Baixe o app para aproveitar ainda mais
Prévia do material em texto
Indaial – 2021 Segurança em DiSpoSitivoS móveiS e ambiente Web Prof. Greice Bombassaro Uberti Prof. Roni Francisco Pichetti 1a Edição Copyright © UNIASSELVI 2021 Elaboração: Prof. Greice Bombassaro Uberti Prof. Roni Francisco Pichetti Revisão, Diagramação e Produção: Centro Universitário Leonardo da Vinci – UNIASSELVI Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri UNIASSELVI – Indaial. Impresso por: U14s Uberti, Greice Bombassaro Segurança em dispositivos móveis e ambiente web. / Greice Bombassaro Uberti; Roni Francisco Pichetti. – Indaial: UNIASSELVI, 2021. 237 p.; il. ISBN 978-65-5663-719-8 ISBN Digital 978-65-5663-720-4 1. Segurança de informação. - Brasil. I. Pichetti, Roni Francisco. II. Centro Universitário Leonardo da Vinci. CDD 004 apreSentação Caro acadêmico! Estamos iniciando o estudo da disciplina de Segurança em Dispositivos Móveis e Ambiente Web. Este assunto é de muita relevância para o momento atual da sociedade, no qual a busca por segurança de informação e a preocupação com a segurança nos dados é crescente. O objetivo deste estudo é aprender conceitos, processos, estratégias e mecanismos que envolvem a tecnologia móvel, web e de comunicação, além dos aspectos que envolvem sua segurança. Este livro didático é dividido em três unidades. A primeira contém os conceitos relacionados à área de dispositivos móveis, ambiente web e tecnologias de comunicação e informação, conceitos de Segurança da Informação, políticas e Normas. Serão abordadas ameaças, vulnerabilidades, impactos e gestão de riscos. Na segunda parte, nós iremos verificar e aprofundar o conhecimento em seguranças e estratégias relacionadas aos dispositivos móveis e ambiente web, além de política de uso de senhas e certificação digital. Por fim, a terceira unidade conduz os estudos à prática e a mecanis- mos de segurança, tais como: Criptografia, Proteção contra SQL Injection em Servidor Web, Invasão de Aplicações Web e Gerenciamento de Sessões. Bons estudos! Prof. Greice Bombassaro Uberti Prof. Roni Francisco Pichetti Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há novidades em nosso material. Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um formato mais prático, que cabe na bolsa e facilita a leitura. O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova diagramação no texto, aproveitando ao máximo o espaço da página, o que também contribui para diminuir a extração de árvores para produção de folhas de papel, por exemplo. Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilidade de estudá-lo com versatilidade nas telas do celular, tablet ou computador. Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assunto em questão. Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa continuar seus estudos com um material de qualidade. Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de Desempenho de Estudantes – ENADE. Bons estudos! NOTA Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela um novo conhecimento. Com o objetivo de enriquecer seu conhecimento, construímos, além do livro que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você terá contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complementares, entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento. Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo. Conte conosco, estaremos juntos nesta caminhada! LEMBRETE Sumário UNIDADE 1 — CONCEITOS BÁSICOS ........................................................................................... 1 TÓPICO 1 — CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB .............. 3 1 INTRODUÇÃO .................................................................................................................................... 3 2 CONCEITOS ......................................................................................................................................... 3 2.1 DISPOSITIVOS MÓVEIS .............................................................................................................. 4 2.2 AMBIENTE WEB ........................................................................................................................... 8 2.3 TECNOLOGIAS MÓVEIS DE COMUNICAÇÃO E INFORMAÇÃO .................................. 14 RESUMO DO TÓPICO 1..................................................................................................................... 19 AUTOATIVIDADE .............................................................................................................................. 20 TÓPICO 2 — CONCEITOS DE SEGURANÇA DE INFORMAÇÃO ......................................... 23 1 INTRODUÇÃO .................................................................................................................................. 23 2 CONCEITOS ....................................................................................................................................... 23 2.1 DEFINIÇÃO DE SEGURANÇA DE INFORMAÇÃO ............................................................. 24 2.1.1 Agentes de segurança do acesso à nuvem ....................................................................... 26 2.1.2 Segurança física e segurança lógica .................................................................................. 27 2.1.3 Certificado digital ................................................................................................................ 28 2.1.4 Criptografia........................................................................................................................... 29 2.1.5 Filtros anti-spam .................................................................................................................. 29 2.2 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO ............................................................ 30 2.2.1 Confiabilidade ...................................................................................................................... 31 2.2.2 Integridade............................................................................................................................ 31 2.2.3 Autenticidade ....................................................................................................................... 32 2.2.4 Confidencialidade ou sigilo ............................................................................................... 33 2.2.5 Não repúdio .......................................................................................................................... 34 2.2.6 Disponibilidade .................................................................................................................... 34 2.3 POLÍTICA E NORMAS DE SEGURANÇA DA INFORMAÇÃO .......................................... 35 RESUMO DO TÓPICO 2..................................................................................................................... 43 AUTOATIVIDADE ..............................................................................................................................44 TÓPICO 3 — VULNERABILIDADES, PERIGOS E AMEAÇAS À SEGURANÇA ................. 47 1 INTRODUÇÃO .................................................................................................................................. 47 2 PRINCIPAIS RISCOS EM DISPOSITIVOS MÓVEIS E AMBIENTE WEB .......................... 47 2.1 AMEAÇAS E VULNERABILIDADES ....................................................................................... 48 2.2 PROBABILIDADES E IMPACTOS ............................................................................................. 54 2.3 RISCOS .......................................................................................................................................... 65 LEITURA COMPLEMENTAR ............................................................................................................ 70 RESUMO DO TÓPICO 3..................................................................................................................... 76 AUTOATIVIDADE .............................................................................................................................. 77 REFERÊNCIAS ...................................................................................................................................... 79 UNIDADE 2 — SEGURANÇA E ESTRATÉGIAS .......................................................................... 83 TÓPICO 1 — SEGURANÇA E ESTRATÉGIAS APLICADAS A DISPOSITIVOS MÓVEIS E AMBIENTE WEB .................................................................................... 85 1 INTRODUÇÃO .................................................................................................................................. 85 2 MECANISMOS DE SEGURANÇA ................................................................................................ 85 2.1 CONTROLES FÍSICOS ................................................................................................................ 86 2.2 CONTROLES LÓGICOS ............................................................................................................. 90 3 ESTRATÉGIAS APLICADAS EM SEGURANÇA DE DISPOSITIVOS MÓVEIS E AMBIENTE WEB ............................................................................................................................ 98 3.1 POLÍTICA DE DESENVOLVIMENTO E DE USO ................................................................... 98 3.2 POLÍTICA DE RECUPERAÇÃO DE DADOS E GESTÃO DA CONTINUIDADE DO NEGÓCIO ............................................................................................................................. 103 RESUMO DO TÓPICO 1................................................................................................................... 107 AUTOATIVIDADE ............................................................................................................................ 108 TÓPICO 2 — POLÍTICA DE USO DE SENHAS .......................................................................... 111 1 INTRODUÇÃO ................................................................................................................................ 111 2 POLÍTICA DE USO DE SENHAS ................................................................................................ 111 2.1 CONTEXTUALIZAÇÃO .......................................................................................................... 112 2.2 COMPLEXIDADES DE SENHAS (SENHAS FORTES) ........................................................ 118 2.3 MECANISMOS DE CONTROLE DE SENHAS...................................................................... 122 RESUMO DO TÓPICO 2................................................................................................................... 130 AUTOATIVIDADE ............................................................................................................................ 131 TÓPICO 3 — CERTIFICAÇÃO E ASSINATURA DIGITAL ..................................................... 133 1 INTRODUÇÃO ................................................................................................................................ 133 2 DESENVOLVIMENTO DE SISTEMAS MÓBILE E WEB ....................................................... 133 2.1 USO DA CERTIFICAÇÃO DIGITAL ...................................................................................... 133 2.2 USO DE ASSINATURA DIGITAL ............................................................................................ 141 2.3 VANTAGENS E DESVANTAGENS ........................................................................................ 146 LEITURA COMPLEMENTAR .......................................................................................................... 151 RESUMO DO TÓPICO 3................................................................................................................... 157 AUTOATIVIDADE ............................................................................................................................ 158 REFERÊNCIAS .................................................................................................................................... 160 UNIDADE 3 — MECANISMOS E PRÁTICAS DE SEGURANÇA .......................................... 163 TÓPICO 1 — CRIPTOGRAFIA E TOKENIZAÇÃO (TOKENIZATION) ................................ 165 1 INTRODUÇÃO ................................................................................................................................ 165 2 CRIPTOGRAFIA NO DESENVOLVIMENTO DE APLICAÇÕES ........................................ 165 2.1 DEFINIÇÃO ................................................................................................................................ 166 2.2 IMPORTÂNCIA ......................................................................................................................... 169 2.3 EXEMPLOS E APLICAÇÕES .................................................................................................... 174 RESUMO DO TÓPICO 1................................................................................................................... 179 AUTOATIVIDADE ............................................................................................................................ 180 TÓPICO 2 — PROTEÇÃO CONTRA SQL INJECTION EM SERVIDOR WEB ..................... 183 1 INTRODUÇÃO ................................................................................................................................ 183 2 PROTEÇÃO CONTRA ATAQUES POR SQL INJECTION DENTRO DE UM SERVIDOR WEB ............................................................................................................... 183 2.1 DEFINIÇÃO ................................................................................................................................. 185 2.2 TIPOS DE ATAQUE SQLi ......................................................................................................... 188 2.3 EXEMPLOS DE ATAQUES POR SQL INJECTION ................................................................ 191 RESUMO DO TÓPICO 2................................................................................................................... 196 AUTOATIVIDADE ............................................................................................................................ 197 TÓPICO 3 — INVASÃO DE APLICAÇÕES WEB ....................................................................... 199 1 INTRODUÇÃO ................................................................................................................................ 199 2 TESTE DE INVASÃO DE APLICAÇÕES WEB ......................................................................... 200 2.1 DESCOBERTA DE VULNERABILIDADES E EXPLORAÇÃO ........................................... 202 2.2 PRINCIPAIS AMEAÇAS ..........................................................................................................205 2.3 FERRAMENTAS ........................................................................................................................ 207 RESUMO DO TÓPICO 3................................................................................................................... 215 AUTOATIVIDADE ............................................................................................................................ 216 TÓPICO 4 — GERENCIAMENTO DE SESSÕES ........................................................................ 219 1 INTRODUÇÃO ................................................................................................................................ 219 2 TESTE SOBRE O GERENCIAMENTO DE SESSÕES.............................................................. 219 2.1 DEFINIÇÃO E PRINCIPAIS VULNERABILIDADES .......................................................... 222 2.2 BOAS PRÁTICAS ....................................................................................................................... 227 LEITURA COMPLEMENTAR .......................................................................................................... 229 RESUMO DO TÓPICO 4................................................................................................................... 233 AUTOATIVIDADE ............................................................................................................................ 234 REFERÊNCIAS .................................................................................................................................... 236 1 UNIDADE 1 — CONCEITOS BÁSICOS OBJETIVOS DE APRENDIZAGEM PLANO DE ESTUDOS A partir do estudo desta unidade, você deverá ser capaz de: • entender os conceitos para Dispositivos Móveis e conceitos para o Ambiente Web; • conhecer tecnologias móveis de comunicação e informação; • conhecer os conceitos de Segurança de Informação; • entender políticas e normas de Segurança de Informação; • entender e conhecer quais são as vulnerabilidades, perigos e ameaças à Segurança para Dispositivos Móveis e desenvolvimento em Ambiente Web; • entender Gestão de Riscos. Esta unidade está dividida em três tópicos. No decorrer da unidade, você encontrará autoatividades com o objetivo de reforçar o conteúdo apresentado. TÓPICO 1 – CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB TÓPICO 2 – CONCEITOS DE SEGURANÇA DE INFORMAÇÃO TÓPICO 3 – VULNERABILIDADES, PERIGOS E AMEAÇAS À SEGURANÇA 2 Preparado para ampliar seus conhecimentos? Respire e vamos em frente! Procure um ambiente que facilite a concentração, assim absorverá melhor as informações. CHAMADA 3 TÓPICO 1 — UNIDADE 1 CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB 1 INTRODUÇÃO Acadêmico! No Tópico 1, nós abordaremos os Dispositivos Móveis, seu conceito e evolução, os tipos de dispositivos, além de uma visão sobre suas características. Você também verificará que para o desenvolvimento de aplicativos para dispositivos móveis, eles são classificados em Aplicações Nativas, Aplicações Web e Aplicações Híbridas. No Tópico 2 serão apresentados conceitos relacionados ao ambiente web e evolução nas últimas décadas. Você irá verificar detalhes com relação à comunicação cliente-servidor e o conjunto de ferramentas, mecanismos e componentes que auxiliam em toda essa etapa de comunicação. Quando falamos em dispositivos móveis, não tem como não abordar o ambiente web junto a ele, pois ambos estão interligados e funcionam para as aplicações web serem disponibilizadas aos usuários. Com relação às Tecnologias Móveis de Comunicação e Informação, que serão verificadas no Tópico 3, serão apresentadas informações referentes ao momento atual, buscando a sua reflexão sobre o uso da informação no dia a dia e a segurança que envolve todos esses processos. Com o avanço tecnológico, é essencial que os aspectos de segurança de dados e de sistemas evoluam juntos. Esse assunto nunca esteve tão em alta como no momento atual. 2 CONCEITOS No momento atual, é constante o uso de dispositivos móveis no dia a dia de todos, sendo que muitas pessoas se utilizam deste recurso, mas sem perceber suas vantagens e principalmente os cuidados que se devem ter com ele. A partir disso, entre outros aspectos que envolvem a tecnologia móvel de comunicação e informação, algumas perguntas podem surgir, tais como: O que é dispositivo móvel? Quais tipos de dispositivos existem? Quais são as vulnerabilidades e ameaças existentes? O que é segurança e seus princípios? O objetivo do conteúdo a seguir é responder a essas questões, proporcionar conceitos e esclarecer algumas dúvidas com relação a este assunto. UNIDADE 1 — CONCEITOS BÁSICOS 4 2.1 DISPOSITIVOS MÓVEIS Um dispositivo móvel é um dispositivo de computação portátil, em formato pequeno, que pode ser facilmente movido fisicamente ou que se mantenha funcional mesmo em movimento. Esse dispositivo geralmente é equipado com um método de entrada – tela sensível ao toque ou um miniteclado (input) e uma tela de exibição (output). Isso significa que os dispositivos móveis não se englobam apenas para os celulares e smartphones, mas outros como: computador de bordo, GPS, notebook, tablets, entre outros. O termo dispositivo, descrito no Dicionário Dicio (2020) como um substantivo da área da informática, é definido como conjunto dos mecanismos e componentes que, estando conectados a um computador, são capazes de transferir, armazenar e processar os dados, as informações etc. e de forma complementar menciona ainda que é um aparelho ligado ou adaptado a instrumento ou máquina, que se destina a alguma função adicional ou especial. Para melhor entendimento de toda a evolução da comunicação móvel e dos dispositivos móveis, é importante que você saiba que a comunicação vem se transformando consideravelmente nas últimas décadas. Segundo Laudon e Laudon (2014): As gerações mais antigas de celulares foram projetadas para transmissões por voz e transmissões limitadas de dados em forma de mensagens de texto. As operadoras sem fio agora oferecem redes celulares 3G e 4G. As redes 3G, com velocidade de transmissão que vai de 144 Kbps para usuários móveis dentro de um carro, por exemplo, até mais de 2 Mbps para usuários estacionários, oferecem velocidade de transmissão razoável para e-mail, navegação na Web e compras on- line, mas são muito lentas para vídeos. As redes 4G têm velocidades muito mais elevadas: 100 megabits/segundo para download e 50 megabits/segundo para upload, com capacidade mais que suficiente para assistir a um vídeo em alta definição em seu smartphone (LAUDON; LAUDON, 2014, p. 240-241). Toda essa comunicação é sem fio, ou seja, usando Wi-Fi. Segundo os autores Laudon e Laudon (2014, p. 242), "os dispositivos sem fio se comunicam com uma LAN cabeada por meio de pontos de acesso. Ponto de acesso é uma caixa composta por um transmissor/receptor de rádio e por antenas conectadas a uma rede cabeada, um roteador ou hub". Já de acordo com Pinochet (2014, p. 198), “o padrão Wi-Fi opera em faixas de frequências que não necessitam de licença para instalação e/ou operação, este fato o torna atrativo. No entanto, para uso comercial no Brasil é necessária licença da Agência Nacional de Telecomunicações (Anatel)”. Existe ainda o Li-Fi, sobre o qual Pinochet (2014, p. 199) afirma: Esta tecnologia funciona com a transmissão de dados pela luz. Cientistas do Reino Unido (Universidades de Edimburgo, St. Andrews, Strathclyde, Oxford e Cambridge) que realizaram tal TÓPICO 1 — CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB 5 descoberta consideram a possibilidade de trafegar dados a uma velocidade aproximada de 10 Gbps, quase 10 vezes mais veloz que a Fiber (banda larga ultrarrápida da empresa Google). A tecnologia Li-Fi usa minúsculos LEDs que ligam e desligam rapidamente para se comunicar com os códigos binários. Estudos apontam que o Li-Fi poderáse tornar o sucesso do Wi-Fi já que oferece velocidades superiores e poderá possuir um custo menor; entretanto, foram evidenciados alguns problemas relacionados a obstáculos e estruturas como “atravessar paredes”, por exemplo, em residências ou escritórios. A pesquisa realizada pelo professor Chi Nan, da Fudan University, Shanghai, na China, considera que a Li-Fi poderia usufruir da iluminação pública para a transferência de dados e assim, não precisaria de inúmeras antenas para recepção de sinal, sendo que a única exigência para esta tecnologia seria o uso de lâmpadas de LED no lugar das incandescentes tradicionais. Também é possível comunicação sem fio usando o Bluetooth, que segundo Laudon e Laudon (2014, p. 241), "é o nome popular do padrão de rede sem fio 802.15, utilizado para criar pequenas redes pessoais (Personal Area Networks — PAN). Ele conecta até oito dispositivos em um raio de dez metros usando comunicação baseada em rádio”. Telefones sem fio, pagers, computadores, impressoras e dispositivos de computação que usam o Bluetooth se comunicam uns com os outros e até mesmo operam uns aos outros sem a intervenção direta do usuário. Por exemplo, uma pessoa pode instruir o notebook a enviar um documento a uma impressora sem usar fios. O Bluetooth consome pouca energia e é adequado para dispositivos que funcionam com bateria, como computadores de mão ou telefones celulares autores (LAUDON; LAUDON, 2014, p. 241). O que você irá perceber é que comunicação e tecnologia caminham juntas em todo esse processo, e funcionam de forma complementar uma à outra. Quanto mais inovadoras e ousadas são as tecnologias, maiores são os progressos na Comunicação. Conforme o autor Pinochet (2014, p. 2) nos informa: O processo de comunicação é também o responsável por grandes avanços tecnológicos. Devido à troca de mensagens, informações e consequente troca de experiências, grandes descobertas científicas foram realizadas. A comunicação é considerada algo de extrema complexidade, uma vez que existem atualmente várias formas e recursos tecnológicos para a realização dessa atividade. Conforme apontado por Laudon e Laudon (2014, p. 151): Smartphones e tablets estão se tornando o principal meio de acesso à Internet. Tais dispositivos estão cada vez mais sendo usados para fins empresariais, assim como servem a aplicações de usuários comuns. Como exemplo, os executivos seniores da General Motors norte-americana utilizam aplicações de smartphones que fornecem informações sobre venda de veículos, desempenho financeiro, métricas de produção e status da gestão de projetos. UNIDADE 1 — CONCEITOS BÁSICOS 6 Muitos dispositivos móveis portáteis têm sistemas operacionais que podem executar aplicativos específicos com as suas particularidades próprias, no entanto, é possível usar conceitos e diretrizes gerais, que podem ser aplicadas nos vários sistemas com resultados positivos. Os sistemas operacionais e fabricantes mais conhecidos atualmente, são: Android: é um sistema operacional de código aberto para dispositivos móveis e um projeto de código aberto correspondente liderado pelo Google. Este site e o repositório do Android Open Source Project (AOSP) oferecem as informações e o código-fonte necessários para criar variantes personalizadas do sistema operacional Android, portar dispositivos e acessórios para a plataforma Android e garantir que os dispositivos atendam aos requisitos de compatibilidade que mantêm o ecossistema Android um ambiente saudável e estável para milhões de usuários. (ANDROID, 2021, s.p.). iOS: é a base de todo iPhone e iPad. Tecnologias integradas, segurança contínua e integração com sistemas empresariais tornam o iOS a melhor plataforma para negócios. E com ferramentas de desenvolvedor como Swift e Xcode, todas as empresas podem criar aplicativos incríveis no iOS. (APPLE, 2021, s.p.). As principais características dos dispositivos móveis é ter mobilidade, serem multitarefas, com sincronização de dados com outros sistemas, armazenamento de dados local e/ou remoto, conectividade ou não (ou ainda conectividade limitada), serem usados para comunicação e entretenimento, sendo que a sua utilização abrange a área pessoal e/ou profissional, substituindo gradativamente o meio de comunicação do telefone convencional. Uma parcela cada vez maior de computação empresarial está mudan- do dos PCs e computadores desktop para esses dispositivos móveis. Gerentes utilizam com frequência crescente esses dispositivos para coordenar o trabalho, comunicar-se com os empregados e disponibi- lizar informações para a tomada de decisão. Em 2013, mais da metade dos usuários da Internet acessaram a Web através destes dispositivos móveis. Em grande parte, esses dispositivos estão mudando o caráter da computação corporativa (LAUDON; LAUDON, 2014, p. 6-7). No Brasil, o número de telefones celulares já é muito maior que o número de telefones fixos, consequentemente, os usuários de aparelhos móveis podem comunicar-se com mais facilidade em qualquer lugar e a qualquer momento. Com base na demanda pela utilização da internet móvel, operadoras nacionais têm voltado ampliado a comercialização e oferta de planos e contratações de serviços. Veja essa diminuição dos últimos anos de número de assinantes por conexão em relação aos telefones fixos no quadro a seguir: TÓPICO 1 — CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB 7 QUADRO 1 – ASSINANTES POR CONEXÃO FONTE: <https://www.teleco.com.br/estatis.asp>. Acesso em: 29 nov. 2020. Com o progresso comercial de soluções e também com os avanços tecnológicos, os dispositivos são melhorados a cada dia, e novas opções são apresentadas. Alguns tipos de dispositivos móveis que são utilizados no dia a dia são: smartphones, celulares, computadores portáteis como, por exemplo, notebooks e tablets. Os celulares tiveram um início mais humilde, servindo apenas como um sistema de telefonia móvel, baseado na transmissão por rádio. Conforme foram evoluindo, os celulares passaram a incorporar as funções de cada vez mais dispositivos, tornando-se progressivamente mais importantes. Mesmo os aparelhos mais básicos, vendidos atualmente, utilizam muitas vezes processadores ARM (processadores que são 90% dos processadores embarcados RISC de 32 bits e possuem sete modos de operação que podem ser intercambiados através do software, interrupções externas e processamento de execuções) de 300 a 400 MHz e 64 MB ou mais de memória RAM (ALVES; TONIOLO, 2016, p. 13). Existe ainda o PDA (Personal Digital Assistant), ou em português Assistente Pessoal Digital. Segundo Sawaya (1999, p. 348), são “equipamentos de pequeno porte portáteis que, em geral, têm função de agenda eletrônica e coletor de dados. Em geral, não têm capacidade de processamento avançado”. O iPhone foi o primeiro smartphone da Apple, lançado em 2007 por Steve Jobs, logo se tornando um grande sucesso. Ele foi apresentado como “um iPod, um celular e um comunicador móvel” em um único gadget. Utiliza o mundialmente conhecido Sistema Operacional iOS (ALVES; TONIOLO, grifo dos autores, 2016, p. 14). Já o lançamento do iPad da Apple, em 2010, revolucionou a maneira de ver conteúdos na internet, introduzindo os tablets, sendo a intera- tividade uma característica fundamental, com interface sensível ao to- que e altamente interativa. É um aparelho digital portátil, pessoal em formato de prancheta, dotado de capacidades básicas de um computa- dor (ALVES; TONIOLO, 2016, p. 15 apud PAULINO; OLIVEIRA, 2013). Os SmartWatch (relógios inteligentes), SmartRings (anéis inteligentes), entre outros dispositivos inovadores, iniciam seus primeiros passos no mundo das “tecnologias vestíveis” ou “wearable technologies” e surgem com funcionalidades diversas, com o emprego de tecnologias que serão transformadoras, tais como: acelerômetros (sensores), atuadores (elementos que produzem movimentos), processamentos de sinais e transmissão de dados (PINOCHET, 2014, p. 130).UNIDADE 1 — CONCEITOS BÁSICOS 8 Como pode ser verificado, os dispositivos móveis nunca vão para de evoluir, pois o ser humano já os tem como itens essenciais e sua utilização no dia a dia proporciona muitos benefícios, entretenimento e agilidade para controle de operações nos mais diversos cenários. A seguir, você irá aprender conceitos relacionados ao Ambiente Web. 2.2 AMBIENTE WEB Vamos iniciar esse assunto definindo o que é Web. Web é a rede mundial de computadores, que conecta ou une os computadores do mundo inteiro, da World Wide Web (www). Certamente, você já digitou algum endereço em seu navegador de internet iniciando por www e acessou o conteúdo desejado. De acordo com a obra de Valente (1999), a internet utiliza o sistema www, que permite a criação de links entre toda a rede e assim formando uma grande teia de informações que podem ser acessadas independentemente de sua localização física. Esse acesso é realizado através de um software interpretador (navegadores web) dessa URL (Universal Resource Locator), o qual especifica a localização dos documentos, objetos, referências e programas executáveis na rede internet. Dessa forma, essa rede permite ao usuário acesso a endereços exclusivos que lhe permitem verificar informações, sistemas, ambientes de pesquisas, notícia, comunicação em tempo real, busca por entretenimento, dentre outras possibilidades. De acordo com Sawaya (1999, p. 241): Internet é a maior rede de computadores do mundo, que se caracteriza pela forma descentralizada em que atua. Oferece serviços de comunicação de dados, como acesso remoto, transferência de arquivos, correio eletrônico, a WWW e grupos de discussão. Baseada na TCP/I, também chamado de conjunto IIP (Internet Protocol), atribui a cada computador conectados um endereço exclusivo (endereço IP). Assim, é possível localizar qualquer computador conectado à rede e trocar dados com ele. É considerada um novo meio de comunicação pública, equivalente ao telefone ou à televisão. Agora que você já sabe o que é a internet ou um ambiente web, você sabe como ocorreu sua evolução e em que fase estamos? Segundo Brandão, Pasquot e Polido (2018, p. 272), a web 1.0 era limitada e com poucos recursos e informações. Com a “Web 2.0, criou-se uma nova geração de serviços da rede, destacando-se entre eles o que possibilitou os usuários interagirem em social networks como geradores de conteúdo, seja por mensagens de texto ou voz, vídeos ou fotos”, além de serem “passíveis de compartilhamento com o público dos demais usuários do sistema, ou com suas conexões”. Conforme apresentam Laudon e Laudon (2014, p. 239): TÓPICO 1 — CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB 9 A Web 1.0 resolveu o problema da obtenção do acesso à informação. A Web 2.0 solucionou o problema do compartilhamento de informações com outras pessoas e a questão da construção de novas experiências. A Web 3.0 é a promessa de um futuro no qual todas essas informações digitais, todos esses contatos, podem ser entrelaçados em uma única experiência significativa. Algumas vezes, essa Web é chamada de Web semântica. O termo “semântica” refere-se ao significado. A maioria do conteúdo atual da Web é projetada para ser lida por humanos e exibida por computadores, e não para que programas de computador a analisem e manipulem. Laudon e Laudon (2014, p. 239) apontam em sua obra que “as visões sobre o futuro da Web variam, mas geralmente se concentram em maneiras de torná- la mais “inteligente”, facilitando a compreensão da informação pela máquina, promovendo uma experiência mais intuitiva e eficiente ao usuário”. Podemos dizer que de fato é o momento atual que estamos vivendo, o que compreende a ser a web 4.0. Em linhas gerais, pode-se dizer que cientistas da computação, especialistas em inteligência artificial, start-ups em crescimento e companhias como IBM e Google pretendem desenvolver a arquitetura da internet para que ações que hoje seres humanos tomam na rede sejam realizadas por computadores. A compor essa nova arquitetura baseada em “computação autonômica” (autonomic computing), surgem as tecnologias da Internet of Things e da Ambient Intelligence. A primeira vê um mundo de objetos físicos perfeitamente integrados em redes informáticas e participantes ativos nos processos empresariais, em que fornecedores podem interagir com esses “objetos inteligentes” através de redes digitais, consultar tanto o seu estado como qualquer informação a eles associada. Esse diálogo de coisas interconectadas e cujos sensores as habilitam a “absorver” dados do ambiente (e das pessoas que nele estiverem) é base para a Ambient Intelligence, a qual concebe ambientes interligados em rede que monitoram seus usuários e adaptam seus serviços em tempo real, aprendendo permanentemente a antecipar as preferências e desejos dos usuários para se adequar a eles. Resumindo: a configuração do homem com a tecnologia deixa de ser a de uso e se torna de imersão (BRANDÃO; PASQUOT; POLIDO, 2018, p. 278). No mundo globalizado e moderno em que nos encontramos, certamente, você já ouviu falar sobre essas novas tecnologias inteligentes ou até mesmo presenciou algum eletroportátil, eletrodoméstico, aparelho eletrônico específico ou o carro de passeio realizando ações que beneficiem a família e proporcionem comodidade e ações dinâmicas sobre determinada situação vivenciada. Esse é um caminho sem volta, ou seja, todas as ações que são realizadas diariamente, sejam pela indústria de tecnologia e ciência ou áreas de pesquisa, são voltadas ao progresso e a busca constante do aperfeiçoamento de todos os métodos e técnicas que envolvem dados e informações. Em meio a esse cenário, temos que ressaltar que há os que buscam os aperfeiçoamentos para finalidades de infringir a segurança e realizar roubo de dados. Por isso aspectos de segurança devem evoluir junto com todos os demais segmentos. UNIDADE 1 — CONCEITOS BÁSICOS 10 No próximo tópico, nós vamos conhecer mais detalhes sobre essas tecnolo- gias móveis de comunicação e informação. Nas próximas unidades serão apresentados vários aspectos de segurança envolvendo dados e informações. ESTUDOS FU TUROS Segundo a Mozilla Developer Network (2020), muitos termos são confundidos frequentemente ou são empregados de forma incorreta. Vamos verificar o que significa cada um: Página Web: Um documento que pode ser mostrado em um navega- dor web como Firefox, Google Chrome, Opera, Microsoft Internet Ex- plorer ou Edge, ou Safari da Apple. Tais documentos também podem ser referenciados apenas por "páginas". Site: Um conjunto de páginas web agrupadas juntas e geralmente co- nectadas juntas de diversas formas. Também conhecido como "web site" ou simplesmente "site". Servidor Web: Um computador que hospeda um site na Internet. Mecanismo de Busca: Um serviço da web que te auxilia a encontrar outras páginas da web, como o Google, o Bing, o Yahoo ou o Duck- DuckGo. Os motores de busca são normalmente acessados através de um navegador da web (por exemplo, você pode realizar pesquisas em mecanismos de busca diretamente na barra de endereços do Firefox, Chrome, etc.) ou através de uma página da web, por exemplo, bing. com ou duckduckgo.com (MDN, 2020, s.p.). Agora que já verificamos algumas definições, temos mais alguns concei- tos para apender. Você já ouviu falar em aplicações em ambiente web? Você sabe o que é exatamente, suas variações e que características são envolvidos nesse tipo de aplicação? Segundo Macêdo (2017), uma aplicação web é “um software que é instalado em um servidor web e é projetado para responder a solicitações, processar informações, armazenar informações e dimensionar as respostas de acordo com a demanda e, em muitos casos, é distribuído em vários sistemas ou servidores”. As aplicações web podem ser classificadas em três tipos: 1. Baseado em Navegador – Incluem código que pode ter sido parcialmente processado no servidor, mas é executado no próprio navegadorWeb. Tal aplicação tem a capacidade de acessar dados armazenados em um servidor, bem como no sistema local ou ambos, dependendo do design; 2. Baseados no cliente – São essencialmente semelhantes às aplicações baseadas em navegador, mas em vez de serem executados dentro do navegador, são executados como aplicação própria. Aplicações que exigem que sejam instaladas do lado do cliente se encaixam nesta categoria; https://www.bing.com/ https://www.bing.com/ https://duckduckgo.com/ TÓPICO 1 — CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB 11 3. Aplicativos móveis – São, de longe, o tipo mais comum encontrado hoje em dia. Para ser incluído nesta categoria o aplicativo normalmente é executado em um sistema operacional móvel, como aqueles executados em smartphones e tablets, principalmente Android do Google ou iOS da Apple (MACÊDO, 2017, s.p.). O que todos esses tipos têm em comum é a capacidade de processar as informações em um servidor antes de fornecê-las para o lado do cliente. Assim, abre-se para o entendimento, que é necessário analisar todos os aspectos da interação entre cliente e servidor. Pois um aplicativo web é geralmente hospedado em um servidor web, que esse por sua vez é projetado para ser acessado remotamente por meio de um navegador da web ou aplicativo habilitado para web. (MACÊDO, 2017). Assim, é importante ressaltarmos que uma aplicação web é composta por dois atores principais: o cliente e o servidor. De acordo com a Mozilla Developer Network (2020): Clientes: são os típicos dispositivos conectados à internet dos usuários da web (por exemplo, seu computador conectado ao seu Wi-Fi ou seu telefone conectado à sua rede móvel) e programas de acesso à Web disponíveis nesses dispositivos (geralmente um navegador como Firefox ou Chrome). Servidores: são computadores que armazenam páginas, sites ou aplicativos. Quando o dispositivo de um cliente quer acessar uma página, uma cópia dela é baixada do servidor para a máquina do cliente para ser apresentada no navegador web do usuário (MDN, 2020, s.p.). Entretanto, o servidor sozinho não faz com que ocorra todo o processo, ainda existe um conjunto de ferramentas e mecanismos que auxiliam em toda a etapa de comunicação. Vamos conhecer quais são essas outras ferramentas e recursos conforme a Mozilla Developer Network (2020): • Sua conexão de Internet: permite que você mande e receba dados na web. É basicamente como a rua entre sua casa e a loja. • TCP/IP: Protocolo de Controle de Transmissão e Protocolo de Internet (Transmission Control Protocol e Internet Protocol) são protocolos de comunicação que definem como os dados trafegam pela web. São como os mecanismos de transporte que te permitem ir ao shopping, fazer um pedido e comprar seus produtos. Em nosso exemplo, é como um carro ou uma bicicleta (ou qualquer outra coisa que você possa usar). • DNS: Servidor de Nome de Domínio (Domain Name Servers) são como um catálogo de endereços para sites. Quando você digita um endereço web no seu navegador, o navegador procura no servidor de DNS para localizar o endereço real do site, antes que ele possa recuperar o site. O navegador precisa encontrar em qual servidor web a página está hospedada para que ele possa mandar mensagens HTTP ao lugar certo. Isso é como pesquisar o endereço da loja para que você possa entrar em contato. UNIDADE 1 — CONCEITOS BÁSICOS 12 • HTTP: Protocolo de Transferência de Hypertexto (Hypertext Transfer Protocol) é um protocolo de aplicação que define uma linguagem para clientes e servidores se comunicarem entre si. É como a linguagem que você usa para encomendar seus produtos. • Arquivos componentes: um website é feito de muitos arquivos diferentes, que são como as diferentes partes dos produtos que você comprou na loja. Esses arquivos são divididos em dois tipos principais: • Arquivos de Código: os sites são feitos principalmente de HTML, CSS e JavaScript, embora você possa conhecer outras tecnologias mais tarde. • Recursos: esse é o nome coletivo para todas as outras coisas que compõem um site, como imagens, música, vídeos, documentos do Word e PDFs (MDN, 2020, s. p.). Para melhor entendimento desse processo de comunicação na web com seus protocolos e ferramentas, veja o vídeo “Como funcionam os protocolos de rede, os pacotes, Firewall e Switch” no endereço. Disponível em: https://www.youtube.com/ watch?v=IOIWEjh5QNA. DICAS A maior parte das aplicações web são encontradas no modelo cliente- servidor e funciona em um sistema em que os dados são inseridos no cliente e armazenados no servidor. Entretanto, muitos aplicativos web não são projetados para rodar em navegadores web e são desenvolvidos em plataformas específicas, como o Android. Dessa forma, todo o funcionamento do aplicativo ocorre diretamente no dispositivo móvel que é o que comporta o sistema operacional. Suas informações ou armazenamento de dados são enviadas para um servidor web. É importante que você conheça os componentes que compõem as aplicações na web, pois cada um deles tem funções específicas, além de suas próprias vulnerabilidades que precisam ser verificadas e controladas para os critérios de segurança necessários. Vamos conhecer alguns componentes conforme Macêdo (2017, s.p.): Processo de Login ou Autenticação – Um componente é apresentado aos usuários para que eles forneçam um nome de usuário e uma senha para o processo de autenticação e posteriormente para o processo de autorização. Servidor Web – Esta é a base para todo o sistema. É a combinação de hardware e software usada para hospedar o próprio aplicativo web. Acompanhamento de Sessões (Session Tracking) – Este componente permite que o aplicativo da Web armazene informações sobre um cliente relacionadas à sua visita atual ou futuras visitas nele. Em https://www.youtube.com/watch?v=IOIWEjh5QNA https://www.youtube.com/watch?v=IOIWEjh5QNA TÓPICO 1 — CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB 13 muitos casos, devido à natureza sem estado do HTTP, os cookies são usados para armazenar informações de estado para aplicações web. Permissões – Com base no qual eles se autenticam como e se a autenticação é bem-sucedida, as permissões determinam o nível de acesso que o usuário tem aos recursos no servidor. Conteúdo da Aplicação – Esta é a informação com a qual o usuário irá interagir fazendo solicitações ao servidor. Páginas de Acesso a Dados – Páginas que são anexadas a uma biblioteca que fornece acesso a dados. Armazenamento de dados – Este componente é onde as informações valiosas para o aplicativo da Web estão contidas. Por design, isso pode ou não pode ser armazenado no mesmo sistema. Em muitos casos significa um banco de dados de algum tipo, que geralmente assume a forma de MySQL, Microsoft SQL Server ou ofertas da Oracle. Lógica – Este componente é responsável por interagir com o usuário e fornecer os meios para a informação correta a ser extraída do banco de dados. Logout – Esta pode ser uma função separada e é usada pelos usuários para desligar sua conexão com o aplicativo da web. Embora alguns componentes sejam estruturais e sejam utilizados no desenvolvimento das aplicações web, cada sistema utilizado para desenvolvi- mento da aplicação tem particularidades específicas e a forma de controle e pa- rametrizações muda conforme cada qual. O nível de complexidade da aplicação também irá definir o tamanho e controles necessários tanto para gerenciamento dos dados, interação entre cliente-servidor e acima de tudo proporcionar segu- rança e confiabilidade em todo o processo. Conforme Loudon (2019) nos apresenta, a internet já não é a mesma a cada década, e o grau de complexidade adquirido pelas aplicações web e a rapidez com que ocorrem todas essas mudanças exige cada vez mais segurança. Não é só complexidade, o grande volume de dados nas grandes aplicações também é desafiador. Desenvolver grandes aplicações web a partir de componentes modulares tem sido uma ótima opção, devidoa sua reutilização, fácil manutenção e confiabilidade. O maior desafio para o desenvolvimento de aplicativos móveis é a variedade de plataformas e equipamentos disponíveis no mercado. No início da Web, era preciso desenvolver um Website para cada tipo de navegador disponível. Era difícil, mas não havia mais que três ou quatro navegadores importantes. Já no mundo de mobilidade, existem centenas de modelos de aparelhos celulares, e uma aplicação geralmente é desenvolvida para rodar em um determinado aparelho. Algumas empresas tentaram criar suas plataformas com a proposta de gerenciar os sistemas operacionais e facilitar o desenvolvimento, mas esse mercado é muito dinâmico e praticamente toda semana surgem novos modelos no mercado (DARIVA, 2011, p. 6). A orientação a objetos contribui para um desenvolvimento eficiente, pois permite um modelo de análise, projeto e programação de software baseado na composição e interação entre diversas unidades, ou seja, “objetos”. Interfaces claramente definidas e com boa usabilidade proporcionam melhor interação e dinamismo com o usuário final. O uso de linguagens como HTML, JavaScript, CSS e PHP oferecem aplicações com bom desempenho (LOUDON, 2019). UNIDADE 1 — CONCEITOS BÁSICOS 14 No decorrer desse tópico, nós verificamos conceitos e funcionalidades para o ambiente web. No entanto, esse estudo não se detém apenas a este conteúdo apresentado, o desenvolvimento para sistemas web abrange um universo muito maior de possibilidades. Cada linguagem de programação possui recursos e tecnologias diferenciadas que necessita de estudo e aperfeiçoamento constante para acompanhar o ritmo de mudanças e principalmente segurança das informações. 2.3 TECNOLOGIAS MÓVEIS DE COMUNICAÇÃO E INFORMAÇÃO A última década foi marcada por grandes avanços tecnológicos, tanto para comunicação como também para os aspectos de informação. Há uma busca incansável por inovação e busca por avanços em todos os aspectos que envolvem a informação: seja ela por internet, comunicação áudio/visual, recursos envolvendo medicina, educação, tecnologia, mobilidade, entre outros. Vamos iniciar esse tópico buscando a definição de tecnologia móvel. Tecnologia móvel é toda tecnologia que permite seu uso durante a movimentação do usuário. A tecnologia móvel revolucionou o dia a dia das pessoas e a sua vida, possibilitou modificar suas rotinas e formas de tomar decisões. Ela permite ter na palma da mão poderosos sistemas, com controles pessoais e profissionais que independem de espaço físico para comunicação. Muitos desses sistemas trabalham com o recurso on-line, mas muitos possibilitam controles e verificações off-line para que posteriormente os dados sejam sincronizados. Podemos também definir tecnologia móvel como a forma de acessar a internet e outros recursos computacionais por meio de dispositivos móveis, tais como: celulares, smartfones, iPhone, iPod, iPad, notebooks, tablets, entre outros. Dia após dia, o número de pessoas interessadas pela mobilidade é maior, devido à facilidade de acesso às informações em qualquer lugar e horário, se conectando de forma fácil e rápida a outros dispositivos móveis (DARIVA, 2011). A tecnologia móvel para fins profissionais tem crescido exponencialmente e com aspectos positivos para as organizações empresariais. Conforme Laudon e Laudon (2014, p. 9) apresentam em sua obra: A Coca-Cola utiliza o software de serviço de campo móvel da ServiceMax Inc. para otimizar as atividades de trabalho de seus técnicos, que realizam manutenção de máquinas de refrigerantes em restaurantes e consertam máquinas de venda automática. Antigamente, após um técnico visitar um cliente no local, ele voltaria para seu carro, transferiria as anotações feitas em papel para um banco de dados em seu laptop e o transmitiria para o sistema de software centralizado da Coca-Cola. Muitos técnicos passavam meia hora a mais no final do dia organizando suas anotações. TÓPICO 1 — CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB 15 Em 2012, cerca de 100 funcionários da Coca-Cola começaram a usar os aplicativos da ServiceMax em iPhones para despachar técnicos para um dia inteiro de chamadas de serviço, fornecer informações detalhadas sobre o cliente, atualizar automaticamente listas de peças armazenadas em suas vans e transferir as informações para o departamento de cobrança. O novo sistema reduziu em um terço o tempo gasto em administração pelos técnicos de manutenção, que são liberados para utilizar os equipamentos de outras empresas, além daqueles da própria Coca-Cola. A ServiceMax cobra cerca de mil dólares por pessoa por ano por uma assinatura. O principal avanço da tecnologia móvel foi pelo motivo da mobilidade, que se iniciou como uma facilidade, mas hoje em dia ela já é considerada uma necessidade. A maioria da população está conectada o tempo todo, 24 horas por dia e há algumas pessoas que se o celular quebrar, ou, por exemplo, esquecê-lo em casa e a pessoa vai ficar afastada o dia todo dele, ela fica desesperada (DARIVA, 2011). A partir desse cenário, gostaríamos de deixar uma reflexão: por que isso afeta tanto as pessoas? Porque este tipo de tecnologia permite o acesso a dados e informações em qualquer momento e em qualquer lugar. É por isso que se torna um poderoso atrativo, você fica conectado o tempo todo e com o mundo todo. Pode localizar pessoas, produtos e serviços personalizados. Permite a comunicação de forma mais acessível e rápida. A tecnologia está no nosso dia a dia, no trabalho, no laser, nos processos de compra e venda, aquisição de bens de consumo e serviço, aquisição de cultura e conhecimento, controle dos filhos, no gerenciamento de bens móveis e imóveis, dentre outros. Ela está presente no acesso às informações essenciais, na troca de mensagens instantâneas, redes sociais, controle de compra e venda em frações de segundos (por exemplo ações na bolsa de valores). As telecomunicações, mídias jornalísticas, a comunicação global em tempo real, a medicina robótica, são exemplos de evoluções tecnologias significativas para a humanidade (SANTOS; FERREIRA, 2013). Verifique os vídeos a seguir para uma Visão do Futuro com relação à Comunicação e Informação: Um dia feito de Vidro: http://www.youtube.com/watch?v=LbkhEQZ5PNo. Um dia feito de Vidro 2: http://www.youtube.com/watch?v=_LBwxdtVwKc. DICAS http://www.youtube.com/watch?v=LbkhEQZ5PNo http://www.youtube.com/watch?v=_LBwxdtVwKc UNIDADE 1 — CONCEITOS BÁSICOS 16 Dessa forma, as mídias vão adentrando em todos os setores da vida humana, abrangendo todas as áreas, tanto na educação familiar, áreas profissionais, quanto nas decisões globais. Conforme Santaella (2010, p. 264) informa em seu livro, “a natureza ubíqua que estão adquirindo e a intensidade com que afetam nossos modos de comunicar e de viver demandam reflexões voltadas para suas implicações e para os impactos de seu uso”. A informação em excesso pode ser prejudicial, pois pode afetar sua qualidade, ou seja, muita informação e o conhecimento é menor. A exposição em excesso da vida privada pode interferir na vida profissional. Muitos amigos na rede social virtual, mas pouca socialização no mundo real, ocasionando problemas de saúde, como depressão, ansiedade e outras doenças na nova geração. Esses são pontos que devem ser avaliados de forma individual, cada pessoa é responsável por suas atitudes e isso envolve o mundo da comunicação também. Segundo Piletti (2008), por muito tempo a pirâmide de necessidades humanas básicas apresentada por Abraham Harold Maslow definiu que o ser humano precisava de um conjunto mínimo que atendesse às Necessidades Fisiológicas na base, seguida por Necessidade de Segurança, Necessidades Sociais, Necessidades de Estima, e no topo Necessidades de Autorrealização. Veja a seguir a pirâmide desenvolvida por Maslow: FIGURA 1 – PIRÂMIDE DE NECESSIDADES APRESENTADA POR MASLOW FONTE: Piletti (2008, p. 67) Com as mudanças que ocorreram noséculo XXI novos estudos ocorreram, e foi verificado que a necessidade humana é muito maior. Segundo o estudo de Senior, Bloch e Almquist (2016), as necessidades humanas e valores abrangem 30 elementos. Esses elementos se enquadram em quatro categorias, sendo: funcional, emocional, mudança de vida e impacto social. Segundo os apontamentos dos pesquisadores: TÓPICO 1 — CONCEITOS SOBRE DISPOSITIVOS MÓVEIS E AMBIENTE WEB 17 Nosso modelo traça suas raízes conceituais na "hierarquia de necessidades" do psicólogo Abraham Maslow, que foi publicada pela primeira vez em 1943. Na época, um membro do corpo docente do Brooklyn College, Maslow argumentou que as ações humanas surgem de um desejo inato de satisfazer necessidades que vão desde o mais básico (segurança, aconchego, comida, descanso) ao complexo (autoestima, altruísmo) (SENIOR; BLOCH; ALMQUIST, 2016. s.p.). Para melhor entendimento, vamos verificar como essa hierarquia está organizada. Verifique na imagem a seguir que as necessidades mais básicas estão na base, e à medida que a pirâmide sobe os valores vão se modificando. Observe que o valor “Informação” está na base da pirâmide, representando que essa necessidade humana de dados e informações é tão forte e evidente que se torna a base para o restante de valores: FIGURA 2 – OS 30 ELEMENTOS DE VALOR FONTE: <https://hbr.org/2016/09/the-elements-of-value>. Acesso em: 29 nov. 2020. UNIDADE 1 — CONCEITOS BÁSICOS 18 A pesquisa e observação realizada em consumidores, elaborada por Senior, Bloch e Almquist (2016), foi realizada por mais de três décadas. Muitos dos estudos envolveram a técnica de entrevista laddering, que investiga as preferências iniciais declaradas dos consumidores para identificar o que os está impulsionando, ou seja, o que os motiva à subida da pirâmide. Também foram definidos padrões de valor junto às empresas para entendimento de que elementos seriam os mais importantes. Um dos resultados que a pesquisa apontou é que os consumidores percebem que as empresas digitais oferecem mais valor. Negócios on-line bem projetados tornam muitas interações com o consumidor mais fáceis e convenientes. Principalmente as empresas digitais, portanto, se destacam em economia de tempo e evita aborrecimentos. A Zappos, por exemplo, teve uma pontuação duas vezes mais alta que os concorrentes de vestuário tradicional nesses dois elementos e em vários outros. No geral, obteve altas pontuações em oito elementos – muito à frente dos varejistas tradicionais. A Netflix superou os provedores de serviços de TV tradicionais com pontuações três vezes mais altas em redução de custo, valor terapêutico e nostalgia. A Netflix também obteve uma pontuação mais alta do que outros provedores de mídia em variedade, ilustrando como efetivamente persuadiu os clientes, sem qualquer evidência objetiva, de que oferece mais títulos (SENIOR; BLOCH; ALMQUIST, 2016. s.p.). A partir do conteúdo apresentado acima, podemos entender que as empresas voltadas à tecnologia, com ênfase em interação com o usuário e preocupadas em atender as suas necessidades básicas com facilidade e otimização, vão ganhar cada vez mais a preferência dos usuários. Novamente, podemos ressaltar que os avanços tecnológicos tentem a girar em torno da mobilidade e comunicação cada vez mais e mais. Em meio a toda essa evolução, não podemos deixar de mencionar sobre a segurança e confiabilidade dessas informações. O que está sendo identificado no momento atual é começou-se a formar conscientização nos usuários, e passou a existir o questionamento com relação a saber se os serviços que estão sendo ofertados por determinada empresa, se são realmente seguros. Se os dados que estão inseridos em determinado aplicativo web, se de fato estão protegidos (DARIVA, 2011). A partir de todos os contextos verificados para tecnologias móveis de comunicação e informação, é que temos um grande caminho a percorrer em termos de recursos e funcionalidades que envolvem segurança. O avanço tecnológico tem aspectos positivos, mas ao mesmo tempo outros problemas surgem com ele, como fraudes, roubos de dados simples, roubo de informações, roubo financeiro, invasão de privacidade pessoal, invasão de servidores, entre vários fatores que estando conectados e no mundo on-line acabam deixando espaço para vulnerabilidades. 19 Neste tópico, você aprendeu que: RESUMO DO TÓPICO 1 • Dispositivo Móvel é um dispositivo de computação portátil, prático e que já é usado por grande parte da população. Que esses dispositivos surgiram e estão evoluindo constantemente com a finalidade de facilitar a vida humana. • Dispositivos móveis são desenvolvidos a partir de ferramentas e mecanismos que devem estar alinhados com o desenvolvimento para a Web. Proporcionando controles, entretenimento, comunicação e gestão on-line de forma acessível e prática. • Suas funcionalidades devem ser planejadas e desenvolvidas com segurança e mecanismos de controles, tais como: autenticação, acompanhamento de sessões, permissões, tratativas ao conteúdo, gerenciamento e armazenamento aos dados etc. • Os avanços tecnológicos para comunicação e para os dispositivos que envolvem informação sempre estarão em evolução, seja por inovações para internet, comunicação áudio/visual, recursos envolvendo mobilidade, entre outros. • Buscar inovação é o que move o mercado tecnológico, ressaltando que o principal avanço da tecnologia móvel foi pelo motivo da mobilidade, que se iniciou como uma facilidade, e hoje é uma necessidade. • A informação é hoje necessidade básica do ser humano. Estar conectado e utilizar a todo o momento e em qualquer lugar os recursos tecnológicos de comunicação e informação são cada vez maiores. No entanto, os aspectos de segurança devem ser considerados. 20 1 Dispositivo móvel é definido como um conjunto de mecanismos e componentes que podem estar conectados a um computador ou servidor, e são capazes de transferir, armazenar e processar dados e informações. A utilização dos dispositivos móveis é cada vez mais crescente e a necessidade por praticidade nas tarefas do dia a dia é cada dia mais evidente. Com base no conteúdo apresentado sobre os dispositivos móveis, assinale a alternativa CORRETA: a) ( ) Dispositivos móveis são facilmente movidos fisicamente e mantêm suas funcionalidades e recursos mesmo em movimento. São usados para as mais diversas atividades cotidianas. b) ( ) Os dispositivos móveis não são utilizados pela maior parte da população, pois seu custo é muito alto para aquisição. c) ( ) Os dispositivos móveis são utilizados para gerenciamento de atividades pessoais apenas, pois os sistemas coorporativos ainda precisam ser adaptados a essa tecnologia. d) ( ) Dispositivos móveis são utilizados para facilitar a comunicação, por isso atualmente pode ser considerado como dispositivo móvel, exclusivamente os celulares e smartfones. 2 Considera-se como uma aplicação web um software que é instalado em um servidor web e que é projetado para responder às solicitações, processar informações, armazenar informações e dimensionar as respostas de acordo com a demanda. Geralmente, é distribuído em vários sistemas ou servidores. Com base nos tipos de classificações para as aplicações web, analise as sentenças a seguir: I- Baseado em Navegador: é executado no próprio navegador Web, e tem a capacidade de acessar dados armazenados em um servidor, bem como no sistema local ou ambos, dependendo do design da aplicação. II- Baseados no cliente: são semelhantes às aplicações baseadas em navegador, mas em vez de serem executados dentro do navegador, são executados como aplicação própria, exemplo: aplicações que são instaladas no cliente. III- Aplicativo móvel: é executado em um sistema operacional móvel, como Android ou iOS. Não tem comunicação com o servidor, sendo independente para suas funcionalidades. AUTOATIVIDADE 21 Assinale a alternativa CORRETA: a) ( ) As sentenças I e II estãocorretas. b) ( ) Somente a sentença II está correta. c) ( ) As sentenças I e III estão corretas. d) ( ) Todas as sentenças estão corretas. 3 Muitos conceitos que envolvem os ambientes web são facilmente confundidos, mas cada qual tem suas especificações e particularidades. De acordo com os conceitos apresentados no decorrer do Tópico 1, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Servidor web é um computador que hospeda exclusivamente aplicativos para rodar na web. ( ) Um documento com formato específico exibido/interpretado em um navegador web como Firefox, Google Chrome, entre outros, é definido como Página Web. ( ) Um conjunto de páginas web agrupadas e geralmente conectadas de diversas formas, é chamado de site. ( ) Uma aplicação web cliente-servidor é composta por dois aspectos: o cliente (são os típicos dispositivos conectados à internet dos usuários da web) e o servidor (são computadores que armazenam páginas, sites ou aplicativos). Assinale a alternativa que apresenta a sequência CORRETA: a) ( ) V – V – V – V. b) ( ) F – V – V – F. c) ( ) F – V – V – V. d) ( ) F – F – V – F. 4 Conforme abordado no Subtópico 3, o modelo de pirâmide sobre as necessidades humanas apresentadas por Maslow está organizado e disposto em níveis, numa hierarquia de importância e de influenciação. Entretanto, essas necessidades no século XXI já não são suficientes e um novo modelo foi apresentado pelos pesquisadores Eric Almquist, John Senior e Nicolas Bloch. Esse novo modelo apresenta 30 elementos com os quais definem novos critérios de valores. Valores esses que permite às empresas criarem valores para seus consumidores, e assim, consequentemente, novos produtos que atendam melhor às necessidades deles. Neste contexto, disserte sobre algumas diferenças que podem ser observadas entre os dois modelos apresentados: 22 5 Com a crescente oferta de conectividade, uso das redes sociais, aplicativos diferenciados para as mais diversas áreas: saúde, educação, laser (vídeos, jogos, filmes, músicas), dentre outros, os dados e informações das pessoas estão disponíveis em todos esses sistemas, locais e ambientes. Neste contexto, reflita sobre esses questionamentos: você lê todos os termos de uso dos aplicativos ou ambientes em que insere seus dados? Você acompanha a política de privacidade do site ao qual informa seus dados pessoais? Na sequência, disserte sobre os aspectos de segurança que você conhece e/ou adota e que envolvem os seus dados pessoais. 23 TÓPICO 2 — UNIDADE 1 CONCEITOS DE SEGURANÇA DE INFORMAÇÃO 1 INTRODUÇÃO Acadêmico, neste tópico, nós abordaremos a Segurança da informação. Esse assunto é extremamente importante e envolve não apenas aspectos lógicos de segurança, mas também aspectos físicos. É muito amplo o campo de segurança para servidores e cada organização deve atentar-se em aplicar os recursos e mecanismos que estiverem ao seu alcance, é válido ressaltar que quanto mais segurança é melhor. Na sequência serão apresentados os princípios nos quais se apoia a Segurança dos Sistemas de Informação, desde a sessão de comunicação entre o componente cliente (do lado do usuário) e o componente servidor. Esses princípios são praticamente pré-requisitos para que se considere um sistema de informação seguro. Depois serão apresentadas normas e políticas que são envolvidas no processo de Segurança de Informações. É válido lembrar que quando se menciona segurança de dados e informações engloba-se todos os dados pessoais e organizacionais. A segurança deve ser entendida no contexto total, desde ao aplicativo utilizado para realizar o login ou registro da informação, até o servidor ou banco de dados que irá armazená-la. 2 CONCEITOS A segurança da informação nunca esteve tão em alta nos últimos anos. Diariamente, recebemos inúmeras ofertas de compra virtual, nossos hábitos de navegação pela internet são monitorados pelos navegadores web, somos convidados a utilizar (principalmente no ambiente de redes sociais) aplicativos que alteram uma imagem ou foto, entre outros aspectos de entretenimento. Em meio a todo esse cenário, quais são os aspectos de segurança adotados para todas essas informações que são compartilhadas e inseridas na web? Quais são os conceitos, princípios e normas que norteiam o controle dos dados? O conteúdo a seguir foi elaborado para que você tenha toda essa base de conceitos e ampliação dos conhecimentos em segurança. 24 UNIDADE 1 — CONCEITOS BÁSICOS 2.1 DEFINIÇÃO DE SEGURANÇA DE INFORMAÇÃO Quando falamos em segurança, a primeira informação que nos vem à mente é algo que nos proteja, nos deixe estar seguros, estáveis, tranquilos. Quando abordamos o contexto de Segurança de Informações, essa essência de proteção, tranquilidade e ambiente seguro deve prevalecer. De acordo com Coelho et al. (2014, p. 2), segurança da informação “compreende a proteção das informações, sistemas, recursos e demais ativos contra desastres, erros (intencionais ou não) e manipulação não autorizada, objetivando a redução da probabilidade e do impacto de incidentes de segurança”. Estamos sempre expostos aos riscos e vulnerabilidades, e o que vai definir o impacto positivo ou negativo sobre essas situações é como essa proteção é realizada. De forma a complementar, Lento (2014) informa que podemos caracterizar a segurança da informação quando algumas propriedades são mantidas, conhecidas por CID (Confidencialidade, Integridade e Disponibilidade). Observe na figura a seguir os pilares: FIGURA 3 – PILARES DA SEGURANÇA DA INFORMAÇÃO FONTE: Os autores (2020) A partir desses pilares, vamos entender melhor cada uma dessas propriedades, conforme Lento (2014): • Confidencialidade: essa propriedade garante a privacidade das informações em ambientes computacionais, podemos similar ao que é confidencial. A segurança de um sistema computacional não deve admitir que informações sejam descobertas por pessoas não autorizadas. TÓPICO 2 — CONCEITOS DE SEGURANÇA DE INFORMAÇÃO 25 • Integridade: a segurança de informação deve sempre manter a integridade da informação armazenada, ou seja, se foi armazenado a informação “ABC” é essa informação que deverá ser apresentada quando solicitada pelo processo. Manter os dados íntegros, é assegurar que não foram modificados ou suas informações corrompidas por processos externos aos autorizados e permitidos por um sistema. • Disponibilidade: essa propriedade consiste na capacidade de manter disponível para os usuários do sistema os dispositivos de software e hardware. A disponibilidade assegura que um usuário autorizado tenha acesso ininterrupto à informação. Dessa forma, quando a informação for solicitada ela deve estar disponível conforme o processo de validação e disponibilização. Um exemplo de quebra da disponibilidade é quando o sistema fica “fora do ar”, não possibilitando o acesso, consequentemente, às informações estão indisponíveis. Além destes conceitos, podemos citar outros de forma complementar ao processo de segurança de informações. Conforme Peixinho et al. (2013, p. 4) apresenta em sua obra: • Autenticidade: é a garantia de que uma informação, produto ou do- cumento foi elaborado ou distribuído pelo autor a quem se atribui. • Legalidade: é a garantia de que as ações sejam realizadas em conformidade com os preceitos legais vigentes e que seus produtos tenham validade jurídica. • Não repúdio: se refere ao tratamento dado a informação quando o emissor envia uma mensagem, e esse não pode negar que a enviou. São exemplos que propiciam essa condição as tecnologias de certificação digital e assinatura digital. • Privacidade: em sentido amplo representa o controle da informação acerca de si com relação a sua exposição e disponibilização à ter- ceiros. Um exemplo a certa desse conceito, são as informações que ficam em banco de dados e publicadas na internet e redes sociais. Ainda, segundo Lento (2014), algumas definições relacionadasà segurança da informação são importantes para a contextualização a respeito deste assunto, vamos verificar quais são: • Vulnerabilidade: é uma condição existente em software ou hardware que pode resultar em perda de confidencialidade, disponibilidade ou integridade das informações. Alguns exemplos de vulnerabilidades, são: problemas de criptografia, acesso a diretórios restritos, validação de dados para autenticação insuficientes, SQL Injection, dentre outros. As vulnerabilidades podem ser criadas por configurações incorretas do software ou hardware ou de segurança. As ameaças exploram as vulnerabilidades, o que resulta em possíveis danos para o computador ou dados. • Ameaça: é tudo aquilo que tem potencial para causar algum tipo de dano, exemplo: invasão, indisponibilidade de serviços, dentre outros. A ameaça pode ser compreendida como um risco, que pode ser desde a uma pessoa, a um dispositivo físico defeituoso, ou a um evento (incêndio, terremoto, alagamentos, dentre outros) que venha a explorar a vulnerabilidade do sistema. 26 UNIDADE 1 — CONCEITOS BÁSICOS • Ataque: é a concretização de uma ameaça. Um ataque pode ser definido como a efetivação de uma ameaça sobre uma vulnerabilidade encontrada. No Tópico 3, nós vamos conhecer mais detalhes sobre essas vulnerabilidades, ameaças e riscos que envolvem a segurança da informação. ESTUDOS FU TUROS Agora que já vimos vários conceitos, vamos entender alguns tipos de segurança de informação. Com diferentes tipos de tecnologias surgindo, o número de ameaças cresce na mesma proporção. Não há um tipo melhor que o outro, ou seja, cada caso é um caso, e deve ser avaliado qual a necessidade que a organização, empresa ou instituição tem em relação à segurança dos seus dados e optar por soluções adequadas. É valido ressaltar que apenas soluções de segurança não vão resolver, há toda uma política de segurança que deve ser adotada para atingir tal êxito de segurança. Alguns tipos de segurança que existem são: 2.1.1 Agentes de segurança do acesso à nuvem Agentes de Segurança do Acesso à Nuvem ou também conhecidos como Cloud Access Security Brokers (CASB), conforme Blokdyk (2019), auxilia o profissional de segurança da informação a realizar controles de forma restrita ao uso das informações. Esse acesso é realizado de forma segura e controlada conforme diferentes tipos de serviço em nuvens e nos mais variados servidores. Para melhor entendimento veja a imagem a seguir, que representa a sistemática de controle para Cloud Access Security Brokers: FIGURA 4 – CONTROLE PARA CLOUD ACCESS SECURITY BROKERS FONTE: <https://bit.ly/35c7PuB>. Acesso em: 29 nov. 2020. TÓPICO 2 — CONCEITOS DE SEGURANÇA DE INFORMAÇÃO 27 A segurança CASB – Cloud Access Security Brokers, segundo Blokdyk (2019), tem por finalidade os controles de: • Visibilidade: prover a visibilidade das aplicações hospedadas nos servidores da nuvem homologadas e não homologadas utilizadas na empresa. Ressaltando que deve haver a proteção contra as ameaças, bloqueando atividades suspeitas e dispositivos não conhecidos. • Compliance (conjunto de políticas e diretrizes): atender às regulamentações, tais como: PCI DSS – Padrão de Segurança de Dados da Indústria de Cartões de Pagamento, HIPAA – Health Insurance Portability and Accountability Act (proteção de dados para a área da saúde), SOX – Sarbanes-Oxley (proteção as fraudes financeiras), entre outros, contendo informações de quem acessou, o que acessou, quando realizou o acesso, e todos os demais dados para monitoramento. • Segurança de dados: classificação das informações trafegadas dentro da aplicação, com a identificação de informações sensíveis, identificação de alterações realizadas com contas que possuem privilégios e monitoração completa de atividades de usuários. 2.1.2 Segurança física e segurança lógica Segurança física é a forma de proteger informações e equipamentos contra usuários que não possuem autorização para acessá-los. Podem ser consideradas também ameaças como desabamentos, alagamentos, quedas de energia, incêndios, falha de equipamentos, entre outros aspectos físicos. Já a segurança lógica é um conjunto de recursos executados para proteger o sistema, os dados e programas contra tentativas de acessos de pessoas ou programas desconhecidos, preocupando-se com condições dos servidores em relação a vírus, acessos remotos, backups desatualizados, entre outros (PEIXINHO et al., 2013). Para os aspectos físicos são necessárias outras observações, por exemplo, quando usar seu computador ou qualquer dispositivo móvel com acesso à rede em ambiente público, é importante tomar cuidados para evitar que ele seja furtado ou indevidamente utilizado por outras pessoas. Em ambiente corporativo ou ambiente acadêmico (salas compartilhadas ou laboratórios de informática) procure manter seu computador bloqueado, para evitar que seja usado quando você não estiver por perto, isso pode ser feito utilizando protetores de tela com senha ou com programas que impedem o uso do computador caso um dispositivo específico não esteja conectado (CERT.br, 2012). Segundo a Cartilha de Segurança para Internet (2012, p. 97), se necessário, “procure manter a segurança física do seu computador, utilizando travas que dificultem que ele seja aberto, que tenha peças retiradas ou que seja furtado, como cadeados e cabos de aço”. Ainda, “utilize criptografia de disco para que, em caso de perda ou furto, seus dados não sejam indevidamente acessados” (CERT. br, 2012, p. 97). 28 UNIDADE 1 — CONCEITOS BÁSICOS É interessante configurar seu computador para solicitar senha na tela inicial, isso impede que alguém reinicie seu computador e o acesse diretamente. Por fim, não é recomendado que insira dispositivos externos (HD, pendrive, CD, entre outros) de outras pessoas sem antes certificar-se do remetente e também realizar uma varredura nos dados com o antivírus (CERT.br, 2012). Para segurança lógica, também a outros pontos a serem observados, por exemplo, quando um ataque em potencial é identificado no servidor é necessário decidir qual nível de segurança será estabelecido para a rede ou sistema afetado, visto que existe a urgência em saber quais recursos físicos e lógicos vão precisar de proteção e modificações. Ressaltando que é sempre melhor prevenir do que corrigir situações que envolvem ataques (NAKAMURA, 2016). Segundo Nakamura (2016) e também conforme a Cartilha de Segurança para Internet (2012), existem alguns aspectos lógicos que requerem atenção e cuidados, tais como: • Configuração do Firewall. • Controle de portas de entrada e saída da rede (fechar portas e desativar serviços não utilizados). • Criptografia de Discos Rígidos. • Proteção a Acesso Remoto. • Controle de Backup e Recuperação de dados. • Controle de atualização de softwares (antivírus, sistema utilizado para armazenar informações, entre outros) • Desenvolver Políticas de Segurança para sistemas de arquivos de rede e serviços de informação. • Consultar diariamente os arquivos de LOG. Ao qual possibilita obter registros de tudo o que ocorrer em seu servidor além também de poder identificar os possíveis indícios e tentativas de violação quando houver. 2.1.3 Certificado digital Certificado digital tem o objetivo de proporcionar condições de maior segurança às comunicações e transações eletrônicas, permitindo a autenticidade e integridade das informações que circulam no ambiente digital. Podemos assimilar a nossa assinatura física a qual é realizada em algum documento, mas em meio digital. Conforme Laudon e Laudon (2014, p. 279) apresentam: Certificados digitais são arquivos de dados usados para determinar a identidade de pessoas e ativos eletrônicos, a fim de proteger transações on-line. Um sistema de certificado digital usa uma terceira parte fidedigna, conhecida como autoridade certificadora (AC), para validar a identidade de um usuário. Existem muitas ACs nos Estados Unidos e no mundo todo, tais
Compartilhar