Escolar Documentos
Profissional Documentos
Cultura Documentos
INTRODUÇÃO
Vivemos em uma sociedade que se baseia em informações e que exibe uma crescente
propensão para coletar e armazenar informações, por isso a necessidade de se ter
mecanismos de segurança realmente eficientes.
A segurança de dados pode ser definida como a proteção de dados contra a revelação
acidental ou intencional a pessoas não autorizadas, e contra alterações não permitidas.
Segurança Física:
Devemos atentar para ameaças sempre presentes, mas nem sempre lembradas;
incêndios, desabamentos, relâmpagos, alagamentos, problemas na rede elétrica,
acesso indevido de pessoas ao CPD, treinamento inadequado de funcionários, etc.
Medidas de proteção física, tais como serviços de guarda, uso de no-breaks, alarmes
e fechaduras, circuito interno de televisão e sistemas de escuta são realmente uma
parte da segurança de dados. As medidas de proteção física são freqüentemente
citadas como "segurança computacional", visto que têm um importante papel também
na prevenção dos itens citados no parágrafo acima.
Deve-se estar atento aos problemas causados por vírus, acesso de bisbilhoteiros
(invasores de rede), programas de backup desatualizados ou feito de maneira
inadequada, distribuição de senhas de acesso, etc..
OBJETIVOS
Seu estudo não abrange somente o crime computacional (hackers), envolve qualquer
tipo de violação da segurança, como erros em processamento ou códigos de
programação.
Infiltração ativa: consiste desde o exame periódico dos conteúdos das cestas de
lixo da área do computador até à gravação clandestina dos dados armazenados. Isto
inclui:
Se refere à sensibilidade dos programas e dados que possam exigir uma das
seguintes coisas: nenhuma providência sobre segurança de dados, restrições normais a
necessidades de conhecimento, ou preocupações extensas para evitar revelação.
2) Ambiente:
Refere-se aos usuários e aos métodos pelos quais eles têm acesso ao sistema.
3) Comunicações:
Referem-se ao uso das facilidades das comunicações de dados, que podem ser no
local do computador, podem ser uma rede privada ou pode ser uma rede pública.
4) Facilidades de sistema:
É oportuno frisar que segurança absoluta não existe - ninguém é imune a ataques
nucleares, colisões com cometas ou asteróides, epidemias mortais, seqüestros,
guerras, ou a uma simples maionese com salmonela na festa de fim de ano da
empresa.
Deve-se perguntar:
"Uma corrente não é mais forte do que o seu elo mais fraco"</font>
Princípios Básicos
Catástrofes
Problemas ambientais
Supressão de serviços
·42 Falha de energia elétrica - grande risco potencial, à medida que paralisa
totalmente todas as funções relacionadas à informática
·43 Queda nas comunicações - grande risco potencial, pois isola o site do resto do
mundo; risco de perda de dados
·44 Pane nos equipamentos - problema bastante comum, resolvido com backup de
informações e de hardware
·45 Pane na rede - isola um ou mais computadores de um mesmo site; risco
potencial de perda de dados
·46 Problemas nos sistemas operacionais - risco potencialmente explosivo, pois
podem comprometer a integridade de todos os dados do sistema e até mesmo
inviabilizar a operação; eliminam a confiança da equipe
·47 Problemas nos sistemas corporativos - grande risco, causam grande transtorno
e perdas de dados
·48 Parada de sistema - igualmente um grande risco
Comportamento anti-social
Ação criminosa
Incidentes variados
OS PREJUÍZOS
O que causa muita preocupação é que, via de regra, o tipo de erro não tem relação
com o grau de severidade dos prejuízos. A perda total de um servidor corporativo
(incêndio, queda de escombros, etc.) pode, se houver backups atualizados, causar um
prejuízo equivalente apenas ao valor do conserto ou substituição da máquina, ao passo
que um pequeno erro de programação (um if mal posicionado ou um comentário em
uma linha de programa que deveria estar ativa, erros de fácil correção) podem,
facilmente, provocar prejuízos catastróficos.
Prejuízos em função do tempo. Quando ocorre algum problema que provoque uma
paralisação, os prejuízos menos importantes são percebidos imediatamente. Outros,
normalmente os maiores, somente serão percebidos posteriormente, e será muito
difícil, ou mesmo impossível, repará-los.
Outras informações:
Exemplos de multa:
LEIS
CAPÍTULO I
CAPÍTULO II
Art. 3º. Para fins desta lei, entende-se por informações privadas
aquelas relativas a pessoa física ou jurídica identificada ou
identificável.
Parágrafo Único: É identificável a pessoa cuja individuação não envolva
custos ou prazos desproporcionados.
CAPÍTULO III
Art. 10o. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou não autorizada.
CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS
Art. 15o. Se qualquer dos crimes previstos nesta lei é praticado no exercício de
atividade profissional ou funcional, a pena é aumentada de um sexto até a metade.
Art. 16o. Nos crimes definidos nesta lei somente se procede mediante representação do
ofendido, salvo se cometidos contra o interesse da União, Estado, Distrito Federal
Município, órgão ou entidade da administração direta ou indireta, empresa
concessionária de serviços públicos, fundações instituídas ou mantidas pelo poder
público, serviços sociais autônomos, instituições financeiras ou empresas que explorem
ramo de atividade controlada pelo poder público, casos em que a ação é pública
incondicionada.
Art. 17o. Esta lei regula os crimes relativos à informática sem prejuízo das demais
cominações previstas em outros diplomas legais.
Art. 18o. Esta lei entra em vigor 30 (trinta) dias a contar da data de sua publicação.
Usuários
Senhas - usar
Exemplos de senhas
Troca de senha
Dicas
Servidores de baixo custo O velho servidor 486 (montado) já não tinha mais
espaço em disco, e foram feitas cotações para mais um Winchester IDE. A opção mais
barata era de uma marca boa, mas diferente do disco já instalado; tempo de acesso e
capacidade também diferentes. A máquina já apresentava algumas manias irritantes,
como perder a data e a hora, mas nada que comprometesse o funcionamento. O
operador resolvia. Numa manhã de sexta-feira, num bonito dia de inverno, o 486
resolveu que não queria mais ler os discos rígidos. Perda total dos dados, sistemas
aplicativos e sistema operacional. O operador, que resolvia todos os "pepinos" da
máquina, era precavido: havia backup.
Assaltos O CP-500 era uma máquina baseada no Z-80, e não tinha disco rígido. Na
sua configuração mais comum, tinha dois drives de 5¼", com capacidade de 180
KBytes cada. Num drive se colocava o disco com o sistema operacional mais o
aplicativo, no outro o disco com os dados. Os discos estavam criteriosamente
cadastrados e guardados, com cópias de segurança em outro armário no mesmo
ambiente. Numa madrugada de sábado, ocorreu o assalto. Os ladrões, aparentemente,
tiveram pouco tempo, mais quebraram do que roubaram. Entre os objetos roubados,
todos os discos dos sistemas e dos dados do CP-500. Por precaução, havia cópias de
segurança. Por sorte, não foram roubadas, pois estavam no mesmo ambiente.
Vírus Aí existem dezenas de histórias. Vai uma interessante: pois tinha aquele
estudante, hacker frustrado, óculos de fundo de garrafa, que gostava de colecionar
software - todo e qualquer software, principalmente qualquer coisa que pudesse
representar algo doentio e desviante. Quando apareceu o primeiro vírus no laboratório
foi aquela festa. Enquanto o funcionário responsável se desdobrava em mil para
descontaminar os PC XT e alertar os usuários, o nosso reptílico aprendiz de malfeitor
contaminava seus próprios discos e recontaminava as máquinas.
Senhas (2) O operador, responsável pelo cadastro, pela operação, etc., nunca
entendeu direito esta história de administração de usuários. Todo mundo usava a
senha do root (supervisor). Por sorte, a situação foi detectada antes de acontecer o
óbvio.
Fumaça A loja do lado também tinha computador. O incêndio da outra loja provocou
tanta fumaça que inutilizou todos os disquetes desta loja.
Vandalismo Certa empresa andava com uns probleminhas, e o CPD tinha, nos
discos, provas incriminadoras. A solução foi fácil: num fim de semana, quando não
havia nenhum funcionário de plantão, os backups foram sistematicamente destruídos.
Segunda-feira, surpresa geral...
Dono do conhecimento (esta não chegou a acontecer ainda, mas pode estar
ocorrendo neste exato instante). O fulano era a informática viva da empresa. Atendia
a todas as solicitações, por mais esdrúxulas que fossem. Nada destas frescuras de
documentação, toda a empresa estava na sua cabeça. Configuração de UNIX era com
ele mesmo. TCP/IP tranqüilo. Três ou quatro servidores Pentium interligados, cento e
tantos terminais, tudo na cabeça. O sistema, a linguagem, tudo na cabeça. Um dia, o
infeliz se excedeu no álcool e teve uma amnésia...
Bomba eletrônica Uma empresa com seu PC-XT e um programador que, para se
proteger, criptografava os códigos-fonte que desenvolvia. Ninguém tinha acesso aos
fontes. Em conseqüência, houve o desligamento da empresa, e o problema do próximo
programador, que não tinha estes hábitos. Solução: deletar tudo o que o desgraçado
tinha feito e recomeçar. Em função da detecção prematura do problema, houve pouco
retrabalho e nenhuma perda.
Self made man Esta é a história do office-boy que tinha jeito prá coisa. Foi
subindo, subindo, subindo, passou pelo financeiro, contabilidade, até que acabou
virando programador, e para virar analista foi só uma questão de tempo. Primeira
prostituta aos 13 anos. Nada desta boiolice de estudar, se formar, pois se garantia,
era acadêmico da Faculdade da Vida. Muita ousadia, muita iniciativa, um tanto de
bajulação quando necessário, sabia se virar. Confiava no taco. Até que, um dia,
aconteceu o óbvio: a falta de conhecimento teórico, a falta de metodologia, a
inexperiência, os problemas não resolvidos, a tentativa de levar no papo, a demissão, o
prejuízo para a empresa.
Vaso A secretária não abria mão de colocar o bendito vasinho com uma rosa bem do
lado do computador; misturava um pouco de açúcar na água, sabe Deus por quê.
Apesar de todos os alertas, não houve santo que a fizesse mudar de idéia. Um dia,
aconteceu o óbvio. Engraçado, parece que o óbvio sempre acaba por acontecer... Por
sorte, foi apenas o teclado que tomou um banho de água doce (literalmente), teve de
ser desmontado, lavado e secado.
Backup
Backup é uma cópia dos arquivos que julgamos ser mais importante para nós, ou
aqueles arquivos chaves (fundamentais) para uma empresa.
Com o uso cada vez mais constante de computadores, um sistema de backup que
garanta a segurança e disponibilidade full-time dos dados corporativos é fundamental.
Apesar de ser uma medida de segurança antiga, muitas empresas não possuem um
sistema de backup ou, o fazem de maneira incorreta.
Embora as mídias óticas se mostrem como última palavra em backup, não são muito
viáveis, pois possuem capacidade de armazenamento relativamente pequena (cerca de
600 MB em um CD)e, em muitos casos não são regraváveis. Um ponto a favor das
mídias óticas é a segurança, porém atualmente estão sendo utilizadas para a criação
de uma biblioteca de dados, o que caracteriza armazenamento de dados e não, backup.
A tecnologia RAID, consiste num conjunto de drives que é visto pelo sistema como
uma única unidade, continuando a propiciar acesso contínuo aos dados, mesmo que um
dos drives venha a falhar. Os dados são passam pelo nível 1, que significa
espelhamento de drives ou servidores (cópia dos dados de drives ou servidores), até o
nível 5, que é o particionamento com paridade (o mesmo arquivo repetido em
diferentes discos). Esta tecnologia é uma opção segura e confiável, sendo muito
utilizada em empresas que possuem rede non-stop e que não podem perder tempo
interrompendo o sistema para fazer backup.
Porém, este serviço de backup via Internet ainda não é uma solução adequada para
as empresas, devido a dois problemas básicos: falta de infra-estrutura e de segurança.
Nenhuma empresa deseja ter seus dados armazenados em um lugar qualquer
(indefinido) na Internet.
Outro ponto muito importante e que é sempre bom lembrar, é que a maioria de
falhas na rede corporativa são frutos de erro humano. Isto significa que é necessário
um treinamento dos envolvidos, para que estes possam agir de maneira correta em
caso de emergência (restauração do backup).
Segurança de redes
Introdução
Ameaças e Ataques
Exemplo :
Descuidos operacionais.
Exemplos:
Observação de dados com ferramentas simples de monitoramento da
redes.
Personificação: uma entidade faz-se passar por outra. Uma entidade que possui
poucos privilégios pode fingir ser outra, para obter privilégios.
Recusa ou Impedimento de Serviço: ocorre quando uma entidade não executa sua
função apropriadamente ou atua de forma a impedir que outras entidades executem
suas funções.
Cavalos de Tróia: Uma entidade executa funções não autorizadas, em adição às que
está autorizado a executar.
Política baseada em regras: As Regras deste tipo de política utilizam os rótulos dos
recursos e dos processos para determinar o tipo de acesso que pode ser efetuado. No
caso de uma rede de computadores, os dispositivos que implementam os canais de
comunicação, quando é permitido transmitir dados nesses canais etc..
Serviços de Segurança
Integridade dos dados: evitar que pessoas não autorizadas insiram ou excluam
mensagens.
Mecanismos de Segurança
Criptografia
Existem também a criptografia que utiliza uma chave de codificação. Isto é, para um
mesmo texto normal e um mesmo método de criptografia, chaves diferentes podem
produzir textos criptografados diferentes.
O método DES codifica blocos de 64 bits de texto normal gerando 64 bits de texto
criptografado. O algoritmo de codificação é parametrizado por uma chave K de 56 bits
e possui 19 estágios diferentes. Criptografia com chave Pública (Assimétricos)
FireWalls
Assinatura Digital
Que o transmissor não possa mais tarde negar a autoria da mensagem (verificação).
Autenticação
Na terceira situação, as entidades não confiam nos seus parceiros nem no meio de
comunicação. Nesse caso, devem ser usadas técnicas que impeçam que uma entidade
negue que enviou ou recebeu uma unidade de dados. Ou seja, devem ser empregados
mecanismos de assinatura digital, ou mecanismos que envolvam o compromisso de um
terceiro confiável.
Controle de Acesso
Integridade de Dados
Para garantir a integridade dos dados, podem ser usadas técnicas de detecção de
modificação, normalmente associadas com a detecção de erros em bits, em blocos, ou
erros de seqüência introduzidos por enlaces e redes de comunicação. Entretanto se os
cabeçalhos e fechos carregando informações de controle não forem protegidas contra
modificações, um intruso, que conheça as técnicas pode contornar a verificação.
Enchimento de tráfego
Controle de Roteamento
Rótulos de Segurança
Registro de Eventos