Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURANÇA DE COMPUTADORES
A segurança digital é encarregada de proteger os usuários de sistemas
computacionais, seja on-line ou não.
40 minutos
INTRODUÇÃO
A segurança é um dos componentes da vida em sociedade que mais requer cuidado,
vigilância e desenvolvimento, e quando se trata da sua vertente digital, aquela
encarregada de proteger os usuários de sistemas computacionais, seja on-line ou não,
esse desenvolvimento apresenta maiores complicações e mais complexidade.
Nesta aula trataremos dos conceitos básicos de segurança para que seja possível
compreender melhor o motivo de ser um tema tão desafiador na atualidade e, com
isso, entender o quão crítico o tema é na era da informação.
Um trabalho que está cada vez mais valorizado dentro deste tema da segurança
digital é feito pelos profissionais de TI que diariamente exploram vulnerabilidades de
sistemas de computadores, de softwares e de plataformas em nuvem. De modo geral,
a vulnerabilidade é representada por uma falha no sistema que pode ser explorada
pelo hacker e que lhe concede acesso a dados sigilosos.
De acordo com OECD (2020, apud CGI.br, 2020, p. 25), o objetivo da segurança digital
está em tornar as atividades econômicas e sociais mais seguras no ambiente on-line.
Ainda segundo OECD (2020, apud CGI.br, 2020, p. 25), a segurança digital ataca tal
objetivo tratando das incertezas que afetam a confidencialidade, a integridade e a
disponibilidade, conhecidas como tríade CID.
No mundo real, a maioria dos ataques visa subtrair dinheiro, salvo casos em que
documentos são o alvo, o que torna essa perspectiva diferente da que observamos no
universo on-line, cujos alvos se diversificam, incluindo a intimidade das pessoas, seus
segredos e relacionamentos, além do básico, como dinheiro, documentos digitais,
segredos industriais e muito mais.
Claro que nem sempre a falha de segurança é explorada maliciosamente, pois pode
ser um simples fruto de falha humana, como no caso brasileiro de um servidor de
acesso público que expôs dados cadastrais de mais 120 milhões de pessoas devido a
uma configuração descuidada.
Embora casos de ransomware façam com que a empresa vítima geralmente perca um
valor financeiro pequeno, quase simbólico, falhas de segurança podem causar o
roubo de segredos comerciais, o que tem o potencial de dano muitas vezes
incalculável para a companhia. O grande desafio da segurança digital é manter o
mundo on-line seguro e ao mesmo tempo intuitivo, preservando uma boa
experiência.
Nesse sentido, de acordo com Gaivéo (2008; apud COUTO, 2018, p. 15), dentro da
temática da segurança da informação, muitos ataques podem explorar
vulnerabilidades e comprometer o funcionamento de um sistema de informação. O
tratamento correto de uma crise é identificar e caracterizar a ameaça de forma a
oferecer uma melhor resposta e proteção ao sistema.
Risco, ameaça e vulnerabilidade são termos muito utilizados no universo digital on-
line, mas ao usuário comum muito de seu significado passa desconhecido, tendo em
vista os incontáveis casos de invasão de contas de e-mail, de aplicativos e de redes
sociais. Desconhecer esses termos é um luxo que empresas, mesmo as que não
atuam exclusivamente on-line, não podem ter, pois “a segurança da informação existe
para o gerir o risco e o risco existe em função das ameaças e vulnerabilidades”
(COUTO 2018, p. 15).
O universo on-line apresenta o termo ameaça de forma muito mais passiva que seu
similar no mundo físico, pois no ambiente da internet as ameaças se traduzem em
circunstâncias, condições potenciais para a ocorrência de um ataque ou qualquer
evento que impacte negativamente o sistema em questão. Como define Nist (2017,
apud COUTO, 2018, p.16), ameaça pode ser definida como qualquer circunstância ou
evento com a capacidade de provocar impacto negativo na organização, nos bens ou
nos indivíduos, sem deixar de lado o sistema de informação.
É importante que cada empresa conheça as ameaças para com sua segurança da
informação e tome providências que as mitiguem, o que deve ser complementado
pela busca diária da eliminação de qualquer vulnerabilidade que comprometa o
sistema. São inúmeras as empresas que atuam na busca por vulnerabilidades e
ameaças e que, com seus relatórios, permitem que mudanças sejam feitas para
melhorar a segurança da informação.
Videoaula: A criticidade das ameaças e dos ataques e como os ativos das empresas devem ser protegidos
ESTUDO DE CASO
A segurança da informação é um trabalho que começa com um intenso processo de
compreensão do que se necessita proteger e contra quais ameaças, de forma que os
ativos da empresa sejam devidamente blindados e protegidos e que a atividade
empresarial não sofra problemas e interrupções.
A segurança da informação deve ser ampla, atuando em eventos que ocorrem tanto
fora quanto dentro da empresa. Internamente, deve ser projetada para impedir que
sejam violadas políticas de segurança, principalmente as que atuam na coordenação
do acesso à informação, impedindo vazamentos de dados confidenciais.
A partir dessa situação, imagine que você atua como analista de segurança de uma
startup na área de desenvolvimento de software e, como demanda inicial, foi
solicitado a você uma recomendação de segurança com o objetivo de garantir a
confidencialidade dos dados armazenados na organização.
Sendo assim, apresente, em linhas gerais, a forma com que uma empresa
desenvolvedora de software deve perceber sua tríade CID, no que se refere às ações
relativas à confidencialidade.
Saiba mais
Para atender aos princípios básicos da segurança da informação, conhecidos
como a tríade CID (confidencialidade, integridade e disponibilidade), a empresa
deve desenvolver políticas e protocolos de segurança e os colocar à prova
periodicamente. O artigo indicado trata de como tais testes podem ser realizados
dentro dessa perspectiva. Disponível em: https://bit.ly/3qHlaGC.
Aula 2
INTRODUÇÃO
O principal objetivo desta aula é apresentar o que significa para as empresas a
informação e como ela pode ser definida por um valor monetário, uma classificação,
uma criticidade dentro dos processos e das estratégias empresariais.
Para construir esse conhecimento, começaremos definindo o que é informação e o
que ela representa no contexto empresarial e organizacional, para em seguida
compreendermos o que é valor e quais aspectos a empresa deve considerar quando
deseja mensurar o valor de suas informações.
Por fim, trataremos de como a informação precisa ser classificada para ser
devidamente organizada e protegida e os contra-ataques que podem ser utilizados.
O VALOR DA INFORMAÇÃO
Para que a empresa dimensione corretamente sua solução de segurança,
principalmente com relação à proteção das informações, o primeiro passo é
determinar o valor delas, o que não é um processo altamente objetivo, embora
possível de ser realizado. Em companhias que possuem patentes de produtos ou de
processos produtivos, por exemplo, é comum que a informação seja tratada com
maior cuidado, diligência e proteção, ao passo que uma empresa que licencia
invenções de outras organizações tem a guarda da informação ligeiramente menos
complexa.
Podemos afirmar que existe, na atualidade, uma grande busca por informação de
valor relevante, o que agrega, em termos de dificuldade, ao processo de composição
do seu valor, tal como afirmam Valentim e Ançanello (2018, p. 26): “nessa perspectiva,
identificar quais atributos conferem valor à informação se constitui em um fator
importante na sociedade contemporânea.”.
A percepção do valor da informação pode ocorrer, de acordo com Moresi (2000, apud
VALENTIM; ANÇANELLO, 2018) das seguintes maneiras: por meio da identificação dos
custos; da compreensão de sua cadeia de uso; da avaliação da incerteza comumente
associada ao retorno do investimento em informação; da dificuldade no
estabelecimento das relações causais entre alguns produtos específicos e os insumos
da informação; e, por fim, do fracasso ao reconhecer o significado da informação em
seu aspecto comercial.
A informação de elevado valor deve produzir riqueza à empresa, e uma das formas de
se expressar esse fato se dá com organizações que possuem patentes de tecnologias,
ou seja, seus profissionais geram informações capazes de desenvolver inovação
tecnológica que passa a ser propriedade da empresa. Quando tal tecnologia
desenvolvida for alvo do desejo de outra companhia, esta deverá pagar royalties para
a detentora da patente, gerando receita a ela.
existe uma fonte comum que deve orientar tanto a definição do valor da informação
quanto o nível de segurança que demanda: a política de classificação de criticidade
desenvolvida pela empresa. De acordo com a política de classificação da informação, a
companhia é capaz de definir o tratamento dado aos diferentes tipos de informação e
seu risco, que pode receber, nas palavras de Barreto (2018), algumas medidas como: a
redução do risco de permitir que pessoas não autorizadas tenham acesso a
informações com nível superior de sensibilidade; a promoção da correta divulgação
de informações públicas e a redução do risco de problemas, como a perda da
integridade das informações, principalmente as que apresentam grande valor ao
empreendimento.
Secreta Essas informações são críticas para a empresa. Elas precisam ser
preservadas e deve ser investido nelas o maior esforço possível para
a sua segurança. O acesso a esse tipo de informações deve ser
restrito, e sua manipulação tem que ser extremamente cuidadosa.
Existe uma ressalva a ser feita sobre essa classificação: precisa ser construída usando
toda a empresa, não apenas o setor que apresenta maior pertinência.
ESTUDO DE CASO
Existem casos em que uma informação pode ser a diferença entre o sucesso e o
fracasso de uma empresa. Em alguns setores, ela é exclusivamente responsável por
viabilizar o empreendimento, como o caso já conhecido da exploração do petróleo,
que depende da descoberta de novos poços, o que demanda estudos complexos e de
custo elevado.
Portanto, a exploração do petróleo começa com a sua descoberta que, de acordo com
o Serviço Geológico do Brasil (2014, [s. p.]), “esses estudos começam selecionando as
bacias sedimentares onde há maior probabilidade de se encontrar petróleo. Para isso,
reúnem-se geólogos, geofísicos e paleontólogos, entre outros especialistas.”.
Estudante, imagine que a PetroTek (hipotética), uma empresa exploradora de petróleo
tem passado nos últimos anos um pesadelo financeiro, com resultados abaixo do
esperado e acusações de problemas em seus balanços patrimoniais. Recentemente, o
mercado recebeu notícias de que ela teria descoberto duas novas jazidas na costa
brasileira, próximas ao estado de Alagoas, em Maceió Com a descoberta dessas novas
jazidas, a PretroTek se considera capaz de oferecer, nos próximos dois anos,
resultados financeiros positivos depois de anos no vermelho, mas alerta que depende
da extração dessas jazidas para a sustentabilidade do negócio.
De qualquer forma, contratos de sigilo devem ser robustos e sempre utilizados, para
que todos os envolvidos compreendam a criticidade e a sensibilidade das
informações.
Saiba mais
Em geral, a segurança da população é uma das atribuições do Poder Público.
Portanto, as empresas não estão sozinhas nos esforços em manter seus dados e
os dados de seus clientes seguros. Com o avanço e a globalização do comércio
eletrônico, assim como as diversas transações e transferências de informações e
conhecimento, o governo brasileiro se viu motivado a desenvolver a Lei Geral de
Proteção de Dados, a Lei nº 13.709, de 14 de agosto de 2018.
A sugestão será para a leitura do guia sobre o impacto da LGPD na publicidade
on-line. Saiba mais pelo link: https://bit.ly/33N5BEr.
Aula 3 Imprimir
CRIPTOGRAFIA
Nesta aula veremos o surgimento e desenvolvimento da segurança da
informação, dando origem à criptografia.
38 minutos
INTRODUÇÃO
Nesta aula vamos estudar como surgiu e se desenvolveu a segurança da informação e
como se deu a origem da criptografia que é hoje largamente utilizada no universo
digital. Em seguida, trataremos das criptografias assimétrica e simétrica e como essa
divisão tem relação com a forma com que as chaves são criadas.
Bons estudos!
Como vivemos na era da informação, existe uma necessidade cada vez maior de
proteger as informações, e isso inclui a criação de códigos que embaralham textos,
por exemplo, fazendo com que apenas os possuidores deste código, também
conhecido como chave, possam desvendar o real sentido da informação. Isso impede
que o leitor compreenda seu sentido, tecnologia que recebe o nome de criptografia
que, de acordo com Fiarresga (2010, apud NAKAMURA, 2016), é derivada das palavras
kryptos (oculto) e graphien (escrever) e representa a arte de escrever ou resolver
códigos. Ainda segundo o autor, a função da criptografia não é de esconder a
mensagem, e sim de ocultar seu significado. Desta forma, se a mensagem
criptografada é subtraída por alguém não autorizado, o intruso não será capaz de ler
ou compreender seu conteúdo, apenas o legítimo remetente e destinatário poderão
ter acesso à mensagem original.
Vale ressaltar que até o século XX, a criptografia tinha status de arte, pois tanto a
criação dos códigos (ou chaves) quanto sua quebra tinham forte ligação com a
criatividade e o talento das pessoas. Porém, de acordo com Nakamura (2016), com a
chegada do século XX, impulsionada pelos estudos científicos, a criptografia ganhou
relevância e virou ciência, deixando de ser apenas uma comunicação secreta e
passando a incluir atribuições importantes à segurança, como as assinaturas digitais e
os protocolos de mudança de chaves.
De acordo com Nakamura (2016, p. 123), em 1948 a criptografia teve um salto em seu
desenvolvimento com a concepção da Teoria Matemática da Comunicação, de Claude
Shannon, que permitiu a evolução dos processos, da criptoanálise, e com a Guerra
Fria (entre Estados Unidos e a extinta União Soviética), floresceu ainda mais.
Outro avanço importante foi a criação de criptografia de chave pública, em 1976, por
Diffie e Hellman, que levou ao desenvolvimento do algoritmo RSA. Antes, era parte da
proteção de comunicação em guerras, e hoje a criptografia faz parte do cotidiano de
todos, muitas vezes de forma transparente, como é o caso do acesso web, de
transações bancárias e de acesso às redes sociais (NAKAMURA, 2016).
Criptografia hash;
Chaves simétricas;
Chaves assimétricas;
A respeito das chaves, a criptografia pode ser simétrica, assimétrica ou até mesmo
uma mistura das duas. Se for definida como assimétrica ou chave pública, utiliza duas
chaves: a primeira, denominada chave de encriptação (chave pública), e a segunda,
destinada aà desencriptação (chave privada). As duas chaves são diferentes. De
acordo com Barreto (2018, p. 30),
Sendo um sistema de duas chaves, a pública tem tal designação devido ao fato de ser
conhecida a todos, além de sua função de codificar o texto. O quadro a seguir
apresenta maiores detalhes sobre essa chave assimétrica.
Quadro 1 | Chaves públicas e privadas
Claro que o tamanho da chave depende também de qual algoritmo é usado para
criptografar. De acordo com Barreto (2018), o lado interessante desse modelo
simétrico está no fato de que qualquer usuário tem acesso à chave pública para o
envio de sua mensagem. Já a chave privada fica em segredo e só deve ser
disponibilizada para o usuário que tem o direito e a atribuição para conhecer o
correto teor da mensagem.
Criptografia simétrica pode ser referida como a criptografia da chave secreta, ou por
nomes como encriptação convencional ou encriptação de chave única, o que já indica
que se trata de uma forma mais simples de criptografia, ou seja, utiliza apenas uma
forma de processar uma mensagem.
De acordo com o quadro, podemos notar que existe maior velocidade nos
algorítmicos que utilizam criptografia simétrica, embora os que usam a assimétrica
são lentos, mas mais seguros. Além disso, a assimétrica também demanda maior
poder de processamento do que a outra. Apesar desses fatos, para Teixeira (2020),
com a criptografia assimétrica existe um melhor e consideravelmente simplificado
processo de gerenciamento e de distribuição das chaves, o que previne que o emissor
e o receptor se unam antecipadamente e compartilhem suas chaves. Essa
proximidade ajuda na melhor confidencialidade dos dados e auxilia no
desenvolvimento das assinaturas digitais.
O comprimento das chaves também é visto como fonte de diferenciação entre seus
modelos simétrico e assimétrico, e trata-se de uma diferença funcional entre as
chaves, tendo relação com o número de bits que, por sua vez determina o quão
segura é a chave fornecida pelo algoritmo.
Desta forma, se a criptografia for simétrica, a chave por ela gerada é aleatória e
composta por uma palavra de 128 a 256 bits de comprimento, dependendo da
exigência de segurança. Para a assimétrica, por existirem duas chaves, o sistema deve
ser construído em volta de uma relação matemática, ou seja, é necessário que haja
um padrão entre as duas chaves.
ESTUDO DE CASO
Estudante, a empresa StarLab Testes Inteligentes está expandindo suas operações em
diversos países e, com isso, terá ao todo cinco laboratórios localizados nos Estados
Unidos, Japão, Inglaterra, Espanha e Portugal. A organização entende que tal operação
demanda o uso da computação em nuvem e, mesmo com toda segurança envolvida
na sua migração, teme pela segurança dos dados dos testes laboratoriais que realiza.
Para os usuários finais, ou seja, os pacientes que realizam exames com a empresa,
uma solução pode ser o uso dos OTP’s, ou one-time password, as senhas de uso
único. Para grande parte da equipe, uma possibilidade de elevada segurança é o uso
de tokens gerenciáveis e rastreáveis, que podem ser atribuídos a usuários ou a partes
de um software ou de um grupos de dados.
Saiba mais
Complementando o que foi discutido nesta aula, recomendamos o interessante
vídeo sobre a diferença entre as chaves criptográficas assimétricas e simétricas
com o pessoal do Canal Código Fonte TV, -por meio do link: https://bit.ly/3fE2wsX.
Aula 4
FUNÇÕES HASH
As funções hash possuem a capacidade de usar resumos de dados e validar
informações e senhas de acesso.
45 minutos
INTRODUÇÃO
À medida que se tem cada vez mais serviços importantes sendo realizados na
internet, temos um enorme crescimento no número de usuários e de transações
diariamente realizadas, o que atrai a ação de criminosos virtuais.
Nesse contexto, existem as funções hash, responsáveis por criar o hash, cuja
capacidade de usar resumos de dados e validar informações e senhas de acesso tem
lhe concedido uma grande fama de promotor da segurança cibernética. Nesta aula
trataremos de como são criadas as funções hash e de como aprimoram a segurança.
OS PRINCIPAIS CONCEITOS DAS FUNÇÕES HASH
As funções hash são mais conhecidas pelo seu produto, o hash, que representa
grande parte da segurança dentro da blockchain, a tecnologia de validação de dados
utilizada nas moedas digitais, as criptomoedas. A função hash atua na aceleração do
processo de criptografia, pois faz seu trabalho com base em um resumo da
informação, e não dela inteira, o que poupa tempo e poder de processamento.
De acordo com Nogueira e Bodemüller Junior (2020, p. 39), a “[...] função resumo, ou
hash, é usada para construir uma pequena impressão digital de algum dado; se o
dado for alterado, então a impressão digital não será mais válida.”. Portanto, a função
hash é aplicada em variáveis quantidades de informação, embora o hash resultante
seja de tamanho fixo.
Por se tratar de uma tecnologia muitas vezes atrelada à segurança (tal como nas
transações de criptomoeda), o hash resultante não permite engenharia reversa, ou
seja, impede que um processamento inverso revele a informação original. Portanto,
se algo na informação original for alterado, o hash também é modificado.
O diagrama apresenta um termo novo, o bucket, que nas funções hash representa o
local onde determinado dado está localizado na tabela que contém os dados
correspondentes. Vale ressaltar que um bucket pode conter vários registros.
O hash tem grande importância nas transações de criptomoedas porque é capaz de
oferecer uma chave que não pode ser modificada ou excluída, o que permite que a
identidade do emissor da mensagem seja validada. Para Stallings (2017 apud AMO;
PICHETTI, 2021, p. 166), temos que a função hash (H) funciona por meio de uma
entrada de um bloco de dados (M), de comprimento variável, produzindo um hash (h)
de tamanho fixo, portanto, temos que esse processo pode ser representado pela
equação: h = H (M).
Uma forma interessante de compreender o resultado de uma função hash, tal como
nos apresentam Hintzbergen et al. (2018 apud AMO; PICHETTI, 2021), assemelha-se ao
processo de misturar diferentes cores de titãs, pois ao misturar duas cores distintas,
como a cor branca e a preta, o resultado final é o cinza.
Quando se tem um hash, ou um balde de tinta cinza, não é mais possível separar os
elementos e construir de volta o texto original do hash, muito menos obter dois
baldes com as tintas preta e branca separadas. Desta forma, temos que a função hash
produz um cálculo irreversível.
Neste sentido, de acordo com Cabral e Caprino (2015 apud BARRETO et al., 2018), os
algoritmos hash mais utilizados possuem comprimento de palavra na ordem de 16 a
128 bits, sendo os mais populares das famílias MD e SHA. O quadro a seguir
apresenta uma breve descrição destes algoritmos.
Algoritmo O algoritmo MD6 surgiu em 2008 como uma atualização do MD5, pois
MD6 trabalha com hash de 224, 256, 384 e até 512 bits.
Algoritmo O algoritmo SHA-0 (Secure Hash Algorithm, ou algoritmo de dispersão
SHA-0 seguro) foi o primeiro da família SHA, publicado pelo National
Institute of Standards and Technology (NIST), e é baseado no MD5.
Algoritmo O algoritmo SHA-1 também foi publicado pelo NIST, em 1995, tendo
SHA-1 um valor de dispersão de 20 bytes, ou 160 bits. Apesar de ser muito
semelhante ao SHA-0, ele resolve os problemas de segurança
atribuídos ao seu antecessor.
Se o dígito verificador for alterado sem que a função ou o algoritmo tenha feito isso, a
transação demandada será rejeitada. Assim, de acordo com Barreto et al. (2018), a
simplicidade do hash depende do volume de caracteres encontrados no bloco de
informação que o gerou. Essa variação de comprimento e monitoramento significa
que os hashs de baixa complexidade são mais do que capazes de evitar ataques,
mesmo que se trate de um erro de digitação, de exclusão ou de alteração do
algoritmo.
Ataque do O ataque do homem do meio (ou, em inglês, man in the middle) diz
homem do respeito ao indivíduo malicioso que faz a interceptação entre os
meio dados de origem e de destino. Aqui, os dados que são trocados
entre o remetente e o destinatário sofrem interceptação de
alguma maneira (são registrados e corrompidos ou alterados pelo
indivíduo malicioso) sem que as vítimas percebam que estão sendo
atacadas.
ESTUDO DE CASO
A internet está oferecendo com sua nuvem uma vasta quantidade de aplicações que
atendem a empresas e a pessoas comuns. Com o aumento na oferta dos serviços em
nuvem, existe uma crescente necessidade de se criar usuários e senhas para ter
acesso a tais serviços.
Embora exista uma corrente nos grandes provedores de serviços em nuvem pela
busca por serviços integrados, plataformas e suítes que abrigam diversas aplicações e,
com isso, o usuário necessita de um único cadastro para acesso aos serviços, isso não
é regra. Desta forma, o usuário que precisa de muitos serviços na nuvem pode ter
dezenas de cadastros, usuários e senhas, além de ter várias formas de concentrar e
armazenas suas senhas, para não correr o risco de esquecê-las.
Entre os algoritmos que podem ser cogitados, há o MD5, MD6, SHA0, SHA1, SHA2,
SHA3 e PBKDF2 (mas também é possível utilizar outros). Além disso, as senhas devem
ter comprimento de no mínimo nove caracteres sendo letras, números e caracteres
especiais. O teste pode ser conduzido com o uso do hashcat.
Saiba mais
Saber utilizar os diferentes recursos que a informática tem a oferecer será
sempre um destaque ao profissional atualizado. Neste sentido, embora seja
notório o uso da criptografia na cibersegurança, é preciso compreender como
fazer bom uso do hash. Assim, recomendamos o vídeo do canal Daniel Donda
que aborda exatamente isso: a computação forense e o hash, que você pode
assistir pelo link: https://bit.ly/3GY7EUI.
REFERÊNCIAS
2 minutos
Aula 1
BARRETO, J. dos S. et al. Fundamentos de segurança da informação. Porto Alegre:
SAGAH, 2018.
CGI.br - Comitê Gestor da Internet no Brasil. Segurança digital: uma análise da gestão
de riscos em empresas brasileiras. São Paulo: Núcleo de Informação e Coordenação
do Ponto BR, 2020. Disponível em: https://bit.ly/3FIXcz2. Acesso em: 20 ago. 2021.
Aula 2
BARRETO, J. dos S. Fundamentos de segurança da informação. Porto Alegre: Sagah,
2018.
Aula 3
BARRETO, J. dos S. Fundamentos de segurança da informação. Porto Alegre: Sagah,
2018.
Aula 4
AMO, G. G. de; PICHETTI, R. F. Criptografia e segurança. Indaial: UNIASSELVI, 2021.