SEGURANÇA DE DADOS EM COMPUTAÇÃO

INTRODUÇÃO

Um dos maiores problemas e um dos mais difíceis de resolver é o da segurança de

dados. O problema tem muitas facetas e envolve as instalações físicas, procedimentos
operacionais, características do hardware do computador e convenções do software e
da programação.

Vivemos em uma sociedade que se baseia em informações e que exibe uma crescente
propensão para coletar e armazenar informações, por isso a necessidade de se ter
mecanismos de segurança realmente eficientes.

A segurança de dados pode ser definida como a proteção de dados contra a revelação
acidental ou intencional a pessoas não autorizadas, e contra alterações não permitidas.

A segurança no universo computacional se divide em segurança lógica e segurança

física, presentes tanto em computadores standalones (PC’s individuais) como em
computadores ligados em rede (Internet ou Rede interna).

Segurança Física:

Devemos atentar para ameaças sempre presentes, mas nem sempre lembradas;
incêndios, desabamentos, relâmpagos, alagamentos, problemas na rede elétrica,
acesso indevido de pessoas ao CPD, treinamento inadequado de funcionários, etc.

Medidas de proteção física, tais como serviços de guarda, uso de no-breaks, alarmes
e fechaduras, circuito interno de televisão e sistemas de escuta são realmente uma
parte da segurança de dados. As medidas de proteção física são freqüentemente
citadas como "segurança computacional", visto que têm um importante papel também
na prevenção dos itens citados no parágrafo acima.

O ponto-chave é que as técnicas de proteção de dados por mais sofisticadas que

sejam, não tem serventia nenhuma se a segurança física não for garantida.
 Segurança Lógica:

Esta requer um estudo maior, pois envolve investimento em softwares de segurança

ou elaboração dos mesmos.

Deve-se estar atento aos problemas causados por vírus, acesso de bisbilhoteiros
(invasores de rede), programas de backup desatualizados ou feito de maneira
inadequada, distribuição de senhas de acesso, etc..

Um recurso muito utilizado para se proteger dos bisbilhoteiros da Internet

(administrador de sistemas), é a utilização de um programa de criptografia que
embaralha o conteúdo da mensagem, de modo que ela se torna incompreensível para
aqueles que não sejam nem o receptor ou provedor da mesma.

Disco de partida, disquete que possibilita colocar em funcionamento o micro no caso

de um defeito no disco rígido, é uma ferramenta disponível no Windows 95 que vem
reforçar a segurança dos dados, bem como outras ferramentas que retiram vírus de
macro, protegem documentos no Word através de senhas, etc.

OBJETIVOS

O objetivo da segurança de dados abrange desde uma fechadura na porta da sala de

computadores até o uso de técnicas criptográficas sofisticadas e códigos de
autorização.

Seu estudo não abrange somente o crime computacional (hackers), envolve qualquer
tipo de violação da segurança, como erros em processamento ou códigos de
programação.

A segurança de dados objetiva restringir o uso de informações (softwares e dados

armazenados) no computador e dispositivos de armazenamento associados a indivíduos
selecionados, e pode ser dividida nos seguintes tópicos:

Os objetivos da Segurança em Informática são:

·1 Preservação do patrimônio da empresa (os dados e as informações fazem parte

do patrimônio)

Deve-se preservá-lo protegendo-o contra revelações acidentais, erros operacionais

(montagem errada de um disco magnético, por exemplo) e contra as infiltrações que
podem ser de dois tipos:

Infiltração deliberada: tem como objetivos principais o acesso ás informações

dos arquivos, descobrir os interesses da informação dos usuários, alterar ou destruir
arquivos e obter livre uso dos recursos do sistema..

Infiltração ativa: consiste desde o exame periódico dos conteúdos das cestas de
lixo da área do computador até à gravação clandestina dos dados armazenados. Isto
inclui:

·2 Sapear: envolve o uso do acesso legítimo ao sistema para obtenção de

informação não-autorizada;
·3 Usar disfarce: é a prática da obtenção de identificação própria através de meios
impróprios (como a gravação clandestina) e a seguir o acesso ao sistema como um
legítimo usuário.
·4 Detectar e usar alçapões: são dispositivos de hardware, limitações de software
ou pontos de entrada especialmente plantados que permitem que fonte não-
autorizada tenha acesso ao sistema.
·5 Infiltrar-se através de canais ativos de comunicações
·6 Meios físicos: incluem o acesso ao sistema através de uma posição no centro de
computação, ou seja, profissionais que ocupam cargos com acesso ao CPD e
deliberam as informações a terceiros; e o roubo de veículos removíveis de
armazenamento.
·7 Manutenção dos serviços prestados pela empresa
·8 Segurança do corpo funcional
·9 Em caso de problemas: detecção das causas e origens dos problemas no menor
prazo possível, minimização das conseqüências dos mesmos, retorno às condições
normais no menor prazo, com o menor custo e com o menor trauma possíveis

Os caminhos para alcançar estes objetivos são bastante claros:

·10 Detecção e análise dos pontos vulneráveis

·11 Estabelecimento de políticas de segurança (técnicas de segurança incluem
aspectos do hardware computacional, rotinas programadas e procedimentos
manuais, bem como os meios físicos usuais de segurança local e segurança de
pessoal, fechaduras, chaves e distintivos)
·12 Execução das políticas de segurança
·13 Acompanhamento
·14 Avaliação dos resultados contra os objetivos traçados
·15 Correção de objetivos e políticas
·16 Gerencia de acesso
Gerencia de acesso, ou controle de acesso, trata da prevenção para que usuários
não autorizados obtenham serviços do sistema computacional ou obtenham acesso aos
arquivos. Este controle é um pouco mais complicado quando se trata de rede, já que
qualquer um pode se passar por usuário autorizado, daí a importância do uso de
técnicas de segurança, como senhas ou identificação por cartões magnéticos

Este plano de segurança deve considerar os seguintes fatores:

1) Conteúdo das informações

Se refere à sensibilidade dos programas e dados que possam exigir uma das
seguintes coisas: nenhuma providência sobre segurança de dados, restrições normais a
necessidades de conhecimento, ou preocupações extensas para evitar revelação.

2) Ambiente:

Refere-se aos usuários e aos métodos pelos quais eles têm acesso ao sistema.

3) Comunicações:
 Referem-se ao uso das facilidades das comunicações de dados, que podem ser no
local do computador, podem ser uma rede privada ou pode ser uma rede pública.

4) Facilidades de sistema:

Referem-se a serviços previstos pelo sistema computacional que podem incluir, no

mínimo, funções especializadas, solução de problema interativo, apoio remoto de
programação e um sistema total de informação.

Basicamente, deve ser criado um Plano de Segurança (como evitar problemas) e um

Plano de Contingência (o que fazer em caso de problemas).

É oportuno frisar que segurança absoluta não existe - ninguém é imune a ataques
nucleares, colisões com cometas ou asteróides, epidemias mortais, seqüestros,
guerras, ou a uma simples maionese com salmonela na festa de fim de ano da
empresa.

Trata-se de descobrir os pontos vulneráveis, avaliar os riscos, tomar as providências

adequadas e investir o necessário para ter uma segurança homogênea e suficiente. Se
sua empresa fatura R$ 50.000,00 por mês você não pode ter a mesma segurança que
uma empresa que fature 1 ou 2 milhões mensais. Sempre existirão riscos. O que não
se pode admitir é o descaso com a segurança.

Deve-se perguntar:

·17 Proteger O QUE?

·18 Proteger DE QUEM?
·19 Proteger A QUE CUSTOS?
·20 Proteger COM QUE RISCOS?

O axioma da segurança é bastante conhecido de todos, mas é verdadeiro:

"Uma corrente não é mais forte do que o seu elo mais fraco"</font>

Princípios Básicos

Os princípios básicos de segurança em sistemas são:

·21 Confidencialidade: proteção da informação compartilhada contra acessos não

autorizados; obtém-se a confidencialidade pelo controle de acesso (senhas) e
controle das operações individuais de cada usuário (log)
·22 Autenticidade: garantia da identidade dos usuários
·23 Integridade: garantia da veracidade da informação, que não pode ser
corrompida (alterações acidentais ou não autorizadas)
·24 Disponibilidade: prevenção de interrupções na operação de todo o sistema
(hardware + software); uma quebra do sistema não deve impedir o acesso aos
dados
 SITUAÇÕES DE INSEGURANÇA

As ameaças podem ser oriundas das seguintes situações de insegurança:

Catástrofes

·25 Incêndio acidental ou intencional

·26 Alagamento por inundação de porões ou salas com risco potencial, por
vazamento dos encanamentos ou por goteiras
·27 Explosão intencional ou provocada por vazamento de gás (em butijões ou
encanado)
·28 Desabamento parcial ou total do prédio
·29 Impacto de escombros da cobertura (teto de gesso, forração ou telhado)
·30 Grande sobrecarga na rede elétrica ou relâmpagos que causam queima total de
equipamentos
·31 Terremotos, que normalmente provocam uma combinação dos itens acima
·32 Guerras - com conseqüências imprevisíveis

Problemas ambientais

·33 Variações térmicas - excesso de calor causa travamentos e destrói mídias;

excesso de frio congela fisicamente dispositivos mecânicos, como discos rígidos
·34 Umidade - inimigo potencial de todas as mídias magnéticas
·35 Poeira depositada nas cabeças de leitura e gravação dos drivers, pode destruir
fisicamente um disquete ou uma fita
·36 Radiações - além de causarem danos às pessoas, podem provocar problemas
diversos em computadores
·37 Ruído causa estresse no pessoal
·38 Vapores e gases corrosivos - em qualquer incêndio, bastam 100ºC para
transformar a água cristalizada nas paredes em vapor, que destrói mídias e
componentes
·39 Fumaça - a fumaça do cigarro deposita uma camada de componentes químicos
nas cabeças de leitura e gravação dos drives, que pode inviabilizar a utilização de
disquetes e fitas; fumaça de incêndios próximos é muito mais perigosa
·40 Magnetismo - grande inimigo das mídias magnéticas, pode desgravar
disquetes, fitas e discos rígidos
·41 Trepidação - pode afrouxar placas e componentes em geral, além de destruir
discos rígidos

Supressão de serviços
·42 Falha de energia elétrica - grande risco potencial, à medida que paralisa
totalmente todas as funções relacionadas à informática
·43 Queda nas comunicações - grande risco potencial, pois isola o site do resto do
mundo; risco de perda de dados
·44 Pane nos equipamentos - problema bastante comum, resolvido com backup de
informações e de hardware
·45 Pane na rede - isola um ou mais computadores de um mesmo site; risco
potencial de perda de dados
·46 Problemas nos sistemas operacionais - risco potencialmente explosivo, pois
podem comprometer a integridade de todos os dados do sistema e até mesmo
inviabilizar a operação; eliminam a confiança da equipe
·47 Problemas nos sistemas corporativos - grande risco, causam grande transtorno
e perdas de dados
·48 Parada de sistema - igualmente um grande risco

Comportamento anti-social

·49 Paralisações e greves - problema contornável se houver condução política

adequada
·50 Piquetes - risco maior do que as paralisações, exigem negociações mais
complexas
·51 Invasões - altíssimo risco de destruição acidental ou intencional
·52 Hacker - indivíduo que conhece profundamente um computador e um sistema
operacional e invade o site sem finalidade destrutiva
·53 Alcoolismo e drogas - risco de comportamento anômalo de funcionários, com
conseqüências imprevisíveis
·54 Disputas exacerbadas entre pessoas podem levar à sabotagem e alteração ou
destruição de dados ou de cópias de segurança
·55 Falta de espírito de equipe - falta de coordenação, onde cada funcionário
trabalha individualmente; risco de omissão ou duplicação de procedimentos
·56 Inveja pessoal/profissional - podem levar um profissional a alterar ou destruir
dados de outro funcionário
·57 Rixas entre funcionários, setores, gerências, diretorias - mesmo caso do item
anterior, porém de conseqüências mais intensas

Ação criminosa

·58 Furtos e roubos - conseqüências imprevisíveis, podem inviabilizar

completamente os negócios da empresa
·59 Fraudes - modificação de dados, com vantagens para o elemento agressor
·60 Sabotagem - modificação deliberada de qualquer ativo da empresa
·61 Terrorismo - de conseqüências imprevisíveis, pode causar mortes, a destruição
total dos negócios ou de mesmo de toda a empresa
·62 Atentados - uso de explosivos, com as mesmas conseqüências do item anterior
·63 Seqüestros - ação contra pessoas que tenham alguma informação
·64 Espionagem industrial - captação não autorizada de software, dados ou
comunicação
·65 Cracker - indivíduo que conhece profundamente um computador e um sistema
operacional e invade o site com finalidade destrutiva

Incidentes variados

·66 Erros de usuários - de conseqüências imprevisíveis, desde problemas

insignificantes até a perda de um faturamento inteiro; erros de usuários costumam
contaminar as cópias de segurança (backup) quando não detectados a tempo
·67 Erros em backups - risco sério de perda de dados; o backup sempre deve ser
verificado
·68 Uso inadequado dos sistemas - normalmente ocasionado por falta de
treinamento, falta de documentação adequada do sistema ou falta de capacidade
de quem utiliza o sistema de forma inadequada, tem os mesmos riscos do item
Erros de usuários
·69 Manipulação errada de arquivos - costuma causar perda de arquivos e pode
contaminar as cópias de segurança
·70 Treinamento insuficiente - inevitavelmente causa erros e uso inadequado
·71 Ausência/demissão de funcionário - é problemático se a pessoa ausente for a
única que conhece determinados procedimentos
·72 Estresse/sobrecarga de trabalho - uma pessoa sobrecarregada é mais propensa
a cometer erros e adotar atitudes anti-sociais
·73 Equipe de limpeza - deve receber o treinamento adequado sobre segurança

Contaminação eletrônica </font>

·74 Vírus - programa que insere uma cópia sua em outros programas executáveis
ou no setor de boot; os vírus se replicam através da execução do programa
infectado
·75 Bactéria - programa que reproduz a si próprio e vai consumindo recursos do
processador e memória
·76 Verme - programa que se reproduz através de redes
·77 Cavalo de Tróia - programa aparentemente inofensivo e útil, mas que contém
um código oculto indesejável ou danoso
·78 Ameba - usuário que, sem ter conhecimento para tanto, mexe na configuração
do computador ou do software, causando problemas, perda de dados, travamento
da máquina, etc.
·79 Falhas na segurança dos serviços - os serviços da Internet são potencialmente
sujeitos a falhas de segurança, basicamente devido ao fato de o UNIX ter sido
gestionado em ambiente universitário, que visava um processamento cooperativo
e não a segurança; além disto, o UNIX é muito bem conhecido por hackers e
crackers

OS PREJUÍZOS

A Informática é o centro nevrálgico da empresa. Qualquer pequeno problema no(s)

servidor(es) corporativo(s) ou em algum servidor departamental pode paralisar vários
ou mesmo todos os departamentos da empresa. Quanto maior o grau de integração
dos sistemas, quanto maior o volume e a complexidade dos negócios, maior será a
dependência em relação à Informática.

Graus de severidade. Podemos classificar os prejuízos decorrentes de problemas com

segurança em graus de severidade, conforme a abrangência dos danos e as
providências tomadas para retornar à normalidade:

·80 INSIGNIFICANTES - casos em que o problema ocorre, é detectado e corrigido

sem maiores repercussões. São problemas isolados, sem nenhuma repercussão na
estrutura computacional da empresa. O maior prejuízo é a despesa com a mão de
obra alocada, ou algum suprimento desperdiçado. Um exemplo é a presença de
vírus em um computador, que é prontamente detectado e exterminado.
Certamente é necessário um grande investimento em segurança para que os
problemas possam ser prontamente resolvidos e os prejuízos minimizados;
·81 PEQUENOS - o problema ocorre, existe uma pequena repercussão na estrutura
computacional e organizacional da empresa (atrasos, bloqueio de sistema, perdas
de movimentação, etc.), e o problema é resolvido. Um exemplo é a perda dos
dados corporativos, a recuperação via backup da posição anterior e a necessidade
de redigitação da movimentação de um dia. Ou, então, a destruição física,
acidental ou proposital, de um servidor corporativo, com a necessidade de
substituição emergencial, mas sem perda dos dados. Os prejuízos são restritos ao
âmbito da empresa, sem repercussões nos seus negócios e sem interferências com
 seus clientes;
·82 MÉDIOS - o problema ocorre, provoca repercussão nos negócios da empresa e
interfere com os seus clientes, mas a situação consegue ser resolvida de maneira
satisfatória, normalmente com um grande esforço e com maior ou menor desgaste
interno e externo da empresa. Exemplos: erros graves no faturamento, perda de
dados sem backup;
·83 GRANDES - repercussões irreversíveis de caráter interno ou externo, com
perda total de dados, prejuízo financeiro irrecuperável, perda de clientes, perda de
imagem e posição no mercado;
·84 CATASTRÓFICOS - prejuízos irrecuperáveis, que podem dar origem a
processos judiciais e falência da empresa.

O que causa muita preocupação é que, via de regra, o tipo de erro não tem relação
com o grau de severidade dos prejuízos. A perda total de um servidor corporativo
(incêndio, queda de escombros, etc.) pode, se houver backups atualizados, causar um
prejuízo equivalente apenas ao valor do conserto ou substituição da máquina, ao passo
que um pequeno erro de programação (um if mal posicionado ou um comentário em
uma linha de programa que deveria estar ativa, erros de fácil correção) podem,
facilmente, provocar prejuízos catastróficos.

Prejuízos em função do tempo. Quando ocorre algum problema que provoque uma
paralisação, os prejuízos menos importantes são percebidos imediatamente. Outros,
normalmente os maiores, somente serão percebidos posteriormente, e será muito
difícil, ou mesmo impossível, repará-los.

Problemas de segurança com graus de severidade INSIGNIFICANTE e PEQUENO

somente causam prejuízos imediatos, tais como:

·85 Paralisação das atividades normais da empresa

·86 Danos materiais, variáveis conforme o problema ocorrido
·87 Sobrecarga na estrutura da empresa, que deve mobilizar os seus recursos,
normalmente exíguos, para a tentativa de recuperação dos problemas decorrentes
do erro
·88 Atritos internos em função da responsabilização pelo erro

Normalmente problemas com grau de severidade MÉDIO causam poucos prejuízos a

médio e longo prazos, que são:

·89 Desvio nos objetivos da empresa

·90 Perda de mercado
·91 Perda de imagem
·92 Perda de credibilidade
·93 Desânimo e perda de funcionários
·94 Atritos internos extremamente sérios e atritos externos em função da
responsabilização pelo erro

Problemas com grau de severidade GRANDE e CATASTRÓFICO certamente causam

os supra citados prejuízos a médio e longo prazo, podendo causar o encerramento das
atividades da empresa e pendências com a Justiça para seus diretores e funcionários.

A queda na eficiência dos negócios da empresa após um acidente sério com

informática é drástica, como indica o gráfico abaixo. Nas ordenadas, temos a eficiência
da empresa; nas abcissas, o intervalo em dias após o evento.
 É óbvio que, em certos casos extremamente sérios, a eficiência cai a zero
imediatamente após o acidente.

Custos da reposição de informações. Podem ocorrer prejuízos altíssimos em caso de

problemas sérios, considerando, entre outros, alocação de recursos humanos
adicionais, busca de documentos, redigitação das informações, reconstrução do local e
reposição de hardware e software, multas, etc.</font>

Multas: Além de todos os demais prejuízos, também existem multas pesadas!

A Instrução Normativa da SRF n. 068/95 de 27/12/95, baseada na Lei n. 8.218/91 e

a Portaria n. 13 de 28/12/95 da Secretaria da Receita Federal exigem a preservação
dos arquivos magnéticos e prevêem a aplicação de multa de 5% sobre o valor das
operações comerciais, fiscais e contábeis aos contribuintes que omitirem ou prestarem
informações incorretas em arquivos magnéticos.

É exigido (transcrito do catálogo "Segurança em Informática" da ACECO):

·95 Preservação dos arquivos magnéticos: todas as pessoas jurídicas (com

exceção das fiscalizadas pelo Banco Central), com patrimônio líquido acima de 2
milhões de UFIRs (aproximadamente R$ 1,7 milhões no final de 1995) e que
utilizem computadores (próprios ou através de terceiros), devem preservar seus
arquivos magnéticos durante o período decadencial de guarda de documentação
contábil e fiscal, previsto na legislação tributária.
·96 Descrição dos arquivos magnéticos a serem preservados: Contabilidade,
Fornecedores/Clientes, Documentos Contábeis/Fiscais, Controle de
Estoque/Registro de Inventário, Correção Monetária de Balanço e Controle
Patrimonial, Folha de Pagamento, Relação Insumos/Produtos, Cadastro de Pessoas
Físicas e Pessoas Jurídicas aplicado aos arquivos fornecidos, Tabelas de Códigos
aplicados aos arquivos fornecidos.

Outras informações:

·97 A apresentação dos arquivos magnéticos é feita mediante Termo de Intimação

Fiscal, portanto não há periodicidade para o envio dos arquivos à Secretaria da
Receita Federal.
·98 Os arquivos magnéticos para a fiscalização devem ser apresentados nos
formatos descritos detalhadamente na Portaria n. 13.
·99 A preservação dos arquivos magnéticos à disposição da fiscalização começou
em 1994, através da SRF 65/93. A Portaria n. 13 apenas reformatou a
apresentação dos arquivos magnéticos.
·100 A obrigatoriedade da entrega dos arquivos não dispensa a emissão de livros
prevista na legislação comercial e fiscal.

Exemplos de multa:

·101 Os arquivos magnéticos que continham informações sobre

faturamento/saídas de mercadorias dos últimos 3 anos foram destruídos por
 sabotagem ou incêndio, e portanto não foram apresentados. Cálculo da multa:
supondo que o faturamento durante os últimos 3 anos foi de 100 milhões, a multa
será de 5 milhões por omissão das informações solicitadas.
·102 Os arquivos magnéticos que continham dados sobre as compras (entrada de
mercadoria) dos últimos 5 anos não puderam ser apresentados. Supondo que as
compras foram 50 milhões durante os últimos 5 anos, a multa será de 2,5
milhões.

Como se pode ver, a questão da Segurança em Informática não é meramente

conceitual ou acadêmica. Trata-se de uma questão estratégica que, se negligenciada,
pode causar todo e qualquer tipo de dano à empresa.

LEIS

Projeto de Lei 1.713 - Substitutivo - versão final - Dez

Dispõe sobre os crimes de informática e dá outras providências

O Congresso Nacional decreta:

CAPÍTULO I

DOS PRINCÍPIOS QUE REGULAM A PRESTAÇÃO DE SERVIÇO POR

REDES DE COMPUTADORES

Art. 1º. O acesso, o processamento e a disseminação de informações

através das redes de computadores devem estar a serviço do cidadão e
da sociedade, respeitados os critérios de garantia dos direitos
individuais e coletivos e de privacidade e segurança de pessoas físicas
e jurídicas e da garantia de acesso às informações disseminadas pelos
serviços da rede.

Art. 2º. É livre a estruturação e o funcionamento das redes de

computadores e seus serviços, ressalvadas as

disposições específicas reguladas em lei.

CAPÍTULO II

DO USO DE INFORMAÇÕES DISPONÍVEIS EM COMPUTADORES OU

REDES DE COMPUTADORES

Art. 3º. Para fins desta lei, entende-se por informações privadas
aquelas relativas a pessoa física ou jurídica identificada ou
identificável.
Parágrafo Único: É identificável a pessoa cuja individuação não envolva
custos ou prazos desproporcionados.

Art. 4º. Ninguém será obrigado a fornecer informações sobre sua

pessoa ou de terceiros, salvo nos casos previstos em lei.

Art. 5º. A coleta, o processamento e a distribuição, com finalidades

comerciais, de informações privadas ficam sujeitas à prévia
aquiescência da pessoa a que se referem, que poderá ser tornada sem
efeito a qualquer momento, ressalvando-se o pagamento de
indenizações a terceiros, quando couberem.

§ 1º. A toda pessoa cadastrada dar-se-á conhecimento das informações

privadas armazenadas e das respectivas fontes.

§ 2º. Fica assegurado o direito à retificação de qualquer informação

privada incorreta.

§ 3º. Salvo por disposição legal ou determinação judicial em contrário,

nenhuma informação privada será mantida à revelia da pessoa a que se
refere ou além do tempo previsto para a sua validade.

§ 4º. Qualquer pessoa, física ou jurídica, tem o direito de interpelar o

proprietário de rede de computadores ou provedor de serviço para
saber se mantém informações a seu respeito, e o respectivo teor.

Art. 6º. Os serviços de informações ou de acesso a bancos de dados

não distribuirão informações privadas referentes, direta ou
indiretamente, a origem racial, opinião política, filosófica, religiosa ou
de orientação sexual, e de filiação a qualquer entidade, pública ou
privada, salvo autorização expressa do interessado.

Art. 7º. O acesso de terceiros, não autorizados pelos respectivos

interessados, a informações privadas mantidas em redes de
computadores dependerá de prévia autorização judicial.

CAPÍTULO III

DOS CRIMES DE INFORMÁTICA

Dano a dado ou programa de computador

Art. 8º. Apagar, destruir, modificar ou de qualquer forma inutilizar,

total ou parcialmente, dado ou programa de computador, de forma
indevida ou não autorizada.

Pena: detenção, de um a três anos e multa.

 Parágrafo único. Se o crime é cometido:

I - contra o interesse da União, Estado, Distrito Federal, Município,

órgão ou entidade da administração direta ou indireta ou de empresa
concessionária de serviços públicos;

II - com considerável prejuízo para a vítima;

III - com intuito de lucro ou vantagem de qualquer espécie, própria ou

de terceiro;

IV - com abuso de confiança;

V - por motivo fútil;

VI - com o uso indevido de senha ou processo de identificação de

terceiro; ou

VII - com a utilização de qualquer outro meio fraudulento.

Pena: detenção, de dois a quatro anos e multa

Acesso indevido ou não autorizado

Art. 9o. Obter acesso, indevido ou não autorizado, a computador ou rede de

computadores.

Pena: detenção, de seis meses a um ano e multa.

Parágrafo primeiro. Na mesma pena incorre quem, sem autorização ou indevidamente,

obtém, mantém ou fornece a terceiro qualquer meio de identificação ou acesso a
computador ou rede de computadores.

Parágrafo segundo. Se o crime é cometido:

I - com acesso a computador ou rede de computadores da União, Estado, Distrito

Federal, Município, órgão ou entidade da administração direta ou indireta ou de
empresa concessionária de serviços públicos;

II - com considerável prejuízo para a vítima;

III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

IV - com abuso de confiança;

V - por motivo fútil;

VI - com o uso indevido de senha ou processo de identificação de terceiro; ou

VII - com a utilização de qualquer outro meio fraudulento.

Pena: detenção, de um a dois anos e multa.

Alteração de senha ou mecanismo de acesso a programa de computador ou dados

Art. 10o. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou não autorizada.

Pena: detenção, de um a dois anos e multa.

Obtenção indevida ou não autorizada de dado ou instrução de computador

Art. 11o. Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou

instrução de computador.

Pena: detenção, de três meses a um ano e multa.

Parágrafo único. Se o crime é cometido:

I - com acesso a computador ou rede de computadores da União, Estado, Distrito

Federal, Município, órgão ou entidade da administração direta ou indireta ou de
empresa concessionária de serviços públicos;

II - com considerável prejuízo para a vítima;

III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

IV - com abuso de confiança;

V - por motivo fútil;

VI - com o uso indevido de senha ou processo de identificação de terceiro; ou

VII - com a utilização de qualquer outro meio fraudulento.

Pena: detenção, de um a dois anos e multa

Violação de segredo armazenado em computador, meio magnético de natureza

magnética, optica ou similar

Art. 12o. Obter segredos, de indústria ou comércio, ou informações pessoais

armazenadas em computador, rede de computadores, meio eletrônico de natureza
magnética, óptica ou similar, de forma indevida ou não autorizada.

Pena: detenção, de um a três anos e multa.

Criação, desenvolvimento ou inserção em computador de dados ou programa de

computador com fins nocivos

Art. 13o. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de

computadores, de forma indevida ou não autorizada, com a finalidade de apagar,
destruir, inutilizar ou modificar dado ou programa de computador ou de qualquer forma
dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou rede
de computadores.

Pena: reclusão, de um a quatro anos e multa.

Parágrafo único. Se o crime é cometido:

I - contra a interesse da União, Estado, Distrito Federal. Município, órgão ou entidade

da administração direta ou indireta ou de empresa concessionária de serviços públicos;

II - com considerável prejuízo para a vítima;

III - com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;

IV - com abuso de confiança;

V - por motivo fútil;

VI - com o uso indevido de senha ou processo de identificação de terceiro; ou

VII - com a utilização de qualquer outro meio fraudulento.

Pena: reclusão, de dois a seis anos e multa.

Veiculação de pornografia através de rede de computadores

Art. 14o. Oferecer serviço ou informação de caráter pornográfico, em rede de

computadores, sem exibir, previamente, de forma facilmente visível e destacada, aviso
sobre sua natureza, indicando o seu conteúdo e a inadequação para criança ou
adolescentes.

Pena: detenção, de um a três anos e multa.

CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS

Art. 15o. Se qualquer dos crimes previstos nesta lei é praticado no exercício de
atividade profissional ou funcional, a pena é aumentada de um sexto até a metade.

Art. 16o. Nos crimes definidos nesta lei somente se procede mediante representação do
ofendido, salvo se cometidos contra o interesse da União, Estado, Distrito Federal
Município, órgão ou entidade da administração direta ou indireta, empresa
concessionária de serviços públicos, fundações instituídas ou mantidas pelo poder
público, serviços sociais autônomos, instituições financeiras ou empresas que explorem
ramo de atividade controlada pelo poder público, casos em que a ação é pública
incondicionada.

Art. 17o. Esta lei regula os crimes relativos à informática sem prejuízo das demais
cominações previstas em outros diplomas legais.

Art. 18o. Esta lei entra em vigor 30 (trinta) dias a contar da data de sua publicação.

Art. 19o. Revogam-se todas as disposições em contrário.

Usuários & Senhas

Regras para Usuários e Senhas

Usuários

·103 não usar a conta do superusuário ou administrador para outros

setores/funcionários
·104 criar grupos por setores/áreas afins
·105 criar contas dos usuários de acordo com seus nomes, dentro dos grupos
</li>

Senhas - não usar

·106 mesmo nome do usuário (login)

·107 senha em branco
·108 palavras óbvias, como "senha", "pass" ou "password"
·109 mesma senha para diversos usuários
·110 primeiro e último nome do usuário
·111 nome da esposa/marido, pais ou filhos
·112 informação sobre si mesmo (placa do carro, data de nascimento,
telefone, CPF)
·113 somente números
·114 palavra contida em dicionário (tanto português quanto inglês)
·115 palavra com menos de 6 caracteres </li>

Senhas - usar

·116 letras minúsculas e maiúsculas

·117 palavras com caracteres não alfabéticos (números ou sinais)
·118 fácil de lembrar para não ter que escrever
·119 fácil de digitar (sem ter que olhar o teclado) </li>

Exemplos de senhas

·120 primeira ou segunda letra de cada palavra de um título ou frase fácil de

memorizar
·121 concatenação de duas palavras curtas com sinal de pontuação
·122 concatenação de duas palavras pequenas de línguas diferentes </li>

Troca de senha

·123 periodicidade ideal: 3 meses

·124 periodicidade máxima: 6 meses
·125 sempre que houver suspeita de vazamento </li>

Dicas

·126 a senha de cada usuário é pessoal e intransferível, devendo ser

rigorosamente proibida a sua cessão a outra pessoa
·127 o responsável por cada setor (ou gerente geral) deverá ter as senhas
dos seus funcionários, em local seguro, para uso em caso emergencial
·128 JAMAIS escreva a senha num pedaço de papel e cole o mesmo no seu
teclado ou monitor, nem coloque na sua gaveta deschaveada </li>

CASOS REAIS DE SEGURANÇA E INSEGURANÇA (EXEMPLOS)

 Pára-raios Uma empresa situada às margens de um rio comprou dois computadores
S-700 da Prológica, lá pelo início da década de 80. Toda a instalação foi feita de forma
adequada, com aterramento, tomadas de 3 pinos e até estabilizador (fato não muito
comum na época). No dia seguinte ao primeiro temporal, constatou-se a queima
("torrefação") total das fontes, placas e demais componentes dos dois computadores,
com perda total dos equipamentos. Motivo: o pára-raios e o aterramento haviam sido
feitos muito próximos um ao outro, e o sub-solo encharcado provocou o retorno de um
raio para o aterramento.

Backup em disquete Certa empresa realizava religiosamente seus backups. Todo

dia. A funcionária encarregada da Informática (digitadora, operadora, conferente de
slips e responsável pelo setor de cadastro) ficava após o expediente e gravava os
dados em mais de 70 disquetes. Isto mesmo, 70 disquetes. Certo dia, o inevitável
aconteceu. Numa tarde de sábado, na tentativa de recuperar o backup, o velho 386 SX
operando em XENIX refugou o disco sessenta e poucos. Foram feitas 3 tentetivas de
recuperação (toda a seqüência de mais de 70 discos de cinco e um quarto). Sempre no
mesmo disquete a máquina engasgava. A solução foi a redigitação de parte do
cadastro. Não houve perda de dados, mas uma despesa grande em retrabalho.

Equipe de limpeza Todas as manhãs o operador constatava a parada do servidor, lá

pelas 2 e meia da madrugada, quando não havia ninguém no CPD. Foram feitas
auditorias no sistema operacional, no servidor, a crontab (tabela do UNIX que dispara
processos automaticamente em horários pré-determinados) foi revisada e alterada,
mas nada resolvia. Não havia registros de invasão do prédio. Até que o gerente do
setor resolveu passar uma noite escondido no CPD. O que se descobriu é que, lá pelas
2 e meia, vinha uma equipe terceirizada realizar a limpeza do prédio, e uma senhora
cuidadosamente desligava o servidor da tomada, limpava, e religava a pobre máquina.

Servidores de baixo custo O velho servidor 486 (montado) já não tinha mais
espaço em disco, e foram feitas cotações para mais um Winchester IDE. A opção mais
barata era de uma marca boa, mas diferente do disco já instalado; tempo de acesso e
capacidade também diferentes. A máquina já apresentava algumas manias irritantes,
como perder a data e a hora, mas nada que comprometesse o funcionamento. O
operador resolvia. Numa manhã de sexta-feira, num bonito dia de inverno, o 486
resolveu que não queria mais ler os discos rígidos. Perda total dos dados, sistemas
aplicativos e sistema operacional. O operador, que resolvia todos os "pepinos" da
máquina, era precavido: havia backup.

Assistência técnica barata A máquina aceitava o UNIX sem grandes problemas. De

vez em quando, no entanto, a mensagem de PANIC. Se o computador emite uma
mensagem de PANIC, imagine-se o estado do seu usuário. A assistência técnica foi
chamada, e foi aí que a confusão realmente começou: o diagnóstico mudava a cada
novo erro, peças eram trocadas aleatoriamente, e no fim a empresa ficou um mês (isto
mesmo, um mês!) sem o tal computador. A solução foi a troca da mother board por 3
ou 4 vezes. Como estava na garantia, o prejuízo financeiro (grande) foi da assistência
técnica...

Assaltos O CP-500 era uma máquina baseada no Z-80, e não tinha disco rígido. Na
sua configuração mais comum, tinha dois drives de 5¼", com capacidade de 180
KBytes cada. Num drive se colocava o disco com o sistema operacional mais o
aplicativo, no outro o disco com os dados. Os discos estavam criteriosamente
cadastrados e guardados, com cópias de segurança em outro armário no mesmo
ambiente. Numa madrugada de sábado, ocorreu o assalto. Os ladrões, aparentemente,
tiveram pouco tempo, mais quebraram do que roubaram. Entre os objetos roubados,
todos os discos dos sistemas e dos dados do CP-500. Por precaução, havia cópias de
segurança. Por sorte, não foram roubadas, pois estavam no mesmo ambiente.

Vírus Aí existem dezenas de histórias. Vai uma interessante: pois tinha aquele
estudante, hacker frustrado, óculos de fundo de garrafa, que gostava de colecionar
software - todo e qualquer software, principalmente qualquer coisa que pudesse
representar algo doentio e desviante. Quando apareceu o primeiro vírus no laboratório
foi aquela festa. Enquanto o funcionário responsável se desdobrava em mil para
descontaminar os PC XT e alertar os usuários, o nosso reptílico aprendiz de malfeitor
contaminava seus próprios discos e recontaminava as máquinas.

Transporte A vítima, um Pentium 75 novinho. A insistência em levar a máquina para

um passeio de caminhonete, junto com malas e outras tralhas, gerou a ira do
responsável pela informática. No entanto, ordens são ordens, e lá se foi o Pentium
desktop conhecer outros ares (quase 2.000 km de estrada, ida e volta). Não havia
backup de nada. Por sorte, uma grande sorte, apenas o mouse e o teclado foram
quebrados (esmagados) na viagem...

Senhas (1) A informática insistia em atribuir senhas complicadas aos pobres

usuários, que nem sabiam prá que precisava de senha, pois já tinham de digitar o
nome... Aqueles teimosos da informática não aceitavam senhas simples, como as inicias
do setor ou do usuário, datas de nascimento ou senhas em branco. Pura má vontade.
Aí os usuários resolveram o problema de uma forma simples e eficiente: colaram os
papeizinhos com as senhas no teclado (não na parte de baixo, na parte de cima
mesmo).

Senhas (2) O operador, responsável pelo cadastro, pela operação, etc., nunca
entendeu direito esta história de administração de usuários. Todo mundo usava a
senha do root (supervisor). Por sorte, a situação foi detectada antes de acontecer o
óbvio.

Incêndios A loja estava progredindo, e estava conseguindo se informatizar. Já tinha

comprado um controle de estoque e uma contabilidade, nada integrado, mas servia
bem. A instalação do CPD era bem precária. Todos os dados no 386, e backup na
mesma sala. Um curto-circuito seguido de incêndio acabou com a informática da loja, e
quase acabou com a própria loja.

Fumaça A loja do lado também tinha computador. O incêndio da outra loja provocou
tanta fumaça que inutilizou todos os disquetes desta loja.

Vandalismo Certa empresa andava com uns probleminhas, e o CPD tinha, nos
discos, provas incriminadoras. A solução foi fácil: num fim de semana, quando não
havia nenhum funcionário de plantão, os backups foram sistematicamente destruídos.
Segunda-feira, surpresa geral...

Falta de energia elétrica Dia de faturamento, mais de um milhão de dólares a

receber, e a maldita luz acabou. Havia prazos bastante rígidos a cumprir, sem segunda
chance. O no-break senoidal inteligente de alguns KVA, que pareceu caro demais na
hora da compra, agora tinha de mostar seu valor. Corre-corre, desligados todos os
computadores não essenciais, apenas o servidor Pentium 100 ligado, processando.
Quando a energia voltou, mais de 4 horas depois, o faturamento estava pronto. Sem
no-break não haveria mais tempo, e o faturamento não teria sido emitido.
Inundação Aquela repartição pública, naquele velho prédio histórico cheio de goteiras,
o computador (um 486 novinho) na mais pré-histórica das salas históricas, no
gabinete da autoridade. Chove no fim de semana. Na segunda feira, o técnico é
chamado com urgência porque o computador não quer funcionar, apesar de ser novo e
de ter sido comprado com o dinheiro do contribuinte. A solução, após mandar consertar
a goteira que ficava exatamente acima do vídeo do computador, foi desmontar o pobre
coitado, lavar as placas e secá-las no ar condicionado. Não houve perda de dados
porque o computador era novo e não havia dados...

Estresse Fim de mês, o faturamento precisava sair de qualquer maneira, e o pessoal

trabalhando dia e noite para cumprir a tarefa. Os dedos a mil nos velhos terminais a
caracter, o servidor Pentium triturando os dados, e a margem de erro da digitação
aumentando sem parar. No fim da empreitada, mais correções do que digitação. Mas,
o objetivo, mais uma vez, foi alcançado.

Dono do conhecimento (esta não chegou a acontecer ainda, mas pode estar
ocorrendo neste exato instante). O fulano era a informática viva da empresa. Atendia
a todas as solicitações, por mais esdrúxulas que fossem. Nada destas frescuras de
documentação, toda a empresa estava na sua cabeça. Configuração de UNIX era com
ele mesmo. TCP/IP tranqüilo. Três ou quatro servidores Pentium interligados, cento e
tantos terminais, tudo na cabeça. O sistema, a linguagem, tudo na cabeça. Um dia, o
infeliz se excedeu no álcool e teve uma amnésia...

Bomba eletrônica Uma empresa com seu PC-XT e um programador que, para se
proteger, criptografava os códigos-fonte que desenvolvia. Ninguém tinha acesso aos
fontes. Em conseqüência, houve o desligamento da empresa, e o problema do próximo
programador, que não tinha estes hábitos. Solução: deletar tudo o que o desgraçado
tinha feito e recomeçar. Em função da detecção prematura do problema, houve pouco
retrabalho e nenhuma perda.

Temperatura e umidade Verão, meio da tarde, mais de 35 graus, a umidade lá

pelos 80%. Parece que vai chover. Não há dinheiro para o ar condicionado, abrem-se
todas as janelas, ligam-se dois ou três ventiladores, a papelada voa, e o sujeito
triturando aquele pobre 386 com o impiedoso Corel Draw. O led do winchester nem
pisca mais, está sempre aceso, e o inclemente operador resolve abrir o Page Maker
para fazer outro trabalho, o cliente está no telefone enchendo o saco. De repente, o
inevitável, que até estava demorando. Pára tudo.

Self made man Esta é a história do office-boy que tinha jeito prá coisa. Foi
subindo, subindo, subindo, passou pelo financeiro, contabilidade, até que acabou
virando programador, e para virar analista foi só uma questão de tempo. Primeira
prostituta aos 13 anos. Nada desta boiolice de estudar, se formar, pois se garantia,
era acadêmico da Faculdade da Vida. Muita ousadia, muita iniciativa, um tanto de
bajulação quando necessário, sabia se virar. Confiava no taco. Até que, um dia,
aconteceu o óbvio: a falta de conhecimento teórico, a falta de metodologia, a
inexperiência, os problemas não resolvidos, a tentativa de levar no papo, a demissão, o
prejuízo para a empresa.

Anapropégua Ou: analista- programador-operador-digitador-responsável pelo

cadastro, secretário e égua. De tanta coisa que faz ao mesmo tempo, acaba se
estressando e deixando tudo pela metade. Não pode tirar férias, não pode ficar
doente, sem fim de semana, mal sobra tempo para tomar as pastilhas anti-ácido e as
vitaminas. Situação potencialmente explosiva, e que costuma realmente explodir.
 Linguagens O velho CLIPPER piratão, que funcionava tão bem no WINDOWS 3.11,
se recusou a trabalhar com o WINDOWS 95. Mas que droga, parece que o Bill Gates
conspira contra a humanidade... Volta o 3.11 ou tenta mexer nos fontes? E quem
garante que não haverá novo estouro de memória numa situação não testada? E as
perdas de índices? E os arquivos corrompidos?

Vaso A secretária não abria mão de colocar o bendito vasinho com uma rosa bem do
lado do computador; misturava um pouco de açúcar na água, sabe Deus por quê.
Apesar de todos os alertas, não houve santo que a fizesse mudar de idéia. Um dia,
aconteceu o óbvio. Engraçado, parece que o óbvio sempre acaba por acontecer... Por
sorte, foi apenas o teclado que tomou um banho de água doce (literalmente), teve de
ser desmontado, lavado e secado.

Cabeamento inadequado Um servidor Pentium 100 SCSI rodando o WINDOWS NT

conectado, via TCP/IP, a outro servidor igual, que rodava SCO UNIX. Vinte terminais
no UNIX, umas dez máquinas em rede com o NT; diversas impressoras compartilhadas.
Uma beleza. O único problema era o famigerado cabeamento coaxial. Cada vez que
uma máquina parava, toda a rede saía do ar (somente do lado NT, o lado UNIX não era
afetado). Dois ou três técnicos de quatro no chão, tentando localizar o problema,
normalmente mau contato. Nunca chegou a ocorrer perda de dados, porque a equipe
estava consciente do problema, mas a perda de tempo era irritante e a situação era
potencialmente de risco. O final feliz, obviamente, foi a instalação de um cabeamento
estruturado, estupidamente mais caro, mas com uma confiabilidade e controlabilidade
que compensam largamente o custo.

Seqüência de erros O aplicativo foi instalado no diretório do grupo, e não no

diretório do usuário, como seria o procedimento mais correto. O usuário passou a
senha a outra pessoa, que acidentalmente deletou os arquivos de dados. Sem
problemas, porque havia backup em fita DAT. Embora não fosse feita a verificação
sistemática do backup, todo mundo sabia que os dados estavam a salvo. Pois não
estavam. Na hora de voltar o tal backup, justamente os arquivos deletados não
puderam ser recuperados. Pânico. Alguém teve a idéia de passar um fax ao fabricante
do software de backup, enquanto a caça às bruxas corria solta. Dois dias depois, a
resposta do fax com a solução: fora executado um patch no sistema operacional
(Novell), adaptando-o à máquina multiprocessada, que trazia problemas para a
recuperação do backup. A partir daí, conseguiu-se tomar as providências para
recuperar os tais arquivos deletados.

Cito também alguns casos clássicos de invasão eletrônica:

Verme (worm) na Internet Um aluno de graduação da Universidade de Cornell,

Robert Morris Jr., paralisou cerca de 3.000 computadores conectados à Internet em 02
de novembro de 1988 (cerca de 50% da Internet na época). Embora o verme não
tivesse efeitos destrutivos, a rede só conseguiu voltar ao normal alguns dias depois. O
estudante foi sentenciado, em 1990, a 3 anos de prisão, mais multa de U$ 10.000,00,
mais 400 horas de serviço comunitário.

Conexão KGB Em 1988, um espião da Alemanha Oriental tentou violar 450

computadores na área acadêmica e militar; vendia as informações para a KGB.

Caso Kevin Mitnick Causou danos à DEC, com o roubo de um sistema de

segurança secreto; roubou cerca de 20.000 números de cartão de crédito; atacou o
computador de um especialista de segurança em informática (no Natal); perseguido
pelo FBI, foi preso em 1995, e pode pegar até 20 anos de prisão, além de multa de U$
500.000,00.

Backup

Backup é uma cópia dos arquivos que julgamos ser mais importante para nós, ou
aqueles arquivos chaves (fundamentais) para uma empresa.

Com o uso cada vez mais constante de computadores, um sistema de backup que
garanta a segurança e disponibilidade full-time dos dados corporativos é fundamental.

Apesar de ser uma medida de segurança antiga, muitas empresas não possuem um
sistema de backup ou, o fazem de maneira incorreta.

Montar um sistema de backup requer um pouco de cautela. É importante por

exemplo, saber escolher o tipo de mídia para se armazenar as informações, como fitas
magnéticas,discos óticos ou sistemas RAID. No Brasil, como em outros países o
dispositivo mais usado é o DAT (Digital Audio Tape), pois oferece capacidade de
armazenamento de até 16GB, a um custo médio de um centavo por megabyte.

Para pessoas físicas e pequenas empresas, não é necessário um grande investimento

para implantar um sistema de backup. Os mais usados trabalham com drives externos
-Zip e Jaz-, equipamentos que possuem preço bem mais em conta, embora possuam
menor capacidade de armazenamento, que já é suficiente para estes casos.

Embora as mídias óticas se mostrem como última palavra em backup, não são muito
viáveis, pois possuem capacidade de armazenamento relativamente pequena (cerca de
600 MB em um CD)e, em muitos casos não são regraváveis. Um ponto a favor das
mídias óticas é a segurança, porém atualmente estão sendo utilizadas para a criação
de uma biblioteca de dados, o que caracteriza armazenamento de dados e não, backup.

A tecnologia RAID, consiste num conjunto de drives que é visto pelo sistema como
uma única unidade, continuando a propiciar acesso contínuo aos dados, mesmo que um
dos drives venha a falhar. Os dados são passam pelo nível 1, que significa
espelhamento de drives ou servidores (cópia dos dados de drives ou servidores), até o
nível 5, que é o particionamento com paridade (o mesmo arquivo repetido em
diferentes discos). Esta tecnologia é uma opção segura e confiável, sendo muito
utilizada em empresas que possuem rede non-stop e que não podem perder tempo
interrompendo o sistema para fazer backup.

Após a escolha da mídia para armazenamento, é muito importante decidir qual

software de backup é mais adequado para atender às necessidades do usuário. São
três os requisitos básicos que devem ser observados:

·129 Facilidade de automatização;

·130 Recuperação;
·131 Gerenciamento.

Isto significa que a ferramenta deve realizar, sem a intervenção humana,

determinadas rotinas, como abrir e fechar a base de dados ou copiar somente os
arquivos alterados. É importante que o produto também realize o gerenciamento
centralizado, permitindo fazer o backup tanto dos arquivos quanto do banco de dados
através da mesma interface.

Como escolher um sistema de backup:

·132 Procure o tipo de mídia de armazenamento adequado ao volume de dados e

às necessidades de sua empresa;
·133 O ramo de atividade da empresa também é determinante. Companhias com
sistemas non-stop necessitam de sistemas rápidos e seguros;
·134 O software de backup deve realizar tarefas automatizadas, como cópia
periódica dos dados e atualização dos arquivos que foram modificados;
·135 Se a empresa possuir banco de dados, é importante que a ferramenta
gerencie através da mesma interface tanto o backup de arquivos quando do
próprio banco de dados;
·136 É muito mais prático um software que permita o gerenciamento centralizado
de toda rede, mesmo em redes heterogêneas.

Falando em Internet, um mercado que vem surgindo é justamente o de backup via

Web. O usuário pode alugar um espaço no servidor para armazenar o backup de seus
dados, podendo atualizá-los ou carregá-los quando bem entender. A prestadora do
serviço é responsável pela segurança.

Porém, este serviço de backup via Internet ainda não é uma solução adequada para
as empresas, devido a dois problemas básicos: falta de infra-estrutura e de segurança.
Nenhuma empresa deseja ter seus dados armazenados em um lugar qualquer
(indefinido) na Internet.

Outro ponto muito importante e que é sempre bom lembrar, é que a maioria de
falhas na rede corporativa são frutos de erro humano. Isto significa que é necessário
um treinamento dos envolvidos, para que estes possam agir de maneira correta em
caso de emergência (restauração do backup).

Entre as falhas mais comuns, além da falta de preparo dos envolvidos, é o

armazenamento dos disquetes ou outra mídia de armazenamento no próprio local onde
se localiza o computador, o que no caso de qualquer desastre (incêndio,enchente),
levará a perda total dos dados.</font>

Concluindo, deve se ter um plano de ação para montar um sistema de backup, ou

seja, as estratégias tanto de emergência quanto as da própria rotina devem ser
estudadas e padronizadas para que todos estejam preparados.

Segurança de redes

Introdução

A segurança em uma rede de computadores está relacionada à necessidade de

proteção dos dados, contra a leitura, escrita ou qualquer tipo de manipulação,
intencional ou não, confidencial ou não, e a utilização não autorizada do computador e
seus periféricos.
 Quando você envia dados através da rede, a comunicação pode ser interceptada e
seus dados caem nas mãos do interceptador. Embora isso seja difícil de fazer, é
possível. É assim que os crackers conseguem os números de cartões de crédito dos
outros, por exemplo.

O maior perigo para as jóias intelectuais de uma companhia, segredos comerciais,

planos de preços e informações sobre consumidores, vem de companias rivais.

Alguns especialistas afirmam que o problema é que a natureza efervescente dos

dados eletrônicos pode amenizar, ou até mesmo apagar, os sentimentos de culpa. As
pessoas fazem coisas no ambiente do computador que nunca fariam fora dele. A maior
parte das pessoas não pensaria em entrar num escritório, na calada da noite, para
remexer em um arquivo confidencial. Mas, e se isso puder ser feito de forma muito
mais cômoda, entretanto no e-mail de uma outra pessoa a partir da própria mesa de
trabalho no escritório? Então, para proteger a comunicação, inventaram a criptografia e
o firewall, soluções para combater os hackers, porém, antes as empresas devem adotar
uma política de segurança específica e personalizada. Um caminho que pode fazer com
que uma empresa elimine os seus pontos vulneráveis, seria implantar um plano
baseado em três pilares: difusão da cultura de segurança, ferramentas para garantir a
execução do projeto e mecanismo de monitoração.

Ameaças e Ataques

Algumas das principais ameaças as redes de computadores são :

·137 Destruição de informação ou de outros recursos.

·138 Modificação ou deturpação da informação.
·139 Roubo, remoção ou perda da informação ou de outros recursos.
·140 Revelação de informações.
·141 Interrupção de Serviços.

As ameaças podem ser acidentais, ou intencionais, podendo ser ambas ativas ou

passivas.

Ameaças acidentais são as que não estão associadas à intenção premeditada.

Exemplo :

Descuidos operacionais.

Bugs de Software e Hardware

Ameaças intencionais são as que estão associadas à intenção premeditada.

Exemplos:
 Observação de dados com ferramentas simples de monitoramento da
redes.

Alteração de dados, baseados no conhecimento do sistema

Ameaças Passivas são as que, quando realizadas não resultam em qualquer

modificação nas informações contidas em um sistema.

Ameaças Ativas envolvem alterações de informações contidas no sistema, ou

modificações em seu estado ou operação.</font>

Os principais ataques que podem ocorrer em um ambiente de processamento e

comunicação de dados são os seguintes:

Personificação: uma entidade faz-se passar por outra. Uma entidade que possui
poucos privilégios pode fingir ser outra, para obter privilégios.

Replay: Uma mensagem, ou parte dela, é interceptada, e posteriormente transmitida

para produzir um efeito não autorizado.

Modificação: O conteúdo de uma mensagem é alterado implicando em efeitos não

autorizados sem que o sistema consiga identificar a alteração.

Exemplo: Alteração da mensagem "Aumentar o salário do José para R$300,00" para

"Aumentar o salário do José para R$3000,00"

Recusa ou Impedimento de Serviço: ocorre quando uma entidade não executa sua
função apropriadamente ou atua de forma a impedir que outras entidades executem
suas funções.

Exemplo: Geração de mensagens com o intuito de atrapalhar o funcionamento de

algoritmos de roteamento.

Ataques Internos: Ocorrem quando usuário legítimos comportam-se de modo não

autorizado ou não esperado.

Armadilhas (Trapdoor): ocorre quando uma entidade do sistema é alterada para

produzir efeitos não autorizados em resposta a um comando (emitido pela entidade
que está atacando o sistema) ou a um evento, ou seqüência de eventos, premeditado.

Exemplo: A modificação do processo de autenticação de usuários para dispensar a

senha, em resposta a uma combinação de teclas específicas.

Cavalos de Tróia: Uma entidade executa funções não autorizadas, em adição às que
está autorizado a executar.

Exemplo: Um login modificado, que ao iniciar a sua sessão, grava as senhas em um

arquivo desprotegido.
 Política de Segurança

Uma política de segurança é um conjunto de leis, regras e práticas que regulam

como uma organização gerência, protege e distribui suas informações e recursos.

Uma política de segurança deve incluir regras detalhadas definindo como as

informações e recursos da organização devem ser manipulados, deve definir, também,
o que é, e o que não é permitido em termos de segurança, durante a operação de um
dado sistema.

Existem dois tipos de políticas:

Política baseada em regras: As Regras deste tipo de política utilizam os rótulos dos
recursos e dos processos para determinar o tipo de acesso que pode ser efetuado. No
caso de uma rede de computadores, os dispositivos que implementam os canais de
comunicação, quando é permitido transmitir dados nesses canais etc..

Política baseada em segurança: O objetivo deste tipo de política é permitir a

implementação de um esquema de controle de acesso que possibilite especificar o que
cada indivíduo pode ler, modificar ou usar.

Serviços de Segurança

Os serviços de Segurança em uma rede de computadores tem como função:

Confidencialidade: proteger os dados de leitura por pessoas não autorizadas.

Integridade dos dados: evitar que pessoas não autorizadas insiram ou excluam
mensagens.

Autenticação das partes envolvidas: verificar o transmissor de cada mensagem e

tornar possível aos usuários enviar documentos eletronicamente assinados.

Mecanismos de Segurança

Uma política de segurança e seus serviços podem ser implementados através de

vários mecanismos de segurança, entre eles, criptografia, assinatura digital, etc.

Criptografia

A criptografia é um método utilizado para modificar um texto original de uma

mensagem a ser transmitida (texto normal), gerando um texto criptografado na
origem, através de um processo de codificação definido por um método de criptografia.
O texto criptografado é então transmitido e, no destino, o inverso ocorre, isto é, o
método de criptografia é aplicado agora para decodificar o texto criptografado
transformando-o no texto original.

Existem também a criptografia que utiliza uma chave de codificação. Isto é, para um
mesmo texto normal e um mesmo método de criptografia, chaves diferentes podem
produzir textos criptografados diferentes.

Criptografia com Chaves Secretas (ou Simétricos)

Este método de criptografia, consiste em substituir as letras de uma mensagem pela

n-ésima letras após a sua posição no alfabeto. Assim o texto criptografado produzido
para um mesmo texto normal pode varia de acordo com o valor de n, que é a chave
utilizada nos processos de codificação e decodificação do método.

Data Encryption Standard (DES): é um dos principais métodos de criptografia

baseada em chave secreta. Foi desenvolvido pela IBM e adotado pelo governo do EUA
como método de criptografia padrão.

O método DES codifica blocos de 64 bits de texto normal gerando 64 bits de texto
criptografado. O algoritmo de codificação é parametrizado por uma chave K de 56 bits
e possui 19 estágios diferentes. Criptografia com chave Pública (Assimétricos)

Este método de criptografia baseia-se na utilização de chaves distintas: uma para

codificação(E) e outra para a decodificação (D), escolhidas de forma que a derivação
de D a partir de E seja em termos práticos, senão impossível, pelo menos difícil de ser
realizada.

RSA: o mais importante método de criptografia assimétrico é o RSA, cujo nome

deriva das inicia dos autores Rivest, Shamir e Aldeman. O método RSA baseia-se na
dificuldade de fatorar números primos muitos grandes.

FireWalls

Firewalls são mecanismos muito utilizados para aumentar a segurança de redes

ligadas a Internet, espécies de barreira de proteção, constituídas de um conjunto de
hardware e software.

Firewall é um sistema ou um grupo de sistemas que garante uma política de controle

de acesso entre duas redes (normalmente a Internet e uma rede local). Em princípio
firewalls podem ser vistos como um par de mecanismos: um que existe para bloquear
o tráfego e outro que existe para permitir o tráfego. Alguns firewalls dão maior ênfase
ao bloqueio de tráfego, enquanto outros enfatizam a permissão do tráfego, o importante
é configurar o firewall de acordo com a política de segurança da organização que o
utiliza, estabelecendo o tipo de acesso que deve ser permitido ou negado.

Como mencionado anteriormente existem várias soluções para segurança na

Internet, e isto também se aplica aos firewalls. Firewalls são classificados em três
categorias principais [SOA 95]: filtros de pacotes, gateways de aplicação e gateways de
circuitos.

Os filtros de pacotes utilizam endereços IP de origem e de destino, e portas UDP e

TCP para tomar decisões de controle de acesso. O administrador elabora uma lista de
máquinas e serviços que estão autorizados a transmitir datagramas nos possíveis
sentidos de transmissão (entrado ou saindo da rede interna), que é então usada para
filtrar os datagramas IP que tentam atravessar o firewall. Um exemplo de política de
filtragem de pacotes seria permitir o tráfego de datagramas carregando mensagens de
SMTP e DNS nas duas direções, tráfego Telnet só para pacotes saindo da rede interna e
impedir todos os outros tipos de tráfego.

A filtragem de pacotes é vulnerável a adulteração de endereços IP e não fornece

uma granularidade muito fina de controle de acesso, já que o acesso é controlado com
base nas máquinas de origem e de destino dos datagramas.

Na segunda categoria de firewalls, um gateway de circuitos atua como intermediário

de conexões TCP, funcionando como um TCP modificado. Para transmitir dados, o
usuário origem conecta-se a uma porta TCP no gateway, que por sua vez, conecta-se
ao usuário destino usando outra conexão TCP. Para que seja estabelecido um circuito o
usuário de origem deve fazer uma solicitação para o gateway no firewall, passando
como parâmetros a máquina e o serviço de destino. O gateway então estabelece ou
não o circuito, note que um mecanismo de autenticação pode ser implementado neste
protocolo.

Firewalls onde os gateways atuam a nível de aplicação utilizam implementações

especiais das aplicações desenvolvidas especificamente para funcionar de forma
segura. Devido a grande flexibilidade desta abordagem ela é a que pode fornecer maior
grau de proteção. Por exemplo, um gateway FTP pode ser programado para restringir
as operações de transferência a arquivos fisicamente localizados em um único host de
acesso externo (bastion host). Além disso, a aplicação FTP pode ser modificada para
limitar a transferência de arquivos da rede interna para a externa, dificultando ataques
internos.

Assinatura Digital

O mecanismo de assinatura digital envolve dois procedimentos:

Que o receptor possa verificar a identidade declarada pelo transmissor (assinatura).

Que o transmissor não possa mais tarde negar a autoria da mensagem (verificação).

O procedimento de assinatura envolve a codificação da unidade de dados completa

ou a codificação de uma parte.

O procedimento de verificação envolve a utilização de um método e uma chave

pública para determinar se a assinatura foi produzida com a informação privada do
signatário.

A característica essencial do mecanismo de assinatura digital é que ele deve garantir

que uma mensagem assinada só pode ter sido gerada com informações privadas do
signatário. Portanto uma vez verificada a assinatura com a chave pública, é possível
posteriormente provar para um terceiro (juiz em tribunal) que só o proprietário da
chave primária poderia ter gerado a mensagem.

Autenticação

A escolha do mecanismo de autenticação apropriado depende do ambiente onde se

dará a autenticação. Em uma primeira situação, os parceiros e os meios de
comunicação são todos de confiança. Neste caso, a identificação pode ser confirmada
por uma senha. Na segunda situação, cada entidade confia em seu parceiro porém não
confia no meio de comunicação. Nesse caso, a proteção contra ataques pode ser
fornecida com o emprego de métodos de criptografia.

Na terceira situação, as entidades não confiam nos seus parceiros nem no meio de
comunicação. Nesse caso, devem ser usadas técnicas que impeçam que uma entidade
negue que enviou ou recebeu uma unidade de dados. Ou seja, devem ser empregados
mecanismos de assinatura digital, ou mecanismos que envolvam o compromisso de um
terceiro confiável.

Controle de Acesso

Os mecanismos de controle de acesso são usados para garantir que o acesso a um

recurso seja limitado aos usuários devidamente autorizados. As técnicas utilizadas
incluem a utilização de listas ou matrizes de controles de acesso, que associam
recursos a usuários autorizados, ou passwords, capabilities e tokens associados aos
recursos, cuja posse determina os direitos de acesso do usuário que as possui.

Integridade de Dados

Para garantir a integridade dos dados, podem ser usadas técnicas de detecção de
modificação, normalmente associadas com a detecção de erros em bits, em blocos, ou
erros de seqüência introduzidos por enlaces e redes de comunicação. Entretanto se os
cabeçalhos e fechos carregando informações de controle não forem protegidas contra
modificações, um intruso, que conheça as técnicas pode contornar a verificação.

Enchimento de tráfego

A geração do tráfego espúrio e o enchimento das unidades de dados fazendo com

que elas apresentem um comprimento constante são formas para fornecer proteção
contra análise do tráfego. Cabe ressaltar que o mecanismo de enchimento de tráfego
só tem sentido caso as unidades de dados sejam criptografados, impedindo que o
tráfego espúrio seja distinguido do tráfego real.

Controle de Roteamento

A possibilidade de controlar o roteamento, especificando rotas preferenciais (ou

obrigatórias) para a transferência de dados, pode ser utilizada para garantir que os
dados sejam transmitidos em rotas fisicamente seguras ou para garantir que a
informação sensível seja transportada em rotas cujos canais de comunicação forneçam
os níveis apropriados de proteção.

Segurança Física e de Pessoal

Procedimentos operacionais devem ser definidos para delinear responsabilidades do

pessoal que interage com um dados sistema. A segurança de qualquer sistema
depende, em última instância, da segurança física dos seus recursos e do grau de
confiança do pessoal que opera o sistema. Ou seja, não adianta utilizar mecanismos
sofisticados de segurança se os intrusos puderem acessar fisicamente os recursos do
sistema.

Hardware / Software de Segurança

O Hardware e o Software que fazem parte de um sistema devem fornecer garantias

que funcionam corretamente, para que possa confiar nos mecanismos de segurança
que implementam a política de segurança do sistema.

Rótulos de Segurança

Os recursos no sistema devem ser associados a rótulos de segurança que indicam,

por exemplo, seu nível de sensibilidade. O rótulo de segurança deve ser mantido junto
com os dados quando eles são transportados. Um rótulo de segurança pode ser
implementado com a adição de um campo aos dados, ou pode ser implícito, por
exemplo, indicado pela chave utilizada para criptografar os dados, ou pelo contexto dos
dados no sistema.

Detecção e Informação de Eventos

A detecção de eventos inclui a detecção de aparentes violações à segurança e deve

incluir a detecção de eventos normais, como um acesso bem sucedido ao sistema
(login). Esse mecanismo necessita do apoio de uma função de gerenciamento que
determina quais são os eventos que devem ser detectados.

Registro de Eventos

O registro de eventos possibilita a detecção e investigação de possíveis violações da

segurança de um sistema, além de tornar possível a realização de auditorias de
segurança.

A auditoria de segurança envolve duas tarefas :

O registro dos eventos no arquivo de auditoria de segurança (security audit log) e a

análise das informações armazenadas nesse arquivo para a geração de relatórios.

Outros Componentes: Carlos Eduardo Guimarães de Salles, Carlos Eduardo Martins de

Oliveira (CaEd), Cristiane Barbosa da Cruz, Fabio dos Santos Moreira, José Osvaldo
Amaral Tepedino, Maurício Domingues da Silva, Nívea Gonçalves da Silva, Paula
Tabajaras, Rodrigo Otávio Guimarães Haydt, Simone de Miranda Milani, Sylvia Maria
da Silva Seito.