Segurança em redes de computadores

Prévia do material em texto

SEGURANÇA EM REDES 
DE COMPUTADORES
W
B
A
04
54
_v
1.
0
2
José Eugênio de Mira
Londrina 
Editora e Distribuidora Educacional S.A. 
2020
SEGURANÇA EM REDES DE COMPUTADORES
1ª edição
3
2020
Editora e Distribuidora Educacional S.A.
Avenida Paris, 675 – Parque Residencial João Piza
CEP: 86041-100 — Londrina — PR
e-mail: editora.educacional@kroton.com.br
Homepage: http://www.kroton.com.br/
Presidente
Rodrigo Galindo
Vice-Presidente de Pós-Graduação e Educação Continuada
Paulo de Tarso Pires de Moraes
Conselho Acadêmico
Carlos Roberto Pagani Junior
Camila Braga de Oliveira Higa
Carolina Yaly
Giani Vendramel de Oliveira
Henrique Salustiano Silva
Juliana Caramigo Gennarini
Mariana Gerardi Mello
Nirse Ruscheinsky Breternitz
Priscila Pereira Silva
Tayra Carolina Nascimento Aleixo
Coordenador
Tayra Carolina Nascimento Aleixo
Revisor
Lucas dos Santos Araujo Claudinho
Editorial
Alessandra Cristina Fahl
Beatriz Meloni Montefusco
Gilvânia Honório dos Santos
Mariana de Campos Barroso
Paola Andressa Machado Leal
Dados Internacionais de Catalogação na Publicação (CIP)
__________________________________________________________________________________________ 
Lima, Marcelo Tavares de.
L732a Analytics e inteligência artificial (IA)/ Marcelo Tavares de 
 Lima. – Londrina: Editora e Distribuidora Educacional S.A., 
 2020
 44 p. 
 ISBN 978-65-87806-34-1
 1. Inteligência artificial 2. Algoritmos computacionais 3. 
Sistemas especialistas (Computação) I. Título. 
 
CDD 005 
____________________________________________________________________________________________
Raquel Torres – CRB 6/2786
© 2020 por Editora e Distribuidora Educacional S.A.
Todos os direitos reservados. Nenhuma parte desta publicação poderá ser 
reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, 
eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de 
sistema de armazenamento e transmissão de informação, sem prévia autorização, 
por escrito, da Editora e Distribuidora Educacional S.A.
4
SUMÁRIO
Arquiteturas de rede e protocolos __________________________________ 05
Princípios da segurança da informação e criptografia _______________ 19
Ameaças, vulnerabilidades e ataques _______________________________ 35
Ferramentas de segurança e recuperação de desastre ______________ 53
SEGURANÇA EM REDES DE COMPUTADORES
5
Arquiteturas de rede e protocolos
Autoria: José Eugênio de Mira
Leitura crítica: Italo Diego Teotonio
Objetivos
• Diferenciar arquitetura de redes e protocolos 
de rede.
• Assimilar diferentes características dos 
equipamentos de rede e dos meios físicos.
• Compreender o modelo de camadas e sua 
organização hierárquica.
6
1. Arquiteturas de rede e protocolos
Quando pensamos em arquitetura, nossa mente nos remete aos grandes 
projetos estruturais de prédios e casas. No entanto, na área de redes de 
computadores, a arquitetura é a definição e a distribuição de meios físicos 
e dos equipamentos de hardware que permitam a comunicação e dos 
softwares capazes de realizar a comunicação entre si. Enquanto tratamos 
de topologias como as características do ambiente físico, os protocolos são 
conjuntos de comportamentos ou medidas que devem ser utilizadas em 
uma determinada situação.
De maneira análoga, nesta disciplina trataremos os protocolos de rede 
como um conjunto de regras impostas para o desenvolvimento de 
programas e dispositivos que se comuniquem através de uma rede de 
computador, também conhecida como rede de dados. Ou seja, enquanto 
protocolos são as diferentes maneiras de se organizar e se determinar o 
formato e as regras para transmissão de informações através de diferentes 
dispositivos, a topologia é a definição de como esses diferentes protocolos 
são organizados entre diferentes equipamentos e sistemas, a fim de 
permitir uma comunicação eficiente.
Desse modo, conheceremos os diferentes tipos de topologia, equipamentos 
de redes, meios físicos e os principais protocolos de rede que compõe a 
arquitetura de rede.
1.1 Arquiteturas de redes
Por definição, uma rede de computadores são dois ou mais computadores 
interligados por um meio (ou mídia) em que podem trocar informações 
sobre suas entradas, saídas e estados. As redes de computadores 
surgiram na substituição de grandes sistemas centralizados (mainframes) 
por estações de trabalhos. Por sua vez, essas estações eram menores e 
consumiam menos recursos, eram mais simples de serem utilizadas e 
7
fisicamente instaladas e distribuídas. Nas estruturas centralizadas, porém, 
todas as informações constavam em um único repositório.
Com a descentralização dos recursos (arquivos, impressoras e programas), 
as redes ser tornaram essenciais para que todos em uma organização 
tivessem acesso aos recursos das outras estações, além de impedir 
que esses dados fossem duplicados. Com os passar do tempo, algumas 
estações passaram a contar com uma estação central mais segura e com 
configurações de memória e processamento melhores, com a função 
de disponibilizar esses recursos para as outras estações da rede. Essas 
estações com mais recursos eram chamadas de servidores. Apesar disso, 
essa rede tinha vantagens, como não haver um único ponto de falha, ao 
contrário das redes em mainframe. Além disso, quando um servidor se 
desligava, as estações continuavam funcionando normalmente, ou seja, um 
arquivo que não estivesse no servidor poderia continuar sendo utilizado 
normalmente.
Figura 1 – Um ambiente de pequeno negócio 
conectado em uma rede
Fonte: macrovector/iStock.com. 
8
Além disso, o aumento do uso das estações nos ambientes corporativos 
levou ao desenvolvimento e utilização de diversos equipamentos com 
diferentes finalidades nas redes. Por exemplo, roteadores, switches, 
hubs e modems são equipamentos muito comuns atualmente, mas que 
só surgiram quando as redes de computadores se tornaram grandes e 
distribuídas a ponto de ser necessário equipamentos específicos para 
interligá-las, reforçar os seus sinais elétricos, distribuir os pacotes de 
dados e redirecioná-los de acordo com as necessidades dos usuários 
e das estações. Na Figura 1, você pode observar como diferentes 
equipamentos e estações de um escritório se conectam entre si em uma 
rede.
Recentemente, toda a infraestrutura de servidores e armazenamento 
pode ser acessada através da internet, ou seja, em vez de servidores 
locais de arquivos e de programas, os servidores são hospedados em 
datacenters de grandes corporações, que cobram um aluguel pelo uso 
dos recursos. A computação em nuvem, ou cloud computing, quebra 
um paradigma antigo em que o hardware e o software estão presentes 
fisicamente no computador, onde o processamento era realizado 
localmente. Ao utilizarem a computação na nuvem, software e hardware 
podem ser conectados remotamente, em uma estrutura chamada 
software como serviço, ou SaaS. Armbrust et al. (2010, p. 50) pontua que 
“a computação em nuvem se refere a ambos os aplicativos entregues 
como serviços através da internet e do software e hardware e sistemas 
nos centros de dados que fornecem esses serviços”.
Nesse sentido, temos os exemplos recentes de serviços como o Spotify, 
serviço de streaming de músicas, ou o GoogleDocs e o Microsoft Office 
365, que são soluções de acesso unificado à planilhas, documentos 
de textos, apresentações etc. Esses últimos, por sua vez, permitem 
que um usuário ou múltiplos usuários trabalhem simultaneamente 
em documentos hospedados em uma base de dados mantida pelo 
responsável pelo serviço, ou seja, os usuários usam uma interface 
9
que interage através da internet, através de quaisquer dispositivos 
disponíveis.
1.2 Arquitetura física e equipamentos de rede
Enquanto na arquitetura lógica de redes temos os protocolose os 
softwares, na arquitetura física temos os tipos de conexões físicas 
utilizadas (o desenho através do qual os equipamentos estão 
conectados) e os equipamentos em si.
As definições de arquitetura física mais comuns são ponto a ponto, 
estrela, anel e barramento, definições que damos o nome de topologias 
de rede. Nas conexões do tipo ponto a ponto, há dois equipamentos 
conectados em um meio físico dedicado, como uma conexão direta 
entre dois computadores ligados por um modem ou uma rede de 
dispositivos bluetooth. Já em uma rede multiponto, em uma das pontas 
do meio físico há uma derivação que permite que outros equipamentos 
se conectem nessa rede em uma das pontas, como nos cabos de fibra 
ótica que levam conexão à internet através de alguns quilômetros e são 
depois derivados em conexões secundárias.
Já nas conexões do tipo estrela, um único equipamento central converge 
todas as conexões, de modo que uma falha nesse equipamento pode 
afetar todas as estações, como em uma rede com um mainframe 
central. Nas conexões do tipo anel, por sua vez, as estações são 
conectadas de forma circular, de modo que uma sempre esteja 
conectada na próxima estação, no entanto, caso haja interrupção da 
transmissão ou rompimento do nó, toda a comunicação é afetada. 
Por último, na topologia do tipo barramento, todos os equipamentos 
compartilham a mesma mídia ou o mesmo cabo, o que exige que haja 
um tipo de terminador (uma resistência) que permite a transmissão de 
frequência no cabo, sendo que em caso de rompimento do cabo em 
qualquer ponto, a comunicação também é interrompida. Além disso, 
10
há outras topologias, como a malha e a árvore, mas elas se tratam de 
um design composto, como a topologia árvore sendo um conjunto de 
duas ou mais topologias do tipo estrela e, por isso, estruturalmente elas 
funcionam de modo parecido.
Figura 2 – Uma rede com várias topologias
Fonte: elaborada pelo autor.
No entanto, todas essas definições são técnicas, desse modo, o 
que ocorre na prática é que as redes são quase em sua totalidade 
heterogêneas, ou seja, elas possuem diferentes tipos de topologias, 
protocolos e programas atuando em conjunto. Embora tenha sido muito 
utilizada nas primeiras estruturas de mainframe, as redes de topologia 
em estrela ainda são muito utilizadas atualmente, mas de forma a 
realizar a distribuição da conexão através de switches, que, por sua vez, 
tem uma infraestrutura interna de topologia ponto a ponto. Por outro 
lado, conexões em rede wireless funcionam como um tipo de topologia 
barramento, pois elas acessam o mesmo meio físico, enquanto nos 
datacenters e provedores de internet é comum a utilização de anéis de 
fibra ótica que possuem excelente redundância em caso de falha, já que 
podem transmitir de forma bidirecional. Na Figura 2, você pode observar 
um exemplo de uma rede com várias topologias.
11
1.3 Equipamentos de rede
As primeiras redes de computadores que surgiram eram formadas 
basicamente por um mainframe e diferentes terminais. De acordo com 
Tanembaum (2011), os tais centros de computação acabaram por se 
tornar obsoletos e foram gradativamente substituídos por uma grande 
quantidade de computadores separados, porém interconectados. 
Mesmo nos datacenters atuais, o que existem são centenas e até 
milhares de servidores que desempenham diferentes funções, 
interconectados entre si. Embora tenha trazido diversas vantagens, esse 
modelo exige um número maior de diferentes equipamentos para o seu 
funcionamento, aumentando a quantidade de pontos de falha, além de 
um potencial de maior fragilidade com a segurança dos dados.
A utilização e função dos equipamentos mais importantes de uma 
rede estão descritas no quadro a seguir. Note que usamos uma 
nomenclatura específica para designar as redes de acordo com a sua 
dimensão/distribuição geográfica: LANs são as Local Area Networks, ou 
redes de área local, como aquelas que temos um escritório ou em uma 
empresa; MANs são Metropolitan Area Network, ou seja, redes de área 
metropolitana que se estendem através de uma cidade ou interligam 
cidades próximas (como no caso das redes internas dos provedores de 
internet); por fim, as WANs são as Wide Area Networks, ou rede de área 
extensa, cujo melhor exemplo é a internet e suas ramificações.
Quadro 1 – Comparativo de equipamentos e funções
Equipamento O que é Função Utilização
Modem
Equipamento capaz de 
converter sinais digitais 
em pulsos analógicos 
para transmissão de 
longa distância
Transmissão de 
dados através de 
redes fisicamente 
separadas (MANs 
e WANs)
Para conexão 
de provedores e 
clientes nas MANs 
e WANs 
12
Switch
Evolução do hub, 
sendo um conjunto de 
chaveadores de rede
Interliga diversas 
estações em uma 
única sessão da 
rede, separando-
as logicamente
Em redes locais 
(LANs), fisicamente 
próximas e em 
MANs
Roteador
Equipamento 
inteligente com 
tabelas internas para 
encaminhar pacotes de 
dados
Serve para 
interligar redes 
diferentes e 
oferecer rotas 
alternativas entre 
elas
Conexão entre 
diferentes LANs e 
entre redes locais 
e a internet (WAN)
Access point
Conversor e 
transmissor/receptor do 
padrão ethernet wireless
Permite a conexão 
de estações em 
uma rede sem fio
Em redes locais e 
em MANs e WANs 
(internet via rádio)
Servidor
Computador de 
alta capacidade de 
armazenamento e 
processamento
Oferecer serviços 
para as estações, 
armazenando 
dados ou 
executando 
aplicações
Em redes locais e 
na internet, com 
diferentes serviços
Fonte: elaborado pelo autor.
Essa lista é a simplificação e a generalização de diversos equipamentos 
que são utilizados e suas funções, que podem ser mais ou menos 
específicas de acordo com a necessidade. Nesse sentido, é comum que 
equipamentos de uso doméstico agreguem duas ou mais funções, como 
os modems que também funcionam como roteadores e access point. Já 
em ambientes corporativos, é comum a utilização de cada um desses 
itens separadamente, pela necessidade de se utilizarem equipamentos 
13
robustos e especializados, inclusive capazes de trabalhar como mais um 
tipo de meio físico.
Figura 3 – Um roteador de uso corporativo
Fonte: jeffix/iStock.com. 
Os meios físicos são os meios de transmissão utilizados pelos 
diferentes equipamentos para transmissão de dados. Basicamente, 
um meio físico é um elemento que é ‘perturbado’ através de um sinal 
elétrico, ótico ou eletromagnético de forma a permitir a transmissão 
de dados por ele, como:
1. Transmissão através de fios, cabos de cobre ou outro metal de 
alta condutibilidade, com a utilização de sinais elétricos.
2. Transmissão através de fibras óticas de vidro ou acrílico que 
transmitem sinais de luz.
3. Transmissão através de ondas eletromagnéticas, através de 
antenas de transmissão-recepção que modulam sinais de 
radiofrequência.
14
Por sua vez, os equipamentos de rede podem variar de acordo com 
o tipo de rede que se deseja conectar, a distância, a especialização e 
o meio físico utilizado. Além disso, diferentes protocolos podem ser 
utilizados dependendo da camada que os equipamentos pertençam.
2. Protocolos de rede
Protocolos de rede são basicamente acordos de comunicação 
estabelecidos em uma hierarquia de camadas, que é a maneira 
como diferentes softwares e hardwares de diferentes fabricantes 
se comunicam. Desse modo, usando um sistema de camadas, cada 
nível hierárquico pode ocultar seu funcionamento interno, com 
seus protocolos e circuitos, mas sua padronização permite que 
o equipamento em si possa se comunicar de forma transparente 
com os equipamentos acima e abaixo de forma coordenada e 
preestabelecida. Logo, diferentes protocolos atuam em diferentes 
camadas, de acordo com qual software ou hardware os utilizam. Para 
ilustrar e simplificar a organização e o entendimento desse sistema, 
foi estabelecido um modelo teórico conhecido como modelo de 
camadas OSI. Na Figura 4, você pode observar como as camadas são 
organizadas ou empilhadas nos diferentes modelos, seus protocoloscorrespondentes e onde atuam.
15
Figura 4 – Modelo de camada OSI e TCP/IP
Fonte: elaborada pelo autor.
Nesta figura, você pode verificar como os modelos podem ajudar 
a compreender e simplificar o entendimento de como diferentes 
equipamentos e protocolos podem se organizar em uma rede para 
se comunicar. No modelo da esquerda, temos o modelo teórico OSI e 
suas camadas. Já no modelo da direita temos o modelo TCP/IP, que é 
baseado nos sistemas e protocolos utilizados na internet e na maioria 
das redes. Na parte inferior da pilha, há os equipamentos da rede 
física, que interligam as redes através do meio físico (fibra, elétrica 
ou eletromagnética), sendo que aqui encontramos modems e hubs e, 
também, switches, que atuam na camada física e de enlace. Acima, há 
os roteadores que endereçam e conectam as diferentes redes entre si 
utilizando o endereçamento IP. Sobre a camada de rede, uma camada 
de transporte é responsável por organizar, endereçar (através do NAT 
ou a tradução de porta) e transportar diferentes pacotes entre sistemas 
operacionais diferentes e no topo as aplicações que utilizamos como os 
navegadores, aplicativos de e-mail, mensagens instantâneas etc.
16
Desse modo, o padrão TCP/IP se tornou popular justamente pela 
simplicidade de implementação e sua robustez, ou seja, ele consegue 
realizar a entrega dos seus pacotes mesmo com conexões instáveis 
ou lentas. Isso só é possível graças ao fato de o IP ser considerado 
um protocolo não orientado a conexão (ao contrário dos sistemas 
antigos telefônicos por exemplos) que trabalha em conjunto com o 
TCP, orientado a conexão, porém baseado em pacotes de dados não-
confiáveis. Neste sistema, cada pacote de dados é independente e tem 
um código próprio e um código da sua sequência e do total de pacotes 
esperados, assim, mesmo que algum deles se perca, o receptor pode 
solicitar a entrega do pacote faltante.
3. Redes sem fio
O padrão das redes locais (LANs) mais comum é o Ethernet 802.3 (nas 
redes sem fio, o padrão é o 802.11), criado a partir do conceito de 
rede de comunicação desenvolvido por Bob Metcalfe e David Boggs, 
ambos à época funcionários da Xerox. O Ethernet baseia-se na ideia 
simples de utilizar um meio para recepção e outro para transmissão 
(TX e RX), de maneira que a estação que transmite possa “ouvir” o 
meio de transmissão e saber se ele está sendo utilizado por outra 
estação. O sistema Ethernet e o padrão 802.11 compartilham também 
a metodologia de endereçamento das estações, baseada em 6 bytes 
para a estação destino e 6 bytes para a estação origem, conhecido como 
endereço MAC (MAC é a sigla de Media Access Control, ou controle de 
acesso ao meio, uma referência ao fato do Ethernet controlar quem 
está utilizando o meio físico para transmitir) tornando os padrões 
reversamente compatíveis.
Além disso, contam com um algoritmo poderoso de detecção de conflito 
na transmissão, responsável por impedir que duas estações transmitam 
no mesmo canal simultaneamente. Esse algoritmo é o CSMA/CD (carrier-
17
sense multiple acess with collision detection) ou detector de portadora de 
múltiplo acesso com detecção de colisão. Essa filosofia se estende até 
hoje nos novos padrões, o que pode ser comprovado comparando-se as 
tecnologias e as velocidades encontradas no padrão Ethernet: Enquanto 
os primeiros equipamentos transmitiam no máximo 2,94 Mbps através 
de cabos coaxiais grosso, os padrões atuais podem utilizar fibras óticas 
ou transmissão através de ondas eletromagnéticas, com velocidades 
que podem chegar a 100Gbps, sem necessidade de se alterar as 
características do protocolo em si. Por causa disso, Tanenbaum (2011, p. 
187) explica o quanto o padrão Ethernet é utilizado como unanimidade e 
por que deve continuar assim por um bom tempo:
Provavelmente a principal razão para a sua longevidade seja o fato de que 
a Ethernet é simples e flexível. Na prática simples se traduz como confiável, 
de baixo custo e de fácil manutenção. Depois que a arquitetura de hub e 
switch foi adotada, as falhas se tornaram extremamente raras. As pessoas 
hesitam em substituir algo que funciona bem o tempo todo(...). Outro 
ponto importante é que a Ethernet é capaz de interoperar facilmente com 
o TCP/IP, que se tornou dominante. O IP é um protocolo não orientado à 
conexão e, portanto, se ajusta perfeitamente à Ethernet.
Embora o padrão ethernet wireless seja antigo, somente após o 
desenvolvimento de novos processadores e microcontroladores mais 
rápidos foi que se tornou possível a utilização dessas redes em larga 
escala, e o motivo disso é a segurança; Redes do tipo ethernet tem seus 
dados distribuídos de forma que quaisquer pessoas com um dispositivo 
receptor/transmissor podem se associar a um ponto de acesso e passar 
a receber e enviar pacotes nessa rede. Portanto, o uso de redes sem 
fio só se tornou segura com o desenvolvimento de novos modelos de 
autenticação e criptografia, como o WPA2 (Wi-Fi Protected Access). Além 
disso, os equipamentos mais modernos permitiram uma utilização 
maior de energia elétrica em dispositivos móveis, através de baterias 
de maior capacidade, mais leves e sistemas de cargas mais eficientes, 
18
permitindo que as redes sem fio se tornassem uma opção mais 
difundida e disponível.
Como pudemos aprender, as redes de computadores são uma evolução 
de diversas tecnologias que só funcionam juntas graças à uma série de 
sistemas de controle e hierarquias que permitem a comunicação segura 
e confiável entre diferentes dispositivos separados fisicamente, seja em 
uma mesma empresa ou alguns milhares de quilômetros de distância. 
Não é à toa que essa flexibilidade e facilidade na comunicação e na troca 
de dados modificou várias formas de trabalhar e de se relacionar no 
mundo.
Referências Bibliográficas
ARMBRUST, M.; FOX, A.; GRIFFITH, R.; JOSEPH, A. D.; KATZ, R.; KONWINSKI, A.; LEE, 
G.; PATTERSON, D.; RABKIN, A.; STOICA, I.; ZAHARIA, M. A view of cloud computing. 
Communications of the ACM, Nova Iorque, v. 53, n. 4, p. 50-58, abr. 2010. 
Disponível em: https://doi.org/10.1145/1721654.1721672. Acesso em: 30 jul. 2020.
HAYKIN, S.; MOHER, M. Sistemas modernos de comunicações wireless. Tradução 
de Glayson Eduardo de Figueiredo e José Lucimar do Nascimento. Porto Alegre: 
Bookman, 2008.
INSTITUTE OF ELECTRICAL AND ELECTRONICS ENGINEERS–IEEE. IEEE Standard 
Glossary of Software Engineering Terminology. Washigton: American National 
Standards Institute, 1990.
PINOCHET, L. Tecnologia da informação e comunicação. Rio de Janeiro: Elsevier, 
2014.
SOUZA, L. B. Redes de computadores: guia total. São Paulo: Érica, 2009.
TANENBAUM, A. S.; WHETERHALL, D. Redes de computadores. São Paulo: Pearson 
Prentice Hall, 2011.
https://doi.org/10.1145/1721654.1721672
19
Princípios da segurança da 
informação e criptografia
Autoria: José Eugênio de Mira
Leitura crítica: Italo Diego Teotonio
Objetivos
• Conhecer o conceito e os objetivos da segurança da 
informação.
• Compreender o funcionamento da criptografia e sua 
origem.
• Reconhecer os principais tipos de criptografia 
utilizados e suas características.
20
1. O que é segurança da informação?
Em 2019, um ranking publicado pela Brand Finance posicionou Amazon, 
Apple e Google como as empresas mais valiosas do mundo em valor 
de mercado, em seguida estão as empresas Microsoft, Samsung, AT&T 
e Facebook (BRAND FINANCE, 2019). Mas, o que essas empresas têm 
em comum? Você pode perceber que são todas empresas do ramo 
de tecnologia da informação. Se comparada com uma lista dos anos 
1990, veremos que na época empresas como a Coca-Cola, GE e Disney, 
gigantes do ramo de alimentos, indústria e entretenimento, figuravam 
nas primeiras posições. Logo, o que mudou e de onde vem o valor 
dessas empresas?
A resposta é simples, mas seu entendimento pode ser complexo, 
assim como sua gestão. Todas essas empresas lidam constantemente 
com informações e o seu grande valor vem dessas informações. Essas 
empresas têm dados precisos sobre uma grandequantidade de pessoas, 
onde vivem, seus interesses pessoais, hábitos de consumo e, até mesmo, 
suas rotas de trabalho diárias. Em um mundo onde é possível processar 
uma grande massa de dados rapidamente para basear a tomada de 
decisão, dados são valiosíssimos e, portanto, um ativo importante para 
qualquer organização. Desse modo, proteger a confidencialidade, a 
integridade e tornar esses dados disponíveis para serem utilizados 
quando necessário é a função principal da segurança da informação.
1.1 Definições de segurança da informação
Conceitualmente, segurança da informação (SI) é um processo e não 
um produto. Ou seja, a SI é algo a ser alcançado e não produzido. 
Portanto, de acordo com Moraes (2010, p. 19), ela pode definida 
como “um processo de proteger a informação do mau uso, tanto 
acidental quanto intencional, por pessoas internas ou externas à 
organização”. Por sua vez, Hintzbergen et al. (2018, p. 26) afirmam que 
21
a segurança da informação é implementada através de um processo 
que inclui “um conjunto adequado de controles, incluindo políticas, 
processos, procedimentos, estruturas organizacionais e funções de 
software e hardware”. Além disso, os autores reforçam que essa 
implementação deve ser dinâmica, de melhoria contínua e feita em 
conjunto com outros processos de gestão do negócio. Nesse sentido, 
a “preservação da confidencialidade, integridade e disponibilidade da 
informação. Adicionalmente, outras propriedades como autenticidade, 
responsabilidade, não repúdio e confiabilidade também podem ser 
incluídas” (HINTZBERGEN et al., 2018, p. 24). Desse modo, devemos 
compreender de forma particular cada um desses elementos, ou pilares 
da SI, descritos na figura a seguir.
Figura 1 – Os pilares da segurança da informação
 
Co
nf
id
en
cia
lid
ad
e 
In
te
gr
id
ad
e 
Di
sp
on
ib
ili
da
de
 
Fonte: elaborado pelo autor.
A confidencialidade é um dos pilares cujo objetivo é mais claro dentro 
da segurança da informação, em parte pelo senso comum de que uma 
22
informação privada ou confidencial se torna pública por ter sido 
intencionalmente exposta ou por ser fruto de um vazamento, como 
em casos de vazamentos de imprensa, como foi o caso do Wikileaks 
(CARVALHO, 2006). A definição mais objetiva de confidencialidade 
está descrita na norma de requisitos de gestão da segurança da 
informação NBR ISO 27001, que descreve a confidencialidade 
como a propriedade que garante que a informação que não esteja 
disponível ou seja revelada a indivíduos, entidades ou processos não 
autorizados (ABNT, 2013). Nesse sentido, deve-se dar uma atenção 
especial ao termo não autorizado, porque utilizaremos novamente 
esse conceito a seguir. Esse mecanismo seria o responsável 
pela privacidade dos dados, por exemplo, pela possibilidade de 
armazenarmos arquivos pessoais na nuvem com a garantia de que 
pessoas que não tem permissão os acessem ou os vejam.
O segundo pilar é a integridade, ou seja, a propriedade de se proteger 
para que as informações e os ativos permaneçam exatos e corretos, 
sem alteração. Segundo Hintzbergen et al. (2010, p. 23), esse conceito 
assegura que:
[...] sejam prevenidas modificações não autorizadas ao software e ao 
hardware, que não sejam feitas modificações não autorizadas aos 
dados, por pessoal autorizado ou não autorizado e/ou processo, e que 
o dado seja internamente e externamente consistente.
Novamente, você pode observar que a palavra “não autorizado” surge 
nesse contexto. A ISO 27001 (ABNT, 2013) define ainda integridade 
como a propriedade de salvaguarda da exatidão e completeza de 
ativos. Assim, a integridade é a garantia de que o dado que foi 
armazenado permaneça o mesmo, sem modificações intencionais ou 
não intencionais que não foram autorizadas.
A disponibilidade compõe o terceiro pilar, chamado de CID 
(confidencialidade, integridade e disponibilidade), a sigla usada 
23
para identificar os três itens. Por sua vez, ela é definida como a 
propriedade do dado ou ativo poder ser acessado por um indivíduo, 
entidade ou processo devidamente autorizado. Segundo Moraes 
(2010, p. 30), a disponibilidade “é a garantia de que o sistema sempre 
estará acessível quando o usuário precisar”. Desse modo, ela tem 
duas características importantíssimas em relação às outras duas: 
a primeira é que ela é a mais perceptível, ou seja, rapidamente fica 
claro quando uma informação não pode ser recuperada ou quando 
um sistema não está disponível, principalmente se a informação em 
questão é constantemente requisitada; a segunda diz respeito às 
duas características anteriores, diretamente ao item que diz sobre 
uso ou acesso ‘não autorizado’, ou seja, o dado deve estar sempre 
disponível de forma íntegra para aquelas entidades (usuários) ou 
processos que são autorizados, mas devem ser confidenciais e a 
prova de alteração para acessos não autorizados. Além disso, esse 
pilar deixa claro o fato de que a segurança deve ser eficaz no sentido 
de proteger os dados de acesso não autorizado, mas eficiente no 
sentido de torná-los disponíveis quando necessário. Caso contrário, 
seria mais fácil protegê-los colocando-os em um cofre no fundo do 
mar.
Outros termos importantes que são relacionados diretamente à 
segurança da informação e sua gestão são muitas vezes tratados 
por alguns autores como também essenciais à gestão, como 
autenticidade, que é a propriedade de uma entidade conseguir provar 
ser o que afirma que é; confiabilidade que é uma consistência do 
comportamentos e resultados; e não repúdio, que é a habilidade de 
provar a ocorrência de um suposto evento ou ação suposta e qual a 
sua origem. Além deles, há uma série de definições importantes para 
o tema, conforme mostra a adaptação do texto de Hintzbergen et al. 
(2010) e Nakamura (2016):
• Ameaça: causa potencial de um incidente indesejado, que pode 
resultar no dano à um sistema ou organização.
24
• Ataque: tentativa intencional de expor, destruir, inutilizar, 
roubar ou conseguir acesso não autorizado ou fazer uso não 
autorizado de um ativo.
• Ativo: qualquer coisa de valor para uma organização ou 
empresa. Aqui tratamos de ativo como aqueles ligados aos 
sistemas de informação, como software, hardware e serviços, 
mas também podem ser consideradas pessoas e habilidades ou, 
até mesmo, reputação.
• Evento: uma ocorrência identificada de um estado de um 
sistema, serviço ou rede que possa indicar uma tentativa ou 
possível violação da política de segurança da informação.
• Gestão da segurança da informação: usada para dirigir e 
controlar uma organização no que se refere ao risco.
• Incidente: um único ou uma série de eventos indesejáveis ou 
inesperados que possam comprometer os negócios e ameaçar a 
SI.
• Risco: é a quantificação de como um determinado evento pode 
impactar a política de SI, às vezes, expresso como a combinação 
entre consequências de um evento e a probabilidade de que ele 
ocorra.
• Vulnerabilidade: é um elemento que se explorado resultará em 
um incidente de segurança.
Além dessas definições, é importante que as organizações conheçam 
a importância de cada um desses elementos, onde e quando um 
evento de segurança pode ocorrer, por exemplo, gerando um 
incidente que pode implicar na perda de um ativo. Para isso, há o 
gerenciamento de riscos.
25
2. Gerenciamento de riscos
Existem algumas normas que estabelecem métricas relativas à 
segurança da informação e sua gestão. Neste tópico, tratamos 
principalmente das normas relativas à família ISO 27000, que estão 
disponíveis para venda através da Associação Brasileira de Normas 
Técnicas (ABNT). Entre as principais normas, estão a 27000 (ABNT, 2014), 
que fornece uma visão geral às normas; a 27001 (ABNT, 2013a), que 
trata de sistemas de gerenciamento de segurança da informação; a 
27002 (ABNT, 2013b), com códigos de práticas para controle de SI e boas 
práticas e a 27005 (ABNT, 2011), sobre gestão de riscos de segurança da 
informação, que utilizaremos aqui para tratarmos dos gerenciamentosde riscos, suas ferramentas e dimensões.
Nesse sentido, consideramos como gerenciamento de riscos o processo 
de planejamento, organização, controle e condução das atividades de 
uma organização com o objetivo de minimizar os efeitos do risco sobre 
os ativos. Para isso, a principal ferramenta de uma organização é um 
plano de segurança, porém, para se estabelecer um plano, é necessária 
uma análise dos riscos prévia.
2. 2 Análise de risco
De acordo com a ISO 27005, “análise de riscos é o processo de 
definir e analisar os perigos pelos quais indivíduos, empresas e 
agências governamentais passam em decorrência de potenciais 
eventos adversos” (HINTZBERGEN et al., 2010, p. 38). Logo, trata-
se de um processo de avaliação para identificar perdas e impactos 
de ativos preciosos em decorrência de comprometimento do sigilo 
(confidencialidade), alteração ou roubo de dados (integridades) ou 
ataques que possam tornar os sistemas instáveis ou inacessíveis 
(disponibilidade). De fato, raramente um evento acontece prejudicando 
apenas um desses aspectos, o que é mais comum é que um evento 
26
(um ataque hacker por exemplo) torne os sistemas indisponíveis 
além de promover o rouba das informações. Esse é um processo que 
pode fornecer subsídios gerenciais, como justificar o investimento 
em segurança, ou técnicos, como demonstrar o nível de controle de 
usuários sobre determinados arquivos ou aspectos de contingência em 
servidores de backup, por exemplo. Ainda, de acordo com Hintzbergen 
et al. (2010, p. 38):
O objetivo de realizar uma análise de riscos é esclarecer quais ameaças 
são relevantes para os processos operacionais e identificar os riscos 
associados. O nível de segurança apropriado, juntamente com as medidas 
de segurança associadas pode então ser determinado.
Por sua vez, as análises de risco ajudam a avaliar corretamente os riscos, 
ou seja, equilibrar as medidas de segurança de acordo com os ativos que 
se deseja proteger. Assim, faria sentido para uma empresa que não tem 
informações sensíveis de seus clientes ou fornecedores armazenados 
localmente realizarem um alto investimento em um sistema de firewall 
para proteção de dados? Por isso, a análise possui alguns objetivos, 
como identificar os ativos e seu valor, determinar de forma precisa as 
vulnerabilidades e ameaças reais, determinar a possibilidade de que 
essas ameaças se tornem realidade e, principalmente, estabelecer o 
equilíbrio entre os custos das medidas de segurança e os possíveis 
prejuízos causados por um incidente. Em razão disso, duas abordagens 
diferentes são normalmente utilizadas: a quantitativa e a qualitativa.
A análise quantitativa, como o próprio nome sugere, se relaciona com 
as questões de investimento financeiro e custos envolvidos na proteção 
e na ameaça. Desse modo, o seu objetivo é “calcular, com base no 
impacto do risco, o nível do prejuízo financeiro e a probabilidade de 
uma ameaça se tornar um incidente” (HINTZBERGEN et al., 2010, p. 40). 
Esse processo é complexo e não tem precisão absoluta, uma vez que 
muitas vezes alguns valores são intangíveis (a imagem de uma empresa 
ou questões de intimidade ou privacidade pessoais), além de mudarem 
27
constantemente. Além disso, a análise probabilística de um evento ou 
ameaça é bastante difícil, uma vez que alguns incidentes podem ter 
possibilidade baixíssima de ocorrerem, mas, caso elas ocorram, há 
danos absurdos.
Já a análise qualitativa possui uma abordagem em que os valores não 
são atribuídos. Logo, esse método consiste em realizar um levantamento 
técnico das ameaças, vulnerabilidades e estabelecer mecanismos de 
controle. Embora ela também precifique perdas de ativos e custos de 
ações, essa relação é feita levando em conta que diferentes ameaças 
podem ser tratadas através de contramedidas diferentes, o que pode ter 
impactos diferentes em cada situação. 
3. Criptografia e hashing
Saindo da teoria gerencial pura, neste tópico, você conhecerá um 
pouco sobre as bases matemáticas e computacionais que dão 
suporte à segurança da informação, como a criptografia e o hashing. A 
criptografia é um termo tão antigo quanto sua origem e seu primeiro 
uso documentado, sendo de origem grega, por meio da união das 
palavras Kryptós (escondido) e gráphein (escrita). Embora a maioria não 
conheça os detalhes do seu funcionamento, atualmente, a maioria das 
pessoas conhecem esse termo e o seu significado: tornar informações 
confidenciais através de um processo matemático reversível.
O gênio militar, político e um dos responsáveis pela fundação do império 
romano, Júlio César (100 a.c.-44 a.c.) foi o criador de um dos primeiros 
sistemas de comunicação cifrada documentado. Um de seus biógrafos, 
Suetónio, escreveu em sua biografia que quando tinha algo a dizer de 
forma confidencial, César o fazia alterando as posições das letras, assim, 
o que deveria ser escrito com A passava para D, e B para E, e assim 
sucessivamente. Esse método criptográfico extremamente simples 
28
ficou conhecido como “cifra de Cesar” e traz em seu princípio uma 
das bases da criptografia moderna: aplicar um princípio matemático a 
um conjunto de dados com a intenção de ocultar seu significado para 
pessoas que não conheçam o seu sistema de embaralhamento, ou 
‘chave criptográfica’ (MORAES, 2010). Dessa maneira, segundo Stallings 
(2008), encontramos todos os elementos daquilo que chamamos de cifra 
simétrica:
Texto claro: mensagens ou dados originais.
Algoritmo criptográfico: responsável por realizar as substituições e 
transformações no texto.
Chave secreta: é a entrada para o algoritmo criptográfico, um valor 
que independe da mensagem original e do algoritmo, devendo ser 
conhecido por quem receberá a mensagem criptografada. Assim, cada 
chave aplicada ao mesmo algoritmo deverá produzir uma mensagem 
diferente.
Texto cifrado: essa é a mensagem embaralhada, produzida como saída.
Algoritmo de decriptografia: aplicado ao texto embaralhado e com a 
chave secreta certa, produz como saída a mensagem original.
Pode parecer complexo à primeira vista, mas veja como fica claro como 
aplicamos os elementos ao exemplo da Cifra de César sendo escrita em 
forma de algoritmo computacional:
Mensagem: ATAQUE A GALIA.
Algoritmo: atribui um número a cada letra do alfabeto, de acordo com 
a sua posição; adiciona a cada número o valor da chave criptográfica; 
reescreve a mensagem usando as posições de forma cíclica:
29
A = 0 E = 4 G = 6 I = 8 L = 11 Q = 16 T = 19 U = 20
Saída¹: 0-19-0-16-20-4 0 6-0-11-8-0.
Chave criptográfica: 3.
Saída²: 3-22-3-19-23-7 3 9-3-14-11-3.
Saída³: DWTXH D JDOLD.
Se essa mensagem fosse interceptada pelos gauleses, eles dificilmente 
compreenderiam seu significado. No entanto, para qualquer centurião 
que estivesse na linha de frente e recebesse essa mensagem, seria fácil 
obter seu significado, desde que ele conhecesse o sistema (o algoritmo) 
e a quantidade de letras que ele deveria pular (a chave); a chave poderia 
ser enviada junto com a mensagem, por exemplo, mas isso permitiria 
que qualquer pessoa que uma vez decifrasse o algoritmo e todo o 
sistema estaria arruinado. Por isso, as chaves são parte importante do 
sistema criptográfico, pois elas protegem os dados do próprio algoritmo, 
que mesmo que seja utilizado por outras pessoas, apenas as que 
conhecem a chave correta podem decifrar as mensagens. Por sua vez, 
chamamos de criptografia de chave simétrica, pois ambas as partes 
utilizam uma mesma chave, igual nos dois processos.
3.1 Criptografia de chave simétrica
As criptografias de chave simétrica foram usadas por muitos anos na 
estratégica militar. Durante a Segunda Guerra Mundial, os alemães 
utilizavam uma máquina chamada de enigma, que através de um 
teclado e de rotores móveis, produzia um texto cifrado. A ordem 
dos rotores que eram utilizados (a chave simétrica) era distribuída 
mensalmente pelo comando militar. O código da Enigma (Figura 2) só 
foi quebrado graças ao esforço conjunto de matemáticos e espiões 
poloneses,franceses e ingleses, entre eles o conhecido como pai da 
30
computação Alan Turing, que projetou um equipamento capaz de 
cifrar as mensagens em tempo de se planejarem ataques, a máquina 
conhecida como ‘Bombe’ (Figura 3).
Figura 2 – A Enigma, do lado esquerdo, e a “Bombe”, do lado direito
Fonte: https://it.wikipedia.org/wiki/Enigma_(crittografia) e https://dzone.com/articles/52-
papers-52-weeks-turing%E2%80%99s. Acesso em: 28 jul. 2020.
Embora o esforço tenha valido a pena, o custo e o investimento para 
se quebrar uma criptografia tão simples mostra sua eficiência. Nesse 
sentido, basta compararmos o tamanho e a simplicidade da Enigma, 
portátil e pouco maior que uma máquina de escrever, com a Bombe, 
maior que um homem, com centenas de válvulas eletromecânicas 
e extremamente complexa. Com isso, podemos notar o quanto 
computadores poderiam ser úteis na criptografia, além de aumentar a 
pesquisa por outros tipos de criptografia mais complexas.
Umas das propostas foi a cifra em bloco, que elimina padrões de texto 
e de dados nos textos resultantes. Uma análise das mensagens cifradas 
poderia encontrar repetição de letras ou de espaços, que poderiam ser 
utilizados como algoritmo reverso. Já padrões criptográficos como o 
DES (Data Encryption Standard) usam um método de bloco de tamanho 
único, assim como o AES (Advanced Encryption Standard) que pode usar 
chaves de tamanhos variáveis, com 128, 192 ou 256 bits. Porém, o uso 
https://it.wikipedia.org/wiki/Enigma_(crittografia)
https://dzone.com/articles/52-papers-52-weeks-turing%E2%80%99s
https://dzone.com/articles/52-papers-52-weeks-turing%E2%80%99s
31
de chaves iguais ainda era um problema, principalmente em relação às 
pessoas que as utilizavam.
3.2 Criptografia de chave pública
De acordo com Moraes (2010), a criptografia de chave pública (ou 
assimétrica) foi criada em 1976 por Diffie e Hellman, baseada na 
utilização de duas chaves, sendo uma secreta e a outra divulgada 
publicamente. Isso é possível graças ao uso de funções matemáticas 
unidirecionais, por meio do qual uma das chaves é utilizada para se 
encriptar a mensagem a qual se deseja enviar, mas apenas a outra chave 
pode ser utilizada em sua decriptografia.
Na prática, isso significa que esse tipo de criptografia permite, por 
exemplo, que um usuário publique sua chave pública na internet para 
que outras pessoas possam enviar mensagens para ele. Porém, as 
mensagens codificadas a partir dessa chave só podem ser decifradas 
pelo próprio usuário, de forma que o tráfego de mensagens em meios 
não seguros se torna bastante confiável. O algoritmo de criptografia de 
chave pública mais famoso é o RSA, sigla formada pelo sobrenome dos 
seus desenvolvedores Ronald Rivest, Adi Shamir e Leonard Adleman. 
Proposto em 1978, esse algoritmo usa propriedades matemáticas 
dos números primos e da fatoração para criar as chaves pública e 
privada. Extremamente seguro, o RSA nunca foi quebrado, porém como 
sua chave é um número primo de 1.024 bits, a sua utilização exige 
considerável poder computacional.
Muito utilizado atualmente, o RSA está por trás de tecnologias como o 
SSL (Secure Socket Layer), que permite conexões seguras em sites, como 
por sites de banco ou de cadastros que solicitam seu número de cartão 
de crédito (que você pode reconhecer por um pequeno cadeado que 
aparece na barra de endereços do seu navegador). Outra utilização 
importante é como parte do algoritmo SHA (Secure Hash Algorithm), que 
32
é utilizado para a criação de Hashs, no processo de criação do Bitcoin 
e de validação de dados em uma blockchain, um tipo base de dados 
distribuída baseada em encadeamento de hashs.
3.3 Hashing
Enquanto a criptografia é eficaz para proteção da confidencialidade dos 
dados, os algoritmos de hashing são usados basicamente para sustentar 
o segundo pilar da SI, a integridade. Desse modo, eles são usados para 
garantir e verificar que não houve alterações de mensagens enviadas. 
Basicamente, uma função hash transforma um texto ou conjunto de 
dados de qualquer tamanho em saídas de tamanho fixo, o hash. Feito 
para trabalhar de forma unidirecional, o código de hash não pode ser 
utilizado para se identificar a sua origem, porém com os dados originais 
podemos validar o código hash. Segundo Moraes (2010, p. 86):
Esse mecanismo garante integridade, pois podemos calcular o hashing, 
criptografá-lo e enviá-lo junto com a mensagem. Quem a receber pode 
decriptografar o hashing e compará-lo com o resultado do cálculo 
realizado na recepção. Se o hashing enviado não coincidir com o hashing 
recebido, está provado que houve alteração da mensagem no canal de 
envio.
Os algoritmos conhecidos de Hash são: MD4 e MD5 (Message-Digest 
Algorithm 4 e 5), muito utilizados na identificação de arquivos, e o RSA. 
Na prática, dois textos ou conjunto de dados com pequenas alterações 
geram hashs absolutamente diferentes, sendo extremamente útil para 
verificação de mensagens alteradas. Esse sistema é muito utilizado ainda 
para gestão de senha, sendo que um hash é criado pelo sistema no 
instante que a senha é definida e “então armazena esse valor (...) e a não 
a senha (...). Dessa forma, mesmo uma pessoa com acesso de alto nível 
ao sistema não pode ver o que a pessoa usou de senha” (HINTZBERGEN 
et al., 2010, p. 97).
33
3.4 Assinatura eletrônica
Sem dúvida, embora garantam confidencialidade e integridade das 
mensagens, as técnicas descritas anteriormente ainda não podem 
ser utilizadas para garantir a autenticidade e o não repúdio de uma 
mensagem, garantindo, por exemplo, que um autor escreveu uma 
mensagem ou comprovando que alguém realmente é seu autor. 
Em razão disso, foi criado o sistema de assinatura eletrônica que 
combina o uso de hash e criptografia para criação de textos assinados 
digitalmente. Para isso, basta que um documento passe por uma 
função de hash, que será criptografada com o uso da chave privada do 
usuário. Feito isso, o hash é enviado junto com o documento original, 
que utilizará a sua chave pública para obter o hash original e comparar 
com o do documento enviado. Se eles forem o mesmo, comprova-se 
tanto a integridade do documento quando a identidade de quem o 
expediu. Esse sistema é utilizado largamente na emissão e controle de 
documentos através de certificados digitais. Por sua vez, os certificados 
digitais são chaves públicas enviadas para uma autoridade certificadora 
(CA) que verifica que a chave foi mesmo emitida pela pessoa ou empresa 
que a criou. Atualmente, isso é usado para que empresas possam enviar 
documentos de valor fiscal e financeiro pela internet, garantindo a sua 
autenticidade e não repúdio, tornando sua guarda essencial e de grande 
responsabilidade pela empresa.
Um último ponto importante em relação a criptografia é que elas 
exigem um processamento computacional considerável, portanto, 
quanto mais complexa uma criptografia, mais poderosa em termos 
de processamento devem ser os equipamentos utilizados. Isso 
explica o fato das redes sem fio terem se popularizado apenas após 
o desenvolvimento de processadores mais baratos e eficientes, uma 
vez que mesmo o AES exige um microcontrolador para os cálculos 
criptográficos. Da mesma maneira que aconteceu com a Enigma e a 
Bombe, o avanço dos computadores exigirá cada vez mais sistemas 
criptográficos complexos e eficientes.
34
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO 27000: sistemas 
de gerenciamento de segurança da informação–visão geral e vocabulário. Rio de 
Janeiro: ABNT, 2014.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO 27000: sistemas 
de gestão da segurança da informação–requisitos. Rio de Janeiro: ABNT, 2013a.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO 27002: código de 
prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013b.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO 27005: gestão de 
riscos de segurança da informação. Rio de Janeiro: ABNT, 2011.
BRANDFINANCE. Global 500 2019: the annual report on the world´s most valuable 
brands. London: Brand Finance, 2019. Disponível em: https://brandfinance.com/
images/upload/global_500_2019_locked_4.pdf. Acesso em: 30 jul. 2020.
CARVALHO, L. O que é WikiLeaks? Saiba mais sobre o site criado por Julian Assange. 
Olhar Digital, 11 abr. 2019. Disponível em: https://olhardigital.com.br/noticia/o-
que-e-o-wikileaks-saiba-mais-sobre-o-site-criado-por-julian-assange/84650. Acesso 
em: 30 jul. 2020.
HINTZBERGEN, J.; HINTZBERGEN, K.; SMULDERS, A; BAARS, H. Fundamentos de 
segurança da informação: com base na ISO 270001 e ISO 27002. Rio de Janeiro: 
Brasport, 2018.
MORAES, A. F. de. Segurança em redes. São Paulo: Érica, 2010.
NAKAMURA, E. T. Segurança da informação e de redes. Londrina: Editora e 
Distribuidora Educacional S.A., 2016.
STALLINGS, W. Criptografia e segurança de redes. 4. ed. São Paulo: Pearson 
Prentice Hall, 2008.
TANENBAUM, A. S.; WHETERHALL, D. Redes de computadores. São Paulo: Pearson 
Prentice Hall, 2011.
https://brandfinance.com/images/upload/global_500_2019_locked_4.pdf
https://brandfinance.com/images/upload/global_500_2019_locked_4.pdf
https://olhardigital.com.br/noticia/o-que-e-o-wikileaks-saiba-mais-sobre-o-site-criado-por-julian-assange/84650
https://olhardigital.com.br/noticia/o-que-e-o-wikileaks-saiba-mais-sobre-o-site-criado-por-julian-assange/84650
35
Ameaças, vulnerabilidades 
e ataques
Autoria: José Eugênio de Mira
Leitura crítica: Italo Diego Teotonio
Objetivos
• Reconhecer potenciais ameaças internas e externas, 
intencionais ou não e a que estão relacionadas.
• Identificar potenciais vulnerabilidades de segurança 
da informação e suas origens. 
• Conhecer os principais e mais comuns tipos de 
ataque, seus métodos e os objetivos mais comuns. 
36
1. Ameaças à segurança
Lao-Tze, filósofo da antiga China e fundador do taoísmo, disse 
certa vez que nenhuma certeza fatal era pior do que uma dúvida 
ameaçadora. Assim, quando tratamos de segurança da informação, é 
mais desejável que tenhamos pleno conhecimento sobre as ameaças 
as quais estamos expostos e as vulnerabilidades que possuímos do 
que uma dúvida sobre “se” e “como” poderíamos ser atacados. Mas, 
afinal, no contexto de segurança da informação, o que é uma ameaça 
e uma vulnerabilidade? Como reconhecê-las e como elas podem ser 
exploradas?
Para aqueles que trabalham ou pretendem atuar na área se SI, antes 
de conhecer as mais diversas ferramentas e técnicas de proteção, 
é essencial que você explore as técnicas e tipos de ataques mais 
comuns, seus perpetradores e suas intenções, bem como o que 
exploram para atingir seus objetivos. Assim, será possível quantificar 
o prejuízo de um ataque ou uma falha provocada intencionalmente 
ou não. Logo, passar a ver pelo lado daqueles que exploram as 
brechas de segurança e aprender a desarmar essas armadilhas é a 
forma mais eficiente de evitá-las.
1.1 Ameaças e seus agentes
Mas, afinal, quando falamos de ameaças à segurança da informação, 
a que nos referimos? Ora, em um sistema de segurança comum, 
patrimonial, por exemplo, uma ameaça pode ser tudo aquilo que 
coloca em risco a integridade ou ao valor do patrimônio. Nesse 
sentido, um dono de veículo pode ter seu ativo ameaçado por um 
ladrão ou por um assaltante, mas também por uma colisão de 
trânsito, uma enchente ou, até mesmo, por uma rua esburacada. 
Veja que uma ameaça não exige necessariamente um elemento 
37
intencional ou pessoal, ela pode ser uma ameaça natural ou subjetiva, 
atém mesmo, um acidente.
As descrições dadas pelos autores vão sempre nessa direção, desse 
modo, Hintzbergen et al. (2018, p. 21) definem ameaça como “causa 
potencial de um incidente indesejado, a qual pode resultar em um 
dano a um sistema ou organização”. Enquanto Galvão (2015, p. 18) a 
define como “todo e qualquer fator capaz de eventualmente, causar 
um incidente ou problema que ´possa prejudicar uma organização”. 
Ou seja, embora o conceito seja claro, o tipo e a origem das ameaças 
são abrangentes. Ainda segundo Galvão (2015, p. 18), “[...] vamos 
considerar, de maneira mais clara e simples, que qualquer coisa que 
coloque em risco a informação armazenada e cause prejuízo aos 
negócios é uma possível ameaça”.
Desse modo, a classificação das ameaças, bem como suas possíveis 
origens, são alvo de debate entre os autores. Por sua vez, Galvão 
(2015) subdivide as ameaças em dois grupos: as ameaças ativas, que 
atuam modificando informações, danificando-as ou simplesmente 
apagando, de forma que a poderíamos relacionar com os pilares 
de integralidade e disponibilidade; e as ameaças passivas, que 
normalmente não alteram os estados das informações e nem dos 
sistemas que, embora possam ser apenas tentativas de invasão sem 
intenção de dano ao ativo, expõe diretamente a confidencialidade 
informações ali armazenadas.
Ainda sobre as ameaças, Moraes (2010, p. 35-36) faz uma divisão 
relacionada à origem e não ao seu possível resultado, segundo o 
autor, as ameaças podem ser classificadas como:
38
Figura 1 – Classificação das ameaças
Fonte: adaptada de Moraes (2010, p. 35-36).
Além disso, há o conceito de ameaça humana e não humana, explorada 
por Hintzbergen et al. (2018), em que as ameaças humanas se dividiriam 
em intencionais e não intencionais, já as não humanas se dividem em 
ameaças naturais e problemas de estrutura, como os relacionados à 
equipamentos, desde que não provocados por falhas humanas. Como 
em qualquer sistema complexo, para entender esse processo é preciso 
compreender as pessoas.
1. 2 Hackers, crackers e chapéus
Para que você compreenda melhor as ameaças que os sistemas 
estão expostos, é essencial que conheça os indivíduos por trás dessas 
ameaças, suas motivações e seus objetivos. Você com certeza já viu 
filmes em que hackers são adolescentes trancafiados em porões, 
desafiando as autoridades com suas invasões ao FBI ou, ainda, agentes 
do governo operando sistemas de última geração para ajudar um herói 
invadindo uma base inimiga. O conceito de hacker é amplo o suficiente 
para abranger ambas visões, embora a maioria das representações 
39
desse tipo de invasão seja bem pouco realista. O termo hacker surgiu 
a partir do verbo to hack, que nos anos 1950 significava a habilidade de 
alterar um equipamento eletrônico de forma inteligente (GALVÃO, 2015). 
De forma geral, esse termo representa um engenheiro ou programador 
da área de tecnologia que, graças ao seu profundo conhecimento sobre 
o funcionamento de algum dispositivo, é capaz de alterá-lo para que ele 
se comporte de forma diferente da qual ele foi projetado. Infelizmente, 
a imagem do hacker como um criminoso que usa moletom de touca e 
óculos escuros enquanto invade computadores, em uma sala úmida 
e mal iluminada, se disseminou, mas, na realidade, os verdadeiros 
hackers são jovens curiosos e inteligentes, funcionários de tecnologia 
descontentes, entediados ou criminosos que buscam vantagens 
financeiras. Nesse sentido, é importante ter em mente que todo hacker 
tem, portanto, um objetivo ou motivação.
As intenções para que se faça isso, os métodos e os objetivos é que 
identificam que tipo de hacker estamos falando. Possivelmente, o 
mais popular seja o termo cracker, utilizado para denominar aqueles 
que utilizam seus conhecimentos para danificar algum dispositivo 
ou os dados por ele armazenados. Esse termo foi cunhado pela 
própria comunidade hacker que buscava se diferenciar daqueles 
que utilizavam esses seus conhecimentos de forma ilegal. Embora 
conceitualmente muitos crackers atuem realmente à margem da lei, eles 
são fundamentais para que algumas liberdades sejam preservadas e 
importantes discussões sobre privacidade sejam feitas, mesmo quando 
em desacordo com a vontade de governos e/ou grandes corporações. 
Por exemplo, você pode observar isso no caso do Wikileaks e do 
vazamento do site Ashley Madison (ALECRIM, 2015; CARVALHO, 2019). 
Portanto, é importante observar que muitos deles quando são pegos 
passam a ajudar,de forma voluntária ou para diminuir sua pena, a testar 
vulnerabilidades dos sistemas, tornando-os mais seguros.
Figura 2 – Os hackers e seus chapéus
40
Fonte: https://inspiredelearning.com/blog/white-hat-black-hat-grey-hat-whats/. 
Acesso em: 20 jul. 2020.
Os hackers podem ser classificados de acordo com a cor dos seus 
chapéus. Não que haja uma regra internacional de vestimenta para 
profissionais de segurança e invasores de sistemas, claro, o que existe 
são nomenclaturas para designar os hackers de acordo com a sua 
postura ética:
• Black hats: são aqueles que não agem de acordo com a ética e 
com a lei, invadem e danificam sistemas e dados, para benefício 
próprio ou apenas para demonstrar a fragilidade do sistema, 
por vandalismo ou, até mesmo, para obter vantagens pessoais 
próprias. Eles são tratados como criminosos, embora muitos deles 
tenham passado a atuar de forma legítima após algum tempo na 
clandestinidade ou após serem pegos.
• Gray hats: atuam entre uma área cinzenta, pois podem invadir 
sistemas e não cometer crimes, como roubar ou apagar arquivos, 
mas não vão necessariamente informar os administradores da 
falha ou vulnerabilidade. Normalmente, eles atuam pelo benefício 
e conhecimento próprio.
• White hats: também conhecido como hackers éticos, eles atuam de 
forma profissional na invasão e detecção de vulnerabilidades de 
sistemas, muitas vezes, sendo contratados como consultores de 
segurança da informação ou analistas de rede. Desse modo, eles 
https://inspiredelearning.com/blog/white-hat-black-hat-grey-hat-whats/
41
agem livremente, embora o preconceito ou desconhecimento faça 
alguns evitarem o termo hacker, devido a sua conotação negativa.
Ainda, há outros termos conhecidos sobre as pessoas que atuam com 
invasão de sistemas e roubos de dados. Por exemplo, os script kiddies 
são novatos que usam na maior parte do tempo programas e tutoriais 
prontos para invasão, sendo um risco para sistemas mais frágeis, como 
os de pequenas e de médias empresas. Temos os cyberterroristas, que 
usam essas ferramentas em prol de uma causa, como o ataque de 
ramsomware conhecido como WannaCry. Por fim, há os cyberpunks, 
ativistas digitais defensores da liberdade e em sua maioria com vieses 
anarquistas e antiestado, como os responsáveis por lançar as primeiras 
bases do que viria a ser futuramente a primeira criptomoeda, o Bitcoin.
Outro grande problema de segurança enfrentado pelas empresas 
está em seus próprios funcionários, o que pode ser chamado também 
de insider threat, ou ameaça interna. Existem duas grandes questões 
relacionadas aos colaboradores e as questões de segurança da 
informação: a primeira, é relativa à engenharia social, que veremos a 
seguir; já a segunda, são funcionários que utilizam seus conhecimentos 
sobre o sistema e a infraestrutura de segurança para promover ataques 
contra a própria empresa, seja para apropriação intencional e/ou 
criminosa de informações e documentos da empresa que podem ter 
grande valor legal ou estratégico, para tentar testar seus conhecimentos 
ou o nível de segurança. A atuação de colaboradores em ações de 
ataque contra a própria empresa, além de se apresentar como um 
problema de SI relacionado aos níveis de acesso administrativo, 
informações compartilhadas e, principalmente, à elaboração e 
distribuição de um plano de segurança, também deve ser aliado com 
uma política interna de punição determinada pela gerência e processos 
de admissão de pessoal qualificado pelo RH. Assim, podemos dizer que 
um colaborador invadir um sistema sem permissão é um problema 
da TI, no entanto, um colaborador que tenta invadir um sistema é um 
problema gerencial.
42
1.3 Engenharia social
No livro A arte de enganar, Kevin Mitnick (2003), famoso hacker que já 
esteve na lista dos mais procurado pelo FBI, conta que suas principais 
ferramentas de invasão não eram tecnológicas, mas as pessoas. Em uma 
das passagens, ele explica que colocou um software malicioso em um 
disquete, onde colocou uma etiqueta folha de pagamento. O disquete foi 
esquecido intencionalmente por ele em um elevador de uma empresa, e 
algum funcionário curioso o encontrou e rodou o programa criado pelo 
hacker em um computador interno. Pronto, o hacker havia conseguido 
acesso à rede interna explorando uma vulnerabilidade humana e não 
técnica: a curiosidade.
Conhecido como engenharia social, é a técnica de se utilizar da 
credulidade, desconhecimento, curiosidade ou boa vontade de pessoas 
para se obter vantagens no acesso de sistemas e informações de 
forma privilegiada. No prefácio do seu livro, Mitnick (2003, p. 6), o ex-
hacker e atual dono de uma empresa de consultoria em segurança 
da informação, dá uma definição precisa da engenharia social e seus 
métodos:
A engenharia social usa a influência ou a persuasão para enganar pessoas 
e convencê-las de que o engenheiro social é alguém que na verdade ele 
não é, ou pela manipulação. Como resultado, o engenheiro social pode 
aproveitar-se das pessoas para obter informações com ou sem o uso da 
tecnologia.
Observe que interessante esse detalhe final, ao dizer “com ou sem 
uso da tecnologia”, ele esclarece que outras ferramentas podem ser 
utilizadas, como uma simples ligação ou uma conversa no cafezinho. 
Na época, Mitnick utilizava da técnica de ligação para obter informações 
sobre números de dispositivos, endereços IP, informações sobre senhas 
e códigos fontes de software inteiros, fornecidos por pessoas de dentro 
das organizações, e o pior, todas essas pessoas estavam interessadas 
43
em ajudar ao fornecer tais dados confidenciais. Embora essas práticas 
não sejam mais utilizadas há algumas décadas (a maioria dos ataques 
relatados no livro são da década de 1960), ainda hoje, ataques com uso 
de engenharia social são comuns, através de e-mail ou redes sociais. 
Assim, é provável que você já tenha recebido um e-mail de alguém 
dizendo pertencer à equipe de suporte e pedindo dados como nome 
completo e senha do e-mail, ou ainda visto uma postagem popular 
onde alguém dizia fornecer cartões de crédito personalizados para 
quem fornecesse seu número do cartão e código. Os tempos mudam, 
mas o elo mais frágil das organizações continua sendo o seu ativo mais 
importante: as pessoas.
2. Vulnerabilidades e Malware
De acordo com Hintzberguen et al. (2010, p. 25), a vulnerabilidade é a 
“fraqueza de um ativo ou controle que pode ser explorada por uma ou 
mais ameaças” ou, ainda, segundo Nakamura (2016, p. 13), “um ponto 
fraco que uma vez explorada resulta em um incidente de segurança”. Ou 
seja, as ameaças existem e podem ser humanas ou não humanas, como 
vimos anteriormente. A relação entre ameaça e vulnerabilidade é que, 
em um determinado momento, uma ameaça explora intencionalmente 
uma vulnerabilidade de um ativo provocando um incidente. Confira o 
fluxograma na figura a seguir.
Figura 3 – Relação entre ameaça e vulnerabilidade
 
Ameaça
• Hacker
• Malware
• Chuva
Explora
• Obtenção de 
dados
• Invasão
• Inundação
Vulnerabilidade
• Engenharia 
social
• Falha de 
atualização
• Erro de projeto
Ativo
• Colaborador
• Banco de 
dados
• Datacenter
Fonte: elaborada pelo autor.
44
Enquanto algumas vulnerabilidades são exploradas intencionalmente 
de forma manual ou automática, outras são exploradas de forma não 
intencional, como é o caso das ameaças naturais. Além disso, há as 
vulnerabilidades que são exploradas de forma automática e sistemática 
por softwares desenvolvidos especificamente para esse fim, os 
malwares. Eles podem ser ou não instrumentalizadas por agentes, como 
um grupo criminoso que utiliza um malware para explorar falhas em 
computadores ou redes de empresas que eles pretendem atacar.
Mas o que são os malwares? Essa é uma denominação generalista dada 
à uma gama de diversos tipos de softwares maliciosos utilizados para 
atacar, invadir e furtar informações de sistemas e de pessoas através de 
falhas técnicas e de engenharia social, por exemplo, explorando falhas 
deatualizações de segurança em sistemas operacionais, sites falsos, 
programas para quebrar licença de software pagos, entre outras. O 
CERT.BR (Centro de Estudos, Resposta e Tratamento de Incidentes de 
Segurança no Brasil) criou uma cartilha sobre segurança na internet que 
é uma importante referência sobre o assunto. A seguir, apresentamos as 
definições desta cartilha (CERT.BR, 2012):
Vírus: programa ou parte de um programa que se propaga se copiando 
para outros arquivos e computadores. Surgiram com arquivos 
infectados em disquetes, e com o tempo e a mudança das mídias e 
dos hábitos, surgiram vírus que se propagavam como anexos de e-mail 
ou como arquivos ocultos em pen-drives. Sua principal característica 
é a replicação e a passividade, ou seja, um programa ou código deve 
obrigatoriamente ser executado pelo usuário ou pelo sistema para que 
ele possa atuar. Atualmente, vários sistemas operacionais têm defesas 
nativas contra os vírus mais simples, embora o maior risco continue 
sendo a execução proposital pelos usuários
Worms: ao contrário dos vírus, uma vez instalados podem se replicar 
e se copiar automaticamente, através das redes onde o computador 
infectado está conectado. Seu processo de autocópia e replicação acaba 
45
por consumir muitos recursos do computador e da rede, tornando-o 
detectáveis a partir dessas atividades. O avanço da tecnologia e o 
desenvolvimento de processadores mais potentes permitiu que os 
sistemas consigam detectar facilmente programas que se autorreplicam 
e/ou que consomem muitos recursos, limitando bastante a 
disseminação desses malwares.
Bots e Botnets: o nome vem de robot (robô), programas que podem 
ser controlados remotamente por quem os desenvolveu. Em geral, 
malwares do tipo bot infectam os computadores para usar seus recursos 
em atividades ilegais ou camufladas, como ataques coordenados a 
outros computadores ou mineração de criptomoedas. Uma botnet é 
uma rede de computadores zumbi, ou seja, computadores infectados 
por bots.
Spyware: serve para monitorar, coletar e enviar informações de um 
sistema para terceiros. Pode ser utilizado tanto de forma legítima, como 
quando é instalado em um computador pessoal ou corporativo pelo 
proprietário para verificar se o equipamento está sendo utilizado de 
forma não autorizada ou mesmo abusiva. No caso de empresas, deve 
ser autorizado pelo funcionário que deve ter ciência do monitoramento. 
Já se usados de modo malicioso, pode comprometer a privacidade do 
usuário, capturando informações pessoais de acesso, tal como nome 
de usuário e senhas, ou informações de valor, como dados de cartão de 
crédito e pessoais. Subdividem-se em keyloggers e screenloggers, que 
respectivamente capturam informações digitadas no teclado ou imagens 
da tela; e adware, que capturam informações de navegação e acesso web.
Backdoors: programas que criam ou aumentam as vulnerabilidades 
de um equipamento, abrindo brechas para a instalação de outros 
programas (como os bots ou rootkits) ou permitindo ataques. Existem 
casos de softwares que ao serem instalados podem atuar criando 
brechas ou copiando/danificando arquivos, propositalmente em alguns 
casos ou por falhas de configuração ou no desenvolvimento.
46
Cavalo de Troia (ou Trojan): programas que cumprem a função a qual 
foram projetados, mas também executam outras funções maliciosas, 
sem que o usuário saiba ou permita. É o caso de programas utilizados 
para crackear (quebrar a proteção) softwares pagos, por exemplo.
Rootkits: um conjunto de ferramentas que pode ser instalado para 
garantir o acesso do atacante ao dispositivo alvo, ou simplesmente para 
esconder seu rastro. Pode entre outras coisas, apagar arquivos de log ou 
simplesmente reabrir portas de comunicação fechadas pelo sistema.
Ramsomware: popularizou-se graças ao ataque do malware conhecido 
como WannaCry. Funciona através de um sistema de “sequestro” de 
informações, encriptando dados de uma partição ou de um disco de um 
computador ou servidor. Existe um tempo para que o resgate seja pago 
pelos atacantes, normalmente um valor alto em criptomoedas, caso 
contrário os dados são permanentemente destruídos.
Além disso, é importante lembrar que as ameaças se relacionam 
diretamente com o conceito de risco, sendo risco a probabilidade 
de ocorrência de uma situação potencial. O risco de uma ameaça de 
inundação em uma área alta, longe de rios e com poucas chuvas é 
probabilisticamente menor do que o risco de um ameaça de um ataque 
hacker em uma empresa com muitas informações valiosas e com 
histórico de falhas de segurança, por exemplo.
3. Ataques
Um ataque pode ser realizado de forma coordenada ou não, de forma a 
se conseguir algum objetivo ou apenas como um teste de segurança ou 
de resiliência de um sistema. Nesse caso, é importante destacarmos que 
a presença de um ataque nem sempre é detectada, a não ser quando 
existem sistemas e defesas próprias para esse fim. A literatura fala 
47
fartamente sobre ataques que só foram descobertos meses depois com 
o vazamento dos dados; bem como aqueles que são percebidos apenas 
como uma instabilidade do sistema, que pode ter origem no objetivo do 
ataque de comprometer a disponibilidade do sistema (caso do ataque 
DOS ou DDoS) ou, até mesmo, um efeito colateral de uma invasão para 
quebra ou dumping de dados. De toda forma, a grande maioria dos 
ataques tem uma motivação, como as descritas na figura a seguir.
Figura 4 – Motivações dos hackers
 
Demonstração de perícia ou obtenção de prestígio: uma invasão 
ou ataque com a finalidade de se demonstrar que determinado 
serviço ou empresa está suscetível à falhas ou ganhar fama através 
da demonstração da perícia.
Vantagens financeiras: muito comum atualmente, tem como 
objetivo coletar informações pessoais que podem levar a ganhos 
indiretos, através de golpes, ou diretos, como através do acesso 
a informações de cartões, contas bancárias ou criptomoedas.
Motivação ideológica: utilizado em questões políticas ou 
sociais, com intenção de atacar pessoas e instituições com 
valores contrários ao do atacante. Muitas vezes, ela tem 
conotação de crime de ódio. 
Guerra comercial: ataque ou invasão com intenção de tornar o 
serviço de um concorrente indisponível ou roubar informações 
sensíveis sobre clientes ou produtos. 
Fonte: elaborada pelo autor.
Já sobre os ataques e invasões em si, as classificações podem variar. 
Nakamura (2016) trata de uma classificação baseada nos pilares da 
segurança da informação, em que keyloggers e roubos de senhas atentaria 
contra a confidencialidade, malwares que modificam dados ou ataques de 
modificação de sites (defacement) ou banco de dados (SQL injection), o que 
levaria a perda da integridade dos dados e ataques de negação de serviço 
atentariam contra a disponibilidade do sistema. Porém, alguns ataques 
48
com o tempo perderam a capacidade de gerar grandes danos, graças às 
mudanças nos softwares ou nos protocolos de rede ou, até mesmo, por 
um aumento da capacidade dos sistemas. Por causa disso, analisaremos 
individualmente os tipos de ataques mais comuns atualmente, seus 
métodos e objetivos.
Você já ouviu falar em scanning, spoofing, sniffing e phishing? Não, elas são 
renas do Papai Noel, nem nomes dos anões da Branca de neve. Essas 
modalidades de ataque são maneiras de se obter informações e acesso 
a sistemas e computadores, através da análise e manipulação dos dados 
e pacotes que trafegam nas redes de computadores. Em uma rede de 
computadores, há um grande tráfego de dados e falhas de configuração 
ou, até mesmo, protocolos não seguros que podem, portanto, fazer com 
que informações sensíveis trafeguem por essas redes, muitas vezes de 
forma não criptografada. Cada uma dessas modalidades tem um modo de 
operação e diferentes objetivos.
Scanning é o processo de se utilizar programas para scannear os 
dispositivos e protocolos em uma rede, a fim de se reunir e levantar 
informações sobre portas de comunicação, endereços físicos e lógicos,bem 
como outras informações sobre modelo e fabricantes dos dispositivos, a 
fim de se levantar possível vulnerabilidades para um ataque ou invasão. 
Logo, pode ser realizada de forma legítima pelos administradores da rede, 
para levantar falhas de operação ou vulnerabilidades de segurança do 
sistema.
Já sniffing é a técnica de “farejar”, ou seja, reunir pacotes de dados que 
trafegam em uma rede e partir de seu conteúdo, obter dados importantes 
sobre a rede e os dispositivos nela conectados. Esse é um dos métodos 
utilizados para acesso não autorizado e redes Wi-fi inseguras. Ela também 
pode ser realizada para detectar problemas no desempenho e tráfego da 
rede, por exemplo.
49
Spoofing é a técnica de alterar pacotes de dados que trafegam em uma 
rede, com o objetivo de se passar por outra pessoa ou dispositivo, 
alterando informações sobre o endereço físico ou endereço IP de um 
servidor, de modo a enganar as máquinas da rede e interceptar suas 
informações. Além disso, há uma modalidade comum de uso dessa técnica 
que é o e-mail spoofing, que consiste em alterar o campo de cabeçalho 
de um e-mail, alterando seu remetente. Os sistemas atuais de webmail 
são seguros quanto a essa modalidade, porém computadores que rodam 
clientes de e-mail locais podem estar suscetíveis a ela.
O phishing é uma técnica popular, no entanto, essa não é uma ferramenta 
técnica como as anteriores. Trata-se puramente de se utilizar a engenharia 
social para convencer pessoas a fornecerem dados pessoais, da empresa, 
senhas ou número de cartões, fazendo-se passar por outras pessoas ou 
instituições. Pode ser utilizado junto com o spoofing ou apenas usando 
e-mails de domínio ou nome parecido com o de instituições ou empresas. 
Tanto que a cartilha do CERT não o considera um ataque e sim um SCAM, 
ou golpe. Ainda de acordo com o CERT.BR (2012, [s.p.]), o phishing ocorre 
através de mensagens de texto ou mensagens de celular (e recentemente 
aplicativos como o Whatsapp) que:
Tentam se passar pela comunicação oficial de uma instituição conhecida, 
como um banco, uma empresa ou um site popular; procuram atrair a 
atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade 
de obter alguma vantagem financeira; informam que a não execução 
dos procedimentos descritos pode acarretar sérias consequências, como 
a inscrição em serviços de proteção de crédito e o cancelamento de um 
cadastro, de uma conta bancária ou de um cartão de crédito; tentam induzir o 
usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas 
falsas, que tentam se passar pela página oficial da instituição; da instalação 
de códigos maliciosos, projetados para coletar informações sensíveis; e do 
preenchimento de formulários contidos na mensagem ou em páginas web.
Já um ataque de força bruta, ou brute force, consiste em utilizar um 
sistema de tentativa e erro para tentar adivinhar uma senha, testando 
50
várias combinações possíveis em um curto espaço de senha. Essa foi 
uma das técnicas que levaram a utilização de campos de senha que 
expiram após uma certa quantidade de tentativas e a substituição de 
redes Wi-fi com a criptografia WEP, que era suscetível a esse tipo de 
ataque. Muitas vezes, o ataque consumia uma grande quantidade da 
capacidade de processamento do alvo, o que poderia levar a uma perda de 
disponibilidade. O ataque de força bruta realiza substituições sequenciais 
de número e letras ou grandes arquivos chamados de dicionários, com 
milhares ou até milhões de palavras que podem ser utilizadas como 
senhas.
Outra modalidade de ataque comum e que também causa problemas de 
disponibilidade são os ataques de negação de serviço propriamente ditos, 
conhecidos como DoS (Denial of Service ou negação de serviço) e DDoS 
(Distributed Denial of Service ou negação de serviços distribuída). O primeiro 
objetivo é sempre atacar o alvo, a fim de torná-lo indisponível, porém o 
ataque de negação de serviços pode ser utilizado para que o atacante use 
a distração para acessar outro alvo ou mesmo um momento de fragilidade 
da rede para realizar um ataque, como enquanto o servidor que hospeda 
um determinado serviço não está com suas defesas ativas. O ataque DoS 
(e o DDoS) utiliza falhas nos protocolos e nos softwares como o estouro de 
buffer, que é uma técnica que consiste em usar um espaço de retorno de 
memória maior do que o fornecido pelo sistema para executar um código 
ilegal. Uma outra maneira é realizar um grande pedido contínuo de acessos 
em uma conexão (por exemplo, uma página web) de forma que o servidor 
não consiga lidar com todas as solicitações simultaneamente.
51
Figura 5 – Um ataque de negação DDoS
 
Atacante 
Master
s 
Zombies 
Alvo 
Fonte: adaptada de Nakamura (2016).
Por sua vez, o ataque DDoS consiste em utilizar computadores zumbis 
cujo controle remoto foi obtido pelos atacantes através de malwares 
desenhados para esse fim, e com eles realizar um tipo de ataque DoS 
sincronizado. Nesse modelo, o atacante pode controlar computadores 
principais (masters) que enviam as instruções para os computadores 
zumbis (ou daemons) para que ataquem o alvo, conforme a Figura 4. 
Uma outra técnica utilizada é o smurf (através do protocolo ICMP Echo) 
ou Fraggle (UDP Echo), que usa uma ferramenta legítima de mapeamento 
e roteamento de rede (o ping) para causar lentidão ou perda de 
disponibilidade, através de solicitações falsas a partir de endereços 
também inexistentes (NAKAMURA, 2016).
Portanto, reconhecer as vulnerabilidades e as ameaças que pairam 
sobre os sistemas é o primeiro passo prático para a definição de uma 
política sólida de segurança da informação, afinal, não existe melhor 
52
método para se elaborar uma estratégia de defesa do que analisar 
os métodos e ferramentas do oponente. Não obstante, é comum 
encontrarmos vários hackers e crackers que atuam como consultores 
de segurança da informação, nesse caso, os melhores defensores são os 
atacantes.
Referências Bibliográficas
ALECRIM, E. Site para “infiéis” Achley Madison é atacado: dados de 37 milhões 
de usuários podem ser expostos. Tecnoblog, jul. 2015. Disponível em: https://
tecnoblog.net/181888/ataque-ashley-madison/. Acesso em: 30 jul. 2020.
CARVALHO, L. O que é WikiLeaks? Saiba mais sobre o site criado por Julian Assange. 
Olhar Digital, 14 abr. 2019. Disponível em: https://olhardigital.com.br/noticia/o-
que-e-o-wikileaks-saiba-mais-sobre-o-site-criado-por-julian-assange/84650. Acesso 
em: 30 jul. 2020
CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA 
NO BRASIL–CERT.BR. Cartilha de segurança para internet. São Paulo: Comitê 
de Gestor da Internet no Brasil, 2012. Disponível em: https://cartilha.cert.br/livro/
cartilha-seguranca-internet.pdf. Acesso em: 29 jul. 2020.
GALVÃO, M. da C. (org.). Fundamentos em segurança da informação. São Paulo: 
Pearson Education do Brasil, 2015.
HINTZBERGEN, J.; HINTZBERGEN, K.; SMULDERS, A.; BAARS, H. Fundamentos de 
segurança da informação: com base na ISO 270001 e ISO 27002. Rio de Janeiro: 
Brasport, 2018.
MITNICK, K. D.; SIMON, W. L. A arte de enganar. São Paulo: Pearson Education, 
2003.
MORAES, A. F. de. Segurança em redes. São Paulo: Érica, 2010.
NAKAMURA, E. T. Segurança da informação e de redes. Londrina: Editora e 
Distribuidora Educacional S.A., 2016.
TACIO, P. Termos hackers: os chapéus. Mundo dos hackers, 11 maio 2010. 
Disponível em: https://www.mundodoshackers.com.br/termos-hacker-os-chapeus. 
Acesso em: 28 jul. 2020.
https://tecnoblog.net/181888/ataque-ashley-madison/
https://tecnoblog.net/181888/ataque-ashley-madison/
https://olhardigital.com.br/noticia/o-que-e-o-wikileaks-saiba-mais-sobre-o-site-criado-por-julian-assange/84650
https://olhardigital.com.br/noticia/o-que-e-o-wikileaks-saiba-mais-sobre-o-site-criado-por-julian-assange/84650
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
https://www.mundodoshackers.com.br/termos-hacker-os-chapeus.
53