Baixe o app para aproveitar ainda mais
Prévia do material em texto
CRIPTOGRAFIA HASH E HACKING W B A 04 70 _v 1. 0 2 Marcelo Ferreira Zochio Londrina Editora e Distribuidora Educacional S.A. 2020 CRIPTOGRAFIA HASH E HACKING 1ª edição 3 2020 Editora e Distribuidora Educacional S.A. Avenida Paris, 675 – Parque Residencial João Piza CEP: 86041-100 — Londrina — PR e-mail: editora.educacional@kroton.com.br Homepage: http://www.kroton.com.br/ Presidente Rodrigo Galindo Vice-Presidente de Pós-Graduação e Educação Continuada Paulo de Tarso Pires de Moraes Conselho Acadêmico Carlos Roberto Pagani Junior Camila Braga de Oliveira Higa Carolina Yaly Giani Vendramel de Oliveira Henrique Salustiano Silva Mariana Gerardi Mello Nirse Ruscheinsky Breternitz Priscila Pereira Silva Tayra Carolina Nascimento Aleixo Coordenador Henrique Salustiano Silva Revisor Priscilla Viana Cunha Editorial Alessandra Cristina Fahl Beatriz Meloni Montefusco Gilvânia Honório dos Santos Mariana de Campos Barroso Paola Andressa Machado Leal Dados Internacionais de Catalogação na Publicação (CIP) __________________________________________________________________________________________ Zochio, Marcelo Ferreira Z84c Criptografia hash e hacking/ Marcelo Ferreira Zochio, – Londrina: Editora e Distribuidora Educacional S.A., 2020. 200 p. ISBN 978-65-5903-098-9 1. Segurança. 2. Hacking. 3. Criptografia. I. Título. CDD 006 ____________________________________________________________________________________________ Raquel Torres – CRB 6/2786 © 2020 por Editora e Distribuidora Educacional S.A. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização, por escrito, da Editora e Distribuidora Educacional S.A. 4 SUMÁRIO Segurança de sistemas e seus aspectos _____________________________ 05 O lado humano da segurança da informação _______________________ 22 Testando a segurança _______________________________________________ 37 As novas formas de lidar com a informação _________________________ 51 CRIPTOGRAFIA HASH E HACKING 5 Segurança de sistemas e seus aspectos Autoria: Marcelo Ferreira Zochio Leitura crítica: Priscilla Viana Cunha Objetivos • Entender como funcionam os principais métodos de criptografia. • Compreender o funcionamento e aplicação de assinatura digital. • Aprender sobre a aplicação de hashes e seu uso na computação. 6 1. Os principais tipos de criptografia atuais Neste tema, você entenderá como funcionam os principais tipos de criptografia usados atualmente: a criptografia simétrica e a criptografia assimétrica. Além disso, abordaremos sobre o funcionamento da assinatura digital e a utilidade de resumos criptográficos, também chamados de hash, em áreas específicas da computação. 1.1 Criptografia simétrica A criptografia simétrica se baseia em uma chave que é compartilhada pelo receptor e pelo emissor, em que ela cifrará e decifrará o conteúdo recebido ou enviado. Por isso, essa chave não pode ser fornecida a qualquer um, apenas para quem se quer manter uma comunicação sigilosa. Como exemplo de algoritmos criptográficos simétricos podemos citar o DES (Data Encryption Standart), 3DES (Three Data Encryption Standart) e o AES (Advanced Encryption Standart). A seguir, temos uma figura que ilustra seu funcionamento: Figura 1 – Criptografia simétrica Fonte: elaborada pelo autor. 7 1.2 Modos de cifra simétrica As cifras simétricas se subdividem em dois tipos principais: cifras de fluxo e cifras de bloco. As cifras de fluxo fazem a criptografia do conteúdo a ser cifrado bit a bit sequencialmente. O algoritmo de cifra de fluxo mais conhecido é o RC4, o qual está ilustrado na figura a seguir. Figura 2 – Algoritmo RC4 Fonte: elaborada pelo autor. Por sua vez, as cifras de bloco operam da seguinte forma: o conteúdo a ser cifrado é dividido em blocos de tamanhos iguais e é aplicado o algoritmo de cifra simétrica escolhido para sua cifra em cada bloco separadamente. Caso o último bloco não atinja o tamanho dos antecessores, ele é preenchido com dados de preenchimento (pad), que são retirados na sua decifração. As figuras a seguir ilustram o funcionamento dos principais modos de cifra simétrica. 8 Figura 3 – Modo ECB (Electronic Code Book) Fonte: elaborada pelo autor. Como você pode notar, na operação de cifra, a chave é aplicada diretamente sobre o conteúdo do bloco produzindo um arquivo cifrado, de acordo com o algoritmo criptográfico simétrico utilizado. Consequentemente, isso produz resultados previsíveis, sendo um modo de cifra inseguro. 9 Figura 4 – Modo CBC (Cipher Block Chaining) Fonte: elaborada pelo autor. No modo de cifra CBC é aplicado um IV (Initial Vector) em uma operação XOR (Exclusive Or ou Exclusivo), que produzirá um resultado que será aplicado junto com a chave ao algoritmo de criptografia simétrica, gerando um bloco cifrado. Esse bloco cifrado, por sua vez, servirá como IV para o próximo, repetindo a operação nesse bloco e assim por diante. 10 Figura 5 – Modo CFB (Cipher Feedback Block) Fonte: elaborada pelo autor. O modo CFB aplica o algoritmo criptográfico escolhido usando a chave e o IV, produzindo um resultado no qual é aplicada uma operação lógica XOR entre ele e o bloco do arquivo original correspondente. O bloco cifrado resultante entra como IV do próximo bloco e a operação se repete até o final do conteúdo a ser criptografado. 11 Figura 6 – Modo OFB (Output Feedback Block) Fonte: elaborada pelo autor. O modo OFB funciona de modo similar ao CFB, no entanto, o conteúdo a ser usado como IV do bloco posterior é o resultado da cifra obtida pela aplicação do algoritmo simétrico escolhido entre o IV e a chave, em vez do resultado do bloco cifrado. 12 Figura 7 – Modo CTR (Counter) Fonte: elaborada pelo autor. O modo Counter permite a decifração de dados específicos do conteúdo cifrado sem a necessidade de decifrar os dados anteriores ou posteriores. 13 1.3 Criptografia assimétrica Esse tipo de criptografia usa duas chaves para seu funcionamento: a chave pública e a chave privada (GOODRICH; TAMASSIA, 2012). A chave pública deve ser disponibilizada a todos os interessados com os quais se quer manter comunicações sigilosas. A chave privada, por sua vez, é de uso exclusivo de seu proprietário, não podendo de forma alguma ser revelada, caso contrário, as comunicações dele deixarão de ser sigilosas ou poderá haver falsificação de assinatura digital. Porém, como as chaves públicas e privadas funcionam e se relacionam? Para a primeira questão, podemos afirmar que elas são matematicamente relacionadas: o que se cifra com a chave privada só se consegue decifrar com a chave pública relacionada e vice-versa. Para transmitir uma mensagem codificada para um destinatário, deve- se usar a chave pública dele para cifrar sua mensagem, a qual ele disponibilizou para você, enviando para ele sua mensagem cifrada. Ao receber essa mensagem, ele a abrirá com a chave privada dele. Se ele quiser responder para você da mesma forma, ele usará a sua chave pública (que você disponibilizou para ele), cifrará a mensagem com ela, enviando-a para você, que abrirá com sua chave privada. Caso você queira assinar digitalmente alguma mensagem, você deve usar sua chave privada. O conteúdo a ser assinado será cifrado com a chave privada e poderá ser aberto por qualquer um que tiver sua chave pública. Isso garante a autenticidade de autoria, pois, em tese, você não compartilha sua chave privada com ninguém, não havendo como negar a autoria do conteúdo assinado digitalmente. A figura a seguir ilustra o processo de assinatura digitale criptografia usando criptografia assimétrica. 14 Figura 8 – Cifra assimétrica e assinatura digital Fonte: adaptada de Zochio (2016, p. 111). Um dos algoritmos criptográficos que usa o conceito da criptografia assimétrica é o RSA. Nesse sentido, o seu funcionamento se baseia na inviabilidade de tentativa de fatoração de um dos componentes da chave pública, que é formado por dois números primos muito grandes. Veja como são compostas as chaves pública e privada nesse algoritmo: 15 São escolhidos dois números primos gigantescos, identificados por “p” e “q”, que multiplicados comporão “n”. Então, escolhemos um número identificado por “e” que não tenha fatores comuns com (p-1)*(q-1), ou seja, que são primos entre si. O cálculo da chave privada é feito realizando a operação matemática “redução modular”, que é o mesmo que calcular o inverso do módulo, e esse resultado será denominado “d”, que junto com “n” comporão a chave privada. 1.4 Hash Hashes são usados, basicamente, para verificação de integridade de conteúdos digitais. Quando fazemos um resumo criptográfico de um arquivo digital (não confunda com a criptografia, que é totalmente diferente), usamos um algoritmo de hash que faz cálculos de forma idiossincrásica, gerando uma saída hexadecimal de tamanho fixo. O hash calculado com determinado algoritmo de hash gerará sempre a mesma saída para o mesmo conteúdo; caso seja mudado apenas um bit desse conteúdo, o resultado do hash será alterado consideravelmente. O cálculo do hash é irreversível, ou seja, não é possível saber, por meio de sua saída, sua entrada, diferentemente da criptografia, que usa uma chave para obter o conteúdo original. Além disso, hashes possuem várias aplicações, podendo ser usados para garantir integridade de arquivos que contém vestígios a serem analisados por peritos forenses computacionais, podem ser usados em bancos de dados para serem armazenados no lugar de seus conteúdos originais, como no caso de senhas, para evitar seu roubo, caso o banco de dados seja invadido (uma vez que o hash é irreversível, o invasor não conseguirá saber a senha de fato); são usados também para verificar se o download de um arquivo foi executado na íntegra (tendo o hash do arquivo a ser baixado calculado e divulgado previamente, o usuário 16 poderá calcular o hash do arquivo baixado com o mesmo algoritmo usado anteriormente no cálculo para ver se coincidem). Ademais, eles também são usados para verificação de integridade de documentos digitais assinados (calcula-se o hash desse documento assinado; se coincidirem, ele está íntegro). A autenticação de mensagens também é outro uso que pode ser aplicado ao hash, em caso queira transmitir uma mensagem, seu conteúdo, criptografado ou não, pode ter seu hash calculado e enviado paralelamente à mensagem; se o hash calculado da mensagem recebida for o mesmo do hash recebido, então, a mensagem está íntegra. Nesse sentido, podemos citar como exemplos de algoritmos de hash os seguintes: MD5, SHA1, SHA256, SHA512, Whirlpool (este inclusive é um projeto belga-brasileiro). 1.5 CRC (Checagem de Redundância Cíclica) Esta é uma técnica usada para detecção de erros na transmissão de dados digitais. Nesse método são adicionados bits de checagem (checksum), por sua vez, eles são anexados à mensagem transmitida. O receptor poderá verificar se o checksum está de acordo com os dados transmitidos e determinar com certo grau de precisão se ocorreram erros na transmissão. Em caso positivo, o receptor faz com que a mensagem seja retransmitida. Assim, matematicamente, o CRC é baseado em aritmética polinomial, com a computação do resto da divisão de um polinômio em GF(2) (Galois field with two elements) por outro. Veja o exemplo a seguir na prática: Seja a mensagem M = 01000001 (o caractere A em ASCII). O polinômio G(x) usado é: x4+x3+1 = 110012 . Acrescentamos à mensagem inicial a quantidade de zeros equivalente ao grau do polinômio G(x), logo: 010000010000. 17 Em seguida, dividimos a mensagem pelo polinômio G(x): a divisão de dois polinômios, nas suas formas binárias, é feita aplicando-se a operação XOR bit a bit, que dá como resultado o resto da divisão igual a 00011. A seguir, acrescentamos esse resto à mensagem original, lembrando que, como se está operando com grau 4, devemos usar quatro dígitos para representar o resto. Para conferir a mensagem, repete-se o processo, se não restar nada no final, a mensagem está íntegra. 1.6 Protocolos criptográficos Dentro de uma comunicação em rede, os algoritmos criptográficos funcionam por meio de protocolos criptográficos. Um protocolo muito usado para esse fim é o TLS (Transport Layer Security) e seu funcionamento está descrito na figura a seguir. Figura 9 – Protocolo criptográfico TLS (Transport Layer Security) Fonte: elaborada pelo autor. 18 Três anos após lançar o SSL v3 (Secure Socket Layer, protocolo anterior ao TLS), em 1999, criou-se o TLS 1.0. Ele não era muito diferente do SSL v3, e as diferenças eram alegadamente suficientes para proporcionarem segurança. Em abril de 2006 foi criada a versão 1.1, trazendo mudanças significativas e em 2008 foi criada a versão 1.2. Essa última trouxe mudanças mais drásticas em relação a sua versão anterior e a partir dela todas as versões de TLS não poderiam mais negociar downgrade para versões inferiores ao SSL v3. Em 2018 entra em cena o TLS 1.3, que mudou significativamente em relação a sua versão imediatamente anterior, corrigindo inclusive problemas de segurança. 1.7 Geradores pseudoaleatórios Neste texto, você pôde notar que nos algoritmos criptográficos simétricos há o vetor de início (IV) em muitos deles. Você sabe qual sua função? Gerar um número aleatório a partir do qual será feita a criptografia, para não uniformizar a aplicação do algoritmo criptográfico no conteúdo a ser cifrado, dificultando sua criptoanálise (exploração de falhas na criptografia). Porém, como esses números são gerados? Eles são gerados por meio de geradores pseudoaleatórios. Veja a seguir um exemplo de um gerador pseudoaleatório escrito em Python: import random caracter = [‘0’, ‘1’, ‘2’, ‘3’, ‘4’, ‘5’, ‘6’, ‘7’, ‘8’, ‘9’, ‘a’, ‘b’, ‘c’, ‘d’, ‘e’, ‘f’] tamanho = 16 iv = ‘’ 19 while len(iv) < tamanho: iv = iv+random.choice(caracter) print(“IV = “, iv) Esse programa gera uma sequência hexadecimal de 16 bytes de forma aleatória. Por sua vez, a biblioteca random gera sequências pseudoaleatórias, e escolhe de forma mais aleatória possível os caracteres dentro de uma série. 1.8 Hacking e quebra de sigilo Você já deve ter ouvido notícias como: “hacker invade conta bancária e desvia milhões de dólares”; “empresa X teve seus dados sequestrados por hacker”, “hacker rouba senhas de usuários”. No entanto, agora você aprenderá os termos corretos. O que é um hacker? No jargão da T.I., hacker é um profundo entendedor de computação. Um hacker possui espírito autodidata, pesquisador e não se contenta em saber apenas o necessário para exercer suas funções. Ele vai além do óbvio e, por isso, conhece mais que a maioria. Aquele que faz os estragos que você costuma ouvir nos noticiários é o “cracker”, esse sim é o vilão da história. Ele usa seus conhecimentos para proveito próprio e não possui ética, nem princípios e nem legalidade nas suas ações. O hacker que se dedica a aprimorar a segurança de sistemas e usa seus conhecimentos na busca de falhas e como mitigá-las é o “hacker ético”, que é uma profissão no mundo da T.I. Ele compõe o red team, ou seja, a equipe responsável por atacar sistemas (com autorização de seu dono) para testar sua segurança, enquanto o blue team, a equipe responsável 20 pela segurança desse sistema, procura protegê-lo da forma mais adequada possível. Há também certificações profissionais nessa área, como: Ethical Hacking Foundation (EXIN), CEH (Certified Ethical Hacker, da EC-Council) e a Pentest+ (CompTIA). 1.9 Hacking e a legislação brasileira Sevocê pretende seguir essa vertente da computação, você deve se atentar para os aspectos legais para o exercício dessa atividade. Por exemplo, a invasão de dispositivo eletrônico alheio sem autorização de seu proprietário é crime. Portanto, para realizar um teste de invasão, você precisa da autorização por escrito de seu proprietário. A Lei nº 12.737, de 30 de novembro de 2012, a Lei “Carolina Dieckmann”, altera e acrescenta alguns artigos no Código Penal brasileiro sobre crimes de informática. Ela acrescenta o art. 154-A no Código Penal, que diz: Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena–detenção, de 3 (três) meses a 1 (um) ano, e multa. (BRASIL, 2012, art. 154-A) Esse conteúdo tratou sobre um dos pilares da segurança da informação, a confidencialidade, obtida principalmente pela criptografia; falou sobre o outro pilar da segurança da informação, a integridade, obtida por meio do hash. Além disso, ela abordou a autenticidade, conseguida com assinatura digital, e também fez observações sobre hackerismo e como ele pode ser feito dentro da lei. 21 Referências Bibliográficas BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940–Código Penal; e dá outras providências. Brasília, DF: Presidência da República, [2012]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/ l12737.htm. Acesso em: 23 nov. 2020. GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. Porto Alegre: Bookman, 2012. STALLINGS, W. Criptografia e segurança de redes. 6. ed. São Paulo: Prentice Hall Brasil, 2015. ZOCHIO, M. F. Introdução à criptografia. São Paulo: Novatec, 2016. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm 22 O lado humano da segurança da informação Autoria: Marcelo Ferreira Zochio Leitura crítica: Priscilla Viana Cunha Objetivos • Destacar a importância do fator humano na segurança da informação. • Descrever os movimentos hackers e suas motivações e consequências de seus atos. • Discutir a liberdade de expressão na Internet. 23 1. Engenharia social: explorando a falha humana A segurança da informação envolve vários fatores, como segurança física, segurança lógica, além dos três pilares mestres da segurança da informação: confidencialidade, integridade e disponibilidade. Entre os fatores que merecem destaque está o fator humano. Nesse sentido, é importante considerar que o mundo corporativo não é só formado por prédios, máquinas e escritórios: corporações são feitas principalmente de gente, de pessoas. Desse modo, são as pessoas que movem o mundo corporativo, sem pessoas, não existem empresas. Isso ficou evidente na crise provocada pelo coronavírus, por exemplo, em que empresas anteriormente criticavam o home office, colocando-o como uma atividade de segunda categoria, que não era possível monitorar o funcionário, que ele ficaria disperso, não haveria produtividade e outras críticas do gênero. Porém, neste cenário, o que se viu foi a manutenção da produtividade ou até o aumento dela, fora a economia com gastos de manutenção predial, pagamento de benefícios (como o vale transporte) e outras despesas. Assim, mais do que nunca, as pessoas mantiveram os negócios da empresa funcionando. Logo, elas são uma parte importantíssima do mundo corporativo. Além disso, isso também faz delas um alvo para crackers, que usam a engenharia social para tirar proveito de funcionários incautos. No entanto, o que é “engenharia social”? A engenharia social é a manipulação de pessoas para que executem ações em favor do cracker ou forneçam informações confidenciais sobre si ou sobre uma corporação. Por exemplo, um especialista nesse tipo de ataque é Kevin Mitnick, autor do livro A arte de enganar, famoso cracker da década de 1990, que hoje usa seus conhecimentos em prol de causas 24 mais nobres. Segundo Mitnick e Simon (2002), engenharia social é um ataque planejado que explora o altruísmo e a boa vontade das pessoas. Uma das bases da engenharia social é juntar informações aos poucos, explorando o que se conhece para chegar ao alvo, fase por fase. Assim, o engenheiro social precisa planejar seus ataques, saber quem tem as informações, como chegar até tal pessoa, como fazer com que esta pessoa acredite nele e lhe forneça a informação. A seguir, apresentamos um exemplo de abordagem de um cracker. Cracker: – Bom dia, sou Mario gerente de relacionamento do banco Descão, falo com o senhor Natalino, titular da conta nº 123456? Alvo: – Sim. Cracker: – Estamos recadastrando os clientes em nosso novo sistema e estou ligando para confirmar seus dados. O senhor nasceu em 25/12/1938 e mora na rua 1, nº 13? Alvo: – Sim. Cracker – O seu telefone é ainda o 7070-7070, o seu CPF é o 131.313.131- 13 e o RG é 4567890-9? Alvo: – Sim. Cracker: – Pode me confirmar o número do seu cartão de crédito? Alvo: – Sim, o número é 123456789. Cracker: – Muito obrigado, os seus dados foram atualizados. Só falta o senhor confirmar suas senhas para registrá-las novamente. Vou lhe transferir para nossa central de autenticação, onde o senhor poderá digitar as senhas diretamente no seu aparelho de telefone. 25 Então, o alvo é transferido para um sistema automático com voz registrada que pede para confirmar o cadastro, primeiro para digitar a senha do cartão e depois a senha do «internet banking» e demais dados do cartão (vencimento e código de segurança). Em seguida, a ligação volta para o cracker: Cracker:–Obrigado, senhor Natalino. Já atualizamos seus dados. Conte sempre com nossos serviços! Com esse exemplo, você notou que o cracker foi ganhando a confiança do alvo, citando de antemão informações corretas sobre ele? Com essa abordagem, extrair dados do alvo fica mais fácil. Para evitar ataques desse tipo, é preciso conscientizar os funcionários sobre como eles são efetuados e incutir neles o senso de discrição em relação a dados e informações da empresa e deles mesmos. Em outras palavras, convencê-los da importância da segurança da informação. Para isso, a empresa deve promover treinamentos e palestras sobre o tema e educar seus funcionários para evitar prejuízos. 2. Hackerismo: o movimento hacker e a sociedade Com o advento da computação, já sendo usada em escala empresarial, por volta do início da década de 1960, um grupo do Massachussets Institute of Technology (MIT) começou a pregar a ideia de que informações deviam ser totalmente livres e que o uso dos computadores deveria ser tão universal quanto possível. Essa é considerada a primeira geração de hackers. Não havia hierarquia entre eles, pois, eles sempre desconfiavam da autoridade; promoviam ações descentralizadas em prol da comunidade e compartilhavam os resultados de seus trabalhos. 26 Como você pode notar, o movimento hacker sempre esteve ligado a política e causas sociais desde seu início. A segunda geração de hackers teve início na década de 1970, ficando conhecidos como “hardware hackers”, pois, eles queriam transformar os computadores, tornando-os menores e mais acessíveis, levando-as ao maior número possível de pessoas, a fim de popularizá-los. Enquanto as gerações originais de hackers estavam interessadas nas políticas relacionadas a softwares e hardwares, tirando seu controle das grandes corporações e colocando-os mais próximos do povo, as gerações posteriores de hackers ultrapassaram esse limite, realizando ações diretas de desobediência civil e tendo uma atitude mais rebelde em relação à autoridade constituída. Então, o hackerismo pode ser definidocomo o uso de ferramentas digitais com fins políticos. No entanto, é importante não confundi-los com profissionais de segurança ofensiva (pentesters), pois eles não têm necessariamente posicionamento político. Em outras palavras, segundo Samuel (2004), trata-se da união das ferramentas e conhecimentos a serviço do ativismo político por meio das redes digitais. 2.1 Anonymous: quem são? Em meados de 2003 começou a surgir o mais famoso grupo de hacktivistas da atualidade: o anonymous. Os anonymous surgiu dentro do 4chan, um fórum de discussão sobre qualquer assunto, até hoje em funcionamento. Os usuários sem identificação nas discussões tinham suas mensagens postadas como anonymous. Assim, não demorou para essa denominação ser adotada pelo grupo. 27 Em seu início, os anons, como passaram a ser chamados, atuavam por diversão. Eles invadiam plataformas de jogos infantis para perturbar seus usuários e zombavam de internautas em sites de relacionamento. Aos poucos, a atitude “adolescente” foi dando lugar a causas mais politizadas. A primeira delas foi o embate contra a Cientologia, que aconteceu em 2008. Um vídeo polêmico do ator Tom Cruise, que é membro da Cientologia, vazou na internet, contendo declarações de supremacia ideológica. Os cientologistas fizeram de tudo para tirar o vídeo do ar, ameaçando com processos quem o hospedasse ou baixasse. Isso não agradou aos anons, que passaram a proclamar que a Cientologia não permitia a liberdade de ação e expressão na Internet. Então, eles passaram a divulgar o vídeo em diversos sites, que eram retirados do ar por alguma ordem judicial baseada em uma petição da Cientologia. Com o endurecimento das ações da Cientologia, a coisa começou a ficar interessante para os anonymous, que aumentavam os locais em que os vídeos eram postados, inclusive na rede TOR, onde sua retirada era extremamente difícil. A Cientologia não imaginava o que era lutar contra um grupo descentralizado sobre o qual ninguém tinha informações, nem sobre seus membros nem sobre o grupo em si. Essas ações acabaram por mobilizar a opinião pública e a Cientologia tentava contra-atacar desqualificando o movimento, chamando o anonymous de ciberterroristas, mas não adiantou nada. A partir de então, o anonymous assumiu o papel de voz ativa contra a censura, promovendo atos físicos e virtuais em defesa dos direitos civis e das liberdades individuais. Escondidos pela máscara que imita o rosto de Guy Fawkes, como a Figura 1, soldado inglês que morreu no Levante da Pólvora do século XVII, centenas de indivíduos e grupos hackers em todo o mundo fizeram e promoveram diversas ações, chamando os 28 holofotes da imprensa sobre si e desafiando as autoridades vigentes, quando estas faziam coisas que os desagradavam. Figura 1 – Máscara de Guy Fawkes Fonte: tyannar81/iStock.com. Ainda, merecem destaque o apoio do anonymous às operações Megaupload e Primavera Árabe, em que, no caso do primeiro, após o fechamento do site Megaupload, que era acusado de promover a “pirataria” de softwares, músicas e vídeos, que os Estados Unidos deveriam “esperá-los”. Nas horas seguintes, o anonymous derrubou os sites da Universal Music, do Departamento de Justiça dos Estados Unidos, da Motion Picture Association of America (MPAA), do FBI, da Associação de Chefes de Polícia do Estado de Utah e até o site de registro de copyrights dos EUA e até o site do FBI, usando ataques DDoS (Distribuited Denial of Service), em português, “ataque de negação de serviço distribuído”. Em 2012, esses mesmos tipos de ataques foram realizados no Brasil contra instituições financeiras brasileiras, com o intuito de chamar a atenção da 29 população em relação à corrupção existente no país. Cada dia da semana compreendida entre as datas de 30 de janeiro a 4 de fevereiro de 2012 era escolhido um banco como alvo com a intenção de deixá-lo inoperante por 12 horas consecutivas. Essa data caía justamente na “semana de pagamento”, ocasião na qual boa parte das empresas realizavam o pagamento do salário de seus funcionários. Na época, o anonymous declarou que não tinha relação com esses ataques, e que eram realizados pelos grupos AntisecBrTeam, iPiratesGroup e Lulzsecbrazil, grupos hackitivistas que se declararam contrários às diretrizes do Anonymous. O grupo publicou em seu Facebook a seguinte mensagem: Anonymous não tem como alvo a sociedade, os prejudicados por esta ação são única e exclusivamente os cidadãos, que estão na primeira semana do mês, semana de volta as aulas, semana de pagamento. … Esta ação está sendo executada por @AntisecBrTeam, @iPiratesGroup e @Lulzsecbrazil, grupos que se declararam contra o Anonymous abertamente, e estão executando essa ação como tentativa de desmoralizar o coletivo ao qual dedicamos várias de nossas forças há quase um ano. Eles, com toda sua necessidade doentia de atenção, decidiram assumir a postura de que ‘se não nos respeitam pelo amor, vão nos respeitar pela dor’. (MACHADO, 2015, p. 1539) Anteriormente, em 2011, os sites da Presidência da República, da Receita Federal e do Portal Brasil ficaram inoperantes por três horas, atacados também via DDoS. Horas depois, o site da Petrobras ficou vinte e cinco minutos sem possibilidade de acesso. Com o modus operandi do anonymous se tornando popular, outros grupos aderiram à causa. Assim, em 2018, ataques efetuados pelo(a) cracker VandaTheGod, integrante do Brazilian Cyber Army (BCA), outro grupo hackitivista, invadiu sites de governos estaduais e federais, incluindo alguns órgãos do governo, como universidades federais, e desfigurou-os. Em todas as desfigurações, críticas eram realizadas contra o então presidente da república, Michel Temer, ou ao sistema político brasileiro. 30 Como você pôde notar, os ataques DDoS (Distribuited Denial of Service) e desconfigurações de sites são os mais executados. A desconfiguração é realizada explorando falhas no servidor, que podem estar localizadas no sistema operacional dele, na própria página alvo, ou em outros lugares, buscando obter acesso privilegiado ao sistema ou instalando uma shell remota para acesso ao servidor. A partir daí, busca-se onde está a página da Web a ser modificada e, assim, seus arquivos e textos são alterados. O ataque DDoS (Distribuited Denial of Service) opera de várias formas, pondendo explorar várias brechas dos próprios protocolos de comunicação de rede, por exemplo, o TCP. Veja um exemplo de ataque DoS (Denial of Service), uma versão mais simples do ataque DDoS, realizado por um só atacante, comparado ao funcionamento normal do protocolo TCP (Transmission Control Protocol), em português, “protocolo de controle de transmissão”. Figura 2 – Comparação entre TCP-IP e ataque DoS Fonte: elaborada pelo autor. 31 Como você pode notar, o ataque DoS, assim como o DDoS, explora a estrutura de funcionamento do protocolo TCP, que sempre responderá com SYN-ACK toda vez que receber uma requisição SYN. Isso fará com que haja milhares de requisições de conexão a serem atendidas, e alguém com uma requisição legítima não consiga se conectar, gerando a negação de serviço do servidor. Por sua vez, a diferença entre o DoS e o DDoS é que primeiro vários computadores realizam o ataque ao mesmo tempo, aumentando o poder do ataque. 2.2 Análise das ações hackitivistas Embora revestidas de idealismos, as ações hackitivistas são criminosas perante a lei. Nesse sentido, todos os países têm leis contra tal prática; no Brasil, a Lei nº 12.737, de 30 de novembro de 2012, que dispõe sobre a tipificação criminal de delitos informáticos, altera o art. 154 do Código Penal Brasileiro, que fica acrescido com os 154-A e 154-B (BRASIL, 2012): Invasão de dispositivo informático Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa outácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa. § 1º Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. § 2º Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. 32 § 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido: Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. § 4º Na hipótese do § 3º, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos. § 5º Aumenta-se a pena de um terço à metade se o crime for praticado contra: I. Presidente da República, governadores e prefeitos; II. Presidente do Supremo Tribunal Federal; III. Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou IV. dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal. ‘Ação penal Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos’. Logo, as atividades hacktivistas podem ser enquadradas como criminosas, sob a ótica da lei; seus praticantes podem ser enquadrados como malfeitores da sociedade. 33 Porém, não é só atividades hacktivistas que podem ser enquadradas como crime ou como atividades reprováveis; você verá a seguir outras atitudes na Internet que precisam ser evitadas. 3. Liberdade de expressão e a Internet Atualmente, é muito comum as pessoas expressarem sua opinião, principalmente na Internet, sobre qualquer assunto: comentando notícias, participando de fóruns de discussão, nas redes sociais das quais elas fazem parte, e também em seus próprios sites, como blogs. Como isso tem sido feito? A liberdade de expressão é o direito de todo e qualquer cidadão de manifestar seu pensamento, opinião, atividade intelectual, artística, científica e de comunicação, sem censura, como assegurado pelo art. 5º da Constituição (BRASIL, 1988). Isso significa que deve ser interpretado ipsis literis (ao pé da letra)? Pense no seguinte caso: direitos usados de forma irresponsável, ocasionam revolta na parte ofendida. Em outras palavras, é a velha máxima “seu direito termina quando começa o do outro”. Logo, esse fato pode ser evidenciado nos casos de racismo, misoginia (ódio às mulheres), discursos de ódio em geral, ofensas à honra, e outros fatos desagradáveis, sendo, inclusive, classificados como crime. Isso acontece porque a liberdade de expressão não é um direito absoluto, e qualquer manifestação de opinião, quando desmedida, se transforma facilmente em calúnia, difamação ou injúria, que pode originar um processo judicial. Nesse sentido, se você analisar comentários de notícias, verificará que ali são cometidos muitos desses “crimes menores”, pois, há comentários ofensivos, não só em relação à notícia, mas ataques diretos para outros leitores que fizeram seus comentários. 34 Isso pode ser incentivado pelo fato das palavras ditas atrás de um computador não são ditas pessoalmente, e há a falsa ilusão que seus autores não prestarão contas disso. No entanto, pense: é o caso do agressor de produzir provas contra ele mesmo, pois ele documentou sua agressão. Assim, o seu IP está atrelado àquele texto e uma perícia em seu computador pode comprovar a autoria do fato. Portanto, ao usar esse direito de livre expressão de pensamentos, o usuário da internet deve pensar nos limites de sua liberdade, pois ninguém é livre de verdade, todos os seres humanos têm de prestar contas a alguém. Outro crime praticado com frequência é a exposição de dados pessoais na internet, seja por crackers, que comercializam esses dados, ou, ainda, de forma inadvertida, por empresas e órgãos governamentais. Por exemplo, é comum você encontrar CPF, RG, endereço residencial de alguém na Internet, mas isso viola princípios da segurança da informação e até a legislação. Com a Lei Geral sobre Privacidade de Dados, a livre divulgação e comercialização de dados estão proibidas, pois, toda empresa que detiver os dados de alguém é obrigada a guardá- los e zelar por eles, caso contrário, sofrerá sanções. 4. Conscientização de usuários Como você pôde notar, há muito que considerar sobre o lado humano da segurança da informação. E por ser o elo mais fraco dela, ele precisa ser constantemente reforçado e vistoriado. Isso acontece porque o ser humano não é como um computador, que só faz o que é programado para fazer, ele tem livre arbítrio e, muitas vezes, usa essa faculdade de modo equivocado. 35 Para que tome decisões corretas, o ser humano precisa ser treinado para tal. Ele tem que adquirir conhecimento sobre um assunto, raciocinar sobre ele, e treinar para que esse conhecimento faça parte dele; ele tem que agir automaticamente da maneira correta. Nessa ocasião é que entra campanhas de conscientização de usuários. As empresas devem treinar seus funcionários para entenderem a importância da segurança da informação para a manutenção do emprego deles. Não é o fato de simplesmente pensar “se eu não seguir as regras da empresa, serei despedido”. Ele deve entender que se ele não seguir os princípios da segurança da informação dentro da empresa e fora dela, quando em serviço ou não, ele será uma ameaça para a empresa, tendo que ser “eliminado”, corporativamente falando. Se a empresa sofrer um revés financeiro devido a um ato descuidado por parte desse funcionário, o emprego dele e de seus colegas estão correndo perigo, pois, a empresa pode dispensá-los por não poder mais continuar com eles. Nesse caso, vê-se um dos bordões militares mais famosos sendo posto em prática: “quando um errar, todos vão pagar”. Portanto, se você estiver em um cargo de coordenação, gerência ou diretoria um dia, lembre-se disso e faça uma campanha de conscientização na sua empresa. Referências Bibliográficas BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Presidência da República, [1988]. Disponível em: http://www.planalto. gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 19 nov. 2020. BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940–Código Penal; e dá outras providências. Brasília, DF: Presidência da República, [2012]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/ l12737.htm. Acesso em: 23 nov. 2020. http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm 36 MACHADO, M. B. Entre o controle e o ativismo hacker: a ação política dos Anonymous Brasil. História, Ciências, Saúde – Manguinhos, Rio de Janeiro, v. 22, p. 1531-1549, dez. 2015. Disponível em: https://www.scielo.br/pdf/hcsm/v22s0/0104-5970-hcsm- 22-s1-1531.pdf. Acesso em: 23 nov. 2020. MITNICK, K. D.; SIMON, W. L. A arte de enganar–ataques de hackers: controlando o fator humano na segurança da informação. São Paulo: Pearson Education, 2003. PIRES, M. R. O equilíbrio necessário para que a liberdade de expressão coexista com outros direitos. RevistaÂmbito Jurídico, 1 dez. 2011. Disponível em: https:// ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para- que-a-liberdade-de-expressao-coexista-com-outros-direitos/#:~:text=%C3%89%20 necess%C3%A1rio%20que%20exista%20um,direito%20em%20 rela%C3%A7%C3%A3o%20a%20outro. Acesso em: 23 nov. 2020. SAMUEL, A. W. Hacktivism and the future of political participation. 2004. Tese (Doutorado em Ciência Política)–Harvard University, Cambridge, 2004. Disponível em: https://www.alexandrasamuel.com/dissertation/pdfs/Samuel-Hacktivism-entire. pdf. Acesso em: 23 nov. 2020. https://www.scielo.br/pdf/hcsm/v22s0/0104-5970-hcsm-22-s1-1531.pdf https://www.scielo.br/pdf/hcsm/v22s0/0104-5970-hcsm-22-s1-1531.pdf https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib https://ambitojuridico.com.br/cadernos/direito-constitucional/o-equilibrio-necessario-para-que-a-lib https://www.alexandrasamuel.com/dissertation/pdfs/Samuel-Hacktivism-entire.pdf https://www.alexandrasamuel.com/dissertation/pdfs/Samuel-Hacktivism-entire.pdf 37 Testando a segurança Autoria: Marcelo Ferreira Zochio Leitura crítica: Priscilla Viana Cunha Objetivos • Entender as fases de um pentest e como realizá-las. • Aprender a fazer um relatório de pentest. • Compreender o que é ser um hacker ético 38 1. Pentest Neste material, você aprenderá sobre os princípios que norteiam a realização de um teste de segurança de uma corporação, mais conhecido pela palavra pentest. Essa palavra é uma abreviação de seu nome em inglês, penetration test, e a ideia é ver o quão profundamente o hacker ético consegue entrar no sistema de uma empresa, seja ele um site, um servidor, uma rede ou um computador específico dessa rede. Isso inclui obtenção de acessos privilegiados, acesso às informações que deveriam estar protegidas e demonstração de falhas de segurança. O profissional que é especializado nesse tipo de teste é o hacker ético. Ele possui os mesmos conhecimentos que um cracker, aquele que age para obter vantagens e prejudicar o invasor de algum modo. Por outro lado, o hacker ético é um profissional que age dentro da lei e da ética. Ele descobre as falhas de segurança da empresa que o contrata e elabora um relatório discriminando as falhas encontradas e como eliminá-las. Para realizar esse trabalho, o hacker ético precisa ter profundo conhecimento do ambiente em que ele vai atuar, logo: ele deve conhecer muito bem os sistemas operacionais envolvidos no pentest, as ferramentas que vai usar e, principalmente, como explorar falhas em sistemas, além de estar atualizado com seu saber profissional. Neste cenário, falhas novas são descobertas a todo momento e uma grande parte delas é publicada, portanto, ele precisa estar atento no progresso de sua área de atuação. Desse modo, o trabalho de pentest exige uma abordagem metodológica para ser bem feito. 1.1 Como planejar e realizar um pentest Todo teste possui uma metodologia para que ele seja realizado com sucesso, o que também se aplica ao pentest. Por sua vez, ele possui fases que devem ser seguidas uma após a outra, conforme a figura a seguir. 39 Figura 1 – Fases de um pentest Fonte: elaborada pelo autor. Coleta de informações (footprint): é a primeira fase, onde você usa métodos não invasivos para obter informações sobre um alvo e, posteriormente, usa métodos mais intrusivos. A intenção é ter o mínimo de contato com o alvo para evitar detecção, soando algum alarme no sistema. Alguns exemplos de lugares e métodos usados para obter as informações iniciais não invasivas são: • Consultas de whois: a expressão vem da expressão inglesa who is?, em português, “quem é?”. Esse é um serviço disponível na internet que fornece informações sobre domínios de sites, faixas de IP, proprietário, DNS (Domain Name Server, ou servidor de nome de domínio) e contato com o responsável técnico. • Sites de buscas (Google): o Google possui um poderoso motor de busca, e seu poder é tanto que há denominadas Google Hacking que podem ser usadas para obter informações mais intrusivas sobre o alvo, além de permitir alguns ataques via Google, se a segurança do sistema não estiver corretamente configurada. Além disso, sites que não possuem conhecimento técnico sobre política de privacidade e sua legislação (inclusive governamentais) divulgam muitas informações de foro íntimo que deviam ser guardadas, como números de documentos de pessoas físicas, endereço, nome dos pais, entre outros. Montar um perfil falso com esses dados fica muito fácil nas mãos de uma pessoa mal-intencionada. • Redes sociais: excelente fonte para obter informações para futuros ataques de engenharia social. Empresas costumam divulgar o nome de seu novo gerente, diretor, entre outros funcionários. 40 Você mesmo, talvez, já deve ter colocado em seu LinkedIn que é funcionário da empresa X e possui o cargo Y nessa empresa. Mapeamento/varredura de rede (scanning): uma vez feito o levantamento de informações sobre o alvo, é hora de ser assertivo, fazendo um ataque mais intrusivo e sem levantar suspeitas. Nesta fase são feitas algumas varreduras de ping para detectar computadores ativos na rede e seus respectivos endereços IP e port scans, varreduras de portas com o objetivo de detectar serviços sendo executados, como: servidor de Internet, servidor de e-mails, servidor de banco de dados, conexões criptografadas, servidores FTP, TELNET, entre outros. Uma ferramenta muito útil para tais atividades é o Nmap. Enumeração: nesta fase, você analisa as informações obtidas na fase de scanning para determinar se elas são úteis para você, atacante. A seguir, listamos algumas informações que podem ser úteis: • Lista de usuários e grupos: com essa informação, basta tentar descobrir quais as senhas desses usuários. • Aplicações: sabendo quais as aplicações usadas, pode-se explorar falhas conhecidas delas. • Informações de auditoria: se você conseguir obter informações sobre auditorias de sistemas, poderá encontrar valiosas sobre os sistemas auditados. Exploração do sistema: agora você pode executar os ataques se baseando nas informações descobertas. Uma vez que você tem versões de sistema operacional, softwares, protocolos e outras informações, explore possíveis falhas conhecidas e se dominar bem a arte de explorar falhas, procure falhas até então desconhecidas. Escalada de privilégios: uma vez explorada uma falha e invadido o sistema, essa é a fase em que o atacante procura obter, por meio da má configuração do sistema ou falha inerente, acesso a um usuário com privilégios de administrador do sistema. Por exemplo, acessar o sistema como usuário root, no Linux, ou admin, no Windows. Após obtido acesso 41 administrativo, o sistema é seu. Inclusive, você pode testar outros computadores da rede, se o escopo de seu pentest permitir, atacando-os a partir do seu servidor invadido. Implantação de backdoors: para que seja possível voltar ao sistema para continuar a testá-lo, você precisa providenciar um meio para entrar “pela porta dos fundos” (backdoor, em inglês), a fim de não ser identificado como intruso pelo sistema. Providencie um cavalo de Troia para que ele execute essa operação para você e instale-o no alvo. Apagamento de rastros: tudo o que você faz em um computador é registrado. Se você conectar um pendrive em um computador, por exemplo, é possível saber a hora em que isso foi feito, se foram feitas transferência de arquivos para o pendrive ou do pendrive para o computador, se foi aberto algum arquivo no pendrive e, até mesmo, qual pendrive foi conectado, pois é gravado seu número de série. Logo, você precisaapagar vestígios de sua passagem pelo sistema. Caso você queira eliminar vestígios de sua presença e ações em sistemas Windows, ao usar a ferramenta meterpreter, use o comando clearev, que ele apagará todos os logs armazenados no sistema operacional Windows do computador invadido. Se o alvo tiver um servidor de logs, o atacante deverá pesquisar onde ele se encontra na rede e apagar seus logs, após comprometer esse servidor, com a exploração de alguma falha presente nele. Em computadores com sistema operacional Linux, o atacante deverá apagar os registros das seguintes pastas: /var/logs Nessa pasta, o arquivo messages presente contém os logs do sistema. ~/.bash_history Essa pasta contém o histórico dos comandos executados no sistema operacional. Assim, pode-se encontrar comandos que podem provar a execução de comandos para comprometer o sistema. Elimine os rastros do histórico de comandos com o comando “export HISTSIZE=0” ou destruindo-o, com o comando “shred -zu root/.bash_history” 42 Há outros softwares, como o Apache, que são servidores de Internet que possuem logs próprios; caso ele tenha invadido uma página WEB hospedada neste tipo de servidor, haverá sinais de sua presença ali. Logo, cabe ao pentester saber quais softwares possuem logs próprios e se é preciso apagá-los. 1.2 Tipos de pentest Ao solicitar um serviço de pentest, é preciso definir qual o escopo do teste. Ou seja, como ele será feito e até onde o teste deve ir. De acordo com Oriyano e Blockmon (2016), a literatura sobre o tema classifica três tipos de pentest: Whitebox: nesse tipo de pentest, o contratante especifica em detalhes o que deseja que seja testado e abre as portas para o pentester. O escopo desse tipo de teste é bem restrito e especificado, e o pentester deve simplesmente testar o que lhe foi solicitado. Graybox: alguns dados são fornecidos ao pentester. Por exemplo, uma empresa quer testar se sua intranet pode ser acessada por outra pessoa que não seja seu funcionário ou se é possível acessar de modo não autorizado seu banco de dados. A seguir, veja um exemplo de trecho de um contrato entre uma instituição de ensino e um pentester fictícios onde esse tipo de pentest é solicitado: “A UniEsquina tem compromisso com a segurança e privacidade de seus dados e deseja confirmar se todos seus sistemas e servidores estão seguros. Para tal, por meio desse contrato, resolve contratar Sandrovaldo Felisbino da Silva, doravante denominado contratado, para a realização de um pentest do tipo graybox, onde as únicas informações cedidas, além de um site público, é que a UniEsquina possui um servidor interno não acessível ao público externo, que hospeda sua intranet. 43 O objeto do contrato será detectar vulnerabilidades nos sistemas da UniEsquina e confeccionar um relatório sobre as falhas encontradas ou, se for o caso, ratificando a segurança do sistema. O escopo do teste é explorar vulnerabilidades encontradas no referido servidor e procurar e explorar falhas em servidores da rede interna. Por trabalhar em um servidor de produção, deve-se ter cuidado com possíveis paradas e exclusões de arquivos importantes; o bom funcionamento dos servidores e demais computadores da UniEsquina, durante o pentest, estará sob a responsabilidade do contratado. O alvo central é: 52.7.213.137.” Blackbox: não é fornecido ao pentester nenhum detalhe sobre o alvo, a não ser o endereço a ser atacado. Esse é o tipo de teste mais oneroso financeiramente para o contratante, pois, o pentester terá mais trabalho que nos outros, porque estará entrando em terreno desconhecido e poderá inclusive ser mais demorado. 1.3 Ferramentas de pentest Existem os mais variados tipos de ferramentas para pentest, em que algumas são pagas, outras são livres de licença e outras possuem licenças que permitem seu uso livre. Ao fazer o planejamento do pentest, você deve incluir este item no planejamento, então, qual ferramenta usar? Isso depende do tipo de teste que for realizar, por exemplo: Se o seu cliente deseja que você teste a possibilidade do sistema ser invadido com um ataque vindo de suas dependências internas, provavelmente, haverá políticas de uso de softwares; logo, arquivos com extensão .exe fora do escopo da política de segurança da informação 44 podem não ser permitidos pelo sistema. Nesse caso, você deverá desenvolver a sua própria ferramenta, pois, ferramentas como Nessus, Arachni, Acunetix, que fazem testes automatizados em sites e redes, estarão bloqueados. Por isso, todo hacker ético deve saber programar, pois, situações como essa podem aparecer. Ainda, citando as ferramentas de testes automatizados, são necessárias certas considerações ao usá-las. Se você for usar essas ferramentas e disparar os testes como uma metralhadora, você será descoberto e bloqueado na rede do alvo. Portanto, ao usá-las, procure ser discreto: faça os testes disponibilizados por elas aos poucos, para não levantar suspeitas sobre sua presença. Veja a seguir duas telas do software Acunetix, usado para testes automatizados em aplicativos e páginas WEB. Figura 2 – Resultado de teste automatizado do software Acunetix Fonte: captura de tela Acunetix. 45 Figura 3 – Descrição de possível falha encontrada pelo Acunetix, seu impacto e recomendações para sua solução Fonte: captura de tela Acunetix. O aviso na Figura 3 fala de uma possível ocorrência de vulnerabilidade a CSRF (Cross Site Forgery Request), que é um tipo de exploração maliciosa de um site por meio do qual comandos não autorizados são transmitidos de 46 um usuário em quem o site confia. Em caso de um uso normal, isso pode comprometer os dados do usuário e, em caso do usuário administrativo do site, os danos podem se estender ao próprio site. Além disso, não poderia faltar a distribuição Linux mais usada e mais conhecida para testes de segurança: o Kali Linux. O Kali é um framework que possui várias ferramentas para pentest, entre elas, podemos citar: • Metasploit (coleção de exploits, programas feitos para explorar falhas específicas de sistemas). • SET (Social Engineering Toolkit ou Kit para Engenharia Social). • BeEF (Browser Exploitation Framework, usado para ataques XSS -Cross Site Scripting). • John the Ripper (usado para ataques de força bruta e de dicionário contrassenhas e hashes). • BetterCap: executa ataques man-in-the-middle (homem-do-meio). • Nmap (Network mapper): usado para levantar informações sobre redes e sistemas. • Air-crack-NG: ferramenta para testes de segurança em redes wi-fi. • Wireshark: analisador de protocolo; permite verificar em detalhes o funcionamento de protocolos de comunicação de rede e, ainda, executa algumas funções de sniffer de rede. Como abordado anteriormente, há várias ferramentas para se fazer um pentest, mas nenhuma delas substitui a principal ferramenta, a sua mente. Nesse sentido, estratégia, inteligência, conhecimento e capacidade de improviso são peças chaves para ser um excelente hacker ético. Logo, as ferramentas são apenas um meio de você realizar suas tarefas. 47 Para ser um hacker ético, você precisa saber por que usar esta ferramenta e não aquela, como funcionam os ataques, porque essa falha existe, como explorá-la, saber o funcionamento do sistema operacional que você vai testar, entender como o sistema se comporta, entre outros detalhes. Dessa maneira, o hacker ético deve ser capaz, inclusive, de construir sua própria ferramenta para exploração de vulnerabilidades, caso não seja possível usar uma já existente, devido a restrições no ambiente a ser explorado. Como diz o ditado, “conhecimento é poder”. 1.4 Relatório de pentest Ao término dos testes, você precisa relatar o que encontrou, fazer uma PoC (Proof of Concept ou “prova de conceito”), para que seja comprovada a falha encontrada e recomendações para solucionar as falhas. Desse modo, um bom relatório possui linguagem técnica, mas compreensível para o leigo, é escorreito em seu texto(não possui erros gramaticais), é sucinto e direto. A seguir, apresentamos uma boa estrutura para um relatório de pentest: • Capa com título e com a expressão “confidencial”. • Sumário. • Estrutura do sistema testado (desenho do sistema). • Relato das vulnerabilidades encontradas (nessa parte, podemos incluir gráficos comparativos entre elas). • Provas de conceito dessas vulnerabilidades. • Conclusão. 48 • Apêndice (nessa etapa, você deve colocar as orientações para a equipe técnica com as recomendações para a solução das vulnerabilidades encontradas no pentest). O relatório deve ser entregue somente para o responsável pela contratação do pentest. Além disso, todas as falhas devem ser relatadas. Por sua vez, o pentester pode propor sua ajuda na correção delas, mas não é sua obrigação. Ele deve recomendar medidas para a correção dos erros, mas executar tais medidas depende do cliente. Se o cliente solicitar ao pentester a execução dessas medidas, o preço de sua execução não faz parte da contratação do serviço de pentest, sendo cobrado à parte. 1.5 Ética durante e após um pentest O hacker ético deve ter discrição como seu padrão de conduta. Assim, ele não pode comentar com outras pessoas sobre as falhas que encontrou, vinculando-as ao seu cliente. Logo, é recomendável que se faça um contrato de sigilo profissional entre as partes, para que o processo seja transparente, e isso vale também para o cliente. Ele não deve contar que o hacker ético “tal” está testando a segurança da informação de sua empresa, pois, isso pode pôr a perder todo o trabalho executado, porque se isso ficar conhecido pela equipe de segurança, os resultados do teste não refletirão a realidade. O hacker ético também deve se ater ao objeto do teste: não deve testar ou tentar invadir áreas da empresa para o qual o escopo do pentest não abrange. Além disso, em alguns casos, pode-se causar processos judiciais, como: segredo de negócios, segredo de justiça, segredo industrial, segredo profissional, entre outras situações. Se informações desse tipo estiverem no escopo do pentest, elas devem constar no contrato de serviços junto 49 com a autorização do cliente para testar seus ambientes como parte da execução dos serviços contratados. Durante a operação normal de um sistema ou fazendo um pentest, caso descubra uma falha, você deve relatá-la ao responsável pela segurança e dar-lhe tempo para saná-la. Depois disso, você pode publicar sua descoberta. 1.6 Implicações legais em um pentest A Lei nº 12.737, de 30 de novembro de 2012 (BRASIL, 2012), tipifica os crimes de informática. Entre eles está a invasão de dispositivos informáticos sem a autorização do seu dono. Logo, invadir computador ou qualquer outro dispositivo alheio, sem a autorização de seu proprietário, é crime. Assim, a primeira coisa que deve ser feita antes da realização do pentest é solicitar uma autorização por escrita dos representantes legais da empresa, para o cumprimento dessa lei. Isso dará respaldo legal a toda e qualquer ação que o hacker ético fizer, dentro do escopo do teste. 1.7 Conclusão Neste tema, você aprendeu que atuar como hacker ético pode ser glamoroso, mas requer muito conhecimento, estudo e dedicação. Além disso, pode-se exigir outras qualidades exigidas, como: discrição e ética, bem como estar a par da legislação local onde você atua sobre o assunto. Saber operar ferramentas de pentest não o torna um hacker ético, mas sim o porquê você a está usando e como sanar os problemas encontrados por ela, aliado ao conhecimento técnico e legal sobre essa atividade. 50 Referências Bibliográficas BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei nº 2.848, de 7 de dezembro de 1940–Código Penal; e dá outras providências. Brasília, DF: Presidência da República, [2012]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/ l12737.htm. Acesso em: 23 nov. 2020. HOUT, N. J. V. den. Standardised penetration testing? Examining the usefulness of current penetration testing methodologies. 2019. Dissertação (Mestrado em Segurança de Informação)–Royal Holloway, University of London, 2019. FELDERER, M. et al. Security testing: a survey. Advances in Computers, Cambridge, v. 101, p. 1-51, 2015. ORIYANO, S. P.; BLOCKMON, R. Certified ethical hacker version 9: study guide. New Jersey: Sybex, 2016. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm 51 As novas formas de lidar com a informação Autoria: Marcelo Ferreira Zochio Leitura crítica: Priscilla Viana Cunha Objetivos • Analisar os impactos das mudanças ocasionadas pela Lei Geral de Proteção de Dados (LGPD). • Entender os riscos e benefícios da filosofia “Traga seu próprio Dispositivo” (BYOD, em inglês, Bring Your Own Device). • Entender o novo cenário da T.I. 52 1. O novo cenário da tecnologia da informação Nas últimas décadas, as áreas de negócios e tecnologia da informação tiveram grandes mudanças. Nesse sentido, um dos maiores desafios enfrentados pelas empresas se trada de alinhar e integrar grandes evoluções na TI com os negócios. As mudanças econômicas, a globalização e outros fenômenos aumentou a competitividade entre as empresas. Segundo Ruas (2005), não basta só aumentar a produtividade e qualidade, é necessária inovação. Atualmente, as empresas são extremamente dependentes de sistemas de informação, adicionando valor à tecnologia da informação nos negócios. Desse modo, sem uma tecnologia da informação eficiente, não se faz negócios. Consequentemente, isso refletiu na principal peça de uma empresa: recursos humanos. Nesse contexto, o perfil do funcionário de tecnologia da informação mudou; antes, com um perfil introspectivo e puramente técnico, nesse novo cenário, ele adquire um perfil que abrange a área de negócios, pois, além do conhecimento técnico, ele precisa saber que valor está agregando à empresa com esse conhecimento e produtos ou serviços que fornece, além de saber expor esses valores aos stakeholders (interessados no projeto). Para ter sucesso em sua atuação, o funcionário de tecnologia da informação precisa saber a dose certa de inovação e entender as mudanças culturais causadas pela tecnologia da informação (BROADBENT; KITZIS, 2005). A tendência é que todos os serviços técnicos prestados pela tecnologia da informação migrem para a “nuvem” (Cloud Computing) e sejam terceirizados, enquanto os funcionários da empresa atuam mais na parte tática e estratégica da tecnologia da informação. Além disso, outro paradigma quebrado foi o trabalho remoto, em que muitas empresas consideravam essa modalidade de trabalho 53 improdutiva, pois, achavam que não podiam supervisionar de perto o funcionário, ou nem o supervisionar de forma mais direta, e desencorajavam totalmente essa abordagem. Porém, as empresas foram forçadas a recorrer a essa modalidade de trabalho durante a epidemia da COVID-19, a fim de não terem maiores prejuízos. Pors sua vez, qual foi o impacto dessa ação nas empresas? Obviamente, esse tipo de trabalho possui maiores riscos, pois, os funcionários estão trabalhando em um local diferente de uma corporação, onde normalmente a infraestrutura não é adequada, tanto na parte tecnológica quanto na ergonômica, e também o ambiente não é uma empresa. Nessa época, aconteceram e acontecem gafes em reuniões on-line, filhos e animais de estimação “roubando a cena”, surgem coisas e fatos inusitados, entre outros reveses e cenas hilárias. No entanto, as empresas não negam que estavam enganadas quanto ao trabalho remoto, pois, várias empresas de teleatendimento conseguiram fazer com que seus atendentes trabalhassem em casa, o que era inimaginável para esse tipo de trabalho. Veja a seguir as vantagens e desvantagens de trabalhar remotamente. 1.1 Vantagens do trabalho remoto Trabalharem casa: o funcionário não corre risco e não passa estresse no trânsito, não chega cansado nem atrasado no trabalho devido ao transporte público lotado ou com problemas, não sofre com as intempéries (chuva, calor, frio, tempestades, enchentes ao ir ou voltar do trabalho). Passar mais tempo com a família: embora o trabalho ocupe o mesmo tempo que na empresa e a intensidade de dedicação seja a mesma, o fato de estar com a família em casa melhora o fator psicológico do funcionário, 54 que pode acompanhar sua família mais de perto e, de certa forma, estar mais presente, mesmo que não totalmente nos momentos de trabalho. Ter mais tempo para projetos pessoais: como isso pode acontecer se vou trabalhar a mesma quantidade de horas que trabalhava antes? Lembre-se de que agora você não se desloca mais para a empresa ou da empresa para casa, assim, contará com algumas horas a mais para se dedicar a você. Logo, você poderá fazer aquele curso que você queria fazer, mas não tinha tempo ou energia porque chegava cansado demais do trabalho; ir à academia se exercitar; passar mais tempo com os filhos e cônjuge; ou seja, há uma possibilidade de melhor qualidade de vida. Trabalhe de qualquer lugar do mundo: tendo uma estrutura adequada no local, você pode fazer aquela viagem com a família e, ainda assim, trabalhar enquanto eles se divertem. Como não existem só pontos positivos, no item a seguir, listamos os pontos negativos. 1.2 Desvantagens do trabalho remoto Cuidado com a desorganização: por trabalhar em casa, há a tendência de não haver um espaço dedicado ao trabalho remoto. Há também a tendência de misturar afazeres domésticos e afazeres profissionais. Por isso, é importante que você estabeleça horários para trabalhar e cuidar de coisas pessoais. Acúmulo de tarefas: fruto da desorganização, assim, os prazos vão vencendo e as tarefas vão se empilhando. Isso também causa perda de qualidade na execução dos serviços, pois, com os prazos vencendo, a rapidez em terminá-los acaba sendo a prioridade. Isolamento: trabalhar em casa deixa você isolado do mundo social. Você não tem contato presencial com outras pessoas, que não sejam 55 da casa. Essa situação causa tédio e, até mesmo, depressão, gerando insatisfação com essa modalidade de trabalho. Problemas de comunicação: a tendência de ocorrer mal-entendidos e falta de comunicação aumenta com o trabalho remoto. Presencialmente, as coisas são resolvidas mais rapidamente; o fato de existir uma mídia entre as pessoas torna a comunicação mais lenta, principalmente quando esta mídia apresenta problemas. Outro fator que pode atrapalhar a comunicação são quedas de energia elétrica, deixando equipamentos sem funcionar (incluindo internet), as quais em uma empresa podem ser mitigadas com geradores, coisa que em uma residência se torna inviável. A segurança da conexão é outro fator: sua rede é tão segura quanto a da empresa? Aumento dos gastos domésticos: tudo aumenta quando se trabalha em casa: a conta da luz, da água, gastos com alimentação (inclusive os “lanchinhos” que estão mais acessíveis). Há outro cenário que está se tornando tendência: funcionários com equipamentos próprios de trabalho. 2. BYOD (Bring Your Own Device) Essa sigla, em português, significa “traga seu próprio dispositivo”. As empresas que adotam essa política de trabalho incentivam os funcionários a trabalharem com seu próprio equipamento, evitando custos com compra de computadores. Para a equipe de segurança, isso é um pesadelo. Geralmente, uma das regras que se impõem aos funcionários de uma empresa é que eles não devem usar dispositivos pessoais na empresa, a fim de evitar contaminação por programas maliciosos e espionagem industrial. Isso vale não só para computadores, mas inclui pendrives e outros tipos de 56 mídia. No entanto, agora as empresas incentivam justamente isso. Na visão da equipe de segurança, isso é um atentado contra a segurança da informação da corporação, mas essa é a realidade de algumas delas. Acessar dados e informações da companhia com seu próprio dispositivo dentro da empresa, algo antes impensável, agora é comum. Nesse contexto, uma das razões das empresas adotarem essa política é que o funcionário cuidará melhor de seu equipamento do que o equipamento da empresa. No entanto, essa política tem que ser bem implantada e ter uma infraestrutura jurídica e tecnológica para funcionar adequadamente, além de regras claras de uso profissional de equipamentos particulares a serviço de terceiros, por exemplo: • Se o computador do funcionário quebrar, quem paga a manutenção? Afinal, ele estava a serviço da empresa. • Quem pagará o seguro contra roubo? Lembrando, ele está a serviço da empresa. • A empresa poderá adequar o dispositivo do funcionário para exercer o trabalho de acordo com suas normas? Não esqueça, o dispositivo não é da empresa. • Caso a empresa financie a compra de um dispositivo para o funcionário, descontando em seu salário o valor da sua compra, ela poderá impor a marca e o dispositivo que o funcionário deverá comprar, para se adequar às suas regras? Novamente, a empresa está apenas financiando a compra de um dispositivo que será do funcionário, portanto, ela não poderá impor regras em algo que não possui direitos. A filosofia BYOD vem dando lugar ao trabalho remoto, pois, ele tem se mostrado mais rentável e simples para implantar e gerenciar. Os 57 dispositivos usados de modo fixo na casa do funcionário são mais fáceis de gerenciar, por se tratam do mesmo equipamento em um mesmo lugar. Já dispositivos móveis, por usarem ondas eletromagnéticas para estabelecerem conexão, são mais propensos a problemas de comunicação. Dessa forma, a grande circulação de dados e informações pela Internet gerou uma preocupação a mais com eles, além da tradicional tríade da segurança da informação (confidencialidade, integridade e disponibilidade): a privacidade. Em vários países, e também no Brasil, foram promulgadas leis especiais para garantir tal direito aos usuários, a seguir abordaremos especificamente sobre esse tema. 3. Lei Geral de Proteção de Dados (LGPD) Antes de abordaremos sobre a legislação brasileira de privacidade de dados, vamos definir o que é privacidade. Em um primeiro momento, pode parecer que privacidade e segurança são a mesma coisa, mas não são. A segurança da informação envolve meios de proteção que uma organização usa para impedir que pessoas não autorizadas acessem os seus dados. Ela atua na proteção contra-ataques e impede a exploração de dados, inclui controles de acesso, criptografia, segurança de rede, entre outros procedimentos. Por outro lado, a privacidade de dados atua nos direitos dos indivíduos, na finalidade da coleta e processamento de dados, nos níveis de privacidade e na maneira como as organizações controlam os dados dos titulares deles. Assim, ela se concentra em como coletar, processar, compartilhar, arquivar e excluir os dados de acordo com a lei. 58 No entanto, algo que você quer manter privado, não é necessariamente confidencial. Por exemplo, suas informações médicas são privadas; seus dados de navegação em seu celular ou browser do computador são privados; seu salário é uma informação privada. No entanto, qual a importância da privacidade de dados? A seguir, listamos alguns motivos. Limite de poder: quanto mais alguém sabe sobre você, mais poder ele exerce sobre você. Portanto, é prudente limitar o poder que outros têm sobre você. Respeito pelas pessoas: respeitar a privacidade é respeitar as pessoas. Se alguém quer manter algo em sigilo, é desrespeitoso ignorar isso sem uma razão convincente. Gerenciamento de reputação: a privacidade permite o gerenciamento de sua reputação. Ninguém precisa saber algo que pode prejudicar sua reputação, pois, algo que você fez ou faz, algo que pensou ou que pensa, ou que escreveu pode ser mal interpretado ou julgado com parcialidade. Confiança: em qualquer relacionamento,temos que confiar na outra parte. Você confiaria em uma empresa que diz usar seus dados para uma finalidade, mas também utiliza para outra função? Manutenção de limitações sociais: toda sociedade estabelece limites, por sua vez, esses limites são físicos e informativos. Por exemplo, ninguém precisa saber onde você está em todos os momentos, ou o que você pensa sobre determinado assunto. Controle sobre a nossa vida: sem conhecimento sobre quais dados estão sendo usados e como estão sendo usados, sem capacidade de corrigi-los e alterá-los, você estará em uma situação muito vulnerável. Liberdade de expressão e pensamento: privacidade é a chave para a liberdade de pensamento. Um olhar de censura sobre o que 59 lemos, assistimos ou expressamos pode nos impedir de explorar os pensamentos e desenvolvê-los. Liberdade de atividades políticas, sociais e religiosas: a privacidade ajuda a proteger nossa liberdade de nos associarmos a outras pessoas e participar de atividades políticas, sociais e religiosas. Não ter que se explicar ou se justificar: você já pensou em ter que se justificar a todo momento porque alguém o viu ou ficou sabendo de algo embaraçosos sobre você? Capacidade de mudar e ter outras chances: ninguém é perfeito e ninguém agrada a todos; desse modo, as pessoas podem mudar ao longo de suas vidas. Todos merecem consertar algo que fizeram de modo errado, é justo uma pessoa ser julgada eternamente por algum comentário postado em uma rede social? Se o comentário foi questionável, será que ela pensa assim ainda? Segundo a Open Web Application Security Project (OWASP, 2017), a exposição de dados sensíveis é a terceira vulnerabilidade mais crítica na WEB. A OWASP é uma comunidade aberta dedicada a permitir que as organizações desenvolvam, adquiram e mantenham aplicações e APIs confiáveis. Em vista disso, as leis europeias e norte-americanas já aplicaram multas altíssimas quando houve descumprimento das normas legais quanto à proteção de dados relativos à sua privacidade. Veja algumas delas na figura a seguir. Figura 1 – Valor de algumas multas aplicadas por violação de privacidade de dados Fonte: elaborada pelo autor. 60 A Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados, é a lei brasileira que regulamenta o tratamento de dados pessoais no país. De modo geral, ela regulamenta o uso, a proteção e a transferência de dados pessoais de pessoas físicas no Brasil. Ela foi inspirada na GDPR, a lei europeia de proteção de dados. A LGPD obriga a todas as empresas investirem em proteção de dados e a nomear um encarregado de proteção de dados. Caso haja violação à privacidade dos dados sob a guarda da empresa, as sanções podem ser desde a suspensão das atividades de coleta de dados pessoais a multas de até R$ 50 milhões. O art. 3 dessa lei determina quando ela deve ser aplicada, conforme a figura a seguir. Figura 2 – Quando a LGPD é aplicada Fonte: adaptada de Brasil (2018). No entanto, há situações em que a LGPD não se aplica nos tratamentos de dados pessoais (BRASIL, 2018, art. 4º): 61 I. realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II. realizado para fins exclusivamente: a. jornalístico e artísticos; ou b. acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; III. realizado para fins exclusivos de: a. segurança pública; b. defesa nacional; c. segurança do Estado; ou d. atividades de investigação e repressão de infrações penais; ou IV. provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. O art. 5º, por sua vez, define alguns termos técnicos usados nessa lei (BRASIL, 2018): I. dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II. dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III. dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; IV. banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; 62 V. titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; VI. controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII. operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; VIII. encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional; IX. agentes de tratamento: o controlador e o operador; X. tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; XI. anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; XII. consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; XIII. bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados; XIV. eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado; XV. transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; XVI. uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; 63 XVII. relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; XVIII. órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; XIX. autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei. A Lei Geral de Proteção de Dados trouxe uma equiparação legal do Brasil em relação ao resto do mundo, pois, agora possui um marco regulatório sobre privacidade de dados. No entanto, essa é uma lei extensa, cheia de detalhes, que procura abranger o máximo de situações legais e técnicas possíveis e como tratar tais situações.
Compartilhar