Baixe o app para aproveitar ainda mais
Prévia do material em texto
179 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Unidade IV 7 TECNOLOGIA DE SEGURANÇA E ASPECTOS FÍSICOS E LÓGICOS 7.1 Criptografia e infraestrutura de chaves A criptografia é uma ciência fundamental para a segurança, servindo de base para diversas tecnologias e protocolos. Suas propriedades de confidencialidade, autenticidade, integridade, autenticação e não repúdio garantem o armazenamento, a comunicação e as transmissões de forma segura. Este capítulo discutirá o papel da criptografia, sua segurança e também a public key infraestructure (PKI) ou infraestrutura de chaves públicas. Para entender um pouco como chegamos aos conceitos aplicados hoje em dia, vamos voltar ao passado e entender como tudo começou. Em aproximadamente 1900 a.C., escribas hebreus utilizaram um sistema de substituição do alfabeto, ou seja, de forma reversa. Esse método foi denominado de Atbash. Dessa forma, chamamos essa técnica de cifras de substituição, ou seja, os caracteres da mensagem original são substituídos pelos caracteres da mensagem cifrada. Tempos mais tarde, por volta de 100 e 44 a.C., Júlio Cesar, o imperador, utilizou um sistema chamado de Cifra de Cesar, que consiste em deslocar as letras do alfabeto em algumas posições. Por exemplo, utilizado a chave “3”, o alfabeto cifrado seria: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Utilizando esta técnica para descrever a frase “BOM DIA” o resultado seria “ERP GLA”. Até os dias de hoje, muita coisa aconteceu e os métodos de criptografia evoluíram cada vez mais, como com o surgimento de novos algoritmos, entre eles DES, 3 DES, Twofish, Blowfish. Utilizando os mecanismos disponíveis hoje para o processo de criptografia, descrevemos a seguir um resumo dos serviços de segurança que a criptografia pode nos oferecer: • Confidencialidade: protege o sigilo das informações contra acesso de terceiros não autorizados. • Autenticação: verifica a identidade de um indivíduo ou um sistema. • Autenticidade: serve para assegurar que a mensagem seja gerada por quem realmente alega ser. 180 Unidade IV • Integridade: garante que as informações não sejam alteradas desde a sua geração. • Não repúdio: impede que uma pessoa ou sistema negue sua responsabilidade sobre seus atos. Para utilizar cada um desses serviços, diversas técnicas são empregadas, as quais serão detalhadas a seguir. A criptografia simétrica pode ser definida, forma bastante simples, por dois elementos fundamentais: um algoritmo e uma chave que deve ser compartilhada entre os participantes na comunicação. A mesma chave é utilizada tanto para codificar como para decodificar as mensagens. Quanto ao canal de transmissão dessas informações (chave e mensagens), toda a segurança desse sistema depende do sigilo da chave, que não pode ser transmitida no mesmo canal da mensagem. Para isso, são utilizados canais seguros para a troca das chaves, devido ao alto custo, e canais não tão seguros para a transmissão das mensagens. Na figura a seguir demonstramos um exemplo simples de como funciona a criptografia simétrica. Mensagem original Mensagem original Mensagem cifrada Criptografia mensagem Criptografia mensagem Chave criptografia Chave criptografia Figura 53 – Criptografia simétrica Com base nesses conceitos, dá para perceber que esse mecanismo tem algumas desvantagens aparentes, como escalabilidade na troca das chaves e garantia de não repúdio e falta de mecanismos seguros de autenticação. Como vantagens, podemos citar a baixa demanda de processamento e memória. Na tabela a seguir podemos ver alguns exemplos de algoritmos simétricos e suas particularidades. Tabela 7 – Exemplos de algoritmos simétricos Algoritmo Comprimento da chave Descritivo DES 56 bits Primeiro padrão mundial 3DES 168 bits (efetivo de 112) Nova versão do DES Blowfish Variável até 448 bits Alternativa ao DES RC4 Variável de 40 a 256 bits Utilizado nos protocolos SSL, WEP e WPA 181 GESTÃO DA SEGURANÇA DA INFORMAÇÃO As funções de hash têm por objetivo macro garantir que a mensagem não seja alterada durante o caminho. Para isso, a mensagem a ser criptografada recebe uma chave simétrica que é utilizada para gerar o message autentication code (MAC). Esse processo é bastante complexo, pois são empregadas funções fáceis de calcular em uma direção e extremamente difícil na direção contrária. Dessa forma, a chave empregada para gerar o MAC não pode ser a mesma a ser utilizada para criptografia da mensagem, ou seja, é necessário um canal seguro para a troca das chaves. Entretanto, para as chaves simétricas, será necessária a utilização de duas chaves, uma para criptografia das mensagens e outra para a geração do MAC. Com isso, quanto mais usuários utilizam esse mecanismo, mais chaves são necessárias, o que torna o processo de gestão extremamente complexo. Para resolver esse problema, surgiu o conceito de chaves assimétricas. A criptografia assimétrica surgiu na década de 1970, com o conceito de chaves assimétricas, que tem em sua essência a utilização de duas chaves matematicamente relacionadas, sendo uma pública e outra privada, cujo objetivo principal do desenvolvimento foi o de resolver os problemas de troca segura de chaves e escalabilidade, encontrados nas cifras simétricas. De forma básica, quando uma mensagem é codificada com uma chave pública, ela somente pode ser interpretada utilizando-se a chave privada, e vice-versa. Tecnicamente, esse mecanismo parte do princípio de que a multiplicação de dois números primos é fácil, entretanto sua fatoração (processo inverso) para chegar aos os números iniciais é um problema ainda muito difícil de ser resolvido. Um exemplo de aplicação dessa metodologia é o algoritmo RSA, proposto por Rivest, Shamir e Adleman em 1977. Utiliza a chave privada de A para decodificar o texto Criptografa o texto utilizando a chave publicada de A Chave pública usuário A Chave pública usuário A Internet Mensagem cifrada Mensagem original Figura 54 – Criptografia assimétrica 182 Unidade IV Até os dias de hoje, a grande complexidade desses problemas, além do tamanho das chaves utilizadas, garante o sucesso do algoritmo; entretanto, devido à quantidade de cálculos processados, o modelo exige uma grande capacidade de processamento. Para resolver problemas de verificação de autenticidade de uma mensagem, os sistemas de chaves públicas utilizam as chamadas assinaturas digitais, que funcionam da seguinte forma: • o remetente gera um hash da mensagem a ser envidada; • codifica com sua chave privada, gerando uma assinatura digital; • adiciona a mensagem, que é cifrada com a chave pública do destinatário. Dessa forma, se o hash da assinatura for igual ao gerado a partir da mensagem recebida, a assinatura é confirmada e a mensagem é autêntica e está íntegra. Com base nesses conceitos, podemos perceber que tanto os algoritmos simétricos como os assimétricos possuem vantagens e desvantagens. Para uma melhor visualização desse conteúdo, descrevemos a seguir um quadro comparando os dois modelos: Quadro 28 – Comparativo entre criptografia assimétrica x simétrica Sistema Criptografia assimétrica Criptografia simétrica Vantagens Chaves podem ser negociadas através de um canal inseguro Velocidade Maior escalabilidade Elevado nível de segurançaUtilizada em outros serviços, como assinatura digital Desvantagens Lentidão A troca das chaves deve ocorrer em um canal seguro Necessita de uma chave maior para obter segurança Baixa escalabilidade Não proporciona outros serviços Para um melhor aproveitamento dessas tecnologias, alguns produtos utilizam uma abordagem mista, conhecida como criptografia híbrida, aproveitando a vantagem de cada sistema. Nesse modelo, a mensagem seria codificada através da criptografia simétrica, com uma chave gerada de forma pseudo-randômica, de modo que sua transmissão ocorra através de algoritmos assimétricos. Um exemplo disso é o protocolo SSL, em que uma das partes (cliente) gera uma chave simétrica,codifica essa chave com uma chave pública do servidor; quando essa chave é recepcionada, o servidor abre utilizando um algoritmo simétrico, para criptografar as mensagens em si. Nesse exemplo, é utilizado o desempenho da criptografia simétrica e a segurança na troca das chaves através da criptografia assimétrica. 183 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Lembrete O uso da criptografia ainda é o principal mecanismo para a segurança da informação, pois pode de uma só vez proteger as informações sob a ótica de sua confidencialidade e integridade, garantindo a proteção necessária para os mais diversos canais de comunicação e sistemas. 7.2 Certificados digitais Os certificados digitais, por sua vez, os sistemas de chaves públicas e seus conceitos resolveram uma série de problemas e a utilização de sistemas híbridos também; entretanto ficou uma pergunta: como é possível garantir a propriedade de uma chave pública em todos esses processos? Para isso, é necessário que nesses processos exista uma entidade terceira, com a responsabilidade de verificar a identidade do proprietário de uma chave pública, assinando digitalmente sua comprovação. Assim, foram criadas as autoridades certificadoras (ACs), cujo objetivo é atestar a propriedade de sua chave pública; na troca de informações, cada uma das partes solicita seus respectivos certificados digitais para as ACs. Entretanto, esse modelo não seria viável por causa de diferenças de localização e da quantidade de solicitações para uma única AC. Esta demanda foi resolvida com o relacionamento entre as ACs, que podemos dividir basicamente em três formatos: • hierárquico: uma AC raiz tem a função de assinar o certificado de outras ACs, sendo que essas ACs podem ter outras ACs subordinadas e assim por diante; • certificação cruzada: a AC raiz de uma cadeia assina o certificado de outra AC raiz de uma nova cadeia; • híbrido: são utilizados os dois conceitos. Por exemplo, se a AC raiz “x” assina o certificado da AC raiz “y”, consequentemente todas as ACs abaixo dessas cadeias confiam entre si. Embora as ACs tenham diversos problemas resolvidos quanto à comprovação da identidade do responsável por uma chave pública, algumas questões de gestão dos certificados ainda necessitam ser tratadas. Para isso a estrutura chamada de infraestrutura de chaves públicas (ICP), a qual deve combinar a utilização de software, hardware, protocolos, padrões e processos para fornecer seus serviços. Uma ICP é um conjunto de tecnologias e processos desenhados para prover diversos serviços de segurança. Uma ICP tem, entre seus componentes básicos, usuários, aplicações, as ACs, certificados digitais, além das autoridades registradoras (ARs) e diretórios/repositórios de dados. 184 Unidade IV As autoridades registradoras têm por objetivo interagir com o usuário e repassar as solicitações de, por exemplo, emissão ou renovação de certificados digitais, para o processamento das ACs, garantindo assim a proteção das ACs contra ações externas. Quanto aos diretórios/repositórios de dados, estes fornecem um local de fácil acesso para terceiros acessarem os certificados emitidos pelas ACs. Saiba mais Para mais informações sobre a estrutura da ICP Brasil, acesse o site do Instituto Nacional de Tecnologia da Informação: Disponível em: https://bit.ly/3g21WF7. Acesso em: 1º jun. 2021. Há a legislação sobre a infraestrutura de chaves públicas, além da tecnologia e das políticas e processos estabelecidos para garantir segurança; como último elemento nesse processo, podemos destacar a legislação cujo objetivo é validar legalmente os mecanismos criptográficos utilizados. Confidencialidade, autenticidade e o não repúdio são os principais serviços oferecidos pela criptografia, em que a assinatura digital e os certificados digitais possibilitam a criação de leis que reconheçam esses registros. Diante disso, em agosto de 2001, foi editada a Medida Provisória n. 2.200-2, quando foi criada a ICP-Brasil, dando validade a documentos assinados digitalmente. A ICP-Brasil tem por objetivo “garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras” (BRASIL, 2001). A Medida Provisória também instituiu a formação de um comitê gestor da ICP-Brasil, cuja missão é “adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil” (BRASIL, 2001). Também foi instituída a AC raiz, como primeira entidade da cadeia de certificação da ICP-Brasil, além das ACs e ARs, em conformidade com as normas do comitê gestor. A segurança e ataques criptográficos e a avaliação da segurança de algoritmos estão na facilidade ou não com que uma pessoa consegue decifrar as mensagens. Além dos ataques de força bruta, forma mais simples de ataque a algoritmos, porém menos eficiente e, às vezes, impossível de ser implementada, devido ao tamanho das chaves, existem outras técnicas que podem ser utilizadas pelos criptoanalistas, as quais descrevemos a seguir: • Ciphertext only attack (COA): o foco é o comprometimento da confidencialidade das informações. Nesse tipo de ataque, o criptoanalista tem acesso apenas a uma ou mais mensagens codificadas e seu objetivo é descobrir as mensagens originais. • Ataque de know plaintext attack (KPA): o criptoanalista tem acesso ao texto cifrado e ao texto plano que o originou. Utilizando essas informações tenta obter a chave em uso. 185 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Choose plaintext attack (CPA): o adversário é capaz de escolher o texto plano que será cifrado. • Adaptative choosen plaintext attack (ACPA): são enviados diversos pequenos blocos de dados, que são adaptados conforme o criptoanalista coleta as informações. Seu objetivo é descobrir a chave em uso. Todos os sistemas criptográficos possuem níveis diferentes de segurança, dependendo da facilidade ou dificuldade com que são quebrados. A segurança de um criptosistema não deve ser baseada nos algoritmos que cifram as mensagens, mas sim no tamanho das chaves usadas. Podemos dizer que um algoritmo é considerado forte quando é praticamente impossível quebrá-lo em um determinado espaço de tempo em que as informações ainda sejam relevantes e possam ser utilizadas por pessoas não autorizadas. Geralmente, a maneira mais fácil de determinar se um algoritmo é considerado forte é publicando sua descrição, fazendo com que várias pessoas possam testar e avaliar sua eficiência. Programas que usam algoritmos proprietários não divulgam sua especificação. Geralmente isso acontece porque a simples divulgação do método revelará também seus pontos fracos. 7.3 Vulnerabilidades, ameaças e mecanismos de proteção Quando uma organização se depara com os recursos tecnológicos para proteção dos ativos de informação, ela está preocupada em defender três ativos de informação em especial: seus dados, seus recursos e sua reputação diante dos clientes e do mercado. Para que uma organização consiga uma melhor eficácia na utilização dos recursos tecnológicos para a proteção à segurança da informação, alguns itens como vulnerabilidades, ameaças, possíveis formas de ataque, quem são os atacantes e principalmente como se proteger devem estar bem definidos na mente dos profissionais de segurança da informação e dos profissionais de TI. A vulnerabilidade pode ser definida como uma falha no projeto, implementação em um software ou sistema operacional. Quando explorada por um atacante, desencadeia a violação da segurança de um computador. Existem casos em que um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável. Segundo o Centro de Estudos, Resposta e Tratamentode Incidentes de Segurança no Brasil (Cert.br), 95% das invasões são resultado de vulnerabilidades conhecidas ou erros de configuração. A grande maioria das vulnerabilidades pode ser facilmente prevenida se devidamente conhecida. 186 Unidade IV Por sua vez, as ameaças sempre vão existir. Ao contrário das vulnerabilidades, que podem ser sanadas ou protegidas, as ameaças ficam à espreita, à espera de uma vulnerabilidade, para assim concretizar o ataque e muito possivelmente causar danos. As ameaças podem ser divididas em: vírus, worm, backdoor, cavalo de Troia, phishing, spyware, negação de serviço (denial of service – DoS), distributed denial of service (DDoS), engenharia social, boatos (hoaxes) e spam. O vírus é um programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infecção, o vírus embute uma cópia de si mesmo em um programa ou arquivo, que, quando executado, também executa o vírus, dando continuidade ao processo de infecção. Um vírus pode afetar um computador normalmente assumindo o controle total sobre este, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário” até alterar ou destruir programas e arquivos do disco. Para que exista a infecção por um vírus de computador é preciso que de alguma maneira um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, entre elas: abrir arquivos anexados aos e-mails; abrir arquivos do Word, Excel, entre outros; abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos; instalar programas de procedência duvidosa ou desconhecida, obtidos pela internet, por pen drives ou por CD-ROM. E possível a infecção por um vírus sem que o usuário a perceba. A maioria dos vírus procura permanecer oculta, infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. Ainda existem outros tipos que permanecem inativos durante certos períodos, entrando em atividade em datas específicas ou quando acionados por seus programadores (redes zumbis). Uma ferramenta de grande capacidade para propagação de vírus são os e-mails, aos quais normalmente é anexado um arquivo. O conteúdo da mensagem procura induzir o usuário a clicar sobre o arquivo anexado, fazendo com que o vírus seja executado. Quando esse tipo de vírus entra em ação, além de infectar arquivos e programas, envia cópias de si mesmo para todos os contatos encontrados nas listas de endereços de e-mail armazenadas no computador. É importante ressaltar que esse tipo específico de vírus não é capaz de se propagar automaticamente. O usuário precisa executar o arquivo anexado que contém o vírus ou o programa de e-mail precisa estar configurado para autoexecutar arquivos anexados. Outra forma de infecção pode ocorrer pelo vírus de macro. Macro é um conjunto de comandos armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria um editor de textos que vise a definir uma macro com a sequência de passos necessários para imprimir um documento com a orientação de retrato e utilize a escala de cores em tons de cinza. Um vírus de macro é escrito de forma a explorar essa facilidade de automatização e é parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. Para que o vírus possa ser executado, o arquivo que o contém precisa ser aberto e, a partir daí, o vírus pode executar uma série de comandos automaticamente e infectar outros arquivos no computador. 187 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Existem alguns aplicativos que possuem arquivos base (modelos) que são abertos sempre que o aplicativo é executado. Caso esse arquivo base seja infectado pelo vírus de macro, toda vez que o aplicativo for executado, o vírus também será. Arquivos nos formatos gerados pelo Microsoft Word, Excel, Powerpoint e Access são os mais suscetíveis a esse tipo de vírus. Arquivos nos formatos RTF, PDF são menos suscetíveis, o que não significa que não possam conter vírus. O worm (verme) é um programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferentemente do vírus, o worm não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou de falhas na configuração de softwares instalados em computadores. Geralmente o worm não tem como consequência os mesmos danos gerados por um vírus, como a infecção de programas e arquivos ou a destruição de informações. Isto não quer dizer que não represente uma ameaça à segurança de um computador ou que não cause qualquer tipo de dano. Worms são notadamente responsáveis por consumir muitos recursos, degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar. Além disso, podem gerar grandes transtornos para aqueles que estão recebendo tais cópias. Há também outro tipo de ameaça, que ocorre quando um atacante procura garantir uma forma de retornar a um computador comprometido sem precisar recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, a intenção do atacante é poder retornar ao computador comprometido sem ser notado. A esses programas de retorno a um computador comprometido, utilizando-se serviços criados ou modificados para esse fim, dá-se o nome de backdoor. A forma usual de inclusão de um backdoor consiste na adição de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente incluindo recursos que permitam acesso remoto (através da internet). Há também outras formas de inclusão, como por meio de pacotes de software, tais como o Back Office e NetBus, da plataforma Windows, conhecidos por disponibilizarem backdoors nos computadores onde são instalados. Observação O Back Office é um programa desenvolvido pela Microsoft para a plataforma Windows que permite o acesso remoto entre estações de trabalho, os crackers utilizam essa funcionalidade para atacar as estações e obter acesso. Já o NetBus é um sistema de administração remoto similar ao Back Office para outras plataformas. 188 Unidade IV A existência de um backdoor não depende necessariamente de uma invasão, como a instalação de um vírus através de um cavalo de Troia ou sua inclusão como consequência da instalação e má configuração de um programa de administração remota. Alguns fabricantes incluem backdoors em seus produtos (softwares, sistemas operacionais), alegando necessidades administrativas. É importante ressaltar que esses casos constituem uma séria ameaça à segurança de um computador que contenha um desses produtos instalados, mesmo que backdoors sejam incluídos por fabricantes conhecidos. Todos os sistemas operacionais podem ter backdoors inclusos, isso não é restrito a alguns sistemas operacionais. Conta a mitologia grega que o “cavalo de Troia” foi uma grande estátua utilizada como instrumento de guerra pelos gregos para terem acesso à cidade de Troia. A estátua do cavalo foi recheada com soldados que, durante a noite, abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Troia. Daí surgiu os termos “presente de grego” e “cavalo de Troia”. Para a TI, um cavalo de Troia (Trojan horse) é um programa que, além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas das funções maliciosas executadas por um cavalo de Troia são: alteração ou destruição de arquivos; furto de senhas e outras informações sensíveis, como números de cartões de crédito; inclusão de backdoors para permitir que um atacante tenha total controle sobre o computador. É possível diferenciar um cavalo de Troia de um vírus ou worm, pois ele se distingue de vírus e worm por não se replicar, infectar outros arquivos ou propagarcópias de si mesmo automaticamente. Normalmente um cavalo de Troia consiste em um único arquivo que necessita ser explicitamente executado. Podem existir casos em que um cavalo de Troia contenha um vírus ou worm. Mas mesmo nesses casos é possível distinguir as ações realizadas como consequência da execução do cavalo de Troia propriamente dito daquelas relacionadas ao comportamento de um vírus ou worm. Para que seja instalado, é necessário que o cavalo de Troia seja executado para que ele se instale em um computador. Geralmente um cavalo de Troia vem anexado a um e-mail ou está disponível em algum site na internet. É importante ressaltar que existem programas de e-mail que podem estar configurados para executar automaticamente arquivos anexados às mensagens. Nesse caso, a simples leitura de uma mensagem é suficiente para que qualquer arquivo (executável) anexado seja executado. Os exemplos mais comuns de cavalos de Troia são programas recebidos ou acessados através de um site, fazendo-se passar por jogos ou protetores de tela. 189 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Spyware é um software malicioso que uma vez instalado no computador, monitora as atividades de seus usuários, coletando informações (senhas, logins, documentos) e os enviando para terceiros. Phishing é um golpe pelo qual o fraudador envia mensagens em nome de instituições oficiais com o objetivo induzir o acesso a páginas falsas. Para tanto, são utilizadas imagens, textos e links reais para instalar um programa que tenta furtar dados pessoais e financeiros de usuários ou induzir a vítima a fornecer seus dados pessoais como número de cartão de crédito, senhas de acesso e outros. Nos ataques de negação de serviço (denial of service – DoS), o atacante utiliza um computador para tirar de operação um serviço ou computador conectado à internet para gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usuário não consiga utilizá-lo. Exemplos desse tipo de ataque são: ações para gerar um grande tráfego de dados para uma rede, ocupando toda a banda disponível, de modo que qualquer computador dessa rede fique indisponível; tirar serviços importantes de um provedor do ar, impossibilitando o acesso dos usuários às suas caixas de correio no servidor de e-mail ou ao servidor web. O distributed denial of service (DDoS) constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à internet. Normalmente esses ataques procuram ocupar toda a banda disponível para o acesso a um computador ou rede, causando grande lentidão ou até mesmo indisponibilizando qualquer comunicação com o computador ou rede. Se uma rede ou computador sofrer um DoS, não significa que houve uma invasão, o objetivo de tais ataques é indisponibilizar o uso de um ou mais computadores, e não a invasão. É importante notar que, principalmente em casos de DDoS, computadores comprometidos podem ser utilizados para desferir os ataques de negação de serviços. Engenharia social é o termo utilizado para descrever um método de ataque, em que alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para o acesso não autorizado a computadores ou informações. Temos como exemplo desse ataque quando algum desconhecido liga para a empresa e diz ser da equipe de suporte técnico da rede. Nessa ligação, ele diz que seu login está com problemas e ele precisa do seu usuário e senha para resolver e efetuar os devidos testes. Caso o usuário entregue a senha, esse suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a conta de acesso do usuário e o relacionando a tais atividades. Boatos (hoaxes) são e-mails com conteúdos alarmantes ou falsos e que geralmente têm como remetente ou apontam como autor da mensagem alguma instituição, empresa importante ou órgão governamental. Através de uma leitura minuciosa desse tipo de e-mail, normalmente é possível identificar em seu conteúdo mensagens absurdas e muitas vezes sem sentido. Entre os diversos boatos típicos, que chegam às caixas postais de usuários conectados à internet, podemos citar: correntes ou 190 Unidade IV pirâmides, pessoas ou crianças que estão prestes a morrer de câncer, a República Federativa de algum país oferecendo elevadas quantias em dinheiro e pedindo a confirmação do usuário ou, até mesmo, solicitando algum dinheiro para efetuar a transferência. Histórias desse tipo são criadas não só para espalhar desinformação pela internet, mas também para outros fins maliciosos. Normalmente, o objetivo do criador de um boato é verificar o quanto ele se propaga pela internet e por quanto tempo permanece se propagando. De modo geral, os boatos não são responsáveis por grandes problemas de segurança, a não ser ocupar espaço nas caixas de e-mails de usuários. Mas podem existir casos com consequências mais sérias, como um boato que procura induzir usuários de internet a fornecer informações importantes (como números de documentos, de conta-corrente em banco ou de cartões de crédito), ou um boato que indica uma série de ações a serem realizadas pelos usuários e que, se forem realmente efetivadas, podem resultar em danos mais sérios (como instruções para apagar um arquivo que supostamente contém um vírus, mas que na verdade é parte importante do sistema operacional instalado no computador). Além disso, e-mails de boatos podem conter vírus ou cavalos de Troia anexados, é importante ressaltar que um boato também pode comprometer a credibilidade e a reputação tanto da pessoa ou entidade referenciada como suposta criadora do boato quanto daqueles que o repassam. Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isso ocorre, muitas vezes, porque aqueles que o recebem confiam no remetente da mensagem, não verificam a procedência da mensagem, não checam a veracidade do conteúdo da mensagem. Para que seja evitada a distribuição de boatos é muito importante checar a procedência dos e-mails, e, mesmo que tenham como remetente alguém conhecido, é preciso certificar-se de que a mensagem não é um boato. Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem também é referenciado como UCE (do inglês unsolicited commercial email). Os usuários do serviço de correio eletrônico podem ser afetados de diversas formas. Alguns exemplos são: • Não recebimento de e-mails. Boa parte dos provedores de internet limita o tamanho da caixa postal do usuário no seu servidor. Caso o número de spams recebidos seja muito grande, o usuário corre o risco de ter sua caixa postal lotada com mensagens não solicitadas. Se isso ocorrer, todas as mensagens enviadas a partir desse momento serão devolvidas ao remetente e o usuário não conseguirá mais receber e-mails até que possa liberar espaço em sua caixa postal. 191 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • Gasto desnecessário de tempo. Para cada spam recebido, o usuário necessita gastar um determinado tempo para ler, identificar o e-mail como spam e removê-lo da caixa postal. • Aumento de custos. Independentemente do tipo de acesso à internet, quem paga a conta pelo envio do spam é quem o recebe. Por exemplo, para um usuário que utiliza acesso discado à internet, cada spam representa alguns segundos a mais de ligação a serem pagas por ele. • Perda de produtividade. Para quem utiliza o e-mail como uma ferramenta de trabalho, o recebimento de spams aumenta o tempo dedicado à tarefa de leitura de e-mails, além de existir a chance de mensagens importantes não serem lidas, serem lidas com atraso ou apagadas por engano. • Conteúdo impróprio. Como a maior parte dos spams é enviada para conjuntos aleatórios de endereços de e-mail, não hácomo prever se uma mensagem com conteúdo impróprio será recebida. Os casos mais comuns são de spams com conteúdo pornográfico ou de pedofilia enviados para crianças. Para as empresas e provedores, os problemas são inúmeros e, muitas vezes, o custo adicional causado pelo spam é transferido para a conta a ser paga pelos usuários. Alguns dos problemas sentidos pelos provedores e empresas são: • Impacto na banda. Para as empresas e provedores o volume de tráfego gerado por causa de spams os obriga a aumentar a capacidade de seus links de conexão com a internet. Como o custo dos links é alto, os lucros do provedor são reduzidos e muitas vezes os custos para o usuário aumentam. • Má utilização dos servidores. Os servidores de e-mail dedicam boa parte do seu tempo de processamento para tratar das mensagens não solicitadas. Além disso, o espaço em disco ocupado por mensagens não solicitadas enviadas para um grande número de usuários é considerável. • Perda de clientes. Os provedores muitas vezes perdem clientes que se sentem afetados pelos spams que recebem ou pelo fato de terem seus e-mails filtrados por causa de outros clientes que estão enviando spam. • Investimento em pessoal e equipamentos. Para lidar com todos os problemas gerados pelo spam, os provedores necessitam contratar mais técnicos especializados e acrescentar sistemas de filtragem de spam, que implicam a compra de novos equipamentos. Como consequência os custos do provedor aumentam. Existem basicamente dois tipos de software que podem ser utilizados para barrar spams: aqueles que são colocados nos servidores e que filtram os e-mails antes que cheguem até o usuário; aqueles que são instalados nos computadores dos usuários, que filtram os e-mails com base em regras individuais de cada usuário. Em resumo um spam pode ser evitado da seguinte forma: considerar a utilização de um software de filtragem de e-mails, verificar com seu provedor ou com o administrador da rede se é utilizado 192 Unidade IV algum software de filtragem no servidor de e-mails, evitar responder a um spam ou enviar um e-mail solicitando a remoção da lista. As pesquisas demonstram que, se adotados mecanismos corretos, a possibilidade de evitar que as vulnerabilidades sejam exploradas pelas ameaças aumentam consideravelmente. A identificação da presença de um vírus na rede ou em um computador se dá através dos programas antivírus. É importante ressaltar que o antivírus deve ser sempre atualizado, caso contrário poderá não detectar os vírus mais recentes. Algumas das medidas de prevenção contra a infecção por vírus são: instalar e manter atualizado um bom programa antivírus; desabilitar no seu programa de e-mail a autoexecução de arquivos anexados às mensagens; não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas, caso seja inevitável, certifique-se de que o arquivo foi verificado pelo programa antivírus; não abrir arquivos ou executar programas de procedência duvidosa ou desconhecida, mesmo que você conheça a procedência e queira abrir ou executá-los, certifique-se de que foram verificados pelo programa antivírus; procurar utilizar, no caso de arquivos de dados, formatos menos suscetíveis à propagação de vírus, tais como RTF, PDF; procurar não utilizar, no caso de arquivos comprimidos, o formato executável, utilize o próprio formato compactado, como ZIP ou GZ. A presença de um cavalo de Troia em um equipamento ou rede também pode ser detectada com a utilização de um bom programa antivírus (desde que seja atualizado frequentemente). Normalmente o antivírus possibilita a detecção de programas instalados pelos cavalos de Troia, mas é importante lembrar que nem sempre o antivírus será capaz de detectar ou remover os programas deixados por um cavalo de Troia, principalmente se esses programas forem mais recentes que a sua versão. As principais medidas preventivas contra a instalação de cavalos de Troia são semelhantes às medidas contra a infecção por vírus. Outra medida preventiva é utilizar um firewall pessoal nas estações de trabalho. Alguns firewalls podem bloquear o recebimento de cavalos de Troia. Em resumo algumas atitudes podem evitar que o equipamento ou a rede sejam infectados por cavalos de Troia que são basicamente as mesmas contra os vírus: instalar e manter atualizado um bom programa antivírus; desabilitar no seu programa de e-mail a autoexecução de arquivos anexados às mensagens; não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas, quando for inevitável, certifique-se de que o arquivo foi verificado pelo programa antivírus; não abrir arquivos ou executar programas de procedência duvidosa ou desconhecida e, mesmo que você conheça a procedência e queira abrir ou executá-los, certifique-se de que foram verificados pelo programa antivírus; procurar utilizar, no caso de arquivos de dados, formatos menos suscetíveis à propagação de vírus, tais como RTF, PDF ou OS; procurar não utilizar, no caso de arquivos comprimidos, o formato executável, utilize o próprio formato compactado, como ZIP ou GZ; procurar instalar um firewall pessoal, que em alguns casos pode bloquear o recebimento de um cavalo de Troia. 193 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Os antivírus são programas que procuram detectar e, então, anular ou remover os vírus de computador. Atualmente, novas funcionalidades têm sido adicionadas aos programas antivírus, de modo que alguns procuram detectar e remover cavalos de Troia, barrar programas hostis e verificar e-mails. Diante das funcionalidades de um bom programa, podem ser destacados: a identificação e eliminação da maior quantidade possível de vírus; a análise de arquivos que obtidos pela internet; a verificação contínua dos discos rígidos (HDs), pen drives e CDs de forma transparente ao usuário; a procura por vírus e cavalos de Troia em arquivos anexados aos e-mails. Uma dica útil é criar, sempre que possível, um pen drive ou CD de verificação (disco de boot) que possa ser utilizado caso o vírus desative o antivírus que está instalado no computador e atualizar a lista de vírus conhecidos, pela rede, de preferência diariamente. Alguns antivírus, além das funcionalidades citadas anteriormente, permitem verificar e-mails enviados, podendo detectar e barrar a propagação por e-mail de vírus e worms. O bom uso de um antivírus compreende: mantê-lo sempre atualizado; configurá-lo para verificar automaticamente arquivos anexados aos e-mails e arquivos obtidos pela internet; configurá-lo para verificar automaticamente mídias removíveis (CDs, pen drives, discos para Zip etc.); configurá-lo para verificar todo e qualquer formato de arquivo (qualquer tipo de extensão de arquivo); se for possível, criar o pen drive ou CD de verificação (disco de boot) e utilizá-lo esporadicamente ou quando seu computador estiver apresentando um comportamento anormal (mais lento, gravando ou lendo o disco rígido fora de hora etc.), algumas versões de antivírus são gratuitas para uso pessoal e podem ser obtidas pela internet. Antes de obter um antivírus pela internet, verifique sua procedência e certifique-se de que o fabricante é confiável. Um software antivírus não é capaz de impedir que um atacante tente explorar alguma vulnerabilidade existente em um computador. Também não é capaz de evitar o acesso não autorizado a um backdoor instalado em um computador. A vulnerabilidade em softwares pode representar um risco à segurança da informação. Nesse caso, a busca por informação é recomendada. Existem sites na internet que mantêm listas atualizadas de vulnerabilidades em softwares e sistemas operacionais. Saiba mais Conheça alguns dos sites que mantêm listas atualizadas de vulnerabilidades em softwares e sistemas operacionais: Disponível em: https://bit.ly/3g6s8ie. Acesso em: 1º jun. 2021. Disponível em: https://bit.ly/3c9AnbZ. Acesso em: 1º jun. 2021. 194 Unidade IV Além disso, fabricantes também costumam manter páginasna internet com considerações a respeito de possíveis vulnerabilidades em seus softwares. Portanto, a ideia é estar sempre atento aos sites especializados em acompanhar vulnerabilidades, aos sites dos fabricantes, às revistas especializadas e aos cadernos de informática dos jornais, para verificar a existência de vulnerabilidades no sistema operacional e nos softwares instalados. A melhor forma de evitar que o sistema operacional e os softwares instalados em um computador possuam vulnerabilidades é mantê-los sempre atualizados. Entretanto, fabricantes em muitos casos não disponibilizam novas versões de seus softwares quando é descoberta alguma vulnerabilidade, mas sim correções específicas (patches). Estes patches, em alguns casos também chamados de hot fixes ou de service packs, têm por finalidade corrigir os problemas de segurança referentes às vulnerabilidades descobertas. Portanto, é extremamente importante que você, além de manter o sistema operacional e os softwares sempre atualizados, instale os patches sempre que forem disponibilizados. Detectar a presença de um worm em um computador não é uma tarefa fácil. Muitas vezes os worms realizam uma série de atividades, incluindo sua propagação, sem que o usuário tenha conhecimento. Embora alguns programas antivírus permitam detectar a presença de worms e até mesmo evitar que eles se propaguem, isso nem sempre é possível. Portanto, o melhor é evitar que os computadores sejam utilizados para propagá-los. Para protegê-lo dessa ameaça, além de utilizar um bom antivírus, que permita detectar e até mesmo evitar a propagação de um worm, é importante que o sistema operacional e os softwares instalados em seu computador não possuam vulnerabilidades. Normalmente um worm procura explorar alguma vulnerabilidade disponível em um computador, para que possa se propagar. Portanto, as medidas preventivas mais importantes são aquelas que procuram evitar a existência de vulnerabilidades. Outra medida preventiva é ter instalado e configurado nos computadores um firewall pessoal. Se bem configurado, o firewall pessoal pode evitar que um worm explore uma possível vulnerabilidade em algum serviço disponível nos computadores ou, em alguns casos, mesmo que o worm já esteja instalado no computador, pode evitar que explore vulnerabilidades em outros computadores. Em resumo, para que os worms sejam evitados é necessário: instalar e manter atualizado um bom programa antivírus; manter o sistema operacional e demais softwares sempre atualizados; corrigir eventuais vulnerabilidades existentes nos softwares utilizados; procurar instalar um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada ou que o worm se propague. Embora os programas antivírus não sejam capazes de descobrir backdoors em um computador, as medidas preventivas contra a infecção por vírus são válidas para se evitar algumas formas de instalação de backdoors. 195 GESTÃO DA SEGURANÇA DA INFORMAÇÃO A ideia é que não sejam executados programas de procedência duvidosa ou desconhecida, sejam eles recebidos por e-mail, sejam obtidos na internet. A execução de tais programas pode resultar na instalação de um backdoor. Caso seja necessária a utilização de algum programa de administração remota, certifique-se de que ele esteja bem configurado, de modo a evitar que seja utilizado como um backdoor. Outra medida preventiva consiste na utilização de um firewall pessoal. Apesar de não eliminarem os backdoors, se bem configurados, podem ser úteis para amenizar o problema, pois podem barrar as conexões entre os invasores e os backdoors instalados em um computador. Também é importante visitar constantemente os sites dos fabricantes de softwares e verificar a existência de novas versões ou patches para o sistema operacional ou softwares instalados em seu computador. Existem casos em que a disponibilização de uma nova versão ou de um patch está associada à descoberta de uma vulnerabilidade em um software, que permite a um atacante ter acesso remoto a um computador, de maneira similar ao acesso aos backdoors. Em resumo, para que seja evitado os backdoors, devem ser seguidas as seguintes recomendações: seguir as recomendações para prevenção contra infecção por vírus; não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas; não executar programas de procedência duvidosa ou desconhecida; procurar instalar um firewall pessoal, que em alguns casos pode evitar o acesso a um backdoor já instalado no computador, para corrigir eventuais vulnerabilidades existentes nos softwares utilizados. Grande parte dos problemas de segurança envolvendo e-mails está relacionada ao conteúdo das mensagens, que normalmente abusam das técnicas de engenharia social ou de características de determinados programas de e-mail que permitem abrir arquivos ou executar programas anexados às mensagens automaticamente. Algumas dicas de configuração para melhorar a segurança do programa de e-mail são: desligar as operações que permitem abrir ou executar automaticamente arquivos ou programas anexados às mensagens; desligar as operações de execução do JavaScript e de programas Java; desligar, se possível, o modo de visualização de e-mails no formato HTML. Essas configurações podem evitar que o seu programa de e-mail propague automaticamente vírus e cavalos de Troia. Existem programas de e-mail que não implementam tais funções e, portanto, não possuem essas operações. Algumas medidas preventivas que minimizam os problemas trazidos com os e-mails são: manter sempre a versão mais atualizada do seu programa de e-mail; evitar abrir arquivos ou executar programas anexados aos e-mails sem antes verificá-los com um antivírus; desconfiar sempre dos arquivos anexados à mensagem, mesmo que tenham sido enviados por pessoas ou instituições conhecidas – o endereço do remetente pode ter sido forjado e o arquivo anexo pode ser, por exemplo, um vírus ou um cavalo de Troia –; fazer o download de programas diretamente do site do fabricante; desconfiar de e-mails pedindo urgência na instalação de algum aplicativo ou correções de determinados defeitos dos softwares que você utilize, caso isso ocorra, entre em contato com os distribuidores desses softwares para se certificar sobre a veracidade do fato. 196 Unidade IV Existem diversos riscos envolvidos na utilização de um browser. Entre eles, pode-se citar: execução de JavaScript ou de programas Java hostis; execução de programas ou controles ActiveX hostis; obtenção e execução de programas hostis em sites não confiáveis; realização de transações comerciais ou bancárias via web, sem qualquer mecanismo de segurança. Observação Browser é nome que se dá aos programas que fazem a interação do usuário com a internet. Os mais conhecidos são: Internet Explorer, Mozila, Firefox, Chrome. Java é uma linguagem orientada a objetos muito utilizada em navegadores web. Normalmente os browsers contêm módulos específicos para processar programas Java. Apesar de esses módulos fornecerem mecanismos de segurança, podem conter falhas de implementação e, nesse caso, permitir que um programa Java hostil cause alguma violação de segurança em um computador. O JavaScript é bem mais utilizado em páginas web do que os programas Java e, de modo geral, constitui uma versão bem “enxuta” do Java. É importante ressaltar que isso não quer dizer que não existam riscos associados à sua execução. Um JavaScript hostil também pode acarretar a violação da segurança de um computador. Antes de receber um programa ActiveX, o seu browser verifica sua procedência através de um esquema de certificados digitais. Se você optar por aceitar o certificado, o programa é executado em seu computador. Ao serem executados, os programas ActiveX podem fazer de tudo, desde enviar um arquivo qualquer pela internet até instalar programas (que podem ter fins maliciosos) nos computadores. Muitos sites, ao serem acessados,utilizam cookies para manter informações, como as preferências de um usuário. Essas informações, muitas vezes, são compartilhadas entre diversas entidades na internet e podem afetar a privacidade do usuário. Normalmente as transações, sejam comerciais, sejam bancárias, envolvem informações sensíveis, como senhas ou números de cartões de crédito. Portanto, é muito importante que você, ao realizar transações via Web, certifique-se da procedência dos sites, se esses sites são realmente das instituições que dizem ser e se eles fornecem mecanismos de segurança para evitar que alguém conectado à internet possa obter informações sensíveis de suas transações, no momento em que estiverem sendo realizadas. Algumas medidas preventivas para o uso de browsers são: manter o seu browser sempre atualizado; desativar a execução de programas Java na configuração do browser – se for absolutamente necessário que o Java esteja ativado, para que as páginas de um site possam ser vistas, basta ativá-lo antes de 197 GESTÃO DA SEGURANÇA DA INFORMAÇÃO entrar no site e, então, desativá-lo ao sair –; desativar a execução de JavaScripts antes de entrar em uma página desconhecida e, então, ativá-la ao sair – caso você opte por desativar a execução de JavaScripts na configuração de seu browser, é provável que muitas páginas Web não possam ser visualizadas –; permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confiáveis; manter maior controle sobre o uso de cookies; certificar-se da procedência do site e da utilização de conexões seguras ao realizar transações via Web. Cópias de segurança dos dados armazenados em um computador são importantes, não só para se recuperar de eventuais falhas, mas também das consequências de uma possível infecção por vírus ou de uma invasão. As cópias de segurança podem ser simples, como o armazenamento de arquivos em CDs, ou mais complexas, como o espelhamento de um disco rígido inteiro em um outro disco de um computador/servidor ou em uma fita magnética. A frequência com que é realizada uma cópia de segurança (backup) em uma rede é recomendada seguindo as melhores práticas, os backups podem ser incrementais (realizado de hora em hora, copiando apenas os arquivos na rede que foram alterados naquela hora), podem ser diários (consolidando todos os backups incrementais do dia), podem ser semanais (consolidando todos os backups diários daquela semana) e mensais (consolidando todas as semanas do mês em uma única mídia). No caso de redes, é necessário fazer backup de todos os arquivos contidos no segmento de rede. Para as informações pessoais, o processo depende da periodicidade com que o usuário cria ou modifica arquivos. Cada usuário deve criar sua própria política para a realização de cópias de segurança. Os cuidados com cópias de segurança dependem das necessidades do usuário. O usuário deve procurar responder algumas perguntas antes de adotar um ou mais cuidados com suas cópias de segurança: quais informações são realmente importantes e precisam estar armazenada em minhas cópias de segurança; quais seriam as consequências/prejuízos, caso minhas cópias de segurança fossem destruídas ou danificadas; o que aconteceria se minhas cópias de segurança a fossem furtadas. Baseado nas respostas para as perguntas anteriores, um usuário deve atribuir maior ou menor importância a cada um dos cuidados discutidos a seguir. Escolha dos dados Cópias de segurança devem conter apenas arquivos confiáveis do usuário, ou seja, que não contenham vírus ou sejam cavalos de Troia. Arquivos do sistema operacional que fazem parte da instalação dos softwares de um computador não devem fazer parte das cópias de segurança. Eles podem ter sido modificados ou substituídos por versões maliciosas, as quais, quando restauradas, podem trazer uma série de problemas de segurança para um computador. O sistema operacional e os softwares de um computador podem ser reinstalados de mídias confiáveis, fornecidas por fabricantes confiáveis. 198 Unidade IV Mídia utilizada No caso de redes, devido ao alto volume de dados, o procedimento de backup deve estar documentado e a escolha da mídia deve representar a verdadeira necessidade da empresa e criticidade de recuperação, bem como a execução de testes nas fitas. Para o caso de backups pessoais, a escolha da mídia para a realização da cópia de segurança é extremamente importante e depende da importância e da vida útil que a cópia deve ter. A utilização de alguns pen drives para armazenar um pequeno volume de dados modificados constantemente é perfeitamente viável. Mas um grande volume de dados, de maior importância, que deve perdurar por longos períodos, deve ser armazenado em mídias mais confiáveis, como CDs, discos externos ou discos espelhados. Local de armazenamento Quando nos referimos a backups de organizações, é necessário que o local de armazenamento das mídias seja uma sala cofre à prova de fogo ou até mesmo um cofre à prova de fogo. Os backups particulares devem ser guardados em um local condicionado (longe de muito frio ou muito calor) e restrito, de modo que apenas pessoas autorizadas tenham acesso a esse local (segurança física). Cópia em outro local Cópias de segurança devem ser guardadas em locais diferentes. Um exemplo seria manter uma cópia em uma filial ou em outro escritório. Também existem empresas especializadas em manter áreas de armazenamento com cópias de segurança de seus clientes. Nesses casos é muito importante considerar a segurança física de suas cópias. O uso de criptografia para informações sigilosas armazenadas em cópias de segurança também é recomendado. Nesse caso, os dados que contenham informações sigilosas devem ser armazenados em algum formato criptografado. O furto de dados pessoais dos colaboradores pode ser a porta de entrada para um ataque à organização ou até mesmo um ataque ao próprio colaborador, por isso cuidados com os dados pessoais são importantes. Procure não fornecer dados pessoais (como nome, e-mail, endereço e números de documentos) para terceiros, também nunca forneça informações sensíveis (como senhas e números de cartão de crédito), a menos seja realizada uma transação (comercial ou financeira) e se tenha certeza da idoneidade da instituição que mantém o site. Essas informações geralmente são armazenadas em servidores das instituições que mantêm os sites. Com isso, corre-se o risco de essas informações serem repassadas sem autorização para outras instituições ou de um atacante comprometer esse servidor e ter acesso a todas as informações. Atenção aos ataques de engenharia social, que são mais comuns do que se imagina; ao ter acesso aos dados pessoais da vítima, um atacante poderia, por exemplo, utilizar e-mail em alguma lista de distribuição de spams ou se fazer passar pela vítima na internet (através do uso das senhas furtadas). 199 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Deve ser dada total atenção aos dados pessoais armazenados nos discos rígidos das estações de trabalho. É importante ter certos cuidados no armazenamento de dados em um computador; mantenha informações sensíveis ou pessoais (como números de cartões de crédito, declarações de imposto de renda, senhas etc.) armazenadas em algum formato criptografado, longe do alcance de terceiros. Esses cuidados são extremamente importantes no caso de notebooks, pois são mais visados e, portanto, mais suscetíveis a roubos, furtos etc. Caso as informações não estejam criptografadas, e seja necessário levar o computador a alguma assistência técnica, por exemplo, seus dados poderão ser lidos por algum técnico mal-intencionado. Para criptografar esses dados, existem programas que, além de criptografarem e-mails, também podem criptografar arquivos. Um exemplo seria utilizar um programa que implemente criptografia das chaves pública e privada. O arquivo sensível seria criptografado com a sua chave pública e, então, decodificado com a sua chave privada,sempre que fosse necessário. É importante ressaltar que a segurança desse método de criptografia depende do sigilo da chave privada. A ideia, então, é manter a chave privada em um CD ou em outro disco rígido (em uma gaveta removível), que não deve ser enviado junto com o computador para a assistência técnica. Também deve-se ter um cuidado especial ao trocar ou vender um computador. Apenas apagar ou formatar um disco rígido não é suficiente para evitar que informações antes armazenadas possam ser recuperadas. Portanto, é importante sobrescrever todos os dados do disco rígido. Para assegurar que a informação não possa ser recuperada de um disco rígido é preciso sobrescrevê-la com outras informações. Um exemplo seria gravar o caractere 0, ou algum caractere escolhido aleatoriamente, em todos os espaços de armazenamento do disco. É importante ressaltar que é preciso repetir algumas vezes a operação de sobrescrever os dados de um disco rígido, para assegurar que informação anteriormente armazenadas não possam ser recuperadas. Existem softwares gratuitos e comerciais que permitem sobrescrever dados de um disco rígido e que podem ser executados em diversos sistemas operacionais, como o Windows, Unix (Linux, FreeBSD etc.) e Mac OS. Cuidados com a senha de acesso à rede, sistemas, e-mails devem ser tomados, entre eles: elaborar sempre uma senha que contenha pelo menos oito caracteres, compostos de letras números e símbolos; jamais utilizar como senha o nome, sobrenome, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadas com você ou palavras constantes em dicionários; utilizar uma senha diferente para cada serviço, alterar a senha com frequência. Os atacantes utilizam as ameaças para explorar as vulnerabilidades que possam vir a não estar devidamente protegidas, existem dois tipos de atacantes os externos e os internos. Os atacantes internos podem ser representados por funcionários insatisfeitos ou simplesmente mal-intencionados que, em virtude da oportunidade visualizada em uma ou mais vulnerabilidades, acaba concretizando o ataque. Já os atacantes externos são representados pelos crackers, que são pessoas com conhecimento avançado de tecnologia, que invadem um sistema de computador, geralmente em benefício próprio ou de terceiros, com o objetivo de roubar informações ou implantar 200 Unidade IV códigos maliciosos. É comum a confusão dos termos hackers com os crackers. Os hackers também têm conhecimentos avançados sobre tecnologia, porém seus conhecimentos são utilizados para a proteção dos ativos de informação que estão amparados em tecnologia, os hackers geralmente são contratados pelas organizações para fazer um contraponto nas ações de atacantes crackers. A primeira atitude para o desempenho eficaz da gestão de incidentes e o correto controle dos registros de eventos (logs) é sempre verificar os logs do firewall pessoal e dos IDSs que estejam instalados no computador, verificar se não é um falso positivo, antes de notificar um incidente. Os logs são registros de atividades gerados por programas de computador. No caso de logs relativos à incidentes de segurança, eles normalmente são gerados por firewalls ou por sistemas de detecção de intrusão. Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém tenta acessar um computador e esse acesso é barrado pelo firewall. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, pode haver uma tentativa de ataque, mas também pode ser um falso positivo. Já os sistemas de detecção de intrusão podem gerar logs tanto para casos de tentativa de ataques quanto para casos em que um ataque teve sucesso. Apenas uma análise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os firewalls, os sistemas de detecção de intrusão também podem gerar falsos positivos. O termo “falso positivo” é utilizado para designar uma situação em que um firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade não se trata de um ataque. Um exemplo clássico de falso positivo ocorre no caso de usuários que costumam se conectar em servidores de IRC e que possuem um firewall pessoal. Atualmente boa parte dos servidores de IRC possui uma política de uso que define que um usuário, para se conectar em determinados servidores, não deve possuir em sua máquina pessoal nenhum software que atue como proxy. Para verificar se um usuário tem algum software desse tipo, ao receberem uma solicitação de conexão por parte de um cliente, os servidores enviam para a máquina do cliente algumas conexões que checam a existência destes programas. Se o usuário possuir um firewall é quase certo que essas conexões serão apontadas como um ataque. Outro caso comum de falso positivo ocorre quando o firewall não está devidamente configurado e indica como ataques e respostas a solicitações feitas pelo próprio usuário. Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informações: data e horário em que ocorreu uma determinada atividade, endereço IP de origem da atividade, portas envolvidas. Dependendo do grau de refinamento da ferramenta que gerou o log, ele também pode conter informações como: o timezone do horário do log, protocolo utilizado (TCP, UDP, ICMP etc.), os dados completos que foram enviados para o computador ou rede. 201 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Lembrete Evidentemente que os mecanismos tecnológicos são fundamentais para proteção das informações, todavia, devemos ter sempre em mente os três elementos envolvidos quando falamos da segurança da informação: as pessoas, os processos e a tecnologia, se um desses está vulnerável, todo o sistema de proteção está correndo riscos. 7.4 Resposta a incidentes Diante das responsabilidades da área de segurança da informação dentro do ambiente corporativo, a resposta a incidentes tem papel fundamental na eficácia do processo de gestão dos ativos de informação. Atualmente, manter os recursos computacionais seguros, em ambientes interconectados por meio de redes, é um desafio cuja dificuldade aumenta com a inclusão de cada novo sistema. A grande maioria das instituições e empresas que não utiliza uma única solução de segurança genérica que cobre todas as vulnerabilidades, em vez disso, a estratégia mais utilizada é a de estabelecer camadas complementares de segurança, abrangendo: tecnologia, processos e pessoas. Uma das camadas de segurança que as empresas adotam para gerenciar o risco de segurança é a criação de um time de resposta a incidentes computacionais (computer incident response team – Cirt). As principais motivações para a criação de um Cirt residem no crescente número de incidentes reportados; no crescente número e perfil de empresas atacadas; no entendimento das empresas sobre a necessidade de possuir políticas de segurança e procedimentos para melhorar o gerenciamento de riscos; nas novas regulamentações e leis que exigem controles de segurança sobre os sistemas de informação; no entendimento de que os administradores de rede e sistemas não são capazes de proteger os recursos computacionais isoladamente. Para a estruturação de um Cirt é necessário entender claramente o seu objetivo. Para isso, temos de conceituar o que são eventos e incidentes de segurança da informação. Evento é uma ocorrência observável a respeito de um sistema de informação, a exemplo de um e-mail, um telefonema, o travamento de um servidor (crash). Incidente é um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação que implica comprometimento ou tentativa de comprometimento da segurança. Em resumo, trata-se de tentativa ou quebra de segurança de um sistema da informação (confidencialidade, integridade ou disponibilidade), violação da política de segurança, tentativa ou acesso não autorizado, modificação, criação ou remoção de informações sem o conhecimento do gestor. 202Unidade IV São exemplos de eventos e incidentes, em ataque de software malicioso (vírus etc.): • Evento: usuário informa que pode ter sido contaminado por vírus. • Incidente potencial: seu sistema apresenta características típicas de contaminação por vírus. Em ataques DoS (Denial of service): • Evento: usuário informa que não consegue acessar um serviço. • Incidente potencial: muitos usuários informam o mesmo problema. Para invasões: • Evento: administrador imagina que seu sistema foi invadido. • Incidente potencial: administrador envia log e trilhas de auditoria indicando atividades suspeitas. Uso não autorizado: • Evento: proxy indica que um usuário tentou acessar um site pornográfico. • Incidente potencial: proxy indica que um usuário tentou acessar vários sites pornográficos. O Cirt é formado por um grupo de profissionais pertencentes a diversos departamentos da corporação, devidamente treinados com larga experiência nas suas respectivas áreas cuja missão é atender e acompanhar, imediatamente, incidentes de segurança no ambiente computacional da empresa, seguindo procedimentos previamente estabelecidos. Quando uma organização tem a intenção de criar um Cirt, normalmente procura verificar como esse processo ocorreu em outras empresas, além de estabelecer requerimentos que devem ser atendidos por esse time. Apesar de a atuação do Cirt variar bastante em função da disponibilidade de pessoal, capacitação da equipe, orçamento etc., existem algumas recomendações de melhores práticas que se aplicam para a maioria dos casos, que são: obter o apoio da administração da empresa; elaborar um plano estratégico do Cirt; levantar informações relevantes; elaborar a missão do Cirt; divulgar a missão do Cirt e o plano operacional; iniciar a implementação do Cirt; divulgar a entrada em operação do Cirt; avaliar continuamente a qualidade dos serviços prestados. Deve ser obtido o apoio da administração da organização, uma vez que, sem o apoio da administração da empresa, a criação do Cirt é muito difícil. Esse apoio pode vir sob a forma de: fornecimento de recursos (computadores, softwares etc.); financiamento; disponibilização de pessoal; tempo do líder de segurança para criar o Cirt; espaço nos comitês de segurança para a discussão do assunto. É fundamental 203 GESTÃO DA SEGURANÇA DA INFORMAÇÃO o alinhamento de entendimento sobre as funções e responsabilidades do Cirt com a administração da empresa, também é muito importante o apoio da administração da empresa para dar respaldo às ações e requisições do Cirt junto a outras áreas. O pleno envolvimento de participantes do Cirt e seus respectivos superiores é um pré-requisito para a discussão posterior de orçamento para a implantação e manutenção do time. A elaboração do plano estratégico deve levar em conta aspectos administrativos da concepção do Cirt: existem cronogramas que precisam ser cumpridos, eles são realistas; existe um grupo de projeto já formado que deve estar devidamente representado; como a organização toma conhecimento sobre as ações de desenvolvimento do Cirt, existe um membro que deve representar esse grupo em uma instância maior; o processo deve estar devidamente formalizado (e-mail, relatórios etc.); todos os membros do grupo devem ter acesso às informações produzidas. É necessário levantar informações relevantes para compor as responsabilidades e serviços prestados pelo Cirt, deve-se inicialmente levantar as áreas e sistemas mais críticos da empresa, também é importante o levantamento de eventos e incidentes reportados no passado para dimensionar o grau de conhecimento da empresa sobre esses fatos. Essas informações permitirão avaliar a competência dos profissionais existentes em assuntos relacionados com segurança da informação. Com isso será possível dimensionar os serviços que serão prestados pelo Cirt e a possibilidade de utilizar funcionários já existentes na empresa ou a necessidade de novas contratações. Alguns exemplos de informações relevantes são: detalhes sobre o último incidente externo com vírus na empresa (por exemplo, tentativa de invasão); se a empresa já teve incidente de fraude envolvendo funcionários internos; deve ser levantado se algumas funções do Cirt já são cobertas por áreas existentes; deve-se levantar os procedimentos já existentes na empresa, que ajudarão nas funções do Cirt. Procure agendar visitas com instituições semelhantes e que já possuam o Cirt. Com base nas informações levantadas, elabore a missão do Cirt, que, antes de ser divulgada para a empresa, deve estar alinhada com a administração e deve estar aberta para receber críticas e sugestões de melhoria da hierarquia. Tendo-se alinhadas as expectativas com os envolvidos, traçado o plano estratégico e definida a missão do Cirt, é hora de colocá-lo em ação através de: contratação e treinamento do grupo principal do Cirt; elaboração e divulgação entre todos da metodologia de trabalho; compra e instalação dos equipamentos e softwares de suporte ao Cirt; definição das especificações de recuperação de evidências de incidentes para cada sistema crítico; desenvolvimento de modelos de relatórios e mecanismos de informação de incidentes Quando o Cirt estiver operacional, elabore uma campanha de divulgação que deve entre outras coisas informar aos colaboradores sobre suas funções, formas de entrar em contato para reportar incidentes, funcionários envolvidos. A divulgação deve ser repetida periodicamente. 204 Unidade IV A avaliação da atuação do Cirt deve ser periódica por: estatísticas de incidentes reportados; incidentes resolvidos; falsos positivos e tempo de indisponibilidade de sistemas. É necessária a comparação com outras empresas. A correta manutenção e crescimento da base de conhecimento documentados ajudam no aprimoramento dos membros do Cirt. O Cirt é formado por um grupo multidisciplinar de profissionais. Essa característica procura atender a necessidade de, na eventualidade de um incidente, o time ser capaz de atuar em várias frentes paralelamente, identificando as causas e coletando evidências do ataque. Esses funcionários não possuem dedicação exclusiva ao Cirt, porém, quando acionados pelo líder do Cirt, devem responder imediatamente, pode-se fazer uma analogia comparando o Cirt à brigada de incêndio das empresas. O líder do Cirt deve ser um funcionário da corporação com ampla experiência em segurança da informação. Além de gerenciamento de projetos de tecnologia, é recomendado que esse líder possua um cargo na hierarquia que possibilite a tomada de decisões, requisição de auxílio de funcionários de outras áreas e condução de verificações nas diversas áreas da corporação. Esse líder poderá ser um gerente ou um diretor pertencente à área de segurança da informação (security office). A atuação responsável pela área de segurança da informação (security office) está em instruir os funcionários das outras áreas na identificação, coleta e/ou preservação de rastros do incidente, também caberá avaliar as consequências ocasionadas pelo ataque e providenciar, em caso de necessidade, a execução do plano de continuidade de negócios. Ao final do acompanhamento de um incidente, deverá coordenar a elaboração do relatório descrevendo o(s) fato(s) ocorrido(s). A atuação da área de redes está em prover o acesso aos equipamentos de comunicação e segurança sob sua responsabilidade, como firewalls, roteadores e switches, sempre que requisitado pelo líder do Cirt, a fim de auxiliar no levantamento e análise dos logs e, quando necessário, entrar em contato com provedores de acesso, empresas de telecomunicações etc. A área de manutenção de servidores deve atentar para a verificação detalhada da configuração dos servidores em virtude de possíveis acessos não autorizados, deve coletar os rastros de transações, fazendo a verificação do código de aplicações. O líder do Cirt poderá requisitar que um determinado servidor ou um conjunto deles seja mantido em quarentena para verificaçõesmais precisas; nesse caso, a equipe designada deverá providenciar a instalação e configuração de servidores sobressalentes para assumir o ambiente de produção. A atuação da área de auditoria visa identificar quais controles de segurança ou procedimentos falharam e permitiram a ocorrência do incidente. Sua missão será a de auxiliar o líder do Cirt na elaboração do relatório do incidente e validação/auditoria da implementação do respectivo plano de ação preparado para solucioná-lo. A auditoria também contribuirá com o Cirt na estimativa dos prejuízos financeiros e de imagem causados pelo incidente. A área de inspetoria atua na contribuição com a identificação das causas e motivações do incidente. Também será de sua responsabilidade a manutenção do histórico de todos os incidentes identificados ou 205 GESTÃO DA SEGURANÇA DA INFORMAÇÃO reportados na corporação, subsidiando o líder do Cirt com informações sobre padrões de comportamento, objetivos, frequência e medidas adotadas em casos semelhantes. A área de recursos humanos poderá ser acionada pelo líder do Cirt na medida em que o incidente envolver funcionários ou terceiros que prestam serviços para a instituição (ou empresas do conglomerado que estejam sob a sua gestão). O líder do Cirt poderá requisitar informações sobre o(s) funcionário(s) envolvido(s), entre elas, seu cargo, suas responsabilidades, sua formação. A área jurídica poderá ser acionada com o objetivo de obter auxílio jurídico na coleta e preservação de evidências e no tratamento com empresas parceiras, com funcionários ou com clientes envolvidos. Toda comunicação com empresas parceiras, clientes ou mesmo funcionários internos deverá ser acompanhada pela área jurídica da organização. A área de relações públicas é acionada no caso de o incidente trazer a exposição da empresa perante seus clientes e parceiros de negócios. A área de relações públicas poderá ser envolvida pelo líder do Cirt com o objetivo de orientar a melhor maneira de promover a comunicação com eles ou mesmo com a imprensa, caso seja necessário. Líder do Cirt Área de seg. info. Tecnologia da informação Tecnologia da informação Telecom / redes Mainframe Desenvolvimento Auditoria engenharia Recursos humanos Jurídico Relações públicas Figura 55 – Organograma do Cirt O fluxo de resposta a incidentes deve seguir a seguinte sequência lógica: sempre que um incidente for informado ou detectado, ele deverá ser encaminhado ao responsável pela área de segurança da informação (security office); caberá a essa área decidir se o Cirt deverá ser acionado ou não, em função da gravidade do incidente; sendo acionado, o Cirt deverá abrir um chamado de incidente composto por um relatório que deverá ser completado durante todo o acompanhamento do incidente; ao final do trabalho, ou mesmo durante sua execução, o líder do Cirt apresentará ao comitê de segurança um resumo desse relatório, que deverá conter os seguintes pontos: • descrição sucinta do incidente; • causa do incidente; • forma de identificação do incidente; 206 Unidade IV • classificação quanto às consequências financeiras e de imagem; • contramedidas tomadas; • plano de ação para a contenção de incidentes semelhantes. O acionamento do Cirt deve ser realizado através dos canais de fácil acesso, que devem ser disponibilizados pelo Cirt, tais como: um ramal telefônico exclusivo; um endereço de e-mail genérico (cirt@empresa.com.br); páginas de webmail na intranet (para não identificar o emissor). Tudo isso facilita o acesso ao Cirt. Acionamento da área de segurança da informação Reunião emergencial do Cirt Documentação e ampliação da base de conhecimento Identificação da causa e coleta de rastros Apresentação do relatório ao comitê de segurança Avaliação das consequências financeiras e imagem Aplicação do plano de continuidade de negócios Elaboração do plano de ação Suspeita de incidente Tecnologia da inform ação Coaboradores do Cirt Relações públicas Jurídico Recursos humanos Auditoria / inspetoria Parceiros de segurança Figura 56 – Fluxo da gestão de incidentes 7.5 Segurança física A segurança física cuida da proteção de todos os ativos valiosos da organização, por essa razão sua abrangência é extensa, desde as instalações físicas internas até as externas em todas as localidades da organização. A segurança física também cuida da proteção dos ativos quando são transportados como valores ou fitas de backup. 207 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Quando nos referimos à segurança física, a palavra prevenção vem em primeiro lugar. Medidas preventivas devem ser tomadas. São chamadas de barreiras de segurança. Beal (2008) demonstra uma barreira de segurança como um obstáculo que é colocado para prevenir um ataque. Quando falamos em segurança física, podemos nos referir, como exemplo, a uma cerca elétrica, a uma parede. Quando falamos em segurança lógica, nos referimos a um processo de logon para acesso a uma rede. Se ambas forem combinadas, será composto o perímetro de segurança. A ISO 27001 (item 7.1.1) define perímetro de segurança como sendo quaisquer elementos que estabeleçam uma barreira ao acesso indevido. A melhor forma de definição para perímetro de segurança seria como uma linha delimitadora que define uma área separada protegida por um conjunto de barreiras físicas e lógicas. Alguns exemplos de barreiras que agregadas podem formar um perímetro de segurança são: salas-cofre, roletas de controle de acesso físico e uso de token ou dispositivo biométrico para autenticação de pessoas antes da liberação da passagem, circuitos internos de TV, detectores de fumaça, sirenes e alarmes de incêndio, acionadores de água para combate a incêndio. É recomendado, segundo as melhores práticas definidas na ISO 27001, que, para segurança física, sejam considerados alguns itens de segurança obrigatórios, conforme o quadro a seguir. Quadro 29 – Itens de segurança física definidos pela ISO IEC 27001 Perímetro de segurança claramente definido Perímetro de prédios ou locais que contenham recursos de processamento de dados fisicamente consistente (sem brechas que facilitem a invasão) Implantação de área de recepção ou outro meio de acesso físico ao local ou prédio e restrição do acesso apenas a pessoas autorizadas Barreiras físicas estendidas da laje do piso até a laje superior, quando necessário, para prevenir acessos não autorizados ou contaminação ambiental causada por fogo, inundação, fumaça etc. Portas de incêndio no perímetro de segurança com sensores de alarme e mola para fechamento automático Diante do escopo abrangente que remete à segurança física é necessária a adoção de práticas de gestão idênticas às adotadas na gestão da segurança da informação: análise e avaliação de risco, elaboração de normas. Tais práticas são necessárias para a correta e eficaz introdução de um processo de gestão da segurança física. Compreender o ambiente físico da organização é o primeiro passo para a identificação das vulnerabilidades que abrem brechas para as ameaças, as quais podem comprometer o ambiente físico da organização. Vejamos a seguir exemplos das ameaças e vulnerabilidades mais comuns. 208 Unidade IV Quadro 30 – Ameaças e vulnerabilidades à segurança física Ameaças Vulnerabilidades Roubos e furtos Ausência ou falha no controle de acesso físico aos edifícios da organização Sabotagem e vandalismo Ativos físicos de fácil acesso ou expostos desnecessariamente Sequestro e chantagem Falha ou ausência na proteção física dos ativos de informação ou na proteção dos colaboradores da organização Terrorismo ideológico ou criminoso Falha ao evitar que a organização entre em temas polêmicos ou ideológicos Interrupção em serviços básicos como água, energia e gás Ausência ou falhas em planos de contingência Problemas em sistemas de suporte como ar-condicionado e ventilação Ausência ou falhas em planos de contingência Fogo e fumaça Ausência ou
Compartilhar