissor (assinatura). 1. Que o transmissor no possa mais tarde negar a autoria da mensagem (verificao).

O procedimento de assinatura envolve a codificao da unidade de dados completa ou a codificao de uma parte. O procedimento de verificao envolve a utilizao de um mtodo e uma chave pblica para determinar se a assinatura foi produzida com a informao privada do signatrio.

A caracterstica essencial do mecanismo de assinatura digital que ele deve garantir que uma mensagem assinada s pode ter sido gerada com informaes privadas do signatrio. Portanto uma vez verificada a assinatura com a chave pblica, possvel posteriormente provar para um terceiro (juiz em tribunal) que s o proprietrio da chave primria poderia ter gerado a mensagem.

Autenticao A escolha do mecanismo de autenticao apropriado depende do ambiente onde se dar a autenticao. Em uma primeira situao, os parceiros e os meios de comunicao so todos de confiana. Neste caso, a identificao pode ser confirmada por uma senha. Na segunda situao, cada entidade confia em seu parceiro porm no confia no meio de comunicao. Nesse caso, a proteo contra ataques pode ser fornecida com o emprego de mtodos de criptografia.

Na terceira situao, as entidades no confiam nos seus parceiros nem no meio de comunicao. Nesse caso, devem ser usadas tcnicas que impeam que uma entidade negue que enviou ou recebeu uma unidade de dados. Ou seja, devem ser empregados mecanismos de assinatura digital, ou mecanismos que envolvam o compromisso de um terceiro confivel.

Controle de Acesso Os mecanismos de controle de acesso so usados para garantir que o acesso a um recurso seja limitado aos usurios devidamente autorizados. As tcnicas utilizadas incluem a utilizao de listas ou matrizes de controles de acesso, que associam recursos a usurios autorizados, ou passwords, capabilities e tokens associados aos recursos, cuja posse determina os direitos de acesso do usurio que as possui.

Integridade de Dados Para garantir a integridade dos dados, podem ser usadas tcnicas de deteco de modificao, normalmente associadas com a deteco de erros em bits, em blocos, ou erros de seqncia introduzidos por enlaces e redes de comunicao. Entretanto se os cabealhos e fechos carregando informaes de controle no forem protegidas contra modificaes, um intruso, que conhea as tcnicas pode contornar a verificao.

Enchimento de trfego A gerao do trfego esprio e o enchimento das unidades de dados fazendo com que elas apresentem um comprimento constante so formas para fornecer proteo contra anlise do trfego. Cabe ressaltar que o mecanismo de enchimento de trfego s tem sentido caso as unidades de dados sejam criptografados, impedindo que o trfego esprio seja distinguido do trfego real.

Controle de Roteamento A possibilidade de controlar o roteamento, especificando rotas preferenciais (ou obrigatrias) para a transferncia de dados, pode ser utilizada para garantir que os dados sejam transmitidos em rotas fisicamente seguras ou para garantir que a informao sensvel seja transportada em rotas cujos canais de comunicao forneam os nveis apropriados de proteo.

Segurana Fsica e de Pessoal Procedimentos operacionais devem ser definidos para delinear responsabilidades do pessoal que interage com um dados sistema. A segurana de qualquer sistema depende, em ltima instncia, da segurana fsica dos seus recursos e do grau de confiana do pessoal que opera o sistema. Ou seja, no adianta utilizar mecanismos sofisticados de segurana se os intrusos puderem acessar fisicamente os recursos do sistema.

Hardware / Software de Segurana O Hardware e o Software que fazem parte de um sistema devem fornecer garantias que funcionam corretamente, para que possa confiar nos mecanismos de segurana que implementam a poltica de segurana do sistema.

Rtulos de Segurana Os recursos no sistema devem ser associados a rtulos de segurana que indicam, por exemplo, seu nvel de sensibilidade. O rtulo de segurana deve ser mantido junto com os dados quando eles so transportados. Um rtulo de segurana pode ser implementado com a adio de um campo aos dados, ou pode ser implcito, por exemplo, indicado pela chave utilizada para criptografar os dados, ou pelo contexto dos dados no sistema.

Deteco e Informao de Eventos A deteco de eventos inclui a deteco de aparentes violaes segurana e deve incluir a deteco de eventos normais, como um acesso bem sucedido ao sistema (login). Esse mecanismo necessita do apoio de uma funo de gerenciamento que determina quais so os eventos que devem ser detectados.

Registro de Eventos O registro de eventos possibilita a deteco e investigao de possveis violaes da segurana de um sistema, alm de tornar possvel a realizao de auditorias de segurana. A auditoria de segurana envolve duas tarefas :
O registro dos eventos no arquivo de auditoria de segurana (security audit log) e a anlise das informaes armazenadas nesse arquivo para a gerao de relatrios.