PRINCÍPIOS DE SEGURANÇA DA

INFORMAÇÃO

CAPÍTULO 3 – ATAQUES CIBERNÉTICOS,

NORMAS E PADRÕES DE SEGURANÇA
Dr. Halley Wesley Alexandre Silva Gondim

-1-
Introdução
A Internet é um excelente meio de comunicação e é por meio dela que podemos obter informações de qualquer
canto do mundo em alguns segundos. Não é à toa que a cada dia mais pessoas e empresas se conectam ao
ciberespaço. Da mesma forma que a Internet traz inúmeros benefícios por um lado, de outro, estar conectado,
sem dúvida, oferece várias ameaças (FORBES, 2019).
Saber sobreviver nesse meio é um fator primordial, tanto para indivíduos quanto para organizações. Eles devem
estar alertas à diversidade: ataque, sequestro, spam, estelionato, malware (programas maliciosos) etc. Essa
“sopa de letrinhas” cresce a cada ano e novos tipos de ataque ou são desenvolvidos ou são aprimorados a cada
dia. Não é muito incomum ouvir que alguém ou alguma empresa foi invadida por meio dessas técnicas ou
softwares. Logo, se proteger é uma ação eminente que todos devem se tomar.
Para organizações existem as normas e padrões para serem seguidos e adaptados visando a usar boas práticas
utilizadas por diversas outras empresas. As normas e padrões são mantidas por entidades internacionais
centradas no objetivo da unicidade (padrão) e um conjunto de ações eficazes e atenuantes.
De fato, sabemos que devemos seguir alguns procedimentos que minimizem tais tipos de ações, como evitar
clicar em links de e-mail, não instalar softwares piratas etc. E você? Você já foi alvo de algum tipo de ataque?
Você já parou para pensar que qualquer software baixado (pirata, compartilhado e livre) podem conter códigos
maliciosos? E enquanto a e-mails e mensagens desconhecidas, o que você faz? Você toma contramedidas
adequadas, como o uso de softwares de antivírus? Que tal, a partir de agora, você passar a se preocupar mais
com suas informações? Trataremos destes temas nesta unidade. Acompanhe!

1.1 Contexto da ameaça cibernética

A Internet possibilitou a criação da era da informação , infelizmente, por meio dela vieram juntos outros
problemas, como ataques cibernéticos, ameaças e vulnerabilidades. Em nossa realidade temos que seguir leis
para que possamos viver em harmonia e respeito com outras pessoas. Entretanto, no ciberespaço isso não é bem
definido. Geralmente, os cibercriminiosos nem são punidos e muitas das vezes uma organização nem sabe que
foi alvo de um ataque, pois falta controle. No mundo virtual, no ciberespaço, ninguém está a salvo, tanto pessoas,
governos ou empresas podem se tornar alvos e você pode se certificar disso nos noticiários (KIM, 2014).
Algumas décadas atrás, esporadicamente, tomávamos conhecimento de ciberataques (ataques dentro do mundo
cibernético) por meio de literatura especializada e, às vezes, por meios de comunicação. Mas, isso mudou e
tornou-se mais frequente. Vemos nos noticiários e até mesmo na Internet casos em que as pessoas comuns são
enganadas, com fotos íntimas vazadas ao público, dados sigilosos de empresas e até mesmo de agentes políticos.
Muitas dessas vítimas nem chegam a prestar queixa ou falar sobre algum tipo de ataque que tenham sofrido por
se sentirem constrangidas e por não saberem para quem reclamar e se os responsáveis pelo ataque serão
punidos. Um exemplo de situações assim são sites de compras que anunciam um produto com um preço muito
atrativo. Quando a pessoa entra em contato, o suposto vendedor pede um sinal (um depósito) para assegurar o
produto, mas quando o comprador tenta entrar em contato depois de ter feito o depósito, esse vendedor já
desapareceu. Outro exemplo é a complexidade e o custo de impedir que fotos íntimas sejam apagadas de toda a
Internet. Da mesma forma que o ciberespaço pode consagrar alguém, ele também pode destruir (KIM, 2014).

-2-
 Figura 1 - Roubar informações é uma ação muito comum.
Fonte: Shutterstock, 2019. http://mediapool.fabrico.com.br/index.php/tagueadas-02/shutterstock_130473632

Para termos noção de quanto o número de ameaças vem crescendo, a Symantec (2019), uma empresa de
segurança da área de TI, fornece seus dados sobre diferentes tipos de ameaça anualmente. A seguir
apresentaremos alguns desses dados. Clique nos itens.

Uma url em cada dez são maliciosas.

Se comparado a 2018, o número de ataques web cresceu 56%.
Ransonware contra empresas cresceu 12% e em dispositivos móveis 33%.
E-mails maliciosos tiveram 1000% de aumento com uso de scripts powershell. Além disso, 48% de anexos são do
Pacote Office. Se comparado a 2017, eram apenas 5%.

Sabemos que o gerenciamento de risco é um fator importante para identificar e gerenciar os ativos de uma
organização. Os ativos sãos, em resumo, tudo aquilo que é importante (gera valor) para uma empresa. Dentre
esses ativos, temos que nos preocupar com: infraestrutura de TI e rede (hardware/software); propriedade
intelectual (patentes, projetos, fórmulas e até mesmo código-fonte ou estruturas de softwares); dados
financeiros (número de cartões, senhas etc.); disponibilidade de serviços e reputação (CLARKE, 2015). A seguir,
discutiremos os riscos que cada um desses ativos pode correr (HINTZBERGEN, 2018). Clique nas abas.

• Infraestrutura de TI e rede

De acordo com os sete domínios da infraestrutura de TI (usuário, estação de trabalho, LAN, LAN para

-3-
 De acordo com os sete domínios da infraestrutura de TI (usuário, estação de trabalho, LAN, LAN para
WAN, WAN, sistemas/aplicativos e domínio de acesso remoto), todos podem se conectar à rede ou à
Internet, o que os torna vulneráveis. Por exemplo, um “Cavalo de Tróia” pode obter dados sigilosos de
uma organização e gerar custos para removê-lo. Softwares desatualizados ou mal configurados,
hardwares com defeitos e um baixo treinamento contra Engenharia Social podem deixar a organização
cada vez mais vulnerável a diversos tipos de ataque.

• Propriedade intelectual
Uma propriedade intelectual dá vida a uma empresa e garante a sua competitividade. Como exemplo
temos: fórmulas matemáticas e de medicamentos, projetos de engenharia (carro, edifício, pontos, etc.),
projetos militares, etc. A segurança de TI deve garantir que essas informações nunca caiam em mãos
erradas. Imagine que uma empresa que desenvolve celulares conseguiu criar uma bateria que aguenta
uma carga por dois meses. Esse feito levou vários anos de pesquisa, com investimentos milionários,
porém, sua concorrente teve acesso a esse projeto e a partir daí criaram sua própria bateria, que pode
ficar três meses sem ser recarregada. Com certeza, se não tiver outro diferencial, a primeira empresa
estará fadada ao fracasso.

• Dados financeiros
Sem sombra de dúvidas, é um dos ativos mais importantes de uma organização. Aqui podemos
considerar dados reais como informações de nome, senhas, número de cartão de crédito, empréstimos,
investimentos, transações etc. Caso ocorra algum ataque a esse ativo, não só haverá um grande prejuízo
com também a própria reputação da empresa estará em xeque. Imagine o seguinte cenário: um
ciberataque ocorreu em uma instituição bancária apagando todos os backups e inserindo elevadas
quantias de dinheiro na conta de cada correntista. Para piorar ainda mais, todos os empréstimos
deixaram de existir. Isso afetou a empresa fortemente.

• Disponibilidade de serviços e reputação

Em sua maioria, as organizações oferecem serviços a seus clientes. Garante-se a qualidade de um serviço
com base em seu tempo de disponibilidade e de paralisação. Sabemos que é imprescindível a realização
de reparos, mas agendar uma paralisação intencional é a melhor opção. Por meio dessa programação se
pode avisar os diferentes clientes para se prepararem sobre a indisposição do serviço para a realização
de melhorias. Por outro lado, quando ocorrem interrupções não intencionais estamos nos direcionando a
falhas ou a algum tipo de erro. Caso um serviço não tenha muita qualidade, ficando mais paralisado do
que disponível, a reputação da empresa tende a cair e seus clientes tendem a migrar para outros
concorrentes. Exemplo disso são os clientes de operadoras de telefonia móvel. Imagine você pagar um
valor alto mensalmente, mas o serviço ficar disponível somente alguns minutos e a cobertura da rede ser
bem reduzida. Certamente, você não irá gostar e cogitará mudar de operadora.

As pessoas que praticam os ciberataques (terrorismo, vandalismo, roubo de dados, roubo de números de
cartões, apropriação de propriedade intelectual etc.) sempre estão associadas ao termo hacker. Entretanto, esse
não é um termo correto. Na Computação, hacker quer dizer especialista em sistemas computacionais (KIM,
2014). Existem algumas categorias de hacker, como vemos a seguir. Clique nos itens.

Blackhat
Por desafio, quebram a segurança de TI com o objetivo de demonstrar seu conhecimento e habilidade. Exploram
as vulnerabilidades e não as notifica aos administradores.

Whitehat

Profissional da área de SI ou de redes que está disposto a procurar vulnerabilidade para corrigi-las. A diferença

-4-
Profissional da área de SI ou de redes que está disposto a procurar vulnerabilidade para corrigi-las. A diferença
básica é que o primeiro tipo de hacker, o blackhat, quer explorar as vulnerabilidades, enquanto que o whitehat
visa a ajudar a corrigi-las.

Grayhat
É um meio termo, em que se pode assumir o papel de blackhat ou de whitehat a depender do contexto.

Script Kiddie
Possui pouco ou nenhum conhecimento, mas segue instruções de terceiros para a execução de um ciberataque.
Assim chegamos ao termo cracker, cujo objetivo é realizar operações maléficas sobre as organizações, visando
ganho financeiro, roubo, destruição de informações e acessos indevidos. Sem dúvida. o cracker é a maior ameaça
a todos os serviços disponíveis (GOODRICH, 2013).

VOCÊ O CONHECE?
Adiran Lamo é um dos hackers mais perigosos da última década. Ele é responsável por invadir
os sistemas de grandes organizações como The New York Times, Microsoft, Google e Yahoo. A
polícia, após uma longa investigação de 15 meses, conseguiu prendê-lo. Ele usava
computadores públicos (em cafés e em bibliotecas) para efetuar seus ataques. Após ser preso,
Lamo fez um acordo com a polícia para auxiliar na investigação de crimes cibernéticos
(EXAME, 2015).

Muitos desses ataques podem ser feitos com o auxílio de ferramentas específicas. Conhecer os pontos fracos da
organização é um fator primordial para se tomar contramedidas. A seguir estão listadas algumas categorias de
ataques (não limitadas a apenas essas) e para cada uma delas alguns exemplos de ferramentas.
• Varreduras de vulnerabilidade: esses tipos de ferramentas enviam mensagens a um determinado
software/rede e de acordo com as respostas é capaz de dizer que são vulneráveis e que tipos de
vulnerabilidades existem. Um exemplo de sistema para essa categoria é o Kali Linux, um sistema
operacional voltado para hackers éticos. Por meio dele você poderá, por exemplo, testar um software web
de sua organização.

Que tal ter uma versão do Kali Linux para testar vulnerabilidades de seus sistemas? Dentro da
distribuição Kali pode-se instalar uma série de ferramentas. Como exemplo temos: Nmap
(detecção de redes), Wireshark (análise de rede), THC Hydra e John The Ripper (quebradores
de senha - força bruta ou dicionário), ApkTool (engenharia reversa de um aplicativo), Aircrack
(detecção/proteção de redes wireless) etc. Dica: instale o Kali Linux em uma máquina virtual e
teste-o. Acesse: https://www.kali.org/.

• Varreduras de portas: esse ataque visa a identificar as portas que estão abertas em um computador e

-5-
 • Varreduras de portas: esse ataque visa a identificar as portas que estão abertas em um computador e
aproveitá-las. Deve-se sempre desativar portas que não estão em uso para reduzir a probabilidade de
ataque;
• Farejadores: tal ferramenta observa o tráfego à medida que passa pela rede. Nesse momento se pode
obter senhas, outras informações valiosas etc. (GALVAO, 2015).;
• Discadores: com o próprio nome já diz, ele liga para diversos números para saber se do outro lado há
um modem. Uma vez conectado se pode ter acesso a toda rede. Apesar de ser bem incomum esta é uma
forma de ataque;

VOCÊ SABIA?
O Brasil é o país que mais sofre com ligações “spam” do mundo. Em 2018, o Brasil sofreu um
aumento de 81% nesse tipo de ligação. As campeãs de ligação tipo spam são as operadoras
telefônicas e são responsáveis por gerar 33% de todas as ligações indesejadas. Para se ter uma
ideia da dimensão que são esses números, em média, cada brasileiro recebe 37,5 chamadas de
spam por mês, resultando em mais de uma hora. Nessa carona vem as chamadas fraudulentas,
com um aumento de 20% (TECMUNDO, 2018). Além disso, recentemente, de acordo com uma
determinação da Anatel (Agência Nacional de Telecomunicações), foi criado um cadastro a ser
feito no site www.naomeperturbe.com.br. O objetivo é evitar chamadas indesejadas de
telemarketing de operadoras de telecomunicação. Caso não queria receber nenhuma ligação
desse tipo basta cadastrar-se.

• Captura de teclado: essa ferramenta visa a armazenar tudo o que o usuário digita. Essa técnica pode
variar por software ou hardware. Via software se pode embutir no sistema todo o histórico de teclas
pressionadas. Já via hardware, um pequeno plug pode ser adicionado à entrada do teclado ou usb.
Independentemente da técnica utilizada, essa informação chega às mãos de terceiros.

1.2 Tipos de ataque

Quando há violação dos princípios da segurança da informação abre-se uma brecha na segurança. Os eventos
podem possuir um comportamento inesperado ocasionando em um incidente. Logo, seus danos podem resultar
em custos financeiros para uma organização (KIM, 2014). Alguns tipos de ataques/ameaças elencados a seguir.
• Ataques de negação de serviço (DoS – Denial of Service) – o ataque é realizado por um único agente
ameaçador: seu objetivo é sobrecarregar um serviço levando ao colapso. Por exemplo, em um sistema de
compras de ingresso on-line. Milhares de requisições sendo executadas ao mesmo tempo para pedir o
mesmo assento de uma arquibancada em um estádio. Chegará um momento em que o servidor não
conseguirá atender à demanda e irá cair (ficará off-line). Alguns exemplos de contramedida são os
sistemas de detecção de intrusos (IDS - Intrusion Detection System) e os sistemas de prevenção de
instrução (IPS – Instrusion Prevention System). Há dois tipos: os lógicos (usam falhas de software) e os
de inundação (visam a estourar o processamento da CPU, memória) por meio de milhares de requisições;
• Ataques de negação de serviço distribuído - há vários atacantes: é o mesmo que o DoS, a sua diferença é
que nesse há um sequestro de milhares de outros computadores na Internet, se forem implantados
agentes de ataque (zumbis). Assim que for oportuno será disparada uma mensagem a esses agentes, que
por sua vez irão realizar uma série de requisições a um site alvo para deixá-lo off-line.

-6-
 Figura 2 - Página não encontrada (típica em ataques DoS e DDoS).
Fonte: Shutterstock, 2019. http://mediapool.fabrico.com.br/index.php/tagueadas-02/shutterstock_130961099

• Política de Navegação Aceitável: uma organização deve criar sua uma política de navegação, deve
limitar o acesso de determinados arquivos ou pastas a um grupo de pessoas. Além disso, deve restringir
sites com conteúdo impróprio. Nesse cenário, se pode ter acesso à arquivos confidenciais e inserir algum
vírus por meio de sites maliciosos;
• Espionagem telefônica: é possível apenas ouvir o canal de comunicação, sem alterações. Além disso, se
pode também interceptar a mensagem e realizar modificações;
• Uso de portas dos fundos (backdoors): certos desenvolvedores podem colocar brechas em seus
sistemas para se ter acesso total às informações sem precisar passar por todos os sistemas de segurança.
O grande problema é que se terceiros encontrarem a falha, eles poderão instalar seus próprios backdoors
e inutilizar o sistema. Existem vários softwares que auxiliam a verificar as portas dos fundos e exemplos
deles são o Unicorn e Netcat, do Kali Linux.;
• Alterações acidentais sobre os dados: realizar modificações acidentais de forma parcial nos dados
pode gerar eventos inesperados, bem como o armazenamento incorreto. Um exemplo de armazenamento
incorreto é o não uso de BigDecimal (Java) para a realização de cálculos financeiros; É possível encontrar
vários problemas de valores (arredondamentos, truncamentos etc.) usando outros tipos;
• Spam: quem nunca recebeu um spam? Eles são mensagens de e-mail com conteúdo atrativo ou que
chame a atenção (“acabe com a queda de cabelo”, “ganhe dinheiro”, “trabalhe duas horas por dia” etc.). O
seu problema é que eles são enviados para milhares de pessoas todos os dias. A maioria das empresas
que fornece serviços de e-mail tentam categorizar esse tipo de mensagem, mas é praticamente impossível
filtrar todas elas, ficando a cargo do usuário apagar tais mensagens para não lotar a caixa de e-mail. A
fonte de informação pode ser por meio de comércio ilegal de dados, lista de discussões em fóruns,

geração de e-mails (se pega um domínio, por exemplo, @google.com.br, e se começa com nomes por

-7-
 geração de e-mails (se pega um domínio, por exemplo, @google.com.br, e se começa com nomes por
ordem alfabética). Para se ter uma noção, segundo a Symantec, em 2018, 55% de todos os e-mails são
considerados spam;

Figura 3 - Spam está presente em todos os e-mails, apesar de filtros e o auxílio de Inteligência Artificial.
Fonte: Shutterstock, 2019. http://mediapool.fabrico.com.br/index.php/tagueadas-02
/shutterstock_597908858_traducao

• Cookies: quando você entra em um site de compras e começa a procurar sobre um celular, você irá
perceber que em cada lugar que entrar estará exatamente aquilo que você estava buscando. Como outro
site pode saber o que você estava procurando em outro? A resposta é por meio de cookies. Eles são
arquivos texto que podem armazenar informações sobre a sua navegação. O grande problema dos cookies
é que esses dados podem ser acessados por qualquer um que tenha acesso ao seu computador.

De acordo com o seu navegador preferido, procure o local (pasta) no qual os cookies estão
gravados. Veja quais sites possuem cookies em sua máquina e veja também o conteúdo deles.
Faça um teste: entre em um site no qual exista um cookie gravado e veja suas buscas. Agora,
limpe os cookies e entre novamente no mesmo site e veja a diferença.

• Vírus: é um programa de computador que se assemelha bastante a um vírus biológico. Ele precisa de um
hospedeiro, no caso, um computador ou celular, por exemplo. A partir daí, o vírus usa o próprio
hospedeiro para replicar o código e infectar outros. Em sua maioria, os vírus têm como objetivo destruir

-8-
 hospedeiro para replicar o código e infectar outros. Em sua maioria, os vírus têm como objetivo destruir
ou corromper arquivos e sistemas. O primeiro vírus surgiu em 1971, criado por Bob Thomas, e ele se
autorreplicava e apresentava a seguinte mensagem: “I’m the creeper, catch me if you can!”. Os vírus
podem realizar alterações em seus códigos para escaparem de antivírus e até mesmo modificar o
tamanho de arquivos para embutir seu código a fim de não ser rastreado. Uma variante do vírus pode ser
um “verme” e a diferença é que ele não precisa de outro programa para se replicar. O verme pode, por
exemplo, estourar a memória;
• Cavalos de Troia: é uma malware (código malicioso com objetivo de causar dano) baseado na história
do Cavalo de Tróia, em que os gregos, após anos de batalha com os troianos, oferecem um cavalo enorme
de madeira como um sinal de rendição. Os troianos, vendo com bons olhos o “presente”, acabam
colocando a oferenda dentro dos portões de Tróia. Porém, dentro do cavalo havia soldados gregos
escondidos. Uma vez dentro dos portões de Troia, os gregos renderam os soltados e abriram os portões.
Da mesma forma, um programa se passa por inofensivo, fazendo as tarefas que devem fazer, mas no
momento oportuno ele irá realizar uma série de ações. O primeiro Cavalo de Tróia foi o Animal (jogo de
charada), de 1974, que copiava os diretórios do usuário. Hoje, eles estão mais voltados a capturar
informações confidenciais;
• Rootkits: Eles apareceram no começo de 1990 e têm como objetivo modificar programas para ocultar
ataques. Por exemplo, ele pode modificar partes de um sistema operacional para encobrir a sua presença.
Uma vez configurados, eles oferecem um acesso fácil. Ou seja, quando você tenta baixar um sistema
operacional pirata, saiba que ele poderá conter rootkits;
• Spyware: seu foco é a confidencialidade de informações. Ele pode ser de origem livre (freeware) ou
compartilhado (shareware). Um spyware possui o mesmo comportamento de um Cavalo de Tróia. Ele fica
parado colhendo informações, como senhas, números de cartões, lendo cookies, instalando novos
programas, alterando a página inicial de seu navegador, capturando teclas etc. e, posteriormente, repassa
essas informações para um agente ameaçador. Há uma variante que é o Adware e a sua principal função é
capturar o comportamento do usuário, mas a sua grande diferença está em não transmitir informações
que identifique o usuário, como CPF, e-mails, números de cartões etc. Ele é útil para se conhecer a
tendência do mercado, observando milhares de consumidores. Mesmo assim, não deixa de ser um
inconveniente e estima-se que 90% dos computadores estejam infectados;
• Ataques de força bruta: o nome se dá por tentar diferentes combinações possíveis de senha até chegar
ao valor esperado. Muitas das pessoas hoje em dia não se preocupam em colocar uma senha forte (mais
de 8 dígitos que contenham números, letras, caracteres caixa alta ou baixa e caracteres especiais). Logo,
um ataque de força bruta é uma boa opção. Com o avanço da computação paralela (placas de vídeos com
multiprocessadores/threads) é possível gerar milhões de combinações em pouco tempo;

-9-
 Figura 4 - Telas de login são alvos de ataques de força bruta e dicionário.
Fonte: Shutterstock, 2019. http://mediapool.fabrico.com.br/index.php/tagueadas-02
/shutterstock_1027469677_traducao

• Ataques de dicionário: a diferença desse ataque é que existe uma lista de palavras comuns que são
mais usadas. O programa simplesmente varre essa lista até encontrar. Por exemplo, “minhasenha”;
• Falsificação (spoofing): seu objetivo é ter acesso a determinado tipo de recurso se passando por outro
que tem acesso permitido. Por exemplo, troca-se o endereço da rede para se passar por uma pessoa
autorizada e, assim, acessar determinadas informações;
• Sequestro (hijacking): é quando um terceiro assume o controle de uma sessão entre duas máquinas e
assume uma delas. Elas podem ter variantes, como vemos na situação a seguir sobre o sequestro de
homem. Duas pessoas, João e Maria, estão conversando via chat. Em seguida entra um terceiro pessoa,
José, que faz a intermediação entre os dois. João pensa que esta falando com Maria, mas está falando com
José. Enquanto Maria está falando com José, pensando que está falando com o João. A partir disso, se pode
obter inúmeras informações privilegiadas. Outro variante desse tipo de ataque é o sequestro de
navegador, em que um usuário é remetido a uma página falsa para fornecer senhas e números de cartões,
por exemplo. Após serem obtidas tais informações, o usuário é repassado para o site real e ele vai ter a
impressão que o site “saiu do ar” e terá que entrar com o login novamente;
• Engenharia Social: é um dos meios mais efetivos de se obter informações, pois seu ataque central é
sobre o elemento humano. Aqui, o agente ameaçador pode se passar por uma pessoa que deveria ter
acesso ou autorização a determinado recurso. Esses agentes se aproveitam de pessoas novatas ou que
não conheçam, de fato, as políticas de segurança da organização. As pessoas por natureza tendem a ser
prestativas quando a solicitação envolve emoções (carinho, atenção etc.) e acabam passando informações
sigilosas. Apesar de ser quase impossível se livrar da Engenharia Social, algumas dicas podem ser válidas:
os funcionários devem ser bem treinados quanto à segurança da informação, devem seguir políticas de
segurança, exigir identificação, restringir acesso remoto, triturar documentos que envolvam dados
confidenciais etc.;
• Pharming: bem semelhante ao sequestro, mas a sua diferença é que o seu ataque é sobre servidores de
nomes de domínio (DNS - Domain Name System). Ele é capaz de levar um usuário a um site falso, mas em
seu navegador aparecerá o endereço real. Sua vantagem é que, por meio desse ataque, é possível alcançar
um número enorme de pessoas. Essa técnica é bastante difícil de detectar, pois o usuário, mesmo
desconfiando de algo, o endereço sempre estará correto;

- 10 -
VOCÊ QUER VER?
Nesse contexto de cibercrimes e de Internet, existe um conjunto de séries que são bastante
interessantes. Uma delas é Black Mirror, da Netflix, em que cada episódio trata de algum tema
vinculado à tecnologia, mostrando os lados positivos e negativos. Na grande maioria, os
episódios são definidos na categoria drama. Outra série bem conhecida é o CSI: Cyber, em que
é possível acompanhar a divisão de cibercrimes do FBI desvendando diversos crimes. Outro
exemplo que foi tema de discussão por muito tempo foi o ciberanalista Edward Snowden, que
levou a público o programa de vigilância e espionagem do governo norte americano. A Netflix
possui uma produção própria com o seguinte título: Snowden – herói ou traidor. Por fim, um
filme clássico Piratas do Vale do Silício, de 1999, trata da história das duas maiores empresas
do mundo, a Apple e Microsoft.

• Phishing: é um meio de se obter a identidade de uma pessoa por e-mail ou mensagem. Geralmente, as
mensagens apresentam são de fontes confiáveis, como instituições financeiras ou empresas em geral
solicitando que atualize seu cadastro em consequência de perder o cadastro ou ganhar alguma multa. A
vítima, ao clicar no link, é direcionada para um site falso que irá recolher as suas informações pessoais. A
melhor maneira de se evitar esse tipo de ataque é jamais clicar nesses supostos links. Caso tenha dúvidas,
entre diretamente no site e procure informações.

1.3 Normas e padrões sobre Segurança da Informação

A ISO (International Organization for Standardization – Organização Internacional para Padronização) é a norma
mantida por uma entidade não governamental e possui inúmeros padrões e boas práticas para uma grande
variedade de setores, a exemplo da área da Biblioteconomia e do ISBN (International Standard Book Number).
Tais padrões permitem que organizações trabalhem com diferentes sistemas/organizações de forma harmônica
(SÊMOLA, 2014). A partir delas é possível obter boas práticas que foram desenvolvidas ao longo dos anos por
diversas organizações. Se um processo é bem aceito ele está cotado a pertencer a uma próxima norma ou padrão.
Com base nisso, algumas organizações são responsáveis em manter e definir padrões a certas áreas (KIM, 2014).
Conheceremos algumas a seguir.
• NIST (National Institute of Standards and Technology – Instituto Nacional de Padronização e
Tecnologia) – é um órgão federal dos Estados Unidos. Ela tem como objetivo incentivar a medição,
padrões e tecnologia. Sobre o nosso contexto, a NIST possui um conjunto de publicações da série 800 que
estão relacionadas às atividades de segurança de informações. Para a série: 800-37 (estrutura de
gerenciamento de risco), 800-46 (guia para segurança de acesso remoto), 800-53 (avalia controles de
segurança de SI), 800-61 (tratamento de incidentes), 800-73 (verificação pessoal), 800-78 (criptografia),
800-85 (orientação de teste), 800-115 (teste de avaliação de segurança), 800-118 (gerenciamento de
senhas), 800-121 (segurança Bluetooth), 800-122 (proteção da confidencialidade) e 800-128 (gestão de
segurança de informação);

- 11 -
VOCÊ QUER LER?
“Os arquivos Snowden: a história secreta do homem mais procurado do mundo”, por Luke
Harding. Em se tratando de espionagem, esse é um dos temas mais interessantes para se ler.
Ele revelou arquivos secretos da NSA (National Security Agency) que mostram um serviço
gigantesco de espionagem ao redor do mundo e que grandes empresas participam desse
esquema.

• ISO 17799 – é um padrão internacional para segurança de informações, constituindo pelas melhores
práticas para a área. A ISO é dividida em onze seções: Seção 5 – Política de Segurança da Informação;
Seção 6 – Organização da Segurança da Informação; Seção 7 – Gestão de ativos; Seção 8 – Segurança em
recursos humanos; Seção 9 – Segurança física e do ambiente; Seção 10 – Segurança das operações e
comunicações; Seção 11 – Controle de acesso; Seção 12 – Aquisição, desenvolvimento e manutenção de
sistemas; Seção 13 – Gestão de incidentes de segurança da informação; Seção 14 – Gestão da
continuidade do negócio; Seção 15 – Conformidade;. Além disso, quando estamos falando de normas para
a Segurança da Informação podemos considerar toda a família da ISO/IEC 27000. Estão contidas: a ISO
/IEC 27000, Information security management systems (Sistemas de gerenciamento de segurança da
informação) - Uma visão geral de toda família e vocabulários utilizados nas normas); ISO/IEC 27001,
Information security management systems (Sistemas de gerenciamento de segurança da informação) -
Requisitos; ISO/IEC 27002, Code of practice for information security controls (Código de prática para
controles de segurança da informação); ISO/IEC 27003, Information security management system
implementation guidance (Orientação de implementação de sistemas de gerenciamento de segurança de
informação); ISO/IEC 27004, Information security management (Gerenciamento de segurança da
informação) — Medição; ISO/IEC 27005, Information security risk management (Gerenciamento de risco
de segurança da informação); ISO/IEC 27006, Requirements for bodies providing audit and certification
of information security management systems (Requisitos para entidades que fornecem auditoria e
certificação de sistemas de gerenciamento de segurança da informação); ISO/IEC 27007, Guidelines for
information security management systems auditing (Diretrizes (Guia) para auditoria de sistemas de
gerenciamento de segurança da informação); ISO/IEC TR 27008, Guidelines for auditors on information
security controls (Diretrizes para auditores em controles de segurança da informação); ISO/IEC 27010,
Information security management for inter-sector and inter-organizational communications (Gestão da
segurança da informação para a comunicação intersetorial e interorganizacional); ISO/IEC 27011,
Information security management guidelines for telecommunications organizations based on ISO/IEC
27002 (Diretrizes de gerenciamento de segurança da informação para organizações de telecomunicações
baseadas na ISO/IEC 27002); ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC
27001 and ISO/IEC 20000-1 (Orientação sobre a implementação integrada de ISO/IEC 27001 e ISO/IEC
20000-1); ISO/IEC 27014, Governance of information security (Governança da segurança da informação);
ISO/IEC TR 27015, Information security management guidelines for financial services (Diretrizes de
gerenciamento de segurança da informação para serviços financeiros) e ISO/IEC TR 27016, Information
security management — Organizational economics (Gestão de segurança da informação - Economia
organizacional).

- 12 -
 Conheça o corpo de conhecimento da Engenharia de Software. Nesse guia é possível encontrar
todas as referências e técnicas conhecidas da área. Para cada etapa de um ciclo de
desenvolvimento de software existem referências a outras normas. É sem dúvida um ótimo
material para estudos (SWEBOK, 2019).

• O objetivo geral de cada uma dessas normas é garantir que as organizações desenvolvam e
implementem uma estrutura adequada de gerenciamento de segurança de seus ativos, podendo ser
financeira, de propriedade ou até de informações. Dentre a família ISO/IEC 27000 podemos destacar a ISO
/IEC 27001 e a ISO/IEC 27002 que são as mais conhecidas. Para se ter uma ideia, a figura abaixo mostra
as seções contidas na norma ISO/IEC 27002. Em cada uma delas há um objetivo (meta), um controle
(alguma atividade a ser realizada, por exemplo pedir que um documento seja elaborado) e passos
/diretrizes para se chegar a tal objetivo (implementação).

Figura 5 - Seções da ISO/IEC 27002.

Fonte: COELHO, 2014, p. 40.

• W3C (World Wide Web) – sem dúvida, a W3C trouxe organização para a Internet, pois cada empresa
possuía sua própria versão do HTML, por exemplo. A incompatibilidade reinava e, com isso, muitos
problemas. Atualmente, ela estabelece os seguintes padrões: CSS (Cascading Style Sheets), CGI (Common

Gateway Interface), HTML (Hypertext Markup Language), SOAP (Simple Object Access Protocol), WSDL (

- 13 -
 Gateway Interface), HTML (Hypertext Markup Language), SOAP (Simple Object Access Protocol), WSDL (
Web Services Description Language), XML (Extensible Markup Language);

VOCÊ SABIA?
Caso você tenha interesse em tirar uma certificação em segurança da informação, aqui vão
algumas dicas: Em primeiro lugar (respeitada) tem-se a CISSP (Certified Information Systems
Security Professional). Uma outra opção é a CompTIA Security+, ela é uma certificação
intermediária que também é reconhecida internacionalmente. A EC-Council Ethical Hacker e a
Offensive Security Certified Professional são certificações voltadas para hackers éticos. Já a
EXIN provê a certificação profissional ISO 27002 (podendo variar: foundation, advanced e
expert). Por fim, se o seu objetivo é se tornar um CISO (Chief Information Security Officer) você
deverá se certificar pela ISACA CISM (Certified Information Security Manager). Você também
pode se certificar. Todas as certificações exigem uma carga de estudos considerável. Deve-se
realizar provas a fim de certificar o seu conhecimento. No mercado de trabalho uma
certificação é muito bem vista, pois garante que o profissional demonstra grande competência.

• IEEE (Institute of Electrial and Electronics Engineers) – leia-se “I três E”. Ela é a maior organização
focada no avanço da tecnologia e que define inúmeros padrões (são 1300). Ela estabelece um dos padrões
mais famosos da Segurança da Informação, a família IEEE 802, a saber, 802.3 (Ethernet), 802.11 (LAN
sem fio 802.11a, 802.11b, 802.11g,802.11n) etc. Outro exemplo são as normas IEEE 830 e ISO 12207, as
quais estão ligadas aos requisitos e ciclo de vida de software, assim por diante. Logo, conhecê-las é de
suma importância para o crescimento da organização. Seguir essas boas práticas é sem dúvida uma ótima
opção para se ter produtos e serviços de qualidade.
• ANSI (American National Standards Institute) – é um instituto presente nas mais diversas áreas como,
equipamentos acústicos, construção, produção de laticínios, distribuição de energia, dentre outros.

- 14 -
CASO
Os vírus são tão antigos como os próprios computadores. Desde o início da computação, os
vírus buscam encontrar brechas a fim de causar algum dano. O vírus Jerusalém, de 1987, foi
um dos pioneiros para o MS-DOS. Ao infectar, ele deletava todos os arquivos do disco rígido, se
espalhando muito rápido. Morris (1988) era um verme (worm) que criou milhões de cópias de
si mesmo. Empresas importantes foram atacadas por ele. Estima-se que houve mais de 100
milhões de dólares de prejuízo. Chernobyl, de 1998, também foi um vírus muito devastador.
Além de apagar arquivos da máquina, ele ainda se reescrevia na BIOS, onde ele era capaz de se
manter ativo mesmo após a formatação. O I Love You, de 2000, se apresentava em um e-mail
com um título “Eu amo você” e no conteúdo pedia para abrir um arquivo anexo. Depois de
aberto, todas as suas imagens JPEG/JPG eram apagadas. The Code Red Worm, de 2001, tinha
como alvo servidores que rodavam Windows NT e 2000 e estima-se que ele tenha causado
mais de 2 bilhões de dólares em prejuízos. Conficker, de 2008, é uma junção de Configuration
com Ficker (um palavrão, em alemão). Ao infectar o computador, todas as suas configurações
eram alteradas (TECMUNDO, 2013).

De fato, é importante que não somente normas ou padrões sejam seguidos, mas é interessante também que toda
organização tenha conhecimento das mais diversas opções. Por exemplo, para a TI, o “Swebok” (2019) é um guia
que padroniza toda a Engenharia de Software (corpo de conhecimento).

Síntese
Vimos nesse capítulo que as ameaças vêm evoluindo na mesma medida em que as contramedidas. A cada dia, as
ameaças são alteradas para serem mais eficientes ou simplesmente surgem novas. Consequentemente, isso gera
prejuízos, não só para uma organização, mas também para um indivíduo comum. Conhecemos também os tipos
de ameaças mais comuns da atualidade. Em contrapartida, foi introduzido o conceito de normas e padrões, com
o objetivo de atenuar tais ataques.
Nesta unidade, você teve a oportunidade de:
• aprendemos o que são ciberataques;
• acompanhamos o crescimento das ameaças;
• vimos que os principais alvos são: infraestrutura de TI, propriedade intelectual, dados financeiros e
disponibilidade de serviço;
• conhecemos os conceitos envolvidos de hackers e crackers;
• aprendemos sobre diversos tipos de ataque;
• aprendemos sobre negação de serviço, negação de serviço distribuído; política de navegação aceitável,
espionagem telefônica, portas dos fundos, Spam, cookies, vírus e vermes, Cavalo de Tróia, rootkits, e
spyware;
• vimos sobre Ataque de força bruta, Ataques de dicionário, Falsificação e sequestro;
• aprendemos sobre Engenharia Social, pharming e phishing;
• aprendemos a importância de normas e padrões como NIST, ISO, W3C, IEEE e ANSI.

- 15 -
Bibliografia
CLARKE, R. A; KNAKE, R. K. Guerra Cibernética: A próxima ameaça à segurança e o que fazer. São Paulo:
Brasport, 2015.
COELHO, F. E. S.; BEZERRA, E. Gestão da Segurança da Informação – NBR 27001 E NBR 27002. São Paulo:
Escola Superior de Redes – RNP, 2014.
GALVÃO, M. C.. Fundamentos de Segurança da Informação. São Paulo: Pearson, 2015.
GARCIA, G. Os 15 hackers que fizeram os maiores estragos da história. EXAME - Tecnologia, 13 set. 2016.
Disponível em: https://exame.abril.com.br/tecnologia/os-15-hackers-mais-perigosos-de-todos-os-tempos/.
Acesso em: 11 ago. 2019.
GUILHERME, P. Os 7 mais famosos vírus de computador da história. Techmundo, 05 jul. 2013. Disponível em:
https://www.symantec.com/security-center/threat-report. Acesso em: 11 ago. 2019.
HINTZBERGEN J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002.
São Paulo: Brasport, 2018.
IEEE. Software Engineering Body of Knowledge (SWEBOK). IEEE Computr Society, [201-]. Disponível em:
https://www.computer.org/education/bodies-of-knowledge/software-engineering. Acesso em: 11 ago. 2019.
KIM D.; SOLOMON M. G. Fundamentos de Segurança de Sistemas de Informação, São Paulo: LTC, 2014.
PAYÃO, F. Brasil é o país que mais sofre com ligações de spam no mundo. Techmundo, 18 dez. 2018. Disponível
em: https://www.tecmundo.com.br/seguranca/137287-brasil-pais-mais-sofre-ligacoes-spam-mundo.htm.
Acesso em: 11 ago. 2019.
SÊMOLA M. Gestão da segurança da informação. Elsevier Brasil, 2014.
TEIXEIRA, L. B.; MELLO, K. Por que estamos na era da proteção da informação. FORBES, 01 jan. 2019. Disponível
em: https://forbes.uol.com.br/negocios/2019/01/por-que-estamos-na-era-da-protecao-da-informacao. Acesso
em: 11 ago. 2019.

- 16 -