1 - INTRODUÇÃO 2.1.
3 – DISPONIBILIDADE
Apesar de os conceitos de segurança se referirem a Propriedade que garante que a informação esteja sempre
computadores de uma forma geral, os riscos que envolvem a disponível para o uso legítimo, ou seja, por aqueles usuários
segurança da informação aumentam incrivelmente quando autorizados pelo proprietário da informação.
os computadores estão ligados em rede, em especial, quando
estão conectados à internet. 2.1.4 – AUTENTICAÇÃO
A importância da internet não precisamos discutir. Todavia, Propriedade que confirma que o remetente ou o destinatário
devemos notar que a internet está cada vez mais presente na é de fato quem ele afirma ser. Por remetente ou destinatário
Administração Pública, disponibilizando canais de prestação devemos entender que tanto o usuário quanto o servidor do
de serviços públicos, desafogando a estrutura física dos sistema devem conseguir comprovar quem são.
órgãos e alcançando localidades remotas. Tudo isso
converge para o conceito de governo eletrônico, assunto que
está na pauta dos governos federal, estaduais, distrital e Para saber mais ...
municipais.
Junto às facilidades, à agilidade e à democratização que são Essas quatro propriedades (ou princípios) são as mais
proporcionadas pelos serviços baseados na internet vêm os costumeiramente citadas. Mas há uma outra propriedade chamada
não-repúdio.
problemas relacionados à segurança da informação. A
segurança da informação é um conceito amplo, que abrange O não-repúdio é a garantia de que um agente não possa negar um
todos os pólos ligados à geração, ao processamento e ao uso ato praticado por ele. Por exemplo, se assino um contrato de compra
da informação. Assim, tanto nos interessam os problemas e venda de um imóvel, registrado em cartório com as devidas firmas
relacionados aos provedores de serviços e sistemas de reconhecidas, não me cabe a negação desse ato diante dos
informação quanto aos usuários desses serviços e sistemas. documentos firmados.
2 - NOÇÕES DE SEGURANÇA DA INFORMAÇÃO
É importante notarmos que todas essas questões também
2.1 - CONCEITO E PROPRIEDADES estão presentes nos sistemas tradicionais, não
informatizados. Utilizamos documentos de identidade,
Podemos entender por informação todo e qualquer conteúdo assinaturas de próprio punho, impressões digitais, lavramos
ou dado que tenha valor para alguma organização ou pessoa. documentos em cartórios, cópias autenticadas etc. As
Ela pode estar guardada para uso restrito ou exposta ao medidas tomadas nos sistemas de informação relativas à
público para consulta ou aquisição. Assim, Segurança de segurança, de certa forma, podem ser facilmente comparadas
Informação está relacionada à proteção sobre esses dados. às medidas de segurança que utilizamos nos sistemas
tradicionais.
As principais propriedades, ou princípios, que orientam a
análise, o planejamento e a implementação da segurança Observação:
para um determinado grupo de informações que se deseja
proteger são:
Para saber mais ...
2.1.1 - CONFIDENCIALIDADE
Propriedade que limita o acesso à informação tão somente às Tradicionalmente, os princípios da segurança da informação são
entidades legítimas, ou seja, àquelas autorizadas pelo confidencialidade, integridade e disponibilidade. Entretanto, o
proprietário da informação. Em outras palavras, os dados advento das redes de computadores e, em especial, dos serviços
disponibilizados pelas redes e pela internet, colocaram em destaque
armazenados só podem ser manipulados por aquelas pessoas também as questões relativas à autenticidade e ao não-repúdio. Os
que tenham autorização para tal. Devemos perceber que três primeiros princípios estão presentes em uma norma da ISO
também está associada a essa propriedade a garantia que (ISO/IEC 17799), também adotada pela ABNT.
uma informação destinada a uma pessoa não será lida por
outra. O termo “sigilo” também é utilizado para referir-se à Em Resumo
confidencialidade .
Confidencialidade - é a garantia de que a informação é acessível somente
por pessoas autorizadas a terem acesso.
2.1.2 - INTEGRIDADE
Integridade - é a salvaguarda da exatidão e completeza da informação e
Propriedade que garante que a informação manipulada dos métodos de processamento.
mantenha todas as características originais estabelecidas
pelo proprietário da informação. Por características Disponibilidade - propriedade que garante que os usuários autorizados
originais, devemos entender que os dados não podem ser obtenham acesso à informação e aos ativos correspondentes, sempre que
perdidos parcial ou integralmente, nem modificados, parcial necessário.
ou integralmente. Deve ser possível certificar se uma
mensagem recebida é realmente legítima ou se não é algo
que alguém, mal-intencionado, modificou ou forjou. Se
enviamos um e-mail para alguém e esse e-mail chega ao
destinatário faltando uma vírgula que seja, houve um
problema relacionado à integridade da informação.
� SEGURANÇA DA INFORMAÇÃO
2.2 - FATORES DE RISCO E AMEAÇAS 2.3.2 - VERMES (WORMS)
Existem diversos fatores e ameaças que colocam em risco Ao contrário dos vírus, os worms não são fragmentos de
sistemas de informação. Podemos citar: arquivos, são arquivos autônomos. Também se reproduzem
e espalham-se por conta própria, principalmente por
FATORESNATURAIS: intermédio de recursos de rede. Por exemplo, um worm pode
Catástrofes, incêndios, terremotos, tempestades enviar cópias de si mesmo a todas as pessoas que constam
no seu catálogo de endereços de email, e os computadores
FATORES HUMANOS: dessas pessoas passam a fazer o mesmo, causando um efeito
Funcionários descontentes, negligência, despreparo, dominó.
ataques terroristas etc.
FATORES TÉCNICOS: 2.3.3 - CAVALOS DE TRÓIA (TROJAN HORSES)
Falha nos equipamentos, interferências, má qualidade de
componentes etc.
São programas que possuem a aparência de úteis (às vezes
Os fatores de risco podem envolver tanto questões de são mesmo), mas que procuram abrir brechas no computador
hardware ou de software. Nos concursos, muitas questões para ações não previstas. Por exemplo, um jogo de cartas
são direcionadas a formas de ataque de software, como os inocente que abra uma porta para copiar arquivos ou roubar
vírus, por exemplo. Por isso, vamos, agora, estudar essas senhas. Ao contrário dos vírus e worms, não se propagam
formas de ataque, além de outros conceitos relacionados. sozinhos. Ganharam esse sugestivo nome em alusão ao
famoso cavalo dado pelos gregos aos troianos e que, em seu
2.3 - MALWARE interior, trazia soldados prontos para abrir os portões de tróia
à invasão grega.
Código malicioso ou Malware (Malicious Software) é um
termo genérico que abrange todos os tipos de programa
especificamente desenvolvidos para executar ações 2.3.4 - KEYLOGGER
maliciosas em um computador. Na literatura de segurança o
termo Malware também é conhecido por “software
malicioso”, e os principais tipos serão vistos a seguir: Keylogger é um programa capaz de capturar e armazenar as
teclas digitadas pelo usuário no teclado de um computador.
2.3.1 - VÍRUS Dentre as informações capturadas podem estar o texto de um
e-mail, dados digitados na declaração de Imposto de Renda
Vírus é “um fragmento de um programa que é unido a um e outras informações sensíveis, como senhas bancarias e
programa legítimo com a intenção de infectar outros números de cartões de credito.
programas” (TANENBAUM,2000). Vírus de computadores
são criados por programadores, mas, uma vez criados, tem a
capacidade de se reproduzir e se espalhar, infectando outros 2.3.5 - SNIFFERS (FAREJADORES)
programas. Dentre os tipos de vírus conhecidos, podemos
citar:
São programas que agem na rede farejando pacotes na
VÍRUS DE BOOT tentativa de encontrar certas informações, como senhas de
Infectam o setor de boot dos discos rígidos. acesso, nomes de usuários, informações confidenciais etc.
Foram desenvolvidos como ferramentas auxiliares de
diagnóstico em redes e posteriormente alterados para fins
VÍRUS DE MACRO
ilícitos.
Infectam documentos gerados por aplicativos que
possuam recursos de macro, como o pacote Microsoft
Office. 2.3.6 - SPYWARE
VÍRUS DE SCRIPT Spyware é um termo genérico usado para softwares que
Vêm em scripts contidos em arquivos HTML para que realizam certas atividades como anúncios, coleta de
sejam executados em clientes de e-mail que executem informações pessoais ou alteração das configurações do
scripts. computador, geralmente sem o nosso consentimento.
Spywares menos danosos podem simplesmente coletar
dados de hábitos de navegação e remetê-los a empresas de
VÍRUS DE ARQUIVO
marketing e publicidade. Spywares mais danosos podem
Infectam arquivos executáveis. Vírus são combatidos
monitorar o teclado e enviar dados de identificação e senhas
pelos programas antivírus, como Norton Antivírus,
do usuário. São combatidos por programas chamados anti-
McAfee etc. Programas antivírus podem proteger o
spyware, como o Spybot.
computador contra vírus conhecidos ou desconhecidos.
Nesse último caso, procuram por características
comuns desses programas. Os programas antivírus 2.3.7 - ADWARE
modernos não combatem somente os vírus.
São programas utilizados para divulgação de propaganda,
VÍRUS POLIMÓRFICO muitas vezes não solicitada ou não autorizada (AD vem de
É um vírus que cada vez que copia a se mesmo muda advertise - propaganda). Também são considerados adwares
seu código, desta forma dificultando a detecção. os softwares não maliciosos que simplesmente exibem
propagandas em suas interfaces como maneira de se
financiarem.
17 [Link]
� ALYSSON MÁRCIO / RÔMULO RICARDO
2.5 - SPAM
Para saber mais ... Spams são mensagens de correio eletrônico não autorizadas
ou não solicitadas. O spam não é propriamente uma ameaça
à segurança, mas é um portador comum delas. São spams,
Há alguma discussão se certos adwares devem ser considerados por exemplo, os e-mails falsos que recebemos como sendo
spywares quando enviam dados de forma oculta. Em muitos casos, a de órgãos como Receita Federal ou Tribunal Superior
separação entre um spyware e um adware não é tarefa simples, mas,
normalmente associamos spywares a ações não autorizadas ou
Eleitoral. Nesse caso, os spams costumam induzir o usuário
ocultas. a instalar um dos malwares que vimos acima. Ferramentas
de combate ao spam são geralmente disponibilizados do
lado do servidores de e-mail, filtrando as mensagens que são
direcionadas à nossa caixa postal.
2.4 - HACKERS E CRACKERS
2.6 - SEGURANÇA FÍSICA
Hackers são pessoas cujo profundo conhecimento de Imaginemos uma empresa internacional de consultoria,
informática permite que tenham um domínio sobre especializada em assuntos relativos a bolsas de valores.
computadores muito acima da média. Crackers são hackers Suponhamos que ela armazene informações vitais sobre o
que usam seus conhecimentos para a prática de atos ilícitos. mercado financeiro e de seus clientes em um único local,
É comum encontrarmos referência a hackers quando na fora de sua rede de computadores. Agora imaginemos que,
verdade estão falando de crackers. Em uma questão de por conta de espionagem, essas informações sejam
concurso, dependendo do contexto exposto, não tomaria divulgadas ao público geral ou que, devido a sabotagem,
como errada uma afirmativa que considerasse os hackers essas informações se perderam ou foram alteradas. Qual
agentes ilícitos, já que há literaturas que reconhecem os dois seria o futuro dessa empresa?
significados para hackers. Fiquem atentos ao contexto.
Uma forma eficiente de evitar esse problemas é a proibição
2.4.1 - ATAQUES de acesso de pessoas não-autorizadas nas dependências que
possam conter informações restritas, limitando o contato ou
Ataques são ações realizadas contra sistemas de informação o acesso direto a informações ou à infra-estrutura que as
de forma voluntária. Podem ser feitos diretamente por um suporta. Tais barreiras poderiam ser guardas, portas, trancas,
usuário ou podem ser programadas para utilizarem paredes, blindagem, dentre outras.
computadores em um momento pré-determinado. Dentre os
tipos de ataques, vale a pena citarmos: Com certeza o primeiro cuidado que deve ser observado em
segurança da informação é a segurança física do ambiente,
ATAQUE DE NEGAÇÃO DE SERVIÇO que inclui aspectos de controle de acesso físico e proteção
(DOS - DENAIL OF SERVICE) dos dados contra acidentes ou ataques.
Tem por fim tornar um serviço indisponível 2.6.1 - CRIPTOGRAFIA
sobrecarregando-o com um número excessivo de
requisições. Um dos mais famosos ataques de negação Criptografia é um termo de origem grega que significa algo
de serviço deixou o site Yahoo indisponível por como escrita secreta. Assim como a origem de seu nome, as
algumas horas utilizando diversos PCs mundo afora. Os técnicas empregadas para se ocultar uma mensagem que se
PCs foram previamente infectados com worms que queira transmitir também são muito antigas. Historicamente,
estavam programados para fazer requisições ao site em as técnicas de criptografia foram muito desenvolvidas pelos
uma data específica. Um ataque de negação de serviço militares, que comumente precisavam se comunicar com
é uma ameaça ao princípio da disponibilidade. tropas e exércitos distantes sem que suas mensagens
pudessem ser entendidas, caso fossem interceptadas pelo
SPOOFING inimigo.
É na verdade uma técnica de disfarce utilizada durante A criptografia é a técnica empregada para cifrar ou codificar
ataques. Seu objetivo é disfarçar a máquina da qual se mensagens, protegendo as informações que são transmitidas
origina o ataque, alterando o IP de origem. entre um determinado remetente a um destinatário. Em
outras palavras, o remetente embaralha a mensagem original
PHISHING de tal forma que somente o destinatário legítimo deverá ser
capaz de decifrar a mensagem.
É a técnica de pescar dados confidenciais de usuários,
especialmente as senhas de contas bancárias e números Chamamos de criptoanálise a arte da quebra do código, de
de cartões de crédito. O exemplo mais comum de solucionar mensagens cifradas, ou seja, a criptoanálise visa a
phishing é quando recebemos um spam cujo autor tenta decifrar de maneira não autorizada um mensagem
se passar, por exemplo, pelo nosso banco. Ao clicarmos interceptada. É importante não confundir: decifrar de
em um link no e-mail, somos redirecionados a um site maneira autorizada é diferente de quebrar o código por
clone do site do banco esperando que informemos os criptoanálise.
dados de nossa conta. O spam e o site são a isca
aguardando que algum peixe a morda! O termo criptologia engloba os dois termos anteriores,
criptografia e criptoanálise. Um processo de criptografia
envolve os seguintes elementos:
CHAVES SIMÉTRICAS
18 [Link]
� SEGURANÇA DA INFORMAÇÃO
Na criptografia com chave simétricas, também chamada de Os firewalls são dispositivos constituídos pela combinação
encriptação por chave única ou de chave secreta, uma chave de software e/ou hardware, utilizados para dividir e controlar
é usada tanto para a encriptação quanto para a o acesso entre redes de computadores. Um tipo específico de
desencriptação da mensagem. Dessa forma, tanto o firewall pessoal é um software ou programa utilizado para
remetente quanto o destinatário devem possuir a mesma proteger um computador contra acessos não autorizados
chave secreta. vindos da Internet.
CHAVES ASSIMÉTRICAS ANOTAÇÕES
Por mais de dois mil anos a comunicação cifrada exigia que
as duas partes comunicantes compartilhassem um segredo
em comum: a chave secreta. A dificuldade da criptografia
por chave secreta é que as duas partes precisam saber a
chave, mas para isso, dependem de uma comunicação
segura.
A criptografia assimétrica, também chamada de criptografia
de chave pública, é uma solução interessante para o
problema que ocorre com as chaves secretas. Esse método,
proposto em 1976, é baseado na utilização de um par de
chaves diferentes: uma chave privada e uma chave pública.
A primeira é mantida em segredo pelo emissor enquanto que
a segunda é divulgada publicamente.
Em um algoritmo de criptografia assimétrica, uma
mensagem cifrada com uma chave pública somente pode ser
decifrada pela sua chave privada correspondente. Trocando
em miúdos, o remetente escreve uma mensagem e a
criptografa utilizando a chave pública do destinatário. A
chave pública do destinatário está disponível para qualquer
pessoa. Quando o destinatário recebe a mensagem, ele a
descriptografa usando sua própria chave privada. A grande
vantagem desse sistema é que qualquer remetente poder
enviar mensagens criptografadas, bastando, para isso,
conhecer a chave pública do destinatário. A desvantagem é
que devemos ter as chaves públicas de todos os destinatários
das mensagens.
2.6.2 - CERTIFICADOS DIGITAIS
Um certificado digital é um processo que envolve um pouco
de tudo o que já falamos até aqui para garantir a identidade
de um usuário ou de um computador no mundo virtual.
Certificados digitais baseiam-se na figura de um terceiro de
confiança, as chamadas Autoridades Certificadoras (AC).
Na prática, uma AC tem uma função análoga à de um
cartório no mundo físico, ou seja, atestar documentos e
assinaturas.
Assim, um certificado digital nada mais é que um
documento atestado por um terceiro de confiança.
Obrigatoriamente, um certificado digital deve conter a chave
pública de seu proprietário. Além disso, pode conter
diversos outros dados como o nome da pessoa ou da
organização proprietária, seu endereço eletrônico, seu
registro civil e validade do certificado.
2.7 – PROTEÇÃO
2.7.1 – ANTIVÍRUS
Os antivírus são programas que procuram detectar e, ent˜ao,
anular ou remover os vírus de computador. Atualmente,
novas funcionalidades têm sido adicionadas aos programas
antivírus, de modo que alguns procuram detectar e remover
cavalos de tróia e outros tipos de código malicioso, barrar
programas hostis e verificar e-mails.
2.7.2 - FIREWALLS
19 [Link]
