Prévia do material em texto
179 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Unidade IV 7 TECNOLOGIA DE SEGURANÇA E ASPECTOS FÍSICOS E LÓGICOS 7.1 Criptografia e infraestrutura de chaves A criptografia é uma ciência fundamental para a segurança, servindo de base para diversas tecnologias e protocolos. Suas propriedades de confidencialidade, autenticidade, integridade, autenticação e não repúdio garantem o armazenamento, a comunicação e as transmissões de forma segura. Este capítulo discutirá o papel da criptografia, sua segurança e também a public key infraestructure (PKI) ou infraestrutura de chaves públicas. Para entender um pouco como chegamos aos conceitos aplicados hoje em dia, vamos voltar ao passado e entender como tudo começou. Em aproximadamente 1900 a.C., escribas hebreus utilizaram um sistema de substituição do alfabeto, ou seja, de forma reversa. Esse método foi denominado de Atbash. Dessa forma, chamamos essa técnica de cifras de substituição, ou seja, os caracteres da mensagem original são substituídos pelos caracteres da mensagem cifrada. Tempos mais tarde, por volta de 100 e 44 a.C., Júlio Cesar, o imperador, utilizou um sistema chamado de Cifra de Cesar, que consiste em deslocar as letras do alfabeto em algumas posições. Por exemplo, utilizado a chave “3”, o alfabeto cifrado seria: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Utilizando esta técnica para descrever a frase “BOM DIA” o resultado seria “ERP GLA”. Até os dias de hoje, muita coisa aconteceu e os métodos de criptografia evoluíram cada vez mais, como com o surgimento de novos algoritmos, entre eles DES, 3 DES, Twofish, Blowfish. Utilizando os mecanismos disponíveis hoje para o processo de criptografia, descrevemos a seguir um resumo dos serviços de segurança que a criptografia pode nos oferecer: • Confidencialidade: protege o sigilo das informações contra acesso de terceiros não autorizados. • Autenticação: verifica a identidade de um indivíduo ou um sistema. • Autenticidade: serve para assegurar que a mensagem seja gerada por quem realmente alega ser. 180 Unidade IV • Integridade: garante que as informações não sejam alteradas desde a sua geração. • Não repúdio: impede que uma pessoa ou sistema negue sua responsabilidade sobre seus atos. Para utilizar cada um desses serviços, diversas técnicas são empregadas, as quais serão detalhadas a seguir. A criptografia simétrica pode ser definida, forma bastante simples, por dois elementos fundamentais: um algoritmo e uma chave que deve ser compartilhada entre os participantes na comunicação. A mesma chave é utilizada tanto para codificar como para decodificar as mensagens. Quanto ao canal de transmissão dessas informações (chave e mensagens), toda a segurança desse sistema depende do sigilo da chave, que não pode ser transmitida no mesmo canal da mensagem. Para isso, são utilizados canais seguros para a troca das chaves, devido ao alto custo, e canais não tão seguros para a transmissão das mensagens. Na figura a seguir demonstramos um exemplo simples de como funciona a criptografia simétrica. Mensagem original Mensagem original Mensagem cifrada Criptografia mensagem Criptografia mensagem Chave criptografia Chave criptografia Figura 53 – Criptografia simétrica Com base nesses conceitos, dá para perceber que esse mecanismo tem algumas desvantagens aparentes, como escalabilidade na troca das chaves e garantia de não repúdio e falta de mecanismos seguros de autenticação. Como vantagens, podemos citar a baixa demanda de processamento e memória. Na tabela a seguir podemos ver alguns exemplos de algoritmos simétricos e suas particularidades. Tabela 7 – Exemplos de algoritmos simétricos Algoritmo Comprimento da chave Descritivo DES 56 bits Primeiro padrão mundial 3DES 168 bits (efetivo de 112) Nova versão do DES Blowfish Variável até 448 bits Alternativa ao DES RC4 Variável de 40 a 256 bits Utilizado nos protocolos SSL, WEP e WPA 181 GESTÃO DA SEGURANÇA DA INFORMAÇÃO As funções de hash têm por objetivo macro garantir que a mensagem não seja alterada durante o caminho. Para isso, a mensagem a ser criptografada recebe uma chave simétrica que é utilizada para gerar o message autentication code (MAC). Esse processo é bastante complexo, pois são empregadas funções fáceis de calcular em uma direção e extremamente difícil na direção contrária. Dessa forma, a chave empregada para gerar o MAC não pode ser a mesma a ser utilizada para criptografia da mensagem, ou seja, é necessário um canal seguro para a troca das chaves. Entretanto, para as chaves simétricas, será necessária a utilização de duas chaves, uma para criptografia das mensagens e outra para a geração do MAC. Com isso, quanto mais usuários utilizam esse mecanismo, mais chaves são necessárias, o que torna o processo de gestão extremamente complexo. Para resolver esse problema, surgiu o conceito de chaves assimétricas. A criptografia assimétrica surgiu na década de 1970, com o conceito de chaves assimétricas, que tem em sua essência a utilização de duas chaves matematicamente relacionadas, sendo uma pública e outra privada, cujo objetivo principal do desenvolvimento foi o de resolver os problemas de troca segura de chaves e escalabilidade, encontrados nas cifras simétricas. De forma básica, quando uma mensagem é codificada com uma chave pública, ela somente pode ser interpretada utilizando-se a chave privada, e vice-versa. Tecnicamente, esse mecanismo parte do princípio de que a multiplicação de dois números primos é fácil, entretanto sua fatoração (processo inverso) para chegar aos os números iniciais é um problema ainda muito difícil de ser resolvido. Um exemplo de aplicação dessa metodologia é o algoritmo RSA, proposto por Rivest, Shamir e Adleman em 1977. Utiliza a chave privada de A para decodificar o texto Criptografa o texto utilizando a chave publicada de A Chave pública usuário A Chave pública usuário A Internet Mensagem cifrada Mensagem original Figura 54 – Criptografia assimétrica 182 Unidade IV Até os dias de hoje, a grande complexidade desses problemas, além do tamanho das chaves utilizadas, garante o sucesso do algoritmo; entretanto, devido à quantidade de cálculos processados, o modelo exige uma grande capacidade de processamento. Para resolver problemas de verificação de autenticidade de uma mensagem, os sistemas de chaves públicas utilizam as chamadas assinaturas digitais, que funcionam da seguinte forma: • o remetente gera um hash da mensagem a ser envidada; • codifica com sua chave privada, gerando uma assinatura digital; • adiciona a mensagem, que é cifrada com a chave pública do destinatário. Dessa forma, se o hash da assinatura for igual ao gerado a partir da mensagem recebida, a assinatura é confirmada e a mensagem é autêntica e está íntegra. Com base nesses conceitos, podemos perceber que tanto os algoritmos simétricos como os assimétricos possuem vantagens e desvantagens. Para uma melhor visualização desse conteúdo, descrevemos a seguir um quadro comparando os dois modelos: Quadro 28 – Comparativo entre criptografia assimétrica x simétrica Sistema Criptografia assimétrica Criptografia simétrica Vantagens Chaves podem ser negociadas através de um canal inseguro Velocidade Maior escalabilidade Elevado nível de segurançaUtilizada em outros serviços, como assinatura digital Desvantagens Lentidão A troca das chaves deve ocorrer em um canal seguro Necessita de uma chave maior para obter segurança Baixa escalabilidade Não proporciona outros serviços Para um melhor aproveitamento dessas tecnologias, alguns produtos utilizam uma abordagem mista, conhecida como criptografia híbrida, aproveitando a vantagem de cada sistema. Nesse modelo, a mensagem seria codificada através da criptografia simétrica, com uma chave gerada de forma pseudo-randômica, de modo que sua transmissão ocorra através de algoritmos assimétricos. Um exemplo disso é o protocolo SSL, em que uma das partes (cliente) gera uma chave simétrica,codifica essa chave com uma chave pública do servidor; quando essa chave é recepcionada, o servidor abre utilizando um algoritmo simétrico, para criptografar as mensagens em si. Nesse exemplo, é utilizado o desempenho da criptografia simétrica e a segurança na troca das chaves através da criptografia assimétrica. 183 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Lembrete O uso da criptografia ainda é o principal mecanismo para a segurança da informação, pois pode de uma só vez proteger as informações sob a ótica de sua confidencialidade e integridade, garantindo a proteção necessária para os mais diversos canais de comunicação e sistemas. 7.2 Certificados digitais Os certificados digitais, por sua vez, os sistemas de chaves públicas e seus conceitos resolveram uma série de problemas e a utilização de sistemas híbridos também; entretanto ficou uma pergunta: como é possível garantir a propriedade de uma chave pública em todos esses processos? Para isso, é necessário que nesses processos exista uma entidade terceira, com a responsabilidade de verificar a identidade do proprietário de uma chave pública, assinando digitalmente sua comprovação. Assim, foram criadas as autoridades certificadoras (ACs), cujo objetivo é atestar a propriedade de sua chave pública; na troca de informações, cada uma das partes solicita seus respectivos certificados digitais para as ACs. Entretanto, esse modelo não seria viável por causa de diferenças de localização e da quantidade de solicitações para uma única AC. Esta demanda foi resolvida com o relacionamento entre as ACs, que podemos dividir basicamente em três formatos: • hierárquico: uma AC raiz tem a função de assinar o certificado de outras ACs, sendo que essas ACs podem ter outras ACs subordinadas e assim por diante; • certificação cruzada: a AC raiz de uma cadeia assina o certificado de outra AC raiz de uma nova cadeia; • híbrido: são utilizados os dois conceitos. Por exemplo, se a AC raiz “x” assina o certificado da AC raiz “y”, consequentemente todas as ACs abaixo dessas cadeias confiam entre si. Embora as ACs tenham diversos problemas resolvidos quanto à comprovação da identidade do responsável por uma chave pública, algumas questões de gestão dos certificados ainda necessitam ser tratadas. Para isso a estrutura chamada de infraestrutura de chaves públicas (ICP), a qual deve combinar a utilização de software, hardware, protocolos, padrões e processos para fornecer seus serviços. Uma ICP é um conjunto de tecnologias e processos desenhados para prover diversos serviços de segurança. Uma ICP tem, entre seus componentes básicos, usuários, aplicações, as ACs, certificados digitais, além das autoridades registradoras (ARs) e diretórios/repositórios de dados. 184 Unidade IV As autoridades registradoras têm por objetivo interagir com o usuário e repassar as solicitações de, por exemplo, emissão ou renovação de certificados digitais, para o processamento das ACs, garantindo assim a proteção das ACs contra ações externas. Quanto aos diretórios/repositórios de dados, estes fornecem um local de fácil acesso para terceiros acessarem os certificados emitidos pelas ACs. Saiba mais Para mais informações sobre a estrutura da ICP Brasil, acesse o site do Instituto Nacional de Tecnologia da Informação: Disponível em: https://bit.ly/3g21WF7. Acesso em: 1º jun. 2021. Há a legislação sobre a infraestrutura de chaves públicas, além da tecnologia e das políticas e processos estabelecidos para garantir segurança; como último elemento nesse processo, podemos destacar a legislação cujo objetivo é validar legalmente os mecanismos criptográficos utilizados. Confidencialidade, autenticidade e o não repúdio são os principais serviços oferecidos pela criptografia, em que a assinatura digital e os certificados digitais possibilitam a criação de leis que reconheçam esses registros. Diante disso, em agosto de 2001, foi editada a Medida Provisória n. 2.200-2, quando foi criada a ICP-Brasil, dando validade a documentos assinados digitalmente. A ICP-Brasil tem por objetivo “garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras” (BRASIL, 2001). A Medida Provisória também instituiu a formação de um comitê gestor da ICP-Brasil, cuja missão é “adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil” (BRASIL, 2001). Também foi instituída a AC raiz, como primeira entidade da cadeia de certificação da ICP-Brasil, além das ACs e ARs, em conformidade com as normas do comitê gestor. A segurança e ataques criptográficos e a avaliação da segurança de algoritmos estão na facilidade ou não com que uma pessoa consegue decifrar as mensagens. Além dos ataques de força bruta, forma mais simples de ataque a algoritmos, porém menos eficiente e, às vezes, impossível de ser implementada, devido ao tamanho das chaves, existem outras técnicas que podem ser utilizadas pelos criptoanalistas, as quais descrevemos a seguir: • Ciphertext only attack (COA): o foco é o comprometimento da confidencialidade das informações. Nesse tipo de ataque, o criptoanalista tem acesso apenas a uma ou mais mensagens codificadas e seu objetivo é descobrir as mensagens originais. • Ataque de know plaintext attack (KPA): o criptoanalista tem acesso ao texto cifrado e ao texto plano que o originou. Utilizando essas informações tenta obter a chave em uso. 185 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Choose plaintext attack (CPA): o adversário é capaz de escolher o texto plano que será cifrado. • Adaptative choosen plaintext attack (ACPA): são enviados diversos pequenos blocos de dados, que são adaptados conforme o criptoanalista coleta as informações. Seu objetivo é descobrir a chave em uso. Todos os sistemas criptográficos possuem níveis diferentes de segurança, dependendo da facilidade ou dificuldade com que são quebrados. A segurança de um criptosistema não deve ser baseada nos algoritmos que cifram as mensagens, mas sim no tamanho das chaves usadas. Podemos dizer que um algoritmo é considerado forte quando é praticamente impossível quebrá-lo em um determinado espaço de tempo em que as informações ainda sejam relevantes e possam ser utilizadas por pessoas não autorizadas. Geralmente, a maneira mais fácil de determinar se um algoritmo é considerado forte é publicando sua descrição, fazendo com que várias pessoas possam testar e avaliar sua eficiência. Programas que usam algoritmos proprietários não divulgam sua especificação. Geralmente isso acontece porque a simples divulgação do método revelará também seus pontos fracos. 7.3 Vulnerabilidades, ameaças e mecanismos de proteção Quando uma organização se depara com os recursos tecnológicos para proteção dos ativos de informação, ela está preocupada em defender três ativos de informação em especial: seus dados, seus recursos e sua reputação diante dos clientes e do mercado. Para que uma organização consiga uma melhor eficácia na utilização dos recursos tecnológicos para a proteção à segurança da informação, alguns itens como vulnerabilidades, ameaças, possíveis formas de ataque, quem são os atacantes e principalmente como se proteger devem estar bem definidos na mente dos profissionais de segurança da informação e dos profissionais de TI. A vulnerabilidade pode ser definida como uma falha no projeto, implementação em um software ou sistema operacional. Quando explorada por um atacante, desencadeia a violação da segurança de um computador. Existem casos em que um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável. Segundo o Centro de Estudos, Resposta e Tratamentode Incidentes de Segurança no Brasil (Cert.br), 95% das invasões são resultado de vulnerabilidades conhecidas ou erros de configuração. A grande maioria das vulnerabilidades pode ser facilmente prevenida se devidamente conhecida. 186 Unidade IV Por sua vez, as ameaças sempre vão existir. Ao contrário das vulnerabilidades, que podem ser sanadas ou protegidas, as ameaças ficam à espreita, à espera de uma vulnerabilidade, para assim concretizar o ataque e muito possivelmente causar danos. As ameaças podem ser divididas em: vírus, worm, backdoor, cavalo de Troia, phishing, spyware, negação de serviço (denial of service – DoS), distributed denial of service (DDoS), engenharia social, boatos (hoaxes) e spam. O vírus é um programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infecção, o vírus embute uma cópia de si mesmo em um programa ou arquivo, que, quando executado, também executa o vírus, dando continuidade ao processo de infecção. Um vírus pode afetar um computador normalmente assumindo o controle total sobre este, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário” até alterar ou destruir programas e arquivos do disco. Para que exista a infecção por um vírus de computador é preciso que de alguma maneira um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, entre elas: abrir arquivos anexados aos e-mails; abrir arquivos do Word, Excel, entre outros; abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos; instalar programas de procedência duvidosa ou desconhecida, obtidos pela internet, por pen drives ou por CD-ROM. E possível a infecção por um vírus sem que o usuário a perceba. A maioria dos vírus procura permanecer oculta, infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. Ainda existem outros tipos que permanecem inativos durante certos períodos, entrando em atividade em datas específicas ou quando acionados por seus programadores (redes zumbis). Uma ferramenta de grande capacidade para propagação de vírus são os e-mails, aos quais normalmente é anexado um arquivo. O conteúdo da mensagem procura induzir o usuário a clicar sobre o arquivo anexado, fazendo com que o vírus seja executado. Quando esse tipo de vírus entra em ação, além de infectar arquivos e programas, envia cópias de si mesmo para todos os contatos encontrados nas listas de endereços de e-mail armazenadas no computador. É importante ressaltar que esse tipo específico de vírus não é capaz de se propagar automaticamente. O usuário precisa executar o arquivo anexado que contém o vírus ou o programa de e-mail precisa estar configurado para autoexecutar arquivos anexados. Outra forma de infecção pode ocorrer pelo vírus de macro. Macro é um conjunto de comandos armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria um editor de textos que vise a definir uma macro com a sequência de passos necessários para imprimir um documento com a orientação de retrato e utilize a escala de cores em tons de cinza. Um vírus de macro é escrito de forma a explorar essa facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. Para que o vírus possa ser executado, o arquivo que o contém precisa ser aberto e, a partir daí, o vírus pode executar uma série de comandos automaticamente e infectar outros arquivos no computador. 187 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Existem alguns aplicativos que possuem arquivos base (modelos) que são abertos sempre que o aplicativo é executado. Caso esse arquivo base seja infectado pelo vírus de macro, toda vez que o aplicativo for executado, o vírus também será. Arquivos nos formatos gerados pelo Microsoft Word, Excel, Powerpoint e Access são os mais suscetíveis a esse tipo de vírus. Arquivos nos formatos RTF, PDF são menos suscetíveis, o que não significa que não possam conter vírus. O worm (verme) é um programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferentemente do vírus, o worm não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou de falhas na configuração de softwares instalados em computadores. Geralmente o worm não tem como consequência os mesmos danos gerados por um vírus, como a infecção de programas e arquivos ou a destruição de informações. Isto não quer dizer que não represente uma ameaça à segurança de um computador ou que não cause qualquer tipo de dano. Worms são notadamente responsáveis por consumir muitos recursos, degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar. Além disso, podem gerar grandes transtornos para aqueles que estão recebendo tais cópias. Há também outro tipo de ameaça, que ocorre quando um atacante procura garantir uma forma de retornar a um computador comprometido sem precisar recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, a intenção do atacante é poder retornar ao computador comprometido sem ser notado. A esses programas de retorno a um computador comprometido, utilizando-se serviços criados ou modificados para esse fim, dá-se o nome de backdoor. A forma usual de inclusão de um backdoor consiste na adição de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente incluindo recursos que permitam acesso remoto (através da internet). Há também outras formas de inclusão, como por meio de pacotes de software, tais como o Back Office e NetBus, da plataforma Windows, conhecidos por disponibilizarem backdoors nos computadores onde são instalados. Observação O Back Office é um programa desenvolvido pela Microsoft para a plataforma Windows que permite o acesso remoto entre estações de trabalho, os crackers utilizam essa funcionalidade para atacar as estações e obter acesso. Já o NetBus é um sistema de administração remoto similar ao Back Office para outras plataformas. 188 Unidade IV A existência de um backdoor não depende necessariamente de uma invasão, como a instalação de um vírus através de um cavalo de Troia ou sua inclusão como consequência da instalação e má configuração de um programa de administração remota. Alguns fabricantes incluem backdoors em seus produtos (softwares, sistemas operacionais), alegando necessidades administrativas. É importante ressaltar que esses casos constituem uma séria ameaça à segurança de um computador que contenha um desses produtos instalados, mesmo que backdoors sejam incluídos por fabricantes conhecidos. Todos os sistemas operacionais podem ter backdoors inclusos, isso não é restrito a alguns sistemas operacionais. Conta a mitologia grega que o “cavalo de Troia” foi uma grande estátua utilizada como instrumento de guerra pelos gregos para terem acesso à cidade de Troia. A estátua do cavalo foi recheada com soldados que, durante a noite, abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Troia. Daí surgiu os termos “presente de grego” e “cavalo de Troia”. Para a TI, um cavalo de Troia (Trojan horse) é um programa que, além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções maliciosas executadas por um cavalo de Troia são: alteração ou destruição de arquivos; furto de senhas e outras informações sensíveis, como números de cartões de crédito; inclusão de backdoors para permitir que um atacante tenha total controle sobre o computador. É possível diferenciar um cavalo de Troia de um vírus ou worm, pois ele se distingue de vírus e worm por não se replicar, infectar outros arquivos ou propagarcópias de si mesmo automaticamente. Normalmente um cavalo de Troia consiste em um único arquivo que necessita ser explicitamente executado. Podem existir casos em que um cavalo de Troia contenha um vírus ou worm. Mas mesmo nesses casos é possível distinguir as ações realizadas como consequência da execução do cavalo de Troia propriamente dito daquelas relacionadas ao comportamento de um vírus ou worm. Para que seja instalado, é necessário que o cavalo de Troia seja executado para que ele se instale em um computador. Geralmente um cavalo de Troia vem anexado a um e-mail ou está disponível em algum site na internet. É importante ressaltar que existem programas de e-mail que podem estar configurados para executar automaticamente arquivos anexados às mensagens. Nesse caso, a simples leitura de uma mensagem é suficiente para que qualquer arquivo (executável) anexado seja executado. Os exemplos mais comuns de cavalos de Troia são programas recebidos ou acessados através de um site, fazendo-se passar por jogos ou protetores de tela. 189 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Spyware é um software malicioso que uma vez instalado no computador, monitora as atividades de seus usuários, coletando informações (senhas, logins, documentos) e os enviando para terceiros. Phishing é um golpe pelo qual o fraudador envia mensagens em nome de instituições oficiais com o objetivo induzir o acesso a páginas falsas. Para tanto, são utilizadas imagens, textos e links reais para instalar um programa que tenta furtar dados pessoais e financeiros de usuários ou induzir a vítima a fornecer seus dados pessoais como número de cartão de crédito, senhas de acesso e outros. Nos ataques de negação de serviço (denial of service – DoS), o atacante utiliza um computador para tirar de operação um serviço ou computador conectado à internet para gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usuário não consiga utilizá-lo. Exemplos desse tipo de ataque são: ações para gerar um grande tráfego de dados para uma rede, ocupando toda a banda disponível, de modo que qualquer computador dessa rede fique indisponível; tirar serviços importantes de um provedor do ar, impossibilitando o acesso dos usuários às suas caixas de correio no servidor de e-mail ou ao servidor web. O distributed denial of service (DDoS) constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à internet. Normalmente esses ataques procuram ocupar toda a banda disponível para o acesso a um computador ou rede, causando grande lentidão ou até mesmo indisponibilizando qualquer comunicação com o computador ou rede. Se uma rede ou computador sofrer um DoS, não significa que houve uma invasão, o objetivo de tais ataques é indisponibilizar o uso de um ou mais computadores, e não a invasão. É importante notar que, principalmente em casos de DDoS, computadores comprometidos podem ser utilizados para desferir os ataques de negação de serviços. Engenharia social é o termo utilizado para descrever um método de ataque, em que alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para o acesso não autorizado a computadores ou informações. Temos como exemplo desse ataque quando algum desconhecido liga para a empresa e diz ser da equipe de suporte técnico da rede. Nessa ligação, ele diz que seu login está com problemas e ele precisa do seu usuário e senha para resolver e efetuar os devidos testes. Caso o usuário entregue a senha, esse suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a conta de acesso do usuário e o relacionando a tais atividades. Boatos (hoaxes) são e-mails com conteúdos alarmantes ou falsos e que geralmente têm como remetente ou apontam como autor da mensagem alguma instituição, empresa importante ou órgão governamental. Através de uma leitura minuciosa desse tipo de e-mail, normalmente é possível identificar em seu conteúdo mensagens absurdas e muitas vezes sem sentido. Entre os diversos boatos típicos, que chegam às caixas postais de usuários conectados à internet, podemos citar: correntes ou 190 Unidade IV pirâmides, pessoas ou crianças que estão prestes a morrer de câncer, a República Federativa de algum país oferecendo elevadas quantias em dinheiro e pedindo a confirmação do usuário ou, até mesmo, solicitando algum dinheiro para efetuar a transferência. Histórias desse tipo são criadas não só para espalhar desinformação pela internet, mas também para outros fins maliciosos. Normalmente, o objetivo do criador de um boato é verificar o quanto ele se propaga pela internet e por quanto tempo permanece se propagando. De modo geral, os boatos não são responsáveis por grandes problemas de segurança, a não ser ocupar espaço nas caixas de e-mails de usuários. Mas podem existir casos com consequências mais sérias, como um boato que procura induzir usuários de internet a fornecer informações importantes (como números de documentos, de conta-corrente em banco ou de cartões de crédito), ou um boato que indica uma série de ações a serem realizadas pelos usuários e que, se forem realmente efetivadas, podem resultar em danos mais sérios (como instruções para apagar um arquivo que supostamente contém um vírus, mas que na verdade é parte importante do sistema operacional instalado no computador). Além disso, e-mails de boatos podem conter vírus ou cavalos de Troia anexados, é importante ressaltar que um boato também pode comprometer a credibilidade e a reputação tanto da pessoa ou entidade referenciada como suposta criadora do boato quanto daqueles que o repassam. Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isso ocorre, muitas vezes, porque aqueles que o recebem confiam no remetente da mensagem, não verificam a procedência da mensagem, não checam a veracidade do conteúdo da mensagem. Para que seja evitada a distribuição de boatos é muito importante checar a procedência dos e-mails, e, mesmo que tenham como remetente alguém conhecido, é preciso certificar-se de que a mensagem não é um boato. Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem também é referenciado como UCE (do inglês unsolicited commercial email). Os usuários do serviço de correio eletrônico podem ser afetados de diversas formas. Alguns exemplos são: • Não recebimento de e-mails. Boa parte dos provedores de internet limita o tamanho da caixa postal do usuário no seu servidor. Caso o número de spams recebidos seja muito grande, o usuário corre o risco de ter sua caixa postal lotada com mensagens não solicitadas. Se isso ocorrer, todas as mensagens enviadas a partir desse momento serão devolvidas ao remetente e o usuário não conseguirá mais receber e-mails até que possa liberar espaço em sua caixa postal. 191 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Gasto desnecessário de tempo. Para cada spam recebido, o usuário necessita gastar um determinado tempo para ler, identificar o e-mail como spam e removê-lo da caixa postal. • Aumento de custos. Independentemente do tipo de acesso à internet, quem paga a conta pelo envio do spam é quem o recebe. Por exemplo, para um usuário que utiliza acesso discado à internet, cada spam representa alguns segundos a mais de ligação a serem pagas por ele. • Perda de produtividade. Para quem utiliza o e-mail como uma ferramenta de trabalho, o recebimento de spams aumenta o tempo dedicado à tarefa de leitura de e-mails, além de existir a chance de mensagens importantes não serem lidas, serem lidas com atraso ou apagadas por engano. • Conteúdo impróprio. Como a maior parte dos spams é enviada para conjuntos aleatórios de endereços de e-mail, não hácomo prever se uma mensagem com conteúdo impróprio será recebida. Os casos mais comuns são de spams com conteúdo pornográfico ou de pedofilia enviados para crianças. Para as empresas e provedores, os problemas são inúmeros e, muitas vezes, o custo adicional causado pelo spam é transferido para a conta a ser paga pelos usuários. Alguns dos problemas sentidos pelos provedores e empresas são: • Impacto na banda. Para as empresas e provedores o volume de tráfego gerado por causa de spams os obriga a aumentar a capacidade de seus links de conexão com a internet. Como o custo dos links é alto, os lucros do provedor são reduzidos e muitas vezes os custos para o usuário aumentam. • Má utilização dos servidores. Os servidores de e-mail dedicam boa parte do seu tempo de processamento para tratar das mensagens não solicitadas. Além disso, o espaço em disco ocupado por mensagens não solicitadas enviadas para um grande número de usuários é considerável. • Perda de clientes. Os provedores muitas vezes perdem clientes que se sentem afetados pelos spams que recebem ou pelo fato de terem seus e-mails filtrados por causa de outros clientes que estão enviando spam. • Investimento em pessoal e equipamentos. Para lidar com todos os problemas gerados pelo spam, os provedores necessitam contratar mais técnicos especializados e acrescentar sistemas de filtragem de spam, que implicam a compra de novos equipamentos. Como consequência os custos do provedor aumentam. Existem basicamente dois tipos de software que podem ser utilizados para barrar spams: aqueles que são colocados nos servidores e que filtram os e-mails antes que cheguem até o usuário; aqueles que são instalados nos computadores dos usuários, que filtram os e-mails com base em regras individuais de cada usuário. Em resumo um spam pode ser evitado da seguinte forma: considerar a utilização de um software de filtragem de e-mails, verificar com seu provedor ou com o administrador da rede se é utilizado 192 Unidade IV algum software de filtragem no servidor de e-mails, evitar responder a um spam ou enviar um e-mail solicitando a remoção da lista. As pesquisas demonstram que, se adotados mecanismos corretos, a possibilidade de evitar que as vulnerabilidades sejam exploradas pelas ameaças aumentam consideravelmente. A identificação da presença de um vírus na rede ou em um computador se dá através dos programas antivírus. É importante ressaltar que o antivírus deve ser sempre atualizado, caso contrário poderá não detectar os vírus mais recentes. Algumas das medidas de prevenção contra a infecção por vírus são: instalar e manter atualizado um bom programa antivírus; desabilitar no seu programa de e-mail a autoexecução de arquivos anexados às mensagens; não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas, caso seja inevitável, certifique-se de que o arquivo foi verificado pelo programa antivírus; não abrir arquivos ou executar programas de procedência duvidosa ou desconhecida, mesmo que você conheça a procedência e queira abrir ou executá-los, certifique-se de que foram verificados pelo programa antivírus; procurar utilizar, no caso de arquivos de dados, formatos menos suscetíveis à propagação de vírus, tais como RTF, PDF; procurar não utilizar, no caso de arquivos comprimidos, o formato executável, utilize o próprio formato compactado, como ZIP ou GZ. A presença de um cavalo de Troia em um equipamento ou rede também pode ser detectada com a utilização de um bom programa antivírus (desde que seja atualizado frequentemente). Normalmente o antivírus possibilita a detecção de programas instalados pelos cavalos de Troia, mas é importante lembrar que nem sempre o antivírus será capaz de detectar ou remover os programas deixados por um cavalo de Troia, principalmente se esses programas forem mais recentes que a sua versão. As principais medidas preventivas contra a instalação de cavalos de Troia são semelhantes às medidas contra a infecção por vírus. Outra medida preventiva é utilizar um firewall pessoal nas estações de trabalho. Alguns firewalls podem bloquear o recebimento de cavalos de Troia. Em resumo algumas atitudes podem evitar que o equipamento ou a rede sejam infectados por cavalos de Troia que são basicamente as mesmas contra os vírus: instalar e manter atualizado um bom programa antivírus; desabilitar no seu programa de e-mail a autoexecução de arquivos anexados às mensagens; não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas, quando for inevitável, certifique-se de que o arquivo foi verificado pelo programa antivírus; não abrir arquivos ou executar programas de procedência duvidosa ou desconhecida e, mesmo que você conheça a procedência e queira abrir ou executá-los, certifique-se de que foram verificados pelo programa antivírus; procurar utilizar, no caso de arquivos de dados, formatos menos suscetíveis à propagação de vírus, tais como RTF, PDF ou OS; procurar não utilizar, no caso de arquivos comprimidos, o formato executável, utilize o próprio formato compactado, como ZIP ou GZ; procurar instalar um firewall pessoal, que em alguns casos pode bloquear o recebimento de um cavalo de Troia. 193 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Os antivírus são programas que procuram detectar e, então, anular ou remover os vírus de computador. Atualmente, novas funcionalidades têm sido adicionadas aos programas antivírus, de modo que alguns procuram detectar e remover cavalos de Troia, barrar programas hostis e verificar e-mails. Diante das funcionalidades de um bom programa, podem ser destacados: a identificação e eliminação da maior quantidade possível de vírus; a análise de arquivos que obtidos pela internet; a verificação contínua dos discos rígidos (HDs), pen drives e CDs de forma transparente ao usuário; a procura por vírus e cavalos de Troia em arquivos anexados aos e-mails. Uma dica útil é criar, sempre que possível, um pen drive ou CD de verificação (disco de boot) que possa ser utilizado caso o vírus desative o antivírus que está instalado no computador e atualizar a lista de vírus conhecidos, pela rede, de preferência diariamente. Alguns antivírus, além das funcionalidades citadas anteriormente, permitem verificar e-mails enviados, podendo detectar e barrar a propagação por e-mail de vírus e worms. O bom uso de um antivírus compreende: mantê-lo sempre atualizado; configurá-lo para verificar automaticamente arquivos anexados aos e-mails e arquivos obtidos pela internet; configurá-lo para verificar automaticamente mídias removíveis (CDs, pen drives, discos para Zip etc.); configurá-lo para verificar todo e qualquer formato de arquivo (qualquer tipo de extensão de arquivo); se for possível, criar o pen drive ou CD de verificação (disco de boot) e utilizá-lo esporadicamente ou quando seu computador estiver apresentando um comportamento anormal (mais lento, gravando ou lendo o disco rígido fora de hora etc.), algumas versões de antivírus são gratuitas para uso pessoal e podem ser obtidas pela internet. Antes de obter um antivírus pela internet, verifique sua procedência e certifique-se de que o fabricante é confiável. Um software antivírus não é capaz de impedir que um atacante tente explorar alguma vulnerabilidade existente em um computador. Também não é capaz de evitar o acesso não autorizado a um backdoor instalado em um computador. A vulnerabilidade em softwares pode representar um risco à segurança da informação. Nesse caso, a busca por informação é recomendada. Existem sites na internet que mantêm listas atualizadas de vulnerabilidades em softwares e sistemas operacionais. Saiba mais Conheça alguns dos sites que mantêm listas atualizadas de vulnerabilidades em softwares e sistemas operacionais: Disponível em: https://bit.ly/3g6s8ie. Acesso em: 1º jun. 2021. Disponível em: https://bit.ly/3c9AnbZ. Acesso em: 1º jun. 2021. 194 Unidade IV Além disso, fabricantes também costumam manter páginasna internet com considerações a respeito de possíveis vulnerabilidades em seus softwares. Portanto, a ideia é estar sempre atento aos sites especializados em acompanhar vulnerabilidades, aos sites dos fabricantes, às revistas especializadas e aos cadernos de informática dos jornais, para verificar a existência de vulnerabilidades no sistema operacional e nos softwares instalados. A melhor forma de evitar que o sistema operacional e os softwares instalados em um computador possuam vulnerabilidades é mantê-los sempre atualizados. Entretanto, fabricantes em muitos casos não disponibilizam novas versões de seus softwares quando é descoberta alguma vulnerabilidade, mas sim correções específicas (patches). Estes patches, em alguns casos também chamados de hot fixes ou de service packs, têm por finalidade corrigir os problemas de segurança referentes às vulnerabilidades descobertas. Portanto, é extremamente importante que você, além de manter o sistema operacional e os softwares sempre atualizados, instale os patches sempre que forem disponibilizados. Detectar a presença de um worm em um computador não é uma tarefa fácil. Muitas vezes os worms realizam uma série de atividades, incluindo sua propagação, sem que o usuário tenha conhecimento. Embora alguns programas antivírus permitam detectar a presença de worms e até mesmo evitar que eles se propaguem, isso nem sempre é possível. Portanto, o melhor é evitar que os computadores sejam utilizados para propagá-los. Para protegê-lo dessa ameaça, além de utilizar um bom antivírus, que permita detectar e até mesmo evitar a propagação de um worm, é importante que o sistema operacional e os softwares instalados em seu computador não possuam vulnerabilidades. Normalmente um worm procura explorar alguma vulnerabilidade disponível em um computador, para que possa se propagar. Portanto, as medidas preventivas mais importantes são aquelas que procuram evitar a existência de vulnerabilidades. Outra medida preventiva é ter instalado e configurado nos computadores um firewall pessoal. Se bem configurado, o firewall pessoal pode evitar que um worm explore uma possível vulnerabilidade em algum serviço disponível nos computadores ou, em alguns casos, mesmo que o worm já esteja instalado no computador, pode evitar que explore vulnerabilidades em outros computadores. Em resumo, para que os worms sejam evitados é necessário: instalar e manter atualizado um bom programa antivírus; manter o sistema operacional e demais softwares sempre atualizados; corrigir eventuais vulnerabilidades existentes nos softwares utilizados; procurar instalar um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada ou que o worm se propague. Embora os programas antivírus não sejam capazes de descobrir backdoors em um computador, as medidas preventivas contra a infecção por vírus são válidas para se evitar algumas formas de instalação de backdoors. 195 GESTÃO DA SEGURANÇA DA INFORMAÇÃO A ideia é que não sejam executados programas de procedência duvidosa ou desconhecida, sejam eles recebidos por e-mail, sejam obtidos na internet. A execução de tais programas pode resultar na instalação de um backdoor. Caso seja necessária a utilização de algum programa de administração remota, certifique-se de que ele esteja bem configurado, de modo a evitar que seja utilizado como um backdoor. Outra medida preventiva consiste na utilização de um firewall pessoal. Apesar de não eliminarem os backdoors, se bem configurados, podem ser úteis para amenizar o problema, pois podem barrar as conexões entre os invasores e os backdoors instalados em um computador. Também é importante visitar constantemente os sites dos fabricantes de softwares e verificar a existência de novas versões ou patches para o sistema operacional ou softwares instalados em seu computador. Existem casos em que a disponibilização de uma nova versão ou de um patch está associada à descoberta de uma vulnerabilidade em um software, que permite a um atacante ter acesso remoto a um computador, de maneira similar ao acesso aos backdoors. Em resumo, para que seja evitado os backdoors, devem ser seguidas as seguintes recomendações: seguir as recomendações para prevenção contra infecção por vírus; não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas; não executar programas de procedência duvidosa ou desconhecida; procurar instalar um firewall pessoal, que em alguns casos pode evitar o acesso a um backdoor já instalado no computador, para corrigir eventuais vulnerabilidades existentes nos softwares utilizados. Grande parte dos problemas de segurança envolvendo e-mails está relacionada ao conteúdo das mensagens, que normalmente abusam das técnicas de engenharia social ou de características de determinados programas de e-mail que permitem abrir arquivos ou executar programas anexados às mensagens automaticamente. Algumas dicas de configuração para melhorar a segurança do programa de e-mail são: desligar as operações que permitem abrir ou executar automaticamente arquivos ou programas anexados às mensagens; desligar as operações de execução do JavaScript e de programas Java; desligar, se possível, o modo de visualização de e-mails no formato HTML. Essas configurações podem evitar que o seu programa de e-mail propague automaticamente vírus e cavalos de Troia. Existem programas de e-mail que não implementam tais funções e, portanto, não possuem essas operações. Algumas medidas preventivas que minimizam os problemas trazidos com os e-mails são: manter sempre a versão mais atualizada do seu programa de e-mail; evitar abrir arquivos ou executar programas anexados aos e-mails sem antes verificá-los com um antivírus; desconfiar sempre dos arquivos anexados à mensagem, mesmo que tenham sido enviados por pessoas ou instituições conhecidas – o endereço do remetente pode ter sido forjado e o arquivo anexo pode ser, por exemplo, um vírus ou um cavalo de Troia –; fazer o download de programas diretamente do site do fabricante; desconfiar de e-mails pedindo urgência na instalação de algum aplicativo ou correções de determinados defeitos dos softwares que você utilize, caso isso ocorra, entre em contato com os distribuidores desses softwares para se certificar sobre a veracidade do fato. 196 Unidade IV Existem diversos riscos envolvidos na utilização de um browser. Entre eles, pode-se citar: execução de JavaScript ou de programas Java hostis; execução de programas ou controles ActiveX hostis; obtenção e execução de programas hostis em sites não confiáveis; realização de transações comerciais ou bancárias via web, sem qualquer mecanismo de segurança. Observação Browser é nome que se dá aos programas que fazem a interação do usuário com a internet. Os mais conhecidos são: Internet Explorer, Mozila, Firefox, Chrome. Java é uma linguagem orientada a objetos muito utilizada em navegadores web. Normalmente os browsers contêm módulos específicos para processar programas Java. Apesar de esses módulos fornecerem mecanismos de segurança, podem conter falhas de implementação e, nesse caso, permitir que um programa Java hostil cause alguma violação de segurança em um computador. O JavaScript é bem mais utilizado em páginas web do que os programas Java e, de modo geral, constitui uma versão bem “enxuta” do Java. É importante ressaltar que isso não quer dizer que não existam riscos associados à sua execução. Um JavaScript hostil também pode acarretar a violação da segurança de um computador. Antes de receber um programa ActiveX, o seu browser verifica sua procedência através de um esquema de certificados digitais. Se você optar por aceitar o certificado, o programa é executado em seu computador. Ao serem executados, os programas ActiveX podem fazer de tudo, desde enviar um arquivo qualquer pela internet até instalar programas (que podem ter fins maliciosos) nos computadores. Muitos sites, ao serem acessados,utilizam cookies para manter informações, como as preferências de um usuário. Essas informações, muitas vezes, são compartilhadas entre diversas entidades na internet e podem afetar a privacidade do usuário. Normalmente as transações, sejam comerciais, sejam bancárias, envolvem informações sensíveis, como senhas ou números de cartões de crédito. Portanto, é muito importante que você, ao realizar transações via Web, certifique-se da procedência dos sites, se esses sites são realmente das instituições que dizem ser e se eles fornecem mecanismos de segurança para evitar que alguém conectado à internet possa obter informações sensíveis de suas transações, no momento em que estiverem sendo realizadas. Algumas medidas preventivas para o uso de browsers são: manter o seu browser sempre atualizado; desativar a execução de programas Java na configuração do browser – se for absolutamente necessário que o Java esteja ativado, para que as páginas de um site possam ser vistas, basta ativá-lo antes de 197 GESTÃO DA SEGURANÇA DA INFORMAÇÃO entrar no site e, então, desativá-lo ao sair –; desativar a execução de JavaScripts antes de entrar em uma página desconhecida e, então, ativá-la ao sair – caso você opte por desativar a execução de JavaScripts na configuração de seu browser, é provável que muitas páginas Web não possam ser visualizadas –; permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confiáveis; manter maior controle sobre o uso de cookies; certificar-se da procedência do site e da utilização de conexões seguras ao realizar transações via Web. Cópias de segurança dos dados armazenados em um computador são importantes, não só para se recuperar de eventuais falhas, mas também das consequências de uma possível infecção por vírus ou de uma invasão. As cópias de segurança podem ser simples, como o armazenamento de arquivos em CDs, ou mais complexas, como o espelhamento de um disco rígido inteiro em um outro disco de um computador/servidor ou em uma fita magnética. A frequência com que é realizada uma cópia de segurança (backup) em uma rede é recomendada seguindo as melhores práticas, os backups podem ser incrementais (realizado de hora em hora, copiando apenas os arquivos na rede que foram alterados naquela hora), podem ser diários (consolidando todos os backups incrementais do dia), podem ser semanais (consolidando todos os backups diários daquela semana) e mensais (consolidando todas as semanas do mês em uma única mídia). No caso de redes, é necessário fazer backup de todos os arquivos contidos no segmento de rede. Para as informações pessoais, o processo depende da periodicidade com que o usuário cria ou modifica arquivos. Cada usuário deve criar sua própria política para a realização de cópias de segurança. Os cuidados com cópias de segurança dependem das necessidades do usuário. O usuário deve procurar responder algumas perguntas antes de adotar um ou mais cuidados com suas cópias de segurança: quais informações são realmente importantes e precisam estar armazenada em minhas cópias de segurança; quais seriam as consequências/prejuízos, caso minhas cópias de segurança fossem destruídas ou danificadas; o que aconteceria se minhas cópias de segurança a fossem furtadas. Baseado nas respostas para as perguntas anteriores, um usuário deve atribuir maior ou menor importância a cada um dos cuidados discutidos a seguir. Escolha dos dados Cópias de segurança devem conter apenas arquivos confiáveis do usuário, ou seja, que não contenham vírus ou sejam cavalos de Troia. Arquivos do sistema operacional que fazem parte da instalação dos softwares de um computador não devem fazer parte das cópias de segurança. Eles podem ter sido modificados ou substituídos por versões maliciosas, as quais, quando restauradas, podem trazer uma série de problemas de segurança para um computador. O sistema operacional e os softwares de um computador podem ser reinstalados de mídias confiáveis, fornecidas por fabricantes confiáveis. 198 Unidade IV Mídia utilizada No caso de redes, devido ao alto volume de dados, o procedimento de backup deve estar documentado e a escolha da mídia deve representar a verdadeira necessidade da empresa e criticidade de recuperação, bem como a execução de testes nas fitas. Para o caso de backups pessoais, a escolha da mídia para a realização da cópia de segurança é extremamente importante e depende da importância e da vida útil que a cópia deve ter. A utilização de alguns pen drives para armazenar um pequeno volume de dados modificados constantemente é perfeitamente viável. Mas um grande volume de dados, de maior importância, que deve perdurar por longos períodos, deve ser armazenado em mídias mais confiáveis, como CDs, discos externos ou discos espelhados. Local de armazenamento Quando nos referimos a backups de organizações, é necessário que o local de armazenamento das mídias seja uma sala cofre à prova de fogo ou até mesmo um cofre à prova de fogo. Os backups particulares devem ser guardados em um local condicionado (longe de muito frio ou muito calor) e restrito, de modo que apenas pessoas autorizadas tenham acesso a esse local (segurança física). Cópia em outro local Cópias de segurança devem ser guardadas em locais diferentes. Um exemplo seria manter uma cópia em uma filial ou em outro escritório. Também existem empresas especializadas em manter áreas de armazenamento com cópias de segurança de seus clientes. Nesses casos é muito importante considerar a segurança física de suas cópias. O uso de criptografia para informações sigilosas armazenadas em cópias de segurança também é recomendado. Nesse caso, os dados que contenham informações sigilosas devem ser armazenados em algum formato criptografado. O furto de dados pessoais dos colaboradores pode ser a porta de entrada para um ataque à organização ou até mesmo um ataque ao próprio colaborador, por isso cuidados com os dados pessoais são importantes. Procure não fornecer dados pessoais (como nome, e-mail, endereço e números de documentos) para terceiros, também nunca forneça informações sensíveis (como senhas e números de cartão de crédito), a menos seja realizada uma transação (comercial ou financeira) e se tenha certeza da idoneidade da instituição que mantém o site. Essas informações geralmente são armazenadas em servidores das instituições que mantêm os sites. Com isso, corre-se o risco de essas informações serem repassadas sem autorização para outras instituições ou de um atacante comprometer esse servidor e ter acesso a todas as informações. Atenção aos ataques de engenharia social, que são mais comuns do que se imagina; ao ter acesso aos dados pessoais da vítima, um atacante poderia, por exemplo, utilizar e-mail em alguma lista de distribuição de spams ou se fazer passar pela vítima na internet (através do uso das senhas furtadas). 199 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Deve ser dada total atenção aos dados pessoais armazenados nos discos rígidos das estações de trabalho. É importante ter certos cuidados no armazenamento de dados em um computador; mantenha informações sensíveis ou pessoais (como números de cartões de crédito, declarações de imposto de renda, senhas etc.) armazenadas em algum formato criptografado, longe do alcance de terceiros. Esses cuidados são extremamente importantes no caso de notebooks, pois são mais visados e, portanto, mais suscetíveis a roubos, furtos etc. Caso as informações não estejam criptografadas, e seja necessário levar o computador a alguma assistência técnica, por exemplo, seus dados poderão ser lidos por algum técnico mal-intencionado. Para criptografar esses dados, existem programas que, além de criptografarem e-mails, também podem criptografar arquivos. Um exemplo seria utilizar um programa que implemente criptografia das chaves pública e privada. O arquivo sensível seria criptografado com a sua chave pública e, então, decodificado com a sua chave privada,sempre que fosse necessário. É importante ressaltar que a segurança desse método de criptografia depende do sigilo da chave privada. A ideia, então, é manter a chave privada em um CD ou em outro disco rígido (em uma gaveta removível), que não deve ser enviado junto com o computador para a assistência técnica. Também deve-se ter um cuidado especial ao trocar ou vender um computador. Apenas apagar ou formatar um disco rígido não é suficiente para evitar que informações antes armazenadas possam ser recuperadas. Portanto, é importante sobrescrever todos os dados do disco rígido. Para assegurar que a informação não possa ser recuperada de um disco rígido é preciso sobrescrevê-la com outras informações. Um exemplo seria gravar o caractere 0, ou algum caractere escolhido aleatoriamente, em todos os espaços de armazenamento do disco. É importante ressaltar que é preciso repetir algumas vezes a operação de sobrescrever os dados de um disco rígido, para assegurar que informação anteriormente armazenadas não possam ser recuperadas. Existem softwares gratuitos e comerciais que permitem sobrescrever dados de um disco rígido e que podem ser executados em diversos sistemas operacionais, como o Windows, Unix (Linux, FreeBSD etc.) e Mac OS. Cuidados com a senha de acesso à rede, sistemas, e-mails devem ser tomados, entre eles: elaborar sempre uma senha que contenha pelo menos oito caracteres, compostos de letras números e símbolos; jamais utilizar como senha o nome, sobrenome, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadas com você ou palavras constantes em dicionários; utilizar uma senha diferente para cada serviço, alterar a senha com frequência. Os atacantes utilizam as ameaças para explorar as vulnerabilidades que possam vir a não estar devidamente protegidas, existem dois tipos de atacantes os externos e os internos. Os atacantes internos podem ser representados por funcionários insatisfeitos ou simplesmente mal-intencionados que, em virtude da oportunidade visualizada em uma ou mais vulnerabilidades, acaba concretizando o ataque. Já os atacantes externos são representados pelos crackers, que são pessoas com conhecimento avançado de tecnologia, que invadem um sistema de computador, geralmente em benefício próprio ou de terceiros, com o objetivo de roubar informações ou implantar 200 Unidade IV códigos maliciosos. É comum a confusão dos termos hackers com os crackers. Os hackers também têm conhecimentos avançados sobre tecnologia, porém seus conhecimentos são utilizados para a proteção dos ativos de informação que estão amparados em tecnologia, os hackers geralmente são contratados pelas organizações para fazer um contraponto nas ações de atacantes crackers. A primeira atitude para o desempenho eficaz da gestão de incidentes e o correto controle dos registros de eventos (logs) é sempre verificar os logs do firewall pessoal e dos IDSs que estejam instalados no computador, verificar se não é um falso positivo, antes de notificar um incidente. Os logs são registros de atividades gerados por programas de computador. No caso de logs relativos à incidentes de segurança, eles normalmente são gerados por firewalls ou por sistemas de detecção de intrusão. Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém tenta acessar um computador e esse acesso é barrado pelo firewall. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, pode haver uma tentativa de ataque, mas também pode ser um falso positivo. Já os sistemas de detecção de intrusão podem gerar logs tanto para casos de tentativa de ataques quanto para casos em que um ataque teve sucesso. Apenas uma análise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os firewalls, os sistemas de detecção de intrusão também podem gerar falsos positivos. O termo “falso positivo” é utilizado para designar uma situação em que um firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade não se trata de um ataque. Um exemplo clássico de falso positivo ocorre no caso de usuários que costumam se conectar em servidores de IRC e que possuem um firewall pessoal. Atualmente boa parte dos servidores de IRC possui uma política de uso que define que um usuário, para se conectar em determinados servidores, não deve possuir em sua máquina pessoal nenhum software que atue como proxy. Para verificar se um usuário tem algum software desse tipo, ao receberem uma solicitação de conexão por parte de um cliente, os servidores enviam para a máquina do cliente algumas conexões que checam a existência destes programas. Se o usuário possuir um firewall é quase certo que essas conexões serão apontadas como um ataque. Outro caso comum de falso positivo ocorre quando o firewall não está devidamente configurado e indica como ataques e respostas a solicitações feitas pelo próprio usuário. Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informações: data e horário em que ocorreu uma determinada atividade, endereço IP de origem da atividade, portas envolvidas. Dependendo do grau de refinamento da ferramenta que gerou o log, ele também pode conter informações como: o timezone do horário do log, protocolo utilizado (TCP, UDP, ICMP etc.), os dados completos que foram enviados para o computador ou rede. 201 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Lembrete Evidentemente que os mecanismos tecnológicos são fundamentais para proteção das informações, todavia, devemos ter sempre em mente os três elementos envolvidos quando falamos da segurança da informação: as pessoas, os processos e a tecnologia, se um desses está vulnerável, todo o sistema de proteção está correndo riscos. 7.4 Resposta a incidentes Diante das responsabilidades da área de segurança da informação dentro do ambiente corporativo, a resposta a incidentes tem papel fundamental na eficácia do processo de gestão dos ativos de informação. Atualmente, manter os recursos computacionais seguros, em ambientes interconectados por meio de redes, é um desafio cuja dificuldade aumenta com a inclusão de cada novo sistema. A grande maioria das instituições e empresas que não utiliza uma única solução de segurança genérica que cobre todas as vulnerabilidades, em vez disso, a estratégia mais utilizada é a de estabelecer camadas complementares de segurança, abrangendo: tecnologia, processos e pessoas. Uma das camadas de segurança que as empresas adotam para gerenciar o risco de segurança é a criação de um time de resposta a incidentes computacionais (computer incident response team – Cirt). As principais motivações para a criação de um Cirt residem no crescente número de incidentes reportados; no crescente número e perfil de empresas atacadas; no entendimento das empresas sobre a necessidade de possuir políticas de segurança e procedimentos para melhorar o gerenciamento de riscos; nas novas regulamentações e leis que exigem controles de segurança sobre os sistemas de informação; no entendimento de que os administradores de rede e sistemas não são capazes de proteger os recursos computacionais isoladamente. Para a estruturação de um Cirt é necessário entender claramente o seu objetivo. Para isso, temos de conceituar o que são eventos e incidentes de segurança da informação. Evento é uma ocorrência observável a respeito de um sistema de informação, a exemplo de um e-mail, um telefonema, o travamento de um servidor (crash). Incidente é um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação que implica comprometimento ou tentativa de comprometimento da segurança. Em resumo, trata-se de tentativa ou quebra de segurança de um sistema da informação (confidencialidade, integridade ou disponibilidade), violação da política de segurança, tentativa ou acesso não autorizado, modificação, criação ou remoção de informações sem o conhecimento do gestor. 202Unidade IV São exemplos de eventos e incidentes, em ataque de software malicioso (vírus etc.): • Evento: usuário informa que pode ter sido contaminado por vírus. • Incidente potencial: seu sistema apresenta características típicas de contaminação por vírus. Em ataques DoS (Denial of service): • Evento: usuário informa que não consegue acessar um serviço. • Incidente potencial: muitos usuários informam o mesmo problema. Para invasões: • Evento: administrador imagina que seu sistema foi invadido. • Incidente potencial: administrador envia log e trilhas de auditoria indicando atividades suspeitas. Uso não autorizado: • Evento: proxy indica que um usuário tentou acessar um site pornográfico. • Incidente potencial: proxy indica que um usuário tentou acessar vários sites pornográficos. O Cirt é formado por um grupo de profissionais pertencentes a diversos departamentos da corporação, devidamente treinados com larga experiência nas suas respectivas áreas cuja missão é atender e acompanhar, imediatamente, incidentes de segurança no ambiente computacional da empresa, seguindo procedimentos previamente estabelecidos. Quando uma organização tem a intenção de criar um Cirt, normalmente procura verificar como esse processo ocorreu em outras empresas, além de estabelecer requerimentos que devem ser atendidos por esse time. Apesar de a atuação do Cirt variar bastante em função da disponibilidade de pessoal, capacitação da equipe, orçamento etc., existem algumas recomendações de melhores práticas que se aplicam para a maioria dos casos, que são: obter o apoio da administração da empresa; elaborar um plano estratégico do Cirt; levantar informações relevantes; elaborar a missão do Cirt; divulgar a missão do Cirt e o plano operacional; iniciar a implementação do Cirt; divulgar a entrada em operação do Cirt; avaliar continuamente a qualidade dos serviços prestados. Deve ser obtido o apoio da administração da organização, uma vez que, sem o apoio da administração da empresa, a criação do Cirt é muito difícil. Esse apoio pode vir sob a forma de: fornecimento de recursos (computadores, softwares etc.); financiamento; disponibilização de pessoal; tempo do líder de segurança para criar o Cirt; espaço nos comitês de segurança para a discussão do assunto. É fundamental 203 GESTÃO DA SEGURANÇA DA INFORMAÇÃO o alinhamento de entendimento sobre as funções e responsabilidades do Cirt com a administração da empresa, também é muito importante o apoio da administração da empresa para dar respaldo às ações e requisições do Cirt junto a outras áreas. O pleno envolvimento de participantes do Cirt e seus respectivos superiores é um pré-requisito para a discussão posterior de orçamento para a implantação e manutenção do time. A elaboração do plano estratégico deve levar em conta aspectos administrativos da concepção do Cirt: existem cronogramas que precisam ser cumpridos, eles são realistas; existe um grupo de projeto já formado que deve estar devidamente representado; como a organização toma conhecimento sobre as ações de desenvolvimento do Cirt, existe um membro que deve representar esse grupo em uma instância maior; o processo deve estar devidamente formalizado (e-mail, relatórios etc.); todos os membros do grupo devem ter acesso às informações produzidas. É necessário levantar informações relevantes para compor as responsabilidades e serviços prestados pelo Cirt, deve-se inicialmente levantar as áreas e sistemas mais críticos da empresa, também é importante o levantamento de eventos e incidentes reportados no passado para dimensionar o grau de conhecimento da empresa sobre esses fatos. Essas informações permitirão avaliar a competência dos profissionais existentes em assuntos relacionados com segurança da informação. Com isso será possível dimensionar os serviços que serão prestados pelo Cirt e a possibilidade de utilizar funcionários já existentes na empresa ou a necessidade de novas contratações. Alguns exemplos de informações relevantes são: detalhes sobre o último incidente externo com vírus na empresa (por exemplo, tentativa de invasão); se a empresa já teve incidente de fraude envolvendo funcionários internos; deve ser levantado se algumas funções do Cirt já são cobertas por áreas existentes; deve-se levantar os procedimentos já existentes na empresa, que ajudarão nas funções do Cirt. Procure agendar visitas com instituições semelhantes e que já possuam o Cirt. Com base nas informações levantadas, elabore a missão do Cirt, que, antes de ser divulgada para a empresa, deve estar alinhada com a administração e deve estar aberta para receber críticas e sugestões de melhoria da hierarquia. Tendo-se alinhadas as expectativas com os envolvidos, traçado o plano estratégico e definida a missão do Cirt, é hora de colocá-lo em ação através de: contratação e treinamento do grupo principal do Cirt; elaboração e divulgação entre todos da metodologia de trabalho; compra e instalação dos equipamentos e softwares de suporte ao Cirt; definição das especificações de recuperação de evidências de incidentes para cada sistema crítico; desenvolvimento de modelos de relatórios e mecanismos de informação de incidentes Quando o Cirt estiver operacional, elabore uma campanha de divulgação que deve entre outras coisas informar aos colaboradores sobre suas funções, formas de entrar em contato para reportar incidentes, funcionários envolvidos. A divulgação deve ser repetida periodicamente. 204 Unidade IV A avaliação da atuação do Cirt deve ser periódica por: estatísticas de incidentes reportados; incidentes resolvidos; falsos positivos e tempo de indisponibilidade de sistemas. É necessária a comparação com outras empresas. A correta manutenção e crescimento da base de conhecimento documentados ajudam no aprimoramento dos membros do Cirt. O Cirt é formado por um grupo multidisciplinar de profissionais. Essa característica procura atender a necessidade de, na eventualidade de um incidente, o time ser capaz de atuar em várias frentes paralelamente, identificando as causas e coletando evidências do ataque. Esses funcionários não possuem dedicação exclusiva ao Cirt, porém, quando acionados pelo líder do Cirt, devem responder imediatamente, pode-se fazer uma analogia comparando o Cirt à brigada de incêndio das empresas. O líder do Cirt deve ser um funcionário da corporação com ampla experiência em segurança da informação. Além de gerenciamento de projetos de tecnologia, é recomendado que esse líder possua um cargo na hierarquia que possibilite a tomada de decisões, requisição de auxílio de funcionários de outras áreas e condução de verificações nas diversas áreas da corporação. Esse líder poderá ser um gerente ou um diretor pertencente à área de segurança da informação (security office). A atuação responsável pela área de segurança da informação (security office) está em instruir os funcionários das outras áreas na identificação, coleta e/ou preservação de rastros do incidente, também caberá avaliar as consequências ocasionadas pelo ataque e providenciar, em caso de necessidade, a execução do plano de continuidade de negócios. Ao final do acompanhamento de um incidente, deverá coordenar a elaboração do relatório descrevendo o(s) fato(s) ocorrido(s). A atuação da área de redes está em prover o acesso aos equipamentos de comunicação e segurança sob sua responsabilidade, como firewalls, roteadores e switches, sempre que requisitado pelo líder do Cirt, a fim de auxiliar no levantamento e análise dos logs e, quando necessário, entrar em contato com provedores de acesso, empresas de telecomunicações etc. A área de manutenção de servidores deve atentar para a verificação detalhada da configuração dos servidores em virtude de possíveis acessos não autorizados, deve coletar os rastros de transações, fazendo a verificação do código de aplicações. O líder do Cirt poderá requisitar que um determinado servidor ou um conjunto deles seja mantido em quarentena para verificaçõesmais precisas; nesse caso, a equipe designada deverá providenciar a instalação e configuração de servidores sobressalentes para assumir o ambiente de produção. A atuação da área de auditoria visa identificar quais controles de segurança ou procedimentos falharam e permitiram a ocorrência do incidente. Sua missão será a de auxiliar o líder do Cirt na elaboração do relatório do incidente e validação/auditoria da implementação do respectivo plano de ação preparado para solucioná-lo. A auditoria também contribuirá com o Cirt na estimativa dos prejuízos financeiros e de imagem causados pelo incidente. A área de inspetoria atua na contribuição com a identificação das causas e motivações do incidente. Também será de sua responsabilidade a manutenção do histórico de todos os incidentes identificados ou 205 GESTÃO DA SEGURANÇA DA INFORMAÇÃO reportados na corporação, subsidiando o líder do Cirt com informações sobre padrões de comportamento, objetivos, frequência e medidas adotadas em casos semelhantes. A área de recursos humanos poderá ser acionada pelo líder do Cirt na medida em que o incidente envolver funcionários ou terceiros que prestam serviços para a instituição (ou empresas do conglomerado que estejam sob a sua gestão). O líder do Cirt poderá requisitar informações sobre o(s) funcionário(s) envolvido(s), entre elas, seu cargo, suas responsabilidades, sua formação. A área jurídica poderá ser acionada com o objetivo de obter auxílio jurídico na coleta e preservação de evidências e no tratamento com empresas parceiras, com funcionários ou com clientes envolvidos. Toda comunicação com empresas parceiras, clientes ou mesmo funcionários internos deverá ser acompanhada pela área jurídica da organização. A área de relações públicas é acionada no caso de o incidente trazer a exposição da empresa perante seus clientes e parceiros de negócios. A área de relações públicas poderá ser envolvida pelo líder do Cirt com o objetivo de orientar a melhor maneira de promover a comunicação com eles ou mesmo com a imprensa, caso seja necessário. Líder do Cirt Área de seg. info. Tecnologia da informação Tecnologia da informação Telecom / redes Mainframe Desenvolvimento Auditoria engenharia Recursos humanos Jurídico Relações públicas Figura 55 – Organograma do Cirt O fluxo de resposta a incidentes deve seguir a seguinte sequência lógica: sempre que um incidente for informado ou detectado, ele deverá ser encaminhado ao responsável pela área de segurança da informação (security office); caberá a essa área decidir se o Cirt deverá ser acionado ou não, em função da gravidade do incidente; sendo acionado, o Cirt deverá abrir um chamado de incidente composto por um relatório que deverá ser completado durante todo o acompanhamento do incidente; ao final do trabalho, ou mesmo durante sua execução, o líder do Cirt apresentará ao comitê de segurança um resumo desse relatório, que deverá conter os seguintes pontos: • descrição sucinta do incidente; • causa do incidente; • forma de identificação do incidente; 206 Unidade IV • classificação quanto às consequências financeiras e de imagem; • contramedidas tomadas; • plano de ação para a contenção de incidentes semelhantes. O acionamento do Cirt deve ser realizado através dos canais de fácil acesso, que devem ser disponibilizados pelo Cirt, tais como: um ramal telefônico exclusivo; um endereço de e-mail genérico (cirt@empresa.com.br); páginas de webmail na intranet (para não identificar o emissor). Tudo isso facilita o acesso ao Cirt. Acionamento da área de segurança da informação Reunião emergencial do Cirt Documentação e ampliação da base de conhecimento Identificação da causa e coleta de rastros Apresentação do relatório ao comitê de segurança Avaliação das consequências financeiras e imagem Aplicação do plano de continuidade de negócios Elaboração do plano de ação Suspeita de incidente Tecnologia da inform ação Coaboradores do Cirt Relações públicas Jurídico Recursos humanos Auditoria / inspetoria Parceiros de segurança Figura 56 – Fluxo da gestão de incidentes 7.5 Segurança física A segurança física cuida da proteção de todos os ativos valiosos da organização, por essa razão sua abrangência é extensa, desde as instalações físicas internas até as externas em todas as localidades da organização. A segurança física também cuida da proteção dos ativos quando são transportados como valores ou fitas de backup. 207 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Quando nos referimos à segurança física, a palavra prevenção vem em primeiro lugar. Medidas preventivas devem ser tomadas. São chamadas de barreiras de segurança. Beal (2008) demonstra uma barreira de segurança como um obstáculo que é colocado para prevenir um ataque. Quando falamos em segurança física, podemos nos referir, como exemplo, a uma cerca elétrica, a uma parede. Quando falamos em segurança lógica, nos referimos a um processo de logon para acesso a uma rede. Se ambas forem combinadas, será composto o perímetro de segurança. A ISO 27001 (item 7.1.1) define perímetro de segurança como sendo quaisquer elementos que estabeleçam uma barreira ao acesso indevido. A melhor forma de definição para perímetro de segurança seria como uma linha delimitadora que define uma área separada protegida por um conjunto de barreiras físicas e lógicas. Alguns exemplos de barreiras que agregadas podem formar um perímetro de segurança são: salas-cofre, roletas de controle de acesso físico e uso de token ou dispositivo biométrico para autenticação de pessoas antes da liberação da passagem, circuitos internos de TV, detectores de fumaça, sirenes e alarmes de incêndio, acionadores de água para combate a incêndio. É recomendado, segundo as melhores práticas definidas na ISO 27001, que, para segurança física, sejam considerados alguns itens de segurança obrigatórios, conforme o quadro a seguir. Quadro 29 – Itens de segurança física definidos pela ISO IEC 27001 Perímetro de segurança claramente definido Perímetro de prédios ou locais que contenham recursos de processamento de dados fisicamente consistente (sem brechas que facilitem a invasão) Implantação de área de recepção ou outro meio de acesso físico ao local ou prédio e restrição do acesso apenas a pessoas autorizadas Barreiras físicas estendidas da laje do piso até a laje superior, quando necessário, para prevenir acessos não autorizados ou contaminação ambiental causada por fogo, inundação, fumaça etc. Portas de incêndio no perímetro de segurança com sensores de alarme e mola para fechamento automático Diante do escopo abrangente que remete à segurança física é necessária a adoção de práticas de gestão idênticas às adotadas na gestão da segurança da informação: análise e avaliação de risco, elaboração de normas. Tais práticas são necessárias para a correta e eficaz introdução de um processo de gestão da segurança física. Compreender o ambiente físico da organização é o primeiro passo para a identificação das vulnerabilidades que abrem brechas para as ameaças, as quais podem comprometer o ambiente físico da organização. Vejamos a seguir exemplos das ameaças e vulnerabilidades mais comuns. 208 Unidade IV Quadro 30 – Ameaças e vulnerabilidades à segurança física Ameaças Vulnerabilidades Roubos e furtos Ausência ou falha no controle de acesso físico aos edifícios da organização Sabotagem e vandalismo Ativos físicos de fácil acesso ou expostos desnecessariamente Sequestro e chantagem Falha ou ausência na proteção física dos ativos de informação ou na proteção dos colaboradores da organização Terrorismo ideológico ou criminoso Falha ao evitar que a organização entre em temas polêmicos ou ideológicos Interrupção em serviços básicos como água, energia e gás Ausência ou falhas em planos de contingência Problemas em sistemas de suporte como ar-condicionado e ventilação Ausência ou falhas em planos de contingência Fogo e fumaça Ausência oufalhas em mecanismos de detecção de incêndio Vazamento de água e enchentes Ausência ou falhas nos mecanismos de prevenção A análise de risco para os aspectos físicos auxilia na identificação das instalações físicas e dos ativos de negócio que estão associados à proteção física e com isso à adoção de mecanismos que contrabalancem investimento e benefício, uma vez que controles físicos requerem investimentos razoavelmente altos. A segurança da informação deve interferir o mínimo possível na rotina de uma organização, porém, quando o assunto é segurança física, essa intervenção é inevitável e necessária para tornar o ambiente seguro. Devem ser adotados padrões mínimos para a proteção física da organização, de seus ativos de informação e de seus colaboradores. Quanto maior a necessidade de proteção, maior será a intervenção da segurança da informação na rotina da organização e consequente desconforto aos colaboradores. O grande desafio da segurança da informação, especificamente da segurança física, é de adotar mecanismo de proteção física que contrabalanceie as dificuldades e as proteções para evitar o excesso de procedimento de controle. O uso de planos de conscientização ajuda a dividir as responsabilidades e com isso a reduzir a sensação de desconforto causada pela implantação de mecanismos de proteção física no ambiente da empresa. A padronização dos mecanismos de proteção física nas áreas comuns da organização é uma preocupação que transcende a segurança da informação porque envolve a própria edificação da estrutura de construção da organização. O conceito de prevenção criminal através do desenho ambiental vem sendo desenvolvido por trinta e cinco anos e ainda está em evolução. Durante sua elaboração inicial na década de 1970, Oscar Newman estabeleceu, em 1972, as bases do assunto com o livro Defensible space. 209 GESTÃO DA SEGURANÇA DA INFORMAÇÃO A teoria baseia-se na possibilidade de reduzir o crime e o medo por meio de certas medidas de planejamento e projeto de áreas. Para isso utilizam-se duas abordagens básicas. A primeira é que é possível desenhar ambientes que reduzem as oportunidades para que um crime possa ocorrer. A segunda tem foco na redução do medo do crime e no aumento da sensação de segurança pessoal, melhorando assim a qualidade de vida das pessoas e o seu relacionamento com medidas necessárias de segurança. Alguns princípios básicos são dispostos pela teoria e devem ser seguidos por pessoas responsáveis pelo projeto de construções e espaços urbanos. A iluminação diurna e noturna deve ser adequada, melhorando a sensação de segurança e desencorajando a prática do crime, ao inibir a ação do criminoso e aumentar a capacidade de visão da vigilância. O estabelecimento do campo de visão visa projetar áreas em que os usuários possam ter um largo campo de visão, que lhes permita antecipar as proximidades de onde ele está no momento, dando-lhe a sensação de segurança e de antecipação. Um bom campo de visão de uma área aumenta naturalmente a quantidade de pessoas vigando o ambiente. Os pontos de esconderijo devem ser evitados, como vielas ou reentrâncias em construções, porque podem servir de esconderijo para criminosos. Evitar prever os movimentos através de construções que podem predizer por onde as pessoas devem necessariamente passar, como túneis para pedestres ou passarelas que podem facilitar ação de criminosos. Projetar ambientes que possam permitir um bom campo de visão aumenta a vigilância natural e a exposição de alguém que queira cometer um crime. O uso misto de áreas onde se misturam áreas residenciais com comerciais garante uma boa distribuição de pessoas em diversos horários, assegurando a vigilância a qualquer hora do dia. Criar espaços que geram atividades, que tragam as pessoas para ocupá-los. São os chamados geradores de atividades, que podem ser representados por parques, praças de alimentação em ambientes abertos. As áreas devem criar um senso de propriedade nas pessoas que as utilizam, através de manutenções constantes, que devem ser programadas e que, além de manter a limpeza, devem desencorajar a ação de vândalos. 210 Unidade IV Devem estar sinalizadas claramente as localidades e os caminhos possíveis, isso transmite a sensação de segurança aos usuários, que podem identificar facilmente pontos de apoio ou rotas alternativas de fuga. Outro aspecto importante está relacionado à localidade das instalações. A localização geográfica interfere diretamente na segurança da informação e é crucial na hora de identificar as ameaças, vulnerabilidades e os riscos para aquele ambiente. Por meio da localização geográfica é possível analisar a probabilidade de ocorrerem problemas de ordem natural ou climática. Algumas perguntas devem ser respondidas quando analisamos a localização física: • O local pode ser alvo de ataques terroristas? • Manifestações públicas são constantes ou esperadas? • Existe histórico de problemas recorrentes com o fornecimento dos serviços básicos? • A área traz riscos inerentes, como proximidade com aeroportos, bases militares ou zonas de alto índice de incidência de crimes? Os projetos de construção devem pensar nos aspectos de segurança relacionados à entrada de veículos, colaboradores, visitantes, prestadores de serviço, entregadores, logística, fornecimento de serviços básicos, sistema de ar-condicionado, ventilação para garantir que a operação de organização não seja interrompida. Os projetos de construção devem pensar na implantação de mecanismos de proteção na sua própria concepção e a primeira forma de proteção é a chamada proteção perimetral ou periférica, as barreiras que compõem a segurança periférica visam ser a primeira proteção física de uma organização. Quadro 31 – Barreiras perimetrais ou periféricas Barreiras Características Cercas Podem ser construídas de aço galvanizado, ferro ou até mesmo eletrificada e servem para demarcar a fronteira externa de uma construção. O maior benefício é de manter o nível de visão e ruído produzidos quando alguém tenta ultrapassar. Sua desvantagem é que é facilmente cortada, transposta Paisagismo Tem como principal objetivo criar barreiras naturais de proteção, por exemplo, arbustos ou paredes feitas de árvores Portões São mecanismos de controle de acesso físico que se aplicam às pessoas e, com maior frequência, aos veículos Barreiras veiculares Formadas por colunas de concreto ou metal e colocadas nas calçadas têm como objetivo impedir a aproximação ou estacionamento de veículos, sem atrapalhar o tráfego de pedestres As barreiras de proteção podem ter efeitos detectivos e preventivos quando inibem ou detectam a ação de um intruso no ambiente físico, como exemplo desses mecanismos temos: iluminação; alarmes de intrusão; sensores de presença e circuito fechado de TV. 211 GESTÃO DA SEGURANÇA DA INFORMAÇÃO A iluminação não serve apenas para deixar o ambiente mais claro para a segurança física, a iluminação tem papel fundamental, pois aumenta o campo de visão no período noturno e inibe a ação de intrusos prevenindo assim a ação um criminoso. Os alarmes de intrusão são utilizados geralmente como barreiras externas e têm a finalidade de alertar sobre a existência de um possível intruso no perímetro de proteção, geralmente são colocados na extensão total dos muros através de pequenos fios que, quando rompidos, disparam um alarme sonoro ou visual que requer a intervenção dos seguranças. Os sensores de presença utilizam diversos tipos de tecnologias na tentativa de detectar a presença de pessoas não autorizadas dentro de ambientes controlados. As tecnologias mais comuns são a quebra de circuito elétrico, interrupção de feixe de luz, infravermelho passivo, detector ultrassônico e dispositivos micro-ondas. Um circuito elétrico funciona quando a transmissão da corrente é interrompida por conta da interrupção de um fio, como um conector que se fecha quando a porta está fechada e se abre quando a porta estáaberta, acusando assim a violação. Na interrupção do feixe de luz, existe um feixe de luz produzido por dispositivos fotoelétricos que, quando interrompidos por uma pessoa, disparam um alarme e acusam a intrusão. O feixe pode ser visível e invisível e pode ser utilizado com detector de incêndio. O infravermelho passivo funciona de modo semelhante ao feixe de luz, porém, a energia infravermelha é emanada no ambiente por um único sensor capaz de detectar variações na reflexão causadas pelo movimento. Os detectores ultrassônicos produzem no ambiente padrões de energia acústica não percebidas por seres humanos, que são alterados caso uma pessoa entre no ambiente. A vantagem desse sistema é que são imperceptíveis ao ser humano, porém, como desvantagens, algum barulho externo pode gerar um alarme falso positivo. Os dispositivos de micro-ondas são semelhantes aos dispositivos ultrassônicos, com a vantagem de não sofrerem interferência externa. Utiliza antenas que permitem cobrir uma grande área de monitoramento, porém existe a dificuldade de confinar o sinal no mesmo ambiente. Os circuitos fechados de TV são um sistema de monitoramento que capta imagens através do uso de câmeras e as transmite remotamente, permitindo assim o monitoramento. As imagens geradas podem servir de provas em um processo posterior de perícia e investigação. De acordo com a qualidade das imagens e a frequência com que são capturadas, os circuitos fechados de TV possuem alguns níveis básicos. Os circuitos fechados de TV detectivos visam identificar a presença de um corpo estranho, sem que seja possível a identificação. 212 Unidade IV Circuitos um pouco mais avançados permitem o reconhecimento, pelo qual é possível diferenciar um homem de um animal por exemplo. Já os circuitos mais avançados permitem a identificação em detalhes de um corpo, com a habilidade de verificar traços faciais singulares de uma pessoa. Os componentes básicos também refletem a qualidade dos circuitos fechados de TV. Quadro 32 – Componentes básicos de sistemas CFTV Componentes Descrição Câmera e lente Capta as imagens através de lentes intercambiáveis que permitem a substituição de lentes de acordo com necessidade Iluminação A luz é um fator primordial para a captação de imagens, em última instância é exatamente aquilo que é captado pela câmera Mídia de transmissão Pode ser com ou sem fio, existe a possibilidade de uso de cabos coaxiais, linhas telefônicas, redes elétricas, redes de dados, redes wi-fi, entre outras Monitores Utilizados na visualização de imagens, a tecnologia dos monitores interfere na qualidade das imagens apresentadas Dispositivos de armazenamento Armazenam as imagens captadas, o armazenamento é opcional e pode ser realizado em sistemas digitais ou analógicos A segurança da informação nos aspectos físicos deve estar atenta em outras formas de proteger a segurança dos ativos de informação físicos segundo a norma ISO IEC 27001. Devem ser protegidos escritórios; salas e instalações de processamento; áreas de expedição e carga; documentos em papel; mídias de computador; arquivo de documentos eletrônicos; hardware; cabeamento; proteção; remoção e descarte de equipamentos; políticas de mesa limpa e tela limpa. A proteção dos escritórios, salas e instalações de processamento definidas pela ISO IEC 27001 contempla que as salas de escritório devem ser devidamente fechadas e que os equipamentos devem efetuar o bloqueio de acesso por inatividade, evitando assim o acesso indevido. As áreas de expedição e carga devem ter acesso restrito e supervisão constante para prevenir atividades não autorizadas. Os mecanismos de proteção recomendados para essas áreas são equipamentos fotográficos, de vídeo, áudio e gravação. Recomenda-se também que as áreas de expedição e carga fiquem distantes e isoladas das áreas de processamento. O isolamento evita que pessoas ou empresas não tenham acesso a áreas que possuem informações confidenciais. A norma ISO IEC 27001 recomenda que os documentos em papel tenham procedimentos de tratamento que cubram no mínimo os seguintes aspectos: cópia, armazenamento, transmissão pelo correio, fax e entregadores e descarte seguro. A norma procura esboçar as melhores práticas para proteger os ativos de informação em papel em todo o seu ciclo de vida e também seguindo a classificação da informação dispondo dos seguintes mecanismos de proteção: 213 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Uso de rótulos para identificar documentos que requerem tratamento confidencial. • Estabelecimento de uma política para armazenamento de papéis que assegure a guarda em local protegido para informações confidenciais ou críticas ao negócio como cofres ou arquivos resistentes a fogo. • Adoção de procedimentos especiais para impressão e transmissão via fax de documentos confidenciais. • Procedimentos especiais para envio de documentos em papéis com informações confidenciais via correio ou por entregadores. Por exemplo, envelopes lacrados. As mídias de computador (CDs, disquetes, DVDs, fitas magnéticas, discos removíveis etc.) assim como os documentos em papéis precisam ser controlados e fisicamente protegidos. A proteção das fitas de backup é uma das grandes preocupações da segurança física. As principais medidas de proteção para mídias são: Quadro 33 – Medidas de proteção para mídias Armazenamento em ambiente protegido contra furto e compatível com as especificações do fabricante Remoção do conteúdo de qualquer meio magnético reutilizável Descarte de seguro (exemplo trituração ou incineração de mídias) Uso de rótulos e de identificação para mídias com conteúdo confidencial, e adoção de serviços e mecanismos compatíveis Mídias levadas para fora das instalações devem sujeitar-se a procedimentos de proteção e normas, para que sejam devidamente protegidas fora do ambiente organizacional. Os arquivos de documentos eletrônicos requerem atenção quando da sua guarda permanente. Eles devem ser guardados e organizados de modo a garantir fácil localização para consultas futuras. Segundo Beal: “[…] documentos eletrônicos, cada vez mais presentes nas organizações, alteram o foco da gestão para questões como a exigência de mediação e a exigência de mecanismos de segurança” (BEAL, 2008, p. 84). A mediação é exigida, pois, para serem compreensíveis aos seres humanos, os documentos eletrônicos devem utilizar aparatos técnicos e informáticos, ou seja, são necessários softwares para mediar o acesso aos documentos eletrônicos. É feita a exigência de mecanismos de segurança, uma vez que documentos eletrônicos são mais suscetíveis a adulterações do que os documentos em papel e por isso devem possuir mecanismos que protegem a confidencialidade, integridade e a disponibilidade das informações. A proteção dos dispositivos de hardware também é necessária. A proteção física de computadores apresenta as mesmas dificuldades de proteção dos outros ativos físicos. Os computadores são de 214 Unidade IV fácil remoção (por isso podem ser facilmente furtados) e podem conter informações importantes em seus discos rígidos, a segurança física deve se preocupar com a proteção contra as ameaças de descargas elétricas causados por raios, bem como com a integridade física do hardware para que ele possa operar de forma adequada. Deve haver prevenção contra vários tipos de acidentes, como panes causadas por derramamento de líquidos no teclado e excesso de umidade do ambiente. Segundo Beal: A proteção de problemas ambientais e acidentais depende de um planejamento cuidadoso de medidas de proteção, a iniciar-se pelo levantamento dos ativos físicos existentes e de sua localização e importância para a organização (BEAL, 2008, p. 86). Problemas com falhas do próprio hardware também devem ser previstos pela segurança da informação, defeitos de fabricação ou mau funcionamento podem ocasionar danos irreversíveis aos ativos de informação de uma organização. A manutenção correta dos equipamentospode minimizar os defeitos ou falhas em hardware, além disso, toda instalação de qualquer tipo de equipamento relacionando à TI deve ser feita após uma avaliação do ambiente, para reduzir o nível de exposição a acessos desnecessários, sabotagem, espionagem entre outros. A criação de regras que inibam ações que coloquem os equipamentos em risco é necessária para a correta proteção dos ativos físicos. De acordo com Beal, trata-se de Políticas específicas para restrição de alimentos, bebidas e fumo próximos às instalações de processamento de informações, monitoração de aspectos ambientais que possam afetar as instalações (BEAL, 2008, p. 88). A remoção, descarte e transporte de equipamentos onde os controles específicos serão implementados devem receber atenção especial, para evitar o vazamento de informações, problemas com furto de componentes como discos rígidos ou peças dos computadores. A implantação de lacres ou cadeados nos equipamentos reduz esse risco. O envio de equipamento para manutenção em autorizadas ou empresas contratadas pode representar risco à segurança da informação quando não são adotados procedimentos para informações confidenciais armazenadas nos equipamentos. Contratos de confidencialidade podem ser firmados para salvaguardar as informações ou então a retirada do disco rígido antes do envio dos equipamentos para a manutenção pode ser uma alternativa. Toda e qualquer intervenção técnica em equipamento deve ser acompanhada por pessoa responsável. Quando do recolhimento do equipamento para descarte definitivo, é recomendada a correta eliminação de todos os softwares e dados contidos nos equipamentos. No caso de equipamento que contenha informações sensíveis, confidenciais ou importantes, a destruição definitiva do disco rígido pode ser uma alternativa mais segura. 215 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Equipamentos portáteis transportados por colaboradores em viagens devem ser levados como bagagens de mão e acondicionados em recipientes que não revelem que é um equipamento. O uso de senhas de acesso e de mecanismos criptográficos é uma ação de proteção recomendável. A segurança física dos cabeamentos elétricos e de telecomunicações também faz parte dos assuntos recomendados pela ISO IEC 27001. Quadro 34 – Melhores prática para cabeamento ISO IEC 27001 Sempre que possível, uso de linhas elétricas e de telecomunicação subterrânea, ou pelo menos sujeitas à proteção alternativa adequada Cabeamento de rede protegido contra interceptações não autorizadas ou danos, por exemplo, pelo uso de conduítes ou evitando a instalação em áreas públicas Cabos elétricos separados dos cabos de comunicação para prevenir interferências Controles adicionais para sistemas críticos, como uso de conduítes blindados e salas ou gabinetes trancados nos pontos de inspeção e terminais, cabeamento de fibra ótica, varredura para identificação de dispositivos não autorizados conectados aos cabos. A organização deve considerar a adoção de uma política de mesa limpa para papéis e mídias removíveis e uma política de tela limpa para os recursos de processamento da informação, de forma a reduzir riscos de acesso não autorizado, perda e danos à informação durante e fora do horário normal de trabalho. A política deve levar em consideração as classificações da segurança das informações, os riscos correspondentes e os aspectos culturais da organização. As informações deixadas em mesas de trabalho também são alvos prováveis de danos ou destruição em um desastre como incêndio, inundações ou explosões. Recomenda-se que os seguintes controles sejam considerados: • Papéis e mídias de computador devem ser guardados, quando não forem utilizados, em gavetas adequadas, com fechaduras e/ou outras formas seguras de mobiliário, especialmente fora do horário normal de trabalho. • Informações sensíveis ou críticas ao negócio, quando não forem requeridas, devem ser guardadas, em local distante, de forma segura e fechada (de preferência em um cofre ou arquivo resistente a fogo), especialmente quando o escritório estiver vazio. • Computadores pessoais, terminais de computador e impressoras não devem ficar ligados quando não assistidos e devem ser protegidos por senhas, chaves ou outros controles quando não estiverem em uso. • Pontos de recepção e envio de correspondências e máquinas de fax e telex não assistidas devem ser protegidos. • Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso não autorizado) fora do horário normal de trabalho. 216 Unidade IV • Informações sensíveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora. Algumas áreas requerem segurança maior por tratar de assuntos confidenciais ou por possuir ativos físicos de maior valor ou importância para a organização. Essas áreas são chamadas de áreas de segurança. Manuais e controles adicionais podem ser necessários para melhorar as condições de uma área de segurança. Isso inclui controles tanto para o pessoal da organização como para prestadores de serviços que trabalham em áreas de segurança, assim como para atividades terceirizadas que possam ocorrer nessa área. Recomenda-se que os seguintes itens sejam considerados: • Os colaboradores só podem ter conhecimento da existência de área de segurança ou de atividades dentro dela quando necessário. • Deve ser evitado o trabalho sem supervisão nas áreas de segurança, tanto por razões de segurança como para prevenir oportunidades para atividades maliciosas. • É necessário que as áreas de segurança desocupadas sejam mantidas fisicamente fechadas e verificadas periodicamente. • Convém que pessoal de serviço de suporte terceirizado tenha acesso restrito às áreas de segurança ou às instalações de processamento de informações sensíveis somente quando suas atividades o exigirem e que esse acesso seja autorizado e monitorado. • Barreiras e perímetros adicionais para controlar o acesso físico podem ser necessários em áreas com diferentes requisitos de segurança dentro de um mesmo perímetro de segurança. • Importante que não se permita o uso de equipamentos fotográficos, de vídeo, de áudio ou de outro equipamento de gravação, a menos que seja autorizado nas locações da organização. 7.6 Segurança lógica Quando falamos do controle de acesso lógico e da interligação em redes, os problemas de segurança se multiplicam de forma alarmante. Basta um único usuário descuidado para comprometer toda a segurança de uma rede inteira, no caso das redes conectadas à internet, a proteção física já não garante a segurança da informação; os equipamentos físicos se tornam lógicos no chamado ciberespaço. Nesse ambiente são multiplicadas as ameaças e potencializadas as ameaças externas, como invasões, ataques de negação de serviço e ameaças internas como erros, abusos de privilégios, fraudes etc. Todas as novas tecnologias devem ser analisadas para que as medidas de segurança sejam devidamente implementadas. Segundo Beal, “os controles lógicos podem ser fundamentais para adequar a organização aos seus requisitos de segurança” (BEAL, 2008, p. 92). 217 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Para facilitar a implantação e controle dos mecanismos de proteção lógica a segmentação dos problemas em áreas pode ser uma solução. Segurança em redes A ausência de segurança em redes amplia os riscos para a segurança de dados, informações e serviços uma vez que no processo de comunicação é no canal de comunicação que a informação corre mais risco. Hoje em dia as redes se confundem com o próprio negócio da organização, para isso a implantação de mecanismo de segurança para redes é fundamental. A segurança em redes sempre foi considerada uma alternativa à segurança em estações de trabalho. O argumento sempre foi a praticidade e facilidade, acreditava-se que, se a rede estivesse protegida, as máquinas estariam seguras. Com o passar do tempo, a adoção de criptografia nos protocolos de rede fez que essa abordagem perdesseparte de sua eficácia. A ameaça que pode explorar as vulnerabilidades das redes pode agir de forma interna ou de forma passiva. As ameaças internas são desencadeadas por ataques que interagem diretamente com o ambiente. Nas ameaças passivas não há interação direta com a máquina atacada, o foco é a coleta de informação sobre o alvo, através da interceptação de comunicações ou buscas em quaisquer fontes de pesquisa que possam ter informações relevantes. As ameaças às redes de dados podem ser tipificadas dependendo dos objetivos que elas possuem em relação ao alvo atacado, as ameaças podem ser de interceptação, modificação, interrupção ou de fabricação. Na interceptação, o atacante se posiciona entre dois dispositivos que estão se comunicando e faz com que essa comunicação passe por ele. Dessa forma o atacante consegue copiar as informações transmitidas. Estação 1 Atacante redireciona o tráfego, fazendo-o passar pela sua máquina Atacante Tráfego normal Estação 2 Figura 57 – Ataque de interceptação 218 Unidade IV Um dos principais tipos de ataque dessa classificação é o man-in-the-middle, em que o invasor simula ser o parceiro de ambas as partes envolvidas na conexão, assumindo a identidade de um usuário válido. O ataque de modificação visa alterar a comunicação entre duas partes atacando assim a integridade das informações comunicadas naquele canal. Estação 1 Atacante redireciona o tráfego, fazendo-o passar pela sua máquina Atacante Tráfego normal Estação 2 Figura 58 – Ataque de modificação Um exemplo de ataque dessa classificação é o replay, em que parte de uma transmissão da rede é copiada e reproduzida posteriormente, simulando um usuário autorizado. O ataque de interrupção acontece quando o atacante se posiciona entre as partes em comunicação, conseguindo assim que o tráfego gerado pela origem não chegue ao destino. Estação 1 Atacante ataca a estação 2 comprometendo o seu funcionamento normal indisponibilizando os seus serviços Atacante Tráfego normal Estação 2 Figura 59 – Ataque de interrupção O principal tipo de ataque classificado como interrupção é o denial of service (DoS), que, como vimos, é o envio de requisições em massa para um determinado computador, de modo que este não consiga responder a todas, fique sobrecarregado e seu serviço pare de funcionar. Quando um ataque de fabricação é proferido, o atacante produz mensagens para um destino se passando por algum outro componente, como se este fosse o autor das mensagens. 219 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Estação 1 Pacotes IP falsificados com o endereço IP de rede da estação 1 Atacante Tráfego normal Estação 2 Figura 60 – Ataque de fabricação O tipo de ataque mais comum de fabricação é o IP Spoofing, que consiste na substituição do endereço IP do computador do invasor, fazendo com que ele se passe por um computador confiável da rede, podendo assim obter privilégios na comunicação. Alguns métodos de proteção podem ser destacados, como a segurança via obscuridade e segurança na comunicação. A segurança via obscuridade parte do princípio em que um ativo de informação só pode ser atacado se alguém souber de sua existência. Ocultar as informações que poderiam ser utilizadas por um atacante é uma excelente prática capaz de melhorar a segurança como um todo. Segurança na comunicação visa assegurar a disponibilidade dos links de comunicação através de contratos com os terceiros que garantam a confidencialidade, a integridade e a disponibilidade das informações que trafegam por esse canal. Algumas estratégias de proteção podem ser implantadas para assegurar a proteção dos ativos de informação no seu caminho na rede. A estratégia de confiança se assemelha à situação em que uma pessoa passa o cartão em uma loja confiando os dados do cartão ao estabelecimento. A confiança não deve ser utilizada de forma irresponsável, pois, como toda medida de segurança, ela é fruto de uma relação custo/benefício com riscos calculados e conhecidos. Existe um número imenso de situações para as quais não existe controle e, por isso, decidimos simplesmente confiar, pois normalmente o custo de proteção não compensa. A estratégia de privilégio mínimo parte da ideia de que os usuários tenham apenas os privilégios necessários para desempenhar suas tarefas e nunca possuir privilégios adicionais desnecessários, pois eles aumentam os riscos sem nenhum benefício em troca. A estratégia de defesa em profundidade tem como objetivo implantar diversos tipos de controles diferentes. É mais eficaz que os nossos recursos sejam divididos em diversos controles, que se complementam e sirvam de redundância entre si, em vez de um único controle, dito infalível. 220 Unidade IV A estratégia de ponto de estrangulamento consiste em reduzir o número de entradas, ou seja, quanto menos entradas o prédio tem, mais fácil e mais barato fica protegê-las e vigiá-las, isso pode ser repassado para o conceito de redes. Na estratégia do elo mais fraco, os profissionais redobram a atenção, uma vez que quem protege deve ter atenção a todos os pontos, quem ataca precisa achar apenas um ponto falho para obter sucesso. A estratégia de fail-safe prega que é preferível que, em caso de falha, os controles de segurança bloqueiem todos os acessos em vez do contrário. A estratégia de participação universal busca uniformidade na aplicação, envolvendo procedimentos de treinamento e conscientização de usuários. A estratégia de diversidade é uma técnica utilizada em conjunto com a de profundidade, variando os tipos de controle utilizados. A estratégia simplicidade prevê que ambientes podem se tornar desnecessariamente complexos, fazendo com que a simples avaliação de brechas, por exemplo, se torne uma tarefa mais difícil do que deveria. De acordo com Beal, as preocupações com a segurança da rede devem abranger os problemas de autenticação de usuários e equipamentos e de restrição de acesso dos usuários aos serviços autorizados, contemplando o estabelecimento de interfaces seguras entre a rede interna e as redes públicas ou de outras organizações (BEAL, 2008, p. 93). Os elementos básicos para proteção de rede incluem dispositivos como roteadores de borda, firewalls, network address translation (NAT), redes virtuais privadas (VPN), bastion host, perímetro lógico, intrusion detection system (IDS), intrusion prevention system (IPS) e política de segurança. Internet Roteador externo Firewall Bastion host Servidor web www Rede de perímetro Rede interna DMZ – Zona desmilitarizada Roteador interno Figura 61 – Elementos básicos de controle de acesso a redes 221 GESTÃO DA SEGURANÇA DA INFORMAÇÃO O rotador de borda é o último gateway (interconectam redes diferentes) que conecta a rede interna da empresa à internet. Primeira linha de defesa da empresa contra ameaças externas. O firewall (parede de fogo) é um conjunto de hardware e software que permite a criação de regras definindo que tipos de serviço e tráfegos são permitidos por entre as redes que ele conecta. São dispositivos de controle de acesso cujas funções principais compreendem: proteção das estações e da segmentação de perímetros. Geralmente é colocado na junção de duas redes com níveis de confiança distintos. O firewall isolado não consegue inibir todos os acessos indevidos, mas, unido a outras ferramentas de controle de acesso, pode evitar a entrada de vírus na rede e até mesmo detectar uma tentativa de invasão na rede interna. Como desvantagem, os firewalls podem tornar o acesso a outra rede lento, por serem o único ponto de acesso. Para resolver isso, se poderia aumentar a capacidade com soluções de redundância, o que é muito caro. “O tráfego de informações entre os computadores ou redes e o mundo exterior é examinado e bloqueado quando uma informação não atende a critérios predefinidos de segurança” (BEAL, 2008, p. 94). Dessa forma, a função do firewall é de analisar pacotes que passem por ele e compará-los aum conjunto de regras para saber qual decisão tomar. Existem algumas tecnologias para o emprego do firewall em uma rede. A tecnologia de filtro de pacotes funciona com o uso de listas de controle previamente configuradas chamadas de ACLs, os roteadores que recebem essas listas são chamados de filtros de pacotes. As ACLs, ou listas de controle, são regras que permitem a tomada de ação baseada em critérios coletados nos pacotes. As vantagens do uso dos filtros de pacotes residem na velocidade com que os pacotes são analisados; no custo de implantação razoavelmente baixo e na transparência no processo e na manutenção. Apesar das vantagens, os filtros de pacotes possuem sérias limitações de segurança, os filtros apresentam sérios problemas em conseguir barrar efetivamente os chamados ataques de fragmentação. Observação Ataques de fragmentação são uma maneira de fazer com que serviços TCP de máquinas protegidas por um filtro de pacotes possam ser acessados mesmo que o filtro não permita seu acesso (ou seja, ele é uma maneira de enganar o filtro de pacotes). 222 Unidade IV Outra tecnologia muito utilizada é a introdução de proxys, que são criados para resolver os problemas dos filtros de pacotes. Os proxys são dispositivos que intercedem a conexão entre clientes e servidores, impedindo uma comunicação direta entre eles. O filtro de pacotes dinâmico (stateful inspection), em vez de trabalhar com um conjunto de critérios estáticos, como os utilizados com as ACLs dos roteadores, coletam informações sobre os pacotes trafegados, armazenando-as em um componente chamado tabela de estados. Os filtros dinâmicos são muito populares e são a tecnologia mais utilizada em soluções comerciais de mercado. Com toda essa tecnologia, também se utilizam os proxys para auxílio. O network address translation (NAT) foi criado para permitir que máquinas possam acessar a internet sem que necessariamente tenha um endereço IP válido, já que os endereços válidos são centralmente distribuídos e controlados. Oferece benefícios de ponto de vista de segurança, pois máquinas a partir da internet não conseguem, normalmente, acessar de forma direta máquinas que estão na rede interna. Essa tecnologia permite o afunilamento do acesso à internet em alguns pontos pela rede interna. As redes virtuais privadas (VPNs) se referem ao acesso entre redes por meio seguro através de uma rede insegura. Roteador externo Roteador externo Rede internaRede interna Internet Criptografia Criptografia Figura 62 – Conexão segura entre redes internas via rede externa (VPN) Os bastion host são estações de trabalho adicionadas fora da rede interna, dentro da rede perimetral, que visam ao aspecto de segurança da máquina acessada pela internet, pois, se ela não for comprometida e o firewall estiver configurado corretamente para bloquear os acessos através dela, não sobram muitas opções para o intruso. É necessário que os equipamentos colocados nessa posição não possuam vulnerabilidades. O perímetro de segurança significa uma faixa de delimitação territorial. A utilização de uma demilitarized zone (DMZ) consiste em uma rede perimetral que concentra máquinas acessadas externamente. Sempre que as máquinas são acessadas por clientes externos, de um ambiente não confiável, deve-se considerar a hipótese de invasão ou comprometimento da segurança. 223 GESTÃO DA SEGURANÇA DA INFORMAÇÃO O IDS, ou sistema de detecção de intrusos auxilia na DMZ, automatiza essas tarefas por meio da coleta de informações na rede ou dentro de estações, analisando-as através de uma série de métodos em busca de padrões que caracterizem ataques. A junção dos IDS com os firewalls leva o nome de intrusion prevention system (IPS). Por fim, a conscientização dos usuários também e fundamental para a segurança lógica. As políticas de segurança são um conjunto de regras que visam definir quais serviços são permitidos e quem pode usá-los. As regras devem ser pensadas antes do seu uso, e não o contrário. Segurança para softwares Quando se fala em ameaças à segurança da informação física, o assunto é simples de ser tratado, porém, quando o assunto são as ameaças ao ambiente lógico, as possibilidades de ataques são bem maiores. Existe uma enormidade de softwares maliciosos: os vírus, as bombas lógicas (códigos maliciosos que permanecem inativos por um período de tempo até o seu acionamento remoto), os cavalos de Troia (códigos maliciosos que são embutidos em aplicativos inofensivos e que, assim que instalado pelo usuário, pode furtar as informações ou dominar o equipamento, com o propósito de invadir outros equipamentos), os worms (programas que podem rodar de forma independente, transmitir-se de equipamento a equipamento, causando danos aos equipamentos). As preocupações com software malicioso vão além dos relacionados a downloads de anexos infectados ou uso do correio eletrônico. A introdução de um dispositivo infectado em uma estação na rede ou a instalação de softwares não confiáveis podem colocar em risco a segurança da informação. Medidas de proteção são necessárias contra essas ameaças, como: o uso de programas de conscientização dos usuários; procedimentos controlados para importação de arquivos e softwares; instalação e atualização regular de softwares antivírus e exame periódico de computadores e mídias. A instalação de um bom software antivírus é primordial para proteger os ativos de informação contra ataques de códigos maliciosos, pois vasculham arquivos periodicamente em busca de mudanças não esperadas nos arquivos e comparam com uma lista de vírus existentes. Todas as medidas tecnológicas adotadas são importantes, mas fundamental é conscientizar os usuários dos riscos, criar mecanismos de controle de instalação de novos softwares. A segurança de software diz respeito ao uso de controles embutidos nos próprios programas, que operam independentemente das medidas de proteção a que estão submetidas as redes, complementando-as (no caso do comércio eletrônico, por exemplo, as complexidades dos requisitos de segurança acabam levando à necessidade de implantação de controles nos próprios aplicativos...) (BEAL, 2008, p. 98). 224 Unidade IV A segurança de sistemas aplicativos deve demandar alguns controles de acordo com os requisitos de segurança existentes: validação de dados de entrada; controle do processamento interno; validação da saída e controle da transmissão de mensagens. Proteger as informações no ambiente do usuário final também é necessário, por isso a implantação de medidas para controle dos usuários dentro do ambiente lógico de software é fundamental. Vejamos no quadro a seguir os diferentes tipos de proteção. Quadro 35 – Proteções aplicáveis aos usuários finais Controle Descrição Proteção das informações críticas Criar mecanismos para proteger as informações críticas que precisam ser compartilhadas, por esse motivo o uso de criptografia é recomendado Atualização dos softwares antivírus É necessária a atualização constante da lista de vírus conhecidas Uso de firewall Não apenas na rede, mas também nas estações de trabalho individualmente Procedimentos de logon A entrada no sistema deve limitar o tempo máximo para sua conclusão e o tempo máximo de tentativas de entrada Políticas e controles Relacionadas ao uso de equipamentos portáteis, como notebooks e celulares Controle de acesso O controle de acesso lógico visa a criar medidas que impeçam o acesso não autorizado aos ativos de informação, por essa razão os direitos de acesso aos usuários e o estabelecimento de níveis básicos e fundamentais são necessários para proteger os princípios de segurança da informação, a confidencialidade, a disponibilidade e a integridade das informações da organização. Controle de acesso Confidencialidade Integridade Disponibilidade Revelação controlada, sigilo, privacidade, intimidade Informação completa, autêntica e dentro do nível de precisão exigido Direito à informação,garantia de acesso à informação necessária para a realização do trabalho Figura 63 – Exemplo dos aspectos de controle de acesso Adaptada de: Beal (2008, p. 111). 225 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Os mecanismos para controle de acesso lógico contribuem para a segurança da informação preservando os pilares da segurança da informação nos objetivos de: confidencialidade, integridade e disponibilidade. Beal (2008) expõe os objetivos de confidencialidade no controle de acesso lógico como contribuição, que evita o acesso de pessoas não autorizadas a informações confidenciais e salvaguarda os segredos de negócio à privacidade de dados pessoais. Quando o assunto é integridade, o objetivo do controle de acesso evita que pessoas não autorizadas tenham acesso a informações para criar, alterar ou destruir. No que tange ao pilar de disponibilidade, o controle de acesso permite identificar os usuários legítimos da informação, para que tenham acesso às suas informações quando assim os requererem. Os controles de acesso lógicos devem proteger o acesso ligado aos: sistemas corporativos; sistemas de gerenciamento de banco de dados e aplicações; programas fonte e objetos; arquivos de dados e sistema operacional e utilitário; arquivos de log. A autenticação dos usuários nos mais diversos sistemas é um fator importante na administração do controle de acesso; devem ser criadas credenciais exclusivas aos colaboradores, “contas de usuários” aos quais estão associadas todas as suas permissões de acesso. É fundamental a criação de regras ou métodos para a verificação das identidades dos usuários e seus acessos aos sistemas. Os métodos de autenticação podem ser divididos em três grandes grupos, de acordo com a técnica utilizada: • O método de autenticação baseado em o que você sabe consiste no que os usuários sabem utilizar. O meio mais comum dessa técnica é o uso de senhas para a autenticação. Nas redes, as senhas correspondem ao meio mais comum de permissão de acesso, em que o usuário deve ter um número identificador e uma senha validada para acessar a rede. • O método de autenticação que utiliza o que você tem é baseado em dispositivos físicos como tokens ou smartcards, entregues aos usuários, que os utilizarão no momento em que o sistema fizer a requisição. • O método de autenticação por o que você é baseia-se em características físicas (reconhecimento biométrico), como o uso de impressão digital para o acesso a sistemas. A combinação dos três métodos fortalece o controle de acesso a sistemas e consequentemente a segurança da informação. 226 Unidade IV 7.7 Segurança no ciclo de vida de sistemas A atenção à segurança da informação para sistemas de informação deve ser dispendida logo no início do projeto de um novo sistema e em todas as etapas do processo, como: especificação; desenvolvimento; teste; colocação em produção; operação; manutenção; descarte. Uma boa segurança de sistemas exige que os requisitos de segurança sejam considerados já no início das atividades de especificação para que os controles necessários sejam incorporados ao projeto e não inseridos a posteriori, quando a proteção se torna mais cara e muitas vezes já não é mais possível eliminar todas as vulnerabilidades que podem levar ao comprometimento da segurança do sistema (BEAL, 2008, p. 123). A maior parte das vulnerabilidades de sistemas surge na fase de levantamento de requisitos, quando é comum serem desprezadas questões de segurança necessárias para o uso confiável do sistema (por exemplo, especificações que não preveem mecanismos de proteção dos arquivos de senhas de acesso manipuladas pelo programa, deixando-os vulneráveis à usurpação de identidade por terceiros mal-intencionados). Outras fontes comuns de problemas são falhas na construção do código, quando o software não atende à especificação de segurança e/ou vulnerabilidade. Elas ocorrem em função do uso de padrões inadequados de desenvolvimento de software ou de escolhas incorretas de projetos – por exemplo, o código concede permissões de leitura e escrita em arquivos críticos desnecessariamente – e de problemas na operação, quando, ainda que o software tenha sido desenvolvido dentro das especificações adequadas, surgem vulnerabilidades como resultado de controles inadequados sobre a operação (um exemplo típico é um software preparado para realizar transmissões seguras de dados sigilosos mediante técnicas de criptografia, que pode ter o processo comprometido pela falta de cuidado do usuário em proteger sua chave criptográfica secreta). A separação dos ambientes de desenvolvimento, teste e produção de sistemas é importante não só para garantir a segregação das funções associadas a cada uma dessas etapas do ciclo de vida dos sistemas, mas também para permitir melhor controle de cada um desses ambientes e garantir um contexto de produção confiável e estável, não afetado por eventuais problemas ocorridos durante a realização de alterações de software ou dados ou na fase de teste de modificações nos sistemas. A ISO 27001 recomenda que, sempre que possível, exista uma separação clara também entre desenvolvimento e teste. Para tanto deve-se atentar para as seguintes medidas: • Execução do software em desenvolvimento em processador, domínio ou diretório diferente do usado para o software em produção. • Atividades de desenvolvimento e teste realizadas, tanto quanto possível, de forma separada. • Compiladores, editores e outros programas utilitários não acessíveis a partir do ambiente de produção quando isso não for uma necessidade. 227 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Diferenciação dos processos e senhas de acesso e das telas de entrada para ambiente de produção e de desenvolvimento, a fim de reduzir a possibilidade de confusão entre esses ambientes, que podem levar a confusões e erros. • Senhas de produção concedidas de forma controlada ao pessoal de desenvolvimento, apenas para suporte a sistemas no ambiente de produção e com controles para garantir que essas senhas sejam alteradas após o uso. Sempre que existirem recursos terceirizados associados aos processos de desenvolvimento, manutenção e operação de sistemas, devem ser consideradas ainda medidas de proteção adicionais que tratam da segurança na terceirização de serviços. Para a aceitação dos sistemas, a segurança no ambiente de SI/TI depende da existência de procedimentos adequados de aceitação de novos sistemas e de suas atualizações e novas versões. A realização de testes baseados em critérios formalmente definidos é fundamental para reduzir os riscos de falhas na migração. Os controles sugeridos pela ISO 27001 com relação à aceitação de sistemas são: • Identificação dos requisitos de desempenho e demanda da capacidade computacional. • Procedimentos de recuperação de erros, reinicialização e contingência. • Elaboração e teste de procedimentos operacionais para o estabelecimento de padrões. • Aceitação pelos responsáveis do conjunto de controles de segurança adotados. • Procedimentos manuais eficazes. • Plano de continuidade de negócio. • Confirmação de que a instalação do novo sistema não afetará de forma adversa os sistemas já existentes, particularmente nos períodos de pico de demanda do processamento, como no final de mês. • Verificação do impacto do novo sistema na segurança da organização como um todo. • Treinamento na operação ou uso de novos sistemas. A segurança da documentação dos sistemas também deve atentar aos preceitos de segurança da informação. A ISO 27001 relaciona diversas informações sensíveis que podem estar contidas na documentação de sistemas: descrições de processos da aplicação, procedimentos, estruturas de dados e processos de autorização. A proteção dessa documentação deve ser feita utilizando-se controles aplicáveis a informações sigilosas, como armazenamento em local protegido e restrição de acesso às pessoas com reais necessidades de uso. 228 Unidade IV A proteção das ferramentas de auditoriade sistemas alerta para a necessidade de proteger as ferramentas de auditoria de sistemas (software e arquivos de dados) para prevenir qualquer uso impróprio ou comprometimento da segurança. O armazenamento dessas ferramentas deve ser feito em local separado dos sistemas em desenvolvimento ou produção e fora do alcance de usuários não autorizados. Quando o assunto é controlar e proteger os dados de teste, certos cuidados devem ser tomados referentes aos testes de desenvolvimento e aceitação de sistemas que normalmente requerem o uso de grandes volumes de dados que reflitam o mais proximamente possível os dados em produção. Esforços devem ser aplicados na despersonalização dos dados individuais antes do uso, na implantação de controles de acesso adequados para proteger os dados de teste e na exclusão de informações de produção do ambiente de teste tão logo os testes sejam finalizados (o uso de informações de produção nos testes deve ser registrado para permitir a formação de uma trilha de auditoria). A adequada administração dos processos de instalação de patches (correções de software) permite reduzir sua complexidade, aumentar sua eficácia, melhorar a confiabilidade e em última instância minimizar os riscos e os custos envolvidos. Embora o ideal fosse não precisar efetuar a instalação de patches, à medida que defeitos e erros são encontrados e corrigidos pelos fornecedores, é necessário acrescentar as correções ao ambiente de SI/TI usando processos seguros de instalação. Entre os controles que podem ser usados para minimizar os riscos estão a avaliação do impacto ao aplicar ou não uma correção, teste da confiabilidade do patch e manutenção de uma lista completa dos patches instalados. Para minimizar o risco de corrupção de sistemas é recomendado que: a atualização das bibliotecas de programa de produção seja restrita a um “bibliotecário” nomeado e sob supervisão gerencial; seja introduzido apenas o código executável no ambiente de operação; a implantação do sistema somente ocorra depois de obtidas evidências de sucesso nos testes de aceitação pelos usuários; se encontre registro de auditoria para todas as atualizações de programas em produção; sejam devidamente retidas as versões anteriores do software como medida de contingência. Para Beal (2008), é necessária a adequada gestão de mudanças nos sistemas de informação, baseada em procedimentos formais de controle, isso é de grande importância para evitar o comprometimento da segurança durante os processos de mudança. A ISO 27001 traz como principais recomendações a aprovação formal das mudanças propostas; o controle de versões do software; procedimentos para garantir que a implementação ocorra com o menor transtorno possível para o negócio; documentação do sistema e de sua operação atualizada ao final de cada modificação e manutenção de uma trilha de auditoria para toda modificação ocorrida. A necessidade dos serviços terceirizados causa certo desconforto quando falamos de segurança da informação, porém nenhuma organização consegue eliminar toda a sua dependência em relação a terceiros para realizar suas operações. A terceirização de serviços relacionados ao ambiente de SI/TI acrescenta novos riscos de segurança ao ambiente corporativo. A averiguação da reputação no mercado e da qualidade dos controles de segurança utilizados pelos potenciais fornecedores é necessária para evitar que a organização multiplique 229 GESTÃO DA SEGURANÇA DA INFORMAÇÃO seu nível de vulnerabilidade através da transferência da responsabilidade pela execução de serviços de processamento, suporte ou desenvolvimento de sistemas para terceiros pouco confiáveis. Os acordos de nível de serviço (ANS) são: contrato que estabelece as regras para a administração da entrega ou prestação de serviços de tecnologia da informação; critérios de avaliação do desempenho do seu fornecedor (seja ele uma firma terceirizada ou uma equipe interna da organização) em termos de qualidade, quantidade e preço; empenho em reduzir os riscos com os serviços terceirizados. Relacionados pela ISO 27001, os aspectos a serem considerados referentes aos riscos de terceirização de serviços de processamento da informação são: • Identificação das aplicações críticas e sensíveis que devem ser processadas internamente. • Obtenção da aprovação dos gestores ou responsáveis pelos processos ou sistemas para o esquema de terceirização. • Análise das implicações da terceirização nos planos de continuidade do negócio. • Estabelecimento de normas de segurança e de processos de aferição de conformidade com essas normas. • Definição de procedimentos e responsabilidades de monitoração para garantir o adequado acompanhamento das atividades que afetem a segurança. • Definição de procedimentos e responsabilidades em relação à comunicação e ao tratamento de incidentes. Quando o assunto é terceirização de serviços de desenvolvimento, as melhores práticas recomendam: • Acordos sobre licenças, propriedade do código-fonte e direitos de propriedade intelectual. • Certificação da qualidade e da exatidão do trabalho implementado. • Acordos na eventualidade de haver falha por parte de prestadores de serviços. • Direitos de acesso para auditoria da qualidade e da exatidão do trabalho executado. • Requisitos de qualidade do software. • Teste antes da instalação para detecção de código que possa afetar o sistema de forma não autorizada, não controlada e não solicitada pelo cliente (tais como cavalos de Troia). Diante desse cenário existem ameaças relacionadas a provedores de serviços de rede que podem representam uma ameaça considerável para as organizações. Pela natureza do serviço, esses provedores 230 Unidade IV possuem computadores que se conectam diretamente à rede da organização, colocando a empresa prestadora de serviço (ou um funcionário descontente desta) em posição de realizar um ataque sério à organização. Muitas vezes informações altamente confidenciais, como dados de cobrança, incluindo números de cartão de crédito, podem ficar vulneráveis a uma ação indevida por parte de representantes do provedor. Ao mesmo tempo que cria problemas para o objetivo de confidencialidade da informação, a terceirização de serviços de rede pode trazer vantagens importantes, principalmente para os aspectos de integridade e disponibilidade da informação, permitindo confiar a terceiros especializados no assunto as tarefas de configuração e manutenção da rede e detecção e correção de problemas. A existência de processos rigorosos de monitoração e controle por parte da organização contratante pode reduzir a níveis aceitáveis riscos associados a esse tipo de terceirização (BEAL, 2008, p. 131). Observação As melhores práticas para desenvolvimento de software e aplicativos estão dispostas no capability maturity model integration (CMMI). 8 PLANO DE CONTINUIDADE DO NEGÓCIO E TESTES DE INVASÃO Uma organização pode estar sujeita a diversos incidentes, os quais podem apresentar prejuízos ainda não previstos ou ainda não imagináveis. Essas peculiaridades necessitam de tratamentos diferenciados, sempre objetivando a proteção dos ativos de informação da organização, o que, além de todos os aparatos tecnológicos, também incluem a integridade física de seus colaboradores. Vamos explicar a seguir como funciona um plano de continuidade do negócio, detalhando seus conceitos e metodologias de implantação. Vejamos a definição de conceitos, de acordo com Ramos: Um BCP (Business Continuity Plan) ou PCN (Plano de Continuidade do Negócio) tem em sua essência diversos procedimentos e medidas, cujo objetivo é minimizar as perdas decorrentes de um possível desastre. Entende-se por desastre a ocorrência de um evento súbito, de grande magnitude, que possa causar grandes prejuízos aos ativos e processos (RAMOS, 2006, p. 154). Podemos citar como exemplo grandes enchentes ou incêndios, catástrofes meteorológicas ou até mesmo grandes manifestações. Voltando um pouco na história,o PCN pode ser considerado uma evolução do disaster recovery plan (DRP) ou do plano de recuperação de desastres (PRD), cujo foco abarca somente os ativos de 231 GESTÃO DA SEGURANÇA DA INFORMAÇÃO tecnologia da informação, diferentemente do PCN, cujo processo abrange, além das áreas de TI, pessoas e processos. A criação e manutenção desse plano é chamado de gestão de continuidade de negócio. De forma macro, o que define a implantação ou não de um PCN é exatamente o tempo máximo de parada em um processo crítico da organização; ou seja, se a empresa possui um processo que não permite sua paralisação por um período maior que 48 horas, esse processo será levantado e todos os recursos necessários para o funcionamento desse processo será considerado, desde instalações físicas, sistemas de TI, colaboradores e fornecedores, na elaboração do PCN. 8.1 Etapas de um PCN A primeira fase para implantação é o entendimento do negócio, que deve ser feito sob a ótica da continuidade de processos, identificando os principais objetivos e aspectos críticos a serem preservados. Também devem ser levados em consideração os argumentos utilizados para justificar a execução do plano. Para isso é importante realizar uma análise e avaliação de riscos, cujo objetivo é identificar os processos críticos da empresa que devem ser considerados na elaboração do plano, com o objetivo de garantir a continuidade deles em caso de incidentes ou desastres. Hoje existem no mercado diversas ferramentas que auxiliam o gestor a realizar essa tarefa. Saiba mais Com relação a metodologias para execução do plano, existem diversas opções disponíveis, as quais destacamos o Disaster Recovery Institute International (Drii): Disponível em: https://bit.ly/2TZKYzY. Acesso em: 24 jun. 2021. Ainda nessa etapa, é essencial escolher a equipe que participará do PCN, considerando as pessoas chaves das áreas envolvidas, com destaque para o coordenador do projeto. Essa pessoa deve ter um amplo conhecimento da empresa, bem como acesso à alta direção e outras áreas da empresa Após isso, o próximo passo é a execução do business impact analysis (BIA) ou análise de impacto nos negócios (AIN), que, de forma macro, tem o objetivo de avaliar quais impactos a organização sofrerá por causa da ocorrência de um incidente ou desastre, além de analisar também o tempo máximo permitido de parada. Nesse momento não é necessário se preocupar com a probabilidade de acontecer ou não o evento, e sim de atentar para o impacto que o evento pode trazer, caso ele ocorra. Para esse levantamento, é importante consultar os gestores dos processos através de entrevistas. Ninguém melhor do que eles para identificar a criticidade dos processos. Deve-se também levar em consideração os aspectos financeiros e operacionais, legais e regulatórios. 232 Unidade IV A próxima etapa é voltada para a definição estratégica de garantir a disponibilidade dos recursos, metodologias e processos de modo a permitir a continuidade dos processos críticos, caso ocorra um desastre. Existem três modelos de estratégias a serem adotados: • ativo/backup: utilização de recursos sobressalentes, podendo ser utilizados em caso de desastre; • ativo/ativo: duas ou mais localidades operacionais separadas geograficamente, dividindo as operações, sendo uma contingência da outra; • localidade alternativa: modelo intermediário entre os outros dois apresentados, sendo que uma localidade recebe parte das operações de forma periódica, para homologar seu funcionamento. Outro passo importante é a definição de um programa de administração de crises (PAC), o qual define as ações de resposta a serem tomadas durante a ocorrência de um desastre. Esse centro será o responsável em tomar todas as decisões, inclusive realizando contato com agentes externos como defesa civil, imprensa, entre outros. 8.2 Gestão de continuidade de negócios O PCN é um plano que permitirá atingir objetivos de continuidade em caso de desastres. Entretanto, com a velocidade de mudanças constantes, é importante destacar que um plano elaborado em um momento talvez não tenha efeitos a médio e longo prazo. Dessa forma devemos entender que o PCN é um “organismo vivo”, que necessita de atualizações constantes, de modo a se adequar à realidade da organização. Esse processo de mudança e atualização só é possível através de um modelo de gestão, cujo objetivo é a manutenção do plano, a incorporação da cultura na organização, além de auditorias no modelo adotado. A todo esse processo chamamos de gestão de continuidade de negócios. A falta de cultura nas organizações é uma parte importante a ser trabalhada no desenvolvimento e implementação de planos de continuidade. Os colaboradores devem estar cientes quanto ao uso correto dos recursos da organização, além da continuidade de processos críticos. Dessa forma, é importante estabelecer uma cultura quanto aos aspectos de continuidade em uma organização, alinhada com a estratégia, objetivos e realidade da organização, criando e incorporando uma cultura de continuidade. A figura a seguir apresenta um exemplo dos passos a serem implantados para a gestão de continuidade de negócios. 233 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Exercício, manutenção e auditoria Entender o negócio Estratégias de continuidade do negócio Desenvolver e implementar um plano de respostas Construir e incorporar a cultura de gestão de continuidade de negócio Gerenciamento do programa 1 2 34 5 6 Figura 64 – Gestão de continuidade do negócio 8.3 Manutenção do plano Na elaboração de plano de continuidade de negócios sempre imaginamos diversas situações e quais procedimentos podemos adotar, caso algum desses incidentes ocorra. Entretanto, a melhor forma de validar essas atividades é a execução e simulação de testes. Nenhum plano pode ser considerado maduro se não forem realizadas essas simulações. Entre outras coisas, as situações de crise podem abalar o emocional das pessoas, podendo afetar, inclusive, o modo de raciocínio e tomadas de decisões. As pessoas envolvidas devem saber quais serão os procedimentos adotados em caso de um desastre; o que não podemos esperar é que elas parem todo o processo para ler o manual de instruções sobre o que fazer. O processo de revisão deve garantir que o plano seja sempre revisado, garantindo a melhoria contínua dos processos estabelecidos, adequados à realidade da organização. Um processo de auditoria, independentemente de tudo o que foi feito, contribui para a maturidade do processo, aumentando a confiança no trabalho que foi feito. Por fim, a participação e o comprometimento do alto escalão da empresa são extremamente importantes, pois evidenciam a necessidade da incorporação dessa cultura na organização. 8.4 Estratégias de recuperação As estratégias de recuperação são procedimentos e ferramentas que têm por objetivo garantir a continuidade dos processos críticos, previamente mapeados, atendendo ao tempo médio de parada (TMP) já estabelecido. 234 Unidade IV Para escolher as estratégias, também devem ser levados em consideração os custos diretos e indiretos, além de se avaliar o pior cenário possível diante de um desastre. Vale ressaltar que, em diversos casos, uma estratégia utilizada pode servir para diversos processos mapeados. Vamos entender um pouquinho alguns exemplos de estratégias? • Usuários: são a parte mais importante de um PCN, devendo garantir que, em caso de desastre, suas atividades podem continuar sendo realizadas. Para isso devem ser verificados os aspectos de integridade física, ambiente de trabalho, disponibilidade de informações médicas, entre outras. • Logística: são extremamente importantes, pois afetam a diretamente as entregas de uma empresa, mesmo quando um possível desastre não afeta diretamente a organização. Podemos citar como exemplo desde greves de correios e caminhoneiros até gargalos de transporte por falta de infraestrutura. • Instalações: deve-se atentar para osserviços básicos como água, energia elétrica, ar-condicionado e gás, além de espaço físico e toda a infraestrutura de comunicação. • Dados: o armazenamento de informações é um ponto também bastante crítico. Diversas tecnologias podem ser utilizadas objetivando garantir a disponibilidade das informações, em caso de desastre. Podemos citar: — backups, considerando que as informações devem ser armazenadas em outro site da empresa; — transferência remota de informações, ou seja, através de mecanismos de comunicação (internet, por exemplo), enviar as informações para o outro site da empresa. Essa estratégia evita problemas de transporte de mídias, entretanto seu custo é mais elevado; — espelhamento de aplicações, que podem ser consideradas como a replicação total das informações em um outro site da organização. 8.5 Tipos de sites Dependendo da criticidade do processo e de quanto a empresa pode gastar para definir a estratégia de recuperação, alguns tipos de sites podem ser utilizados. Vejamos agora quais são esses modelos e suas principais características: • Cold site: apena um local físico que pode receber os equipamentos, sem nenhuma instalação básica de comunicação ou energia. É a opção mais barata, entretanto leva muito tempo para entrar em funcionamento, caso ocorra um desastre. • Warm site: contempla as instalações de um cold site além dos serviços básicos de infraestrutura, como instalações elétricas, links de comunicação, cabeamento interno de rede. Podem até conter alguns computadores também. Esse modelo contempla os servidores, mainframes, etc., equipamentos que somente são disponibilizados na ocorrência de um desastre. 235 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Hot site: podemos considerar que o hot site é uma estrutura igual ao ambiente de produção, em termos de infraestrutura, aguardando apenas a ocorrência de um incidente para entrar em funcionamento. Entretanto, as informações nesse hot site não estão sincronizadas, sendo necessário o envio dos dados para seu completo funcionamento. • Mirror site: igual ao hot site, porém contempla o sincronismo das informações, estratégia que oferece o tempo de resposta mais rápido, porém com maior custo. A figura a seguir demonstra a relação de tempo necessário para ativação do site versus investimentos em sua construção. Tempo Cold site Warm site Hot site Mirror site Custo Figura 65 – Estratégias de recuperação 8.6 Testes de invasão Após a introdução dos dispositivos tecnológicos de segurança, a grande dificuldade é saber se tudo aquilo que foi implantado e investido está efetivamente protegendo as informações. Para isso, os administradores aplicam os testes de invasão, que podem verificar na prática se os dispositivos tecnológicos estão cumprindo sua finalidade. Além disso, eles pensam nas mais diversas formas de ataques que podem ocorrer repentinamente e, assim, reconfigurar os dispositivos para evitar esses ataques, inclusive em tecnologias eminentes. Testes de invasão ou pentesting (não confundir com testes de caneta esferográfica ou de canetas-tinteiro) envolvem a simulação de ataques reais para avaliar os riscos associados a potenciais brechas de segurança. Em um teste de invasão (em oposição a uma avaliação de vulnerabilidades), os pentesters não só identificam vulnerabilidades que poderiam ser usadas pelos invasores, mas também exploram essas vulnerabilidades, sempre que possível, para avaliar o que os invasores poderiam obter após uma exploração bem-sucedida das falhas (WEIDMAN, 2014, p. 30). 236 Unidade IV A veiculação de informações a respeito de organizações de grande porte que foram alvo de um ciberataque é muito comum atualmente. Com mais frequência do que se esperava ou se possa suportar, os invasores não usam a última e mais recente vulnerabilidade zero-day (que ainda não foi corrigida pelos fornecedores de software), eles atacam com vulnerabilidades existentes há muito tempo e, na maioria das vezes, com a correção publicada. Organizações de grande porte, com orçamentos consideráveis em segurança, tornam-se vítimas de vulnerabilidades de injeção de SQL em seus sites, de ataques de engenharia social contra seus funcionários, de senhas fracas em serviços disponíveis pela internet e assim por diante. Em outras palavras, as organizações estão perdendo dados proprietários e expondo detalhes pessoais de seus clientes por causa de brechas de segurança que poderiam ter sido corrigidas. Quando aplicamos um teste de invasão, descobrimos esses problemas antes que um invasor o faça e fornecemos recomendações sobre como corrigi-los e evitar vulnerabilidades futuras. O escopo dos testes de invasão pode variar de cliente para cliente, assim como ocorrerá com as tarefas. Algumas organizações terão uma postura excelente quanto à segurança, enquanto outras terão vulnerabilidades que permitiriam aos invasores violar o perímetro e obter acesso aos sistemas internos. Ás vezes, também será necessário ser responsável pela avaliação de uma ou mais aplicações web personalizadas. Isso poderá exigir ataques de engenharia social e do lado do cliente, para obter acesso à sua rede interna. Alguns testes de invasão exigirão atuações, como se o invasor fosse alguém de dentro (um funcionário mau-caráter ou descontente) ou um invasor que já tenha violado o perímetro. Algumas situações exigirão um teste de invasão externo, em que será necessário simular um ataque por meio da internet. Algumas organizações podem desejar que a segurança das redes wireless de seus escritórios seja avaliada. Em alguns casos, você poderá até mesmo efetuar uma auditoria nos controles de segurança físicos da organização. Os testes de invasão têm início com a fase de preparação (pre-engagement), que envolve a definição dos objetivos para o teste de invasão, o mapeamento do escopo (a extensão e os parâmetros do teste) e assim por diante. Quando o pentester e a organização chegarem a um acordo sobre o escopo, composição do relatório e formato do teste de invasão, o teste será iniciado. Na fase de coleta de informações (information-gathering), o pentester procura informações disponíveis publicamente sobre a organização e identifica maneiras em potencial de conectar-se com seus sistemas. Na fase de modelagem das ameaças (threat-modeling), o pentester usa essas informações para determinar o valor de cada descoberta e o impacto sobre o cliente caso a descoberta permita que alguém invada um sistema. Essa avaliação permite ao pentester desenvolver um plano de ação e métodos de ataque. Antes que o pentester possa começar a atacar os sistemas, ele realiza uma análise de vulnerabilidades (vulnerability analysis). Nessa fase, o pentester procura descobrir vulnerabilidades nos sistemas que 237 GESTÃO DA SEGURANÇA DA INFORMAÇÃO poderão ser exploradas na fase de exploração de falhas (exploitation). Um exploit bem-sucedido pode conduzir a uma fase de pós-exploração de falhas (post-exploitation), em que se tira vantagem do resultado da exploração de falhas, de modo a descobrir informações adicionais, obter dados críticos, acessar outros sistemas etc. Por fim, na fase de geração de relatórios (reporting), o pentester sintetiza as descobertas tanto para os profissionais executivos quanto para os técnicos. Saiba mais Para obter mais informações sobre testes de invasão, acesse: Disponível em: https://bit.ly/3wPW2xS. Acesso em: 1º jun. 2021. Logo após o término da fase de coleta de informações, inicia-se a modelagem das ameaças, conforme o conhecimento obtido na fase anterior. Nesse ponto, deveremos pensar como os invasores e desenvolver planos de ataque de acordo com as informações coletadas. Por exemplo, se o cliente desenvolver um software proprietário, um invasor poderá devastar a empresa ao obter acesso aos seus sistemas de desenvolvimento internos, cujo código-fonte é desenvolvido e testado, e vender os segredos comerciais da empresa a um concorrente. Assim, desenvolveremos estratégias para invadiros sistemas da organização com base nos dados encontrados durante a fase de coleta de informações. As análises de vulnerabilidades representam a etapa a seguir do processo. Então, os pentesters começam a descobrir ativamente as vulnerabilidades, a fim de determinar até que ponto suas estratégias de exploração de falhas poderão ser bem-sucedidas. Os exploits que falharem poderão desativar serviços, disparar alertas de detecção de invasão e arruinar suas chances de efetuar uma exploração de falhas com êxito. Com frequência, durante essa fase, os pentesters executam scanners de vulnerabilidades, que usam bancos de dados específicos e uma série de verificações ativas para obter um palpite melhor a respeito de quais vulnerabilidades estão presentes no sistema de um cliente. Todavia, embora esses scanners sejam ferramentas eficazes, elas não podem substituir totalmente o raciocínio crítico, portanto, também devem ser realizadas análises manuais nessa etapa. Em seguida, temos a exploração de falhas, com certeza a parte mais interessante. Nessa etapa, são executados exploits contra as vulnerabilidades descobertas (às vezes, usando uma ferramenta como o metasploit) para tentar acessar os sistemas de um cliente. Algumas vulnerabilidades são muito fáceis de serem exploradas, por exemplo, fazer login com senhas default. No pós-exploração de falhas, os testes de invasão começam de fato somente após a exploração de falhas. Nesse instante, você conseguiu entrar no sistema, mas o que essa invasão realmente significa para a organização? Se você invadir um sistema legado, sem patches (correções), que não faça parte de 238 Unidade IV um domínio ou que não esteja ligado a alvos muito valiosos, e esse sistema não contiver nenhuma informação que interesse a um invasor, o risco dessa vulnerabilidade será significativamente menor do que se você pudesse explorar um controlador de domínio ou um sistema de desenvolvimento de um cliente. Durante a fase de pós-exploração de falhas, reunimos informações sobre o sistema invadido, procuramos arquivos interessantes, tentamos elevar o nível de nossos privilégios quando necessário e assim por diante. Por exemplo, podemos fazer um dump das hashes de senha para verificar se podemos revertê-las ou usá-las para acessar sistemas adicionais. Também podemos tentar usar o computador explorado para atacar sistemas que não estavam anteriormente disponíveis se efetuarmos um retorno para esses sistemas. Na geração de relatórios, está descrita a última etapa do processo. É nessa etapa que informamos as nossas descobertas de maneira significativa. Dizemos o que está é feito corretamente, os pontos que devem ser melhorados, a postura quanto à segurança, como se conseguiu invadir, o que se descobriu, como corrigir os problemas etc. Escrever um bom relatório de teste de invasão é uma arte que exige prática. Será necessário informar as suas descobertas de forma clara a todos, da equipe de TI responsável pela correção das vulnerabilidades até a alta gerência, que aprova as alterações com os auditores externos. Por exemplo, devemos evitar termos técnicos em excesso; se forem usados, deve ser explicado o conceito. Uma melhor maneira de transmitir esse raciocínio seria mencionar os dados privados que fomos capazes de acessar ou de alterar. Uma afirmação como “Fui capaz de ler o seu email” gerará repercussões em quase todos. O relatório do teste de invasão deve incluir tanto um sumário executivo como um relatório técnico. O sumário executivo descreve os objetivos do teste e oferece uma visão geral das descobertas. O público-alvo que se pretende atingir são os executivos responsáveis pelo programa de segurança. Seu sumário executivo deve incluir o seguinte: • Histórico: criam-se uma descrição do propósito do teste e definições de qualquer termo que possa não ser familiar aos executivos, bem como vulnerabilidades e medidas de prevenção. • Postura geral: é uma visão geral da eficiência do teste, destacando os problemas encontrados (por exemplo, a exploração da vulnerabilidade MS08-067 da Microsoft) e os problemas gerais que causam vulnerabilidades, como a ausência de gerenciamento de patches. • Perfil do risco: faz-se uma classificação geral da postura da empresa quanto à segurança, quando comparada com organizações semelhantes, com medidas – como alto, moderado ou baixo. Você também deve incluir uma explicação sobre a classificação ou utilizar a matriz de risco da organização caso ela o tenha. • Descobertas gerais: envolvem uma sinopse geral dos problemas identificados, com estatísticas e métricas sobre a eficiência de qualquer medida de prevenção implantada. • Resumo das recomendações: é uma visão geral das tarefas necessárias para corrigir os problemas descobertos no teste de invasão. 239 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Mapa estratégico: oferece objetivos de curto e de longo prazo ao cliente para melhorar a sua postura quanto à segurança. Por exemplo, você pode dizer ao cliente para aplicar determinados patches no intento de endereçar as preocupações de curto prazo. Contudo, sem um plano de longo prazo para o gerenciamento de patches, o cliente estará na mesma posição após novos patches terem sido disponibilizados. O relatório técnico oferece detalhes técnicos sobre o teste. Ele deve incluir o seguinte: • Introdução: traz um inventário dos detalhes, como escopo e contatos. • Coleta de informações: indica detalhes das descobertas da fase de coleta de informações. Os rastros do cliente (footprint) deixados na internet ganham destaque. • Avaliação de vulnerabilidades: acentua os pormenores das descobertas da fase de análise de vulnerabilidades. • Exploração de falhas/verificação de vulnerabilidades: expressa detalhes das descobertas da etapa de exploração de falhas. • Pós-exploração de falhas: destacam-se particularidades das descobertas da fase de pós-exploração de falhas. • Risco/exposição: faz-se uma descrição quantitativa do risco identificado. Essa seção traz uma estimativa das perdas caso as vulnerabilidades identificadas sejam exploradas por um invasor. • Conclusão: indica uma visão geral do teste. Etapa de coleta de informações O objetivo dessa etapa é conhecer o máximo possível os nossos clientes. O executivo revela informações demais no Twitter? O administrador do sistema está escrevendo para listservs de arquivos, perguntando a respeito de como garantir a segurança de uma instalação de Drupal? Que softwares são executados em seus servidores web? Os sistemas voltados à internet ouvem mais portas do que deveriam? Se esse é um teste de invasão interno, qual é o endereço IP controlador de domínio? Nessa fase, também começaremos a interagir com nossos sistemas-alvo, conhecendo o máximo que pudermos sobre eles, sem atacá-los de forma ativa. Usaremos o conhecimento adquirido nessa fase para a próxima – modelagem de ameaças –, quando deveremos pensar como os invasores e desenvolver planos de ataque com base nas informações coletadas. De acordo com as informações que descobrirmos, procuraremos e verificaremos as vulnerabilidades de forma ativa usando técnicas de scanning. Podemos aprender bastante sobre a organização e a infraestrutura do objeto de análise antes mesmo de lhes enviar um único pacote. Contudo, a coleta de informações continua sendo uma espécie de alvo 240 Unidade IV em movimento. Não é viável estudar a vida on-line de todos os funcionários e, dada uma quantidade enorme informações coletadas, poderá ser difícil discernir dados importantes de ruído. Se o executivo tuitar com frequência sobre um time esportivo favorito, o nome desse time poderá ser a base da senha de seu webmail, mas essa informação pode ser totalmente irrelevante. Em outras ocasiões, será mais fácil escolher algo mais importante. Por exemplo, se o seu cliente tiver postagens de ofertas de emprego on-line para uma vaga de administrador de sistemas especialista em determinado software, existe uma boa chance de essasplataformas terem sido implantadas na infraestrutura da organização. Em oposição aos dados de inteligência obtidos a partir de fontes secretas, por exemplo, ao vasculhar lixos, vasculhar bancos de dados de sites e usar a engenharia social, o open source intelligence (Osint) – inteligência de fontes abertas, em português – é coletado a partir de fontes legais, por exemplo, de registros públicos e por meio da mídia social. O sucesso de um teste de invasão, com frequência, depende do resultado da etapa de coleta de informações, e algumas ferramentas para obter dados interessantes são provenientes de fontes públicas. Descobrindo as vulnerabilidades Antes de começarmos a lançar exploits, é preciso fazer pesquisas e análises. Quando identificamos vulnerabilidades, procuramos, de forma ativa, problemas que levarão a um comprometimento na fase de exploração de falhas. Embora algumas empresas de segurança executem somente uma ferramenta automatizada de exploração de falhas e esperem pelo melhor, um estudo cuidadoso das vulnerabilidades feito por um pentester habilidoso proporcionará melhores resultados do que qualquer ferramenta por si só. Após obtidas as informações sobre o alvo e a superfície de ataque, podemos desenvolver cenários para atingir os objetivos de nosso teste de invasão. Por exemplo, o servidor FTP na porta 21 anunciou-se como sendo o Vsftpd 2.3.4. Observação Vsftpd corresponde à abreviatura de very secure FTP. Podemos supor que um produto que se autodenomine very secure (muito seguro) peça para ter problemas, e, de fato, em julho de 2011, veio à tona a notícia de que o repositório do Vsftpd havia sido invadido. Os binários do Vsftpd haviam sido substituídos por uma versão contendo um backdoor que podia ser acionado com um nome de usuário com uma carinha sorridente. Isso fez com que um root shell fosse aberto na porta 6200. Depois que o problema foi descoberto, os binários com o backdoor foram removidos e o Vsftpd 2.3.4 oficial foi restaurado. Portanto, embora a presença do Vsftpd 2.3.4 não assegure que o nosso alvo seja vulnerável, definitivamente, é uma ameaça a ser considerada. O teste de invasão se torna mais fácil se pegarmos uma carona com um invasor que já tenha o controle de um sistema. 241 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Embora alguns cursos de testes de invasão excluam totalmente o scanning de vulnerabilidades e argumentem que um pentester habilidoso pode descobrir tudo o que um scanner pode, os scanners continuam sendo ferramentas valiosas, especialmente porque muitos testes de invasão são realizados em uma janela de tempo menor do que qualquer um gostaria de ter. Porém, se um dos objetivos de sua avaliação for evitar a detecção, você deverá pensar duas vezes antes de usar um scanner indiscreto de vulnerabilidades. Não obstante a eficácia das ferramentas, às vezes, nenhuma solução chegará perto da análise manual de vulnerabilidades para verificar se um serviço resultará em um comprometimento; não há melhor maneira de se aperfeiçoar do que a prática. A seguir, vamos explorar algumas pistas promissoras obtidas a partir do scanning de portas e de vulnerabilidades. Como exemplo, podemos analisar uma porta que não costuma aparecer em scans automatizados, que é a porta 3232, a qual tem como alvo o Windows. Se tentarmos efetuar o scan dessa porta com um scan convencional, perceberemos que haverá uma falha. Esse comportamento sugere que o programa que está ouvindo foi projetado para ouvir um dado de entrada em particular e que tem dificuldade de processar qualquer outra informação. Esse tipo de comportamento é interessante para os pentesters porque os programas que falham quando lidam com dados de entrada indevidos não estão validando suas entradas de forma adequada. Observação Existem diversas ferramentas automatizadas de exploração de vulnerabilidades, e os testes serão mais eficientes se o responsável unir a tecnologia com sua experiência, pois algumas ameaças estão além do ambiente tecnológico das redes. Capturando tráfego Antes de partir para exploração de falhas, devemos usar as ferramentas de monitoração. Uma bem conhecida é o Wireshark. Essas ferramentas são usadas para efetuar o sniffing e a manipulação do tráfego, de modo a obter informações úteis de outros computadores da rede local. Em um teste de invasão interno, quando simularmos uma ameaça interna ou um invasor que tenha conseguido acessar a periferia do sistema, capturar o tráfego de outros sistemas da rede pode nos proporcionar informações adicionais interessantes (quem sabe até mesmo nomes de usuário e senhas), as quais poderão nos ajudar na exploração de falhas. O problema é que a captura de tráfego pode gerar uma quantidade massiva de dados potencialmente úteis. Capturar todo o tráfego somente em sua rede local pode fazer com que várias telas do Wireshark sejam preenchidas rapidamente, o que pode dificultar a identificação de qual tráfego é útil em um teste de invasão. De modo diferente dos hubs, os switches enviam tráfego somente para o sistema desejado, portanto, em uma rede com switches, não podemos ver, por exemplo, todo o tráfego para o controlador de domínio sem que enganemos a rede para que nos envie esse tráfego. A maioria das redes com as quais 242 Unidade IV nos deparamos nos testes de invasão provavelmente será composta de redes com switches ou até mesmo alguns hardwares de redes legadas que utilizam hub com a funcionalidade de um switch. As redes virtuais parecem agir como hubs, pois todas as suas máquinas virtuais compartilham um dispositivo físico. Se o tráfego for capturado em modo promíscuo em uma rede virtual, você poderá ver o tráfego de todas as máquinas virtuais bem como o do computador host, mesmo que um switch seja usado no lugar de um hub em seu ambiente. Para simular uma rede não virtualizada, desativamos o use promiscuous mode (usar modo promíscuo) em todas as interfaces no Wireshark, o que significa que teremos de nos esforçar um pouco mais para capturar o tráfego de nossas máquinas virtuais avaliadas. Exploração de falhas Nessa fase serão executados os exploits contra as vulnerabilidades descobertas para obter acesso aos sistemas-alvo. Algumas vulnerabilidades, por exemplo, o uso de senhas default, são tão fáceis de serem exploradas que nem parecem ser uma exploração de falhas, pois há outras muito mais complicadas. Agora que temos mais informações básicas sobre a vulnerabilidade, continuemos a estudar o exemplo anterior (MS08-067). E possível explorar um problema no servidor SLMail POP3 usando um módulo do Metasploit. Além do mais, vamos pegar carona em um comprometimento anterior e ignoraremos o login no servidor FTP em nosso alvo Linux. Vamos explorar uma vulnerabilidade na instalação do TikiWiki no alvo Linux e alguns problemas de senhas default em uma instalação do XAMPP no alvo Windows. Também vamos tirar proveito de um compartilhamento NFS com permissão de leitura e de escrita para assumirmos o controle de chaves SSH e fazer login como um usuário válido sem que tenhamos conhecimento da senha. Vamos interagir com um servidor web frágil em uma porta não padrão para tirar proveito de um problema de directory traversal (travessia de diretórios) e faremos o download de arquivos do sistema. Ataques a senhas Segundo Weidman: Geralmente, as senhas representam o ponto que oferece a menor resistência em atividades de testes de invasão. Um cliente com um programa robusto de segurança pode corrigir a falta de patches do Windows e evitar a existência de softwares desatualizados, porém os usuários em si não podem ser corrigidos (WEIDMAN, 2014, p. 247). Os ataques aos usuários com maior êxito a senhas utilizam técnicas de engenharia social, porém, se pudermos adivinhar ou calcular corretamente a senha de um usuário, poderemos evitar totalmente seu envolvimento no ataque. As empresas estão despertando para os riscos inerentes à autenticação baseada em senhas; ataques por meio de força bruta epalpites embasados representam riscos sérios às senhas fracas. Muitas empresas utilizam a biometria (impressões digitais ou scan de retina) ou uma autenticação de dois fatores para atenuar esses riscos. Até mesmos os web services como o Gmail e o Dropbox oferecem autenticação de 243 GESTÃO DA SEGURANÇA DA INFORMAÇÃO dois fatores, em que o usuário fornece uma senha, além de um segundo valor, por exemplo, os dígitos de um token eletrônico. Se a autenticação de dois fatores não estiver disponível, o uso de senhas fortes será mandatório para garantir a segurança da conta, pois tudo o que estiver entre o invasor e os dados sensíveis poderá se reduzir a uma simples string. Senhas fortes são longas, usam caracteres de classes com diversas complexidades e não são baseadas em palavras que se encontram em dicionários. As empresas podem forçar os usuários a criar senhas fortes, mas à medida que as senhas se tornam mais complexas, elas se tornam mais difíceis de lembrar. É provável que os usuários deixem uma senha da qual não conseguem se lembrar em um arquivo em seu computador, no smartphone ou até mesmo em um papel para recados, pois é mais fácil se lembrar delas dessa maneira. É óbvio que senhas que podem ser descobertas por aí em formato texto simples colocam em risco a segurança proporcionada pelo uso de uma senha forte. Outro erro grave para um bom gerenciamento de senhas consiste em usar a mesma senha em vários sites. Em um cenário de pior caso, a senha fraca do CEO usada em um fórum web comprometido pode ser a mesma usada para o seu acesso corporativo aos documentos financeiros. A reutilização de senhas é algo para ter em mente ao realizar ataques a senhas; você poderá encontrar as mesmas senhas sendo usadas em vários sistemas e sites. O gerenciamento de senhas apresenta um problema difícil para a equipe de TI e é provável que continue a ser um caminho frutífero para os invasores, a menos que a autenticação baseada em senhas seja completamente substituída por outro modelo. Assim como usamos scans automatizados para descobrir vulnerabilidades, podemos usar scripts para tentar fazer login automaticamente em serviços e descobrir credenciais válidas. Para tal, utilizaremos ferramentas projetadas para automatizar ataques on-line a senhas ou para fornecer palpites para as senhas até o servidor responder com um login bem-sucedido. Essas ferramentas usam uma técnica chamada força bruta, já estudada por nós previamente. As ferramentas que aplicam a força bruta tentam usar todas as combinações possíveis de nome de usuário e senha e, se houver tempo suficiente, elas descobrirão credenciais válidas. O problema com a força bruta é que, à medida que senhas mais fortes são usadas, o tempo necessário para descobri-las por meio dessa técnica passa de horas para muitos anos. Provavelmente, poderemos descobrir credenciais funcionais mais facilmente se fornecermos palpites embasados sobre as senhas corretas a uma ferramenta automatizada de login. Palavras que se encontram em dicionários são fáceis de serem lembradas, portanto, apesar dos avisos de segurança, muitos usuários as incorporam nas senhas. Usuários um pouco mais conscientes quanto à segurança colocam alguns números ou até mesmo um ponto de exclamação no final de suas senhas. Antes de usar uma ferramenta para adivinhar senhas, deve-se criar uma lista de palavras, o que requer uma lista de credenciais para experimentar. Se você não souber o nome da conta do usuário cuja senha você quer quebrar, ou se quiser simplesmente fazer o cracking do máximo possível de contas, pode-se fornecer uma lista de nomes de usuário a ser percorrida pela ferramenta que adivinha senhas. 244 Unidade IV Após a criação da lista de usuários, deve-se determinar o esquema a ser usado pelo alvo do teste para os nomes de usuário. Por exemplo, se você tentar invadir as contas de e-mail dos funcionários, descubra o padrão seguido pelos endereços de e-mail. Esse padrão corresponde ao primeironome.sobrenome, somente um primeiro nome ou é algo diferente? Você pode dar uma olhada em bons candidatos a nomes de usuário em listas de primeiro nome e sobrenome comuns. É claro que haverá mais chances de os palpites terem mais sucesso se você puder descobrir os nomes dos funcionários de seu alvo. Se uma organização usar a inicial do primeiro nome seguido de um sobrenome como o esquema para o nome do usuário, e houver um funcionário chamado Carlos Silveira, csilveira provavelmente será um nome válido de usuário. Observação Pesquisas revelam que 60% dos usuários de redes corporativas utilizam senhas fracas, as quais facilitam ataques de força bruta. Os testes de invasão são mais eficazes para verificar se a norma está sendo cumprida. Explorando falhas da organização Nesse tipo de teste, é comum descobrir serviços vulneráveis ouvindo portas, senhas default que não foram alteradas, servidores web indevidamente configurados e assim por diante. Entretanto, organizações que investem bastante tempo e esforço em sua atitude quanto à segurança podem estar livres desses tipos de vulnerabilidade. É possível ter todos os patches de segurança instalados, efetuar auditorias periódicas em senhas e remover qualquer uma que possa ser facilmente adivinhada ou quebrada. Essas organizações podem controlar os papéis dos usuários: usuários normais podem não ter direitos de administrador em suas estações de trabalho e qualquer software instalado é investigado e mantido pela equipe de segurança. Como resultado, pode não haver muitos serviços para sequer tentar atacar. Mesmo assim, apesar da implantação das melhores e mais recentes tecnologias de segurança e do emprego de equipes de segurança contra cracking, organizações de destaque (que podem resultar em recompensas potencialmente valiosas para os invasores) continuam sendo invadidas. Às vezes, não é necessário escutar diretamente uma porta nos computadores. Assim, como precisamos pensar em outra maneira de atacar um dispositivo dentro do perímetro de uma organização, devemos selecionar o nosso payload de acordo com esse cenário. Enquanto um bind shell normal pode funcionar bem em sistemas diretamente expostos à internet ou que estejam ouvindo uma porta em nossa rede local, estaremos, no mínimo, limitados a conexões reversas. 245 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Nos ataques feitos dentro da organização, em vez de atacar diretamente um serviço que esteja ouvindo uma porta, será necessário criar uma variedade de arquivos maliciosos que, quando abertos em um software vulnerável no computador-alvo, resultará em um comprometimento. Após o início da execução de ferramentas, análises manuais e pesquisas, as possibilidades de exploração de falhas se reduzem gradualmente. Assim, restará um número limitado de problemas nos sistemas-alvo. Esses problemas correspondiam a problemas do servidor, ou seja, de serviços que estavam ouvindo portas. O que tem sido deixado de lado é qualquer software potencialmente vulnerável que não esteja ouvindo uma porta, isto é, softwares da organização. Softwares como navegadores web, visualizadores de documentos e players de música estão sujeitos aos mesmos tipos de problema que os servidores web, os servidores de e-mail e todos os demais programas baseados em rede apresentam. Obviamente, como os softwares da organização não estão ouvindo a rede, não podemos atacá-los diretamente, porém o princípio geral é o mesmo. Se pudermos enviar um dado de entrada não esperado a um programa para acionar uma vulnerabilidade, podemos sequestrar a execução da mesma maneira que exploramos os programas do servidor. Como não podemos enviar dados de entrada diretamente aos programas do cliente pela rede, devemos convencer um usuário a abrir um arquivo malicioso. Como a segurança tem sido levada mais a sério e as vulnerabilidades do servidor ficaram mais difíceis de serem descobertas, do ponto de vista da internet, a exploração de falhas do cliente está se tornando a chavepara obter acesso até mesmo em redes internas e cuidadosamente protegidas. Os ataques feitos ao lado do cliente são ideais em equipamentos como estações de trabalho ou dispositivos móveis que não possuem um endereço IP disponível na internet. Embora, do ponto de vista da internet, não possamos acessar diretamente esses sistemas, eles normalmente podem acessar a internet ou um sistema controlado por um pentester, se pudermos sequestrar a execução. Infelizmente, o sucesso de ataques feitos na organização depende da garantia, de certo modo, de que nosso exploit seja baixado e aberto em um produto vulnerável, concretizando o ataque. 246 Unidade IV Resumo Esta unidade demonstrou como o uso da criptografia é importante para segurança da informação como mecanismo que protege a confidencialidade das informações, o uso tecnológico para amparar a gestão da segurança da informação não apenas pelo uso dos recursos criptográficos, mas também por outros mecanismos como os softwares antivírus, firewalls entre outros que elevam a segurança da informação. As ameaças à segurança da informação podem vir de diversas maneiras através de vírus, cavalos de troia, worms ou através de ataques DDOS que visam atacar a disponibilidade da informação. Fica clara a importância do aparato tecnológico para a proteção dos ativos de informação, mas até mesmo a mais avançada tecnologia por si só depende da intervenção humana tanto para a sua configuração como no que se refere à prevenção contra as ameaças. A proteção dos ativos físicos e lógicos da organização é de fundamental importância para garantir a segurança das informações e deve trabalhar sempre em conjunto. As barreiras físicas representam o primeiro contato da organização com o meio externo e vice-versa, cabe ao profissional de segurança da informação conhecer os riscos que envolvem a proteção dos ativos físicos, bem como analisar as vulnerabilidades nos processos, nas pessoas e na tecnologia, a fim de coibir as ações das possíveis ameaças no ambiente físico da organização. A segurança física é responsável por implantar mecanismos de proteção adequados, respeitando o custo/benefício, e trata desde medidas de prevenção e detecção de incêndios até o controle do acesso físico das pessoas, veículos nas áreas físicas da organização. Para isso a criação do perímetro de segurança é de fundamental importância. O perímetro de segurança funciona como uma linha delimitadora que define uma área separada protegida por um conjunto de barreiras físicas e lógicas. A segurança lógica por sua vez apresenta um ambiente propício, em que as ameaças são multiplicadas e potencializadas através de ameaças externas como invasões, ataques de negação de serviço e das ameaças internas como erros, abusos de privilégios, fraudes etc. 247 GESTÃO DA SEGURANÇA DA INFORMAÇÃO A segmentação da segurança lógica por áreas é recomendada. Podem ser divididos e analisados de forma isolada: a segurança lógica em redes; segurança lógica para softwares; controle de acesso lógico. A implantação ou não de um PCN é exatamente o tempo máximo de paralização em um processo crítico da organização; ou seja, se a empresa possui um processo que não permite sua paralisação por um período maior que 48 horas, esse processo será levantado e todos os recursos necessários para o funcionamento desse processo serão considerados, desde instalações físicas, sistemas de TI, colaboradores e fornecedores, na elaboração do PCN. Por fim, foram acentuados os principais conceitos de testes de invasão e as informações necessárias para compor os relatórios com resultados executivos. Tais ações são feitas com a finalidade de repassar as informações de maneira menos técnica destinadas aos gestores para auxílio na tomada de decisões sobre os investimentos, bem como as informações destinadas à retroalimentação da matriz de riscos corporativos. Exercícios Questão 1. Praticamente todas as empresas da atualidade utilizam redes de computadores. Na realidade, seu uso tornou-se tão universal que as redes são comuns até mesmo em residências. A interconexão de computadores trouxe uma série de benefícios e praticidades, mas, infelizmente, também gerou uma série de problemas de segurança. Com relação aos problemas relacionados à segurança das redes de computadores, existem diversos tipos de ameaças. Avalie as afirmativas a seguir sobre os tipos de ameaças às redes de computadores. I – Na intercepção, o objetivo é conseguir copiar parte dos dados ou todos os dados que estão sendo transmitidos entre dois ou mais computadores. Isso pode ser feito redirecionando o tráfego dos dados, fazendo com que ele passe por uma máquina do atacante. II – Na modificação, o atacante procura alterar a comunicação entre máquinas em uma rede, o que compromete a sua integridade. Por exemplo, uma máquina de um atacante pode tentar simular a identidade de outra máquina legítima, gerando tráfego na rede com uma identidade falsa. III – Na interrupção, o objetivo do atacante é perturbar a comunicação entre um conjunto de máquinas. Isso pode causar lentidão nas comunicações, ou, em casos mais sérios, impedir a comunicação entre parte das máquinas (ou até mesmo todas as máquinas). É correto o que se afirma em: 248 Unidade IV A) I, apenas. B) II, apenas. C) III, apenas. D) I e II, apenas. E) I, II e III. Resposta correta: alternativa E. Análise das afirmativas I – Afirmativa correta. Justificativa: na interceptação, o atacante comporta-se de forma similar a alguém que “escuta” uma conversa alheia, copiando os dados transmitidos entre outras máquinas. II – Afirmativa correta. Justificativa: na modificação, o atacante quer mais do que simplesmente copiar dados: ele quer simular outra identidade, fazendo com que outras máquinas acreditem que os dados foram originados de uma fonte diferente. III – Afirmativa correta. Justificativa: o objetivo da interrupção é prejudicar a comunicação entre máquinas em uma rede. Questão 2. A interrupção não planejada do funcionamento de uma empresa é um evento que pode causar muitos prejuízos para donos, funcionários e clientes. Por exemplo, a interrupção dos serviços de comunicação de dados de uma empresa de telecomunicações pode ter impactos significativos até mesmo em uma cidade inteira, dependendo do tamanho e do escopo da falha. Dessa forma, muitas empresas devem procurar formas de lidar com diversos tipos de falhas e desastres. A gestão da continuidade de negócios deve criar e manter o PCN, ou plano de continuidade dos negócios, que procura orientar a empresa no caso de uma catástrofe. Um dos objetivos do plano é definir a estratégia de recuperação no caso de um desastre. Suponha que uma empresa observou que alguns de seus processos em um determinado local (referenciado pela palavra em inglês “site”) são muito importantes, não podendo ter períodos muito longos de interrupção. A empresa está analisando as diversas possibilidades de locais (sites) para o seu funcionamento em caso de desastre. Nesse contexto, avalie as afirmativas a seguir sobre os diversos tipos de locais. 249 GESTÃO DA SEGURANÇA DA INFORMAÇÃO I – O “cold site” é uma opção barata, mas muito demorada para as necessidades do negócio. II – O “mirror site” é opção tão barata quanto o “cold site” e inclui o sincronismo de dados. III – O “hot site” é uma alternativa ruim, pois não contém os servidores, que deverão ser transportados para o local no caso de um desastre. É correto o que se afirma em: A) I, apenas. B) II, apenas. C) III, apenas. D) I e II, apenas. E) I, II e III. Resposta correta: alternativa A. Análise das afirmativas I – Afirmativa correta. Justificativa: o “cold site” é apenas um local sem os equipamentos necessários para o funcionamento da empresa. No caso de um desastre, os equipamentos deverão ser providenciados e transportados para esse local. Ainda que essa seja a alternativa mais barata, ela é a mais demorada e pode não atender às necessidadesdo negócio. II – Afirmativa incorreta. Justificativa: o “mirror site” é uma opção muito mais cara do que as demais, pois contém toda a infraestrutura necessária pronta para a operação e com as informações sincronizadas. III – Afirmativa incorreta. Justificativa: o “hot site” contém os servidores, mas eles podem não estar totalmente sincronizados com o ambiente de produção. 250 REFERÊNCIAS Audiovisuais MARGIN Call – o dia antes do fim. Direção: J. C. Chandor. EUA, 2011. 107 min. AS PALAVRAS. Direção: Brian Klugman, Lee Sternthal. EUA: Imagem Filmes, 2012.139 min. Textuais ARIMA, C. H. Metodologia de auditoria de sistemas. São Paulo. Érica: 2000. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: tecnologia da informação – técnicas de segurança – sistemas de gestão de segurança da informação – requisitos. Rio de Janeiro: ABNT, 2013a. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002: tecnologia da informação – técnicas de segurança – código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2013b. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: tecnologia da informação – técnicas de segurança – sistemas de gestão de segurança da informação – requisitos. Rio de Janeiro: ABNT, 2018a. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 31000: gestão de riscos – diretrizes. 2. ed. Rio de Janeiro: ABNT, 2018b. BASTOS, A.; CAUBIT, R. ISO 27001 e 27002: gestão de segurança da informação – uma visão prática. Porto Alegre: Módulo, 2009. BEAL, A. Segurança da informação: princípios e melhores práticas para proteção de ativos de informação nas organizações. São Paulo: Editora Atlas, 2008. BRASIL. Presidência da República. Casa Civil. Decreto-Lei n. 2.848, de 7 de dezembro de 1940. Código Penal. Rio de Janeiro: 1940. Disponível em: https://bit.ly/34BXOGU. Acesso em: 1º jun. 2021. BRASIL. Presidência da República. Casa Civil. Decreto n. 4.553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências. Brasília, 2002a. BRASIL. Presidência da República. Casa Civil. Lei n. 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Brasília, 2002b. Disponível em: https://bit.ly/3i7Yfk1. Acesso em: 1º jun. 2021. 251 BRASIL. Presidência da República. Casa Civil. Lei n. 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para uso da Internet no Brasil. Brasília, 2014. Disponível em: https://bit.ly/3g66hrc. Acesso em: 1º jun. 2021. BRASIL. Presidência da República. Casa Civil. Medida Provisória n. 2.200-2, de 24 de agosto de 2001. Institui a infraestrutura de chaves públicas brasileira – ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia, e dá outras providências. Brasília: 2001. BRASIL. Presidência da República. Secretaria-Geral. Decreto n. 9.690, de 23 de janeiro de 2019. Altera o Decreto n. 7.724, de 16 de maio de 2012, que regulamenta a Lei n. 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação. Disponível em: https://bit.ly/3yQ9UKl. Acesso em: 2 jun. 2021. BRASIL. Presidência da República. Secretaria-Geral. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília, 2018. Disponível em: https://bit.ly/3hZwQkd. Acesso em: 28 maio 2021. CAMPOS, A. L. N. Sistemas de segurança da informação: controlando os riscos. 1. ed. Florianópolis: Visual Books, 2006. CASSARO, A. C. Controles internos e segurança de sistemas. São Paulo: LTR, 1997. DONEDA, D. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. FONTES, E. Políticas e normas para a segurança da informação: como desenvolver, implantar e manter regulamentos para a proteção da informação nas organizações. Rio de Janeiro: Brasport, 2012. G1. 540 milhões de dados de usuários do Facebook ficam expostos em servidores da Amazon. G1, 4 abr. 2019. Disponível em: https://glo.bo/3cbjbD3. Acesso em: 1º jun. 2021. GALANTE, E. B. L. Princípios da gestão de projetos. 1. ed. Curitiba: Appris, 2015. GIL, A. C. Auditoria de computadores. 5. ed. São Paulo: Atlas, 2000. GOOGLE multada em 50 milhões por violar RGPD em França. Dinheiro Vivo, 21 jun. 2019. Disponível em: https://bit.ly/2S4EPSm. Acesso em: 1º jun. 2021. KOVACICH, G. L. Information systems security officer´s guide. EUA: HB, 1998. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO GUIDE 73 – Risk management – Vocabulary. Genebra: ISO, 2009. MENDES, L. S. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014. 252 PINHEIRO, P. P. Direito digital. 3. ed. São Paulo: Saraiva, 2009. PROJECT MANAGEMENT INSTITUTE. Um guia do conhecimento em gerenciamento de projetos: Guia PMBOX. 5. ed. São Paulo: PMI, 2013. RAMOS, A. Security officer 1 – guia oficial para formação de gestores em segurança da informação. Porto Alegre: Zouk, 2006. ROSTI, A. A importância de a gestão de riscos cibernéticos fazer parte da estratégia das empresas. SafeWay, 25 set. 2020. Disponível em: https://bit.ly/3fIBbGX. Acesso em: 2 jun. 2021. SÊMOLA, M. Gestão da segurança da informação. 2. ed. Rio de Janeiro: Elsevier, 2014. TININSIDE. Gartner: gastos mundiais com segurança e gerenciamento de riscos chegarão a US$ 150 bilhões em 2021. 19 maio 2021. Disponível em: https://bit.ly/3wO1ZLC. Acesso em 2 jun. 2021. WEIDMAN, G. Testes de invasão. São Paulo: Novatec, 2014. 253 254 255 256 Informações: www.sepi.unip.br ou 0800 010 9000
Mais conteúdos dessa disciplina
(FastlySafely) Buy GitHub Accounts From USAPVAREVIEW- Best Selling Buy Verified Paysera Accounts (Personal And Business)_ Secure Trusted Deals
- Best 10 Sites to Buy Verified Alipay Accounts in This time
- 5 Best Places to Buy Verified Alipay Accounts in USA (2025-26)
- A criptografia de ponta a ponta utilizada pelo WhatsApp assegura que somente o remetente e o destinatário possam acessar o conteúdo das mensagens troc
- Quando falamos em riscos da segurança da informação, pensamos em eventos que podem comprometer a segurança das informações, colocando em risco a as pr
- ○ phishing é uma das técnicas mais utilizadas em ataques de engenharia social principalmente via dispositivos móveis. Qual das seguintes afirmações so
- Os controles físicos e lógicos são fundamentais para garantir a segurança da informação,. Enquanto os controles físicos restringem o acesso a instalaç
- As vulnerabilidades de rede em computadores se referem a fraquezas, falhas ou exposições que podem ser exploradas por indivíduos mal-intencionados par
- A engenharia social pode causar sérios danos à segurança dos dispositivos móveis e das informações armazenadas neles. Qual das alternativas não é uma
- A engenharia social pode causar sérios danos à sequrança dos dispositivos móveis e das informações armazenadas neles. Qual das alternativas não é uma
- ○ upload de arquivos pode representar um risco à segurança se não for devidamente controlado. Invasores podem explorar falhas para enviar arquivos mal
- ○ Pentest é uma abordagem proativa para avaliar a segurança de sistemas e redes Por meio da simulação de ataques controlados. Ele segue uma metodologi
- Empresas que permitem o uso de dispositivos móveis para atividades corporativas podem adotar diferentes modelos de gestão. O conceito de Bring Your Ow
- O que significa a sigla LBI? Questão 10Escolha uma opção: a. Lei do Brasil Inclusivo b. Lei do Braille Internacional c. Lei Braille Inclusiva d. Lei B
- A criptografia é uma técnica fundamental para proteger dados confidenciais. Ela envolve a conversão de informações em um formato ilegível (cifrado) qu
- O funcionamento do organismo depende de uma complexa integração entre diferentes sistemas. Entre eles, o sistema respiratório e o sistema cardiovascul
- AM-I-Clustering
- Aula-6-Cluster-140807
