Baixe o app para aproveitar ainda mais
Prévia do material em texto
TECNOLOGIAS PARA INTERNET Vanessa Gomes Albuquerque E-book 3 Neste E-Book: INTRODUÇÃO ����������������������������������������������������������� 3 GERENCIAMENTO E CONTROLE DE INFORMAÇÕES ���������������������������������������������������������4 Segurança da informação �������������������������������������������������������5 Definições de ameaças ����������������������������������������������������������15 Confidencialidade, integridade e disponibilidade �����������������20 Tipos de controle de segurança ���������������������������������������������27 CONSIDERAÇÕES FINAIS ����������������������������������� 35 REFERÊNCIAS BIBLIOGRÁFICAS & CONSULTADAS ������������������������������������������������������ 40 2 INTRODUÇÃO Neste módulo, exploraremos os conceitos de Segurança da Informação. Quando falamos de se- gurança da informação, pensamos em informações bancárias. Entretanto, a Segurança da Informação trata de todo e qualquer tipo de informação pessoal, profissional ou de clientes que acreditam e confiam nas empresas a ponto de fornecer os próprios dados. Sendo assim, estudaremos conceitos referentes à segurança da informação, bem como os tipos de sistemas encontrados nas empresas que buscam informatizar todo o processo de dados em sistemas e devem cumprir as exigências de segurança de todo e qualquer dado armazenado. Em seguida, exploraremos as noções de Big Data e Internet das Coisas (IoT), muito utilizados com processos de armazenamento de informações em grande escala, bem como a implantação de sistemas IoT em vários equipamentos domésticos. Com tantos processos de informatização, há necessi- dade de os profissionais se qualificarem. Por isso, ao final, discutiremos tópicos como a competitividade atual na TI, além de aprofundar o assunto em ques- tões sobre ataques, invasão e técnicas de proteção e segurança dos dados. 3 GERENCIAMENTO E CONTROLE DE INFORMAÇÕES Temos, neste instante, uma das mais importantes definições de segurança da informação: a tomada de decisão. Tomamos decisões o tempo todo, desde que acordamos até a hora de dormir. Assim, no coti- diano, é fundamental ter o conhecimento necessário para uma tomada de decisão mais assertiva. No ramo empresarial, precisamos de muitas infor- mações para resolver um problema específico; neste caso, uma tomada de decisão errada pode levar uma empresa à falência. A segurança da informação é essencial, a ponto de ser necessário entender de forma aprofundada os Sistemas de Informação e aquilatar a relevância de sua parametrização. Essa adequação causa um im- pacto em todo o processo empresarial empregado aos seus objetivos. Saber analisar os dados e as informações forneci- das pelo sistema faz parte de todo o processo do conhecimento, pois necessita de uma compreensão específica de interpretação dos dados, com vistas a tomar decisões sem prejuízos aos envolvidos em seu processo. Estamos diante da evolução da informação, sen- do que muitos já chamavam, em sua segunda ou 4 terceira fases, de a Era da Informação. Atualmente, temos muito acesso às informações do mundo todo por meio da internet. Mas não se engane, pois nem tudo que está na internet é verdadeiro, do mesmo modo que nem tudo que parece informação é, de fato, informação. Como, então, podemos transformar esses dados em informações e reconhecê-las como tal? Ou seja, como identificar as informações precisas para sua transformação em conhecimento e, consequente- mente, para a tomada de decisão? Esse e outros são tópicos que discutiremos aqui com profundidade, agregando as questões de segurança da informação. Nesse sentido, abordaremos as principais ameaças, com isso, analisaremos e controlaremos os dados da segurança da informação, tendo como suporte ferramentas de testes e reconhecimento de vulne- rabilidades. Assim, abordaremos ainda o Big Data, com muitas informações de todos os níveis e em todos os segmentos, por isso é imprescindível seu gerenciamento para controle de danos e segurança de dados. Segurança da informação Segundo O’Brien (2004), o principal conceito de Segurança da Informação é a mistura de Tecnologia da Internet e preocupações empresariais tradicionais, que influenciam a todos os setores empresariais e, sem dúvida, é a mais recente fase no processo de evolução dos negócios. 5 É relativamente fácil encontrar relatos empresariais de invasões aos seus sistemas e/ou roubos de infor- mação. Mesmo com todos os recursos disponíveis, ainda encontramos empresas que reportam o vaza- mento de informações de clientes e empresariais, demonstrando mais uma vez a necessidade contínua de pensar em segurança de informação. Considera-se um sistema de informação um conjunto de pessoas, tecnologias e recursos que transformam dados em informação e, em seguida, em conheci- mento e tomada de decisão. Os principais conceitos de sistemas são: ● Tecnologia: redes de computadores e seus com- ponentes de hardware e software, que armazenam e processam as informações para se conseguir o gerenciamento de dados. ● Aplicações: as aplicações empresariais baseiam- -se em sistemas de informação interconectados. ● Desenvolvimento: o desenvolvimento das tec- nologias da informação nas empresas abrange os componentes básicos da tecnologia da informação. ● Administração: o gerenciamento da tecnologia da informação enfatiza tanto a qualidade quanto o valor estratégico para o negócio, mas também para a segu- rança de informação dos sistemas da organização. Repare que um sistema se define por um grupo de elementos que interagem e se completam, produ- zindo resultados de organização de informação. Um 6 sistema (ou sistema dinâmico) apresenta três com- ponentes/funções de interações básicas: ● Entrada: envolve a captação dos dados, isto é, os elementos ingressam no sistema para a reunião de elementos pertinentes à informação. ● Processamento: uma vez reunidos os dados, é preciso processar a informação, ou seja, converter um simples dado em uma informação pertinente para um conhecimento específico. ● Saída: é a transferência de dados reunidos e pro- duzidos em um processo de transformação até o destino final, podendo ser um relatório, gráfico ou qualquer outro elemento de saída, a partir do qual se possa entender a informação, seja para o seu geren- ciamento, seja para o seu conhecimento específico. Podemos, ainda, relacionar a reunião de informa- ções de uma maneira mais simples, entendendo a definição de dado, informação e conhecimento. Por exemplo, quando digo o número 35, o que ele representa para você? Aparentemente nada, não é mesmo? E se eu complementar essa informação com “Eu tenho 35 anos”, pode ser uma informação, verídica ou não. Note que ela deixou de ser um dado para se transformar em uma informação, pois acres- centei a necessidade de expressar o numeral para uma definição específica de uso. O que você faz com essa informação? Em que ela é útil para você? No momento nada, não é mesmo? Ela não acrescenta qualquer tipo de informação útil para 7 sua vida profissional ou pessoal. Em outras palavras, não é um conhecimento, pois não acrescenta nada. Nosso cérebro seleciona esta informação e “deleta”. No entanto, e se eu precisasse desenvolver um sis- tema para o qual necessito criar um campo de infor- mação para o meu usuário com o nome da variável de $Cod_Fin? Aparentemente, para quem está criando os formu- lários com as informações a serem acrescentadas aos usuários, não passa de um nome de variável para criar as tabelas de armazenamento em meu banco de dados, certo? Contudo, para o meu usuário, ele está acrescentan- do dados importantíssimos para relacionar os da- dos financeiros da empresa, sendo assim, qualquer erro pode modificar todo o relatório financeiro da empresa. Podemos dizer que, para cada pessoa envolvida, o tipo de informação é diferenciado, mas todas são necessárias para o gerenciamento do conhecimento e suas especificidades.Cada qual estará relacio- nando o processo de saída dessas informações de modo que cada um entenda o processo de dado e o transforme em informação. Com isso, podemos utilizar como conhecimento para sua continuidade de criação ou sua gestão. Dentro dos sistemas de informação, o processo de saída deve estar adequado a cada tipo de segmento setorial, ou seja, cada setor precisa de uma saída 8 de reconhecimento de informação adequado para a interpretação e o conhecimento. Por essa razão, muitas das saídas podem estar relacionadas a grá- ficos, formulários, planilhas etc. Nesses processos, existem algumas ferramentas usadas para cada tipo de sistema, e as principais são: ● Sistema de Apoio à Decisão (SAD ou Decision Support System): é um “sistema que trata de as- suntos específicos, estatísticas, projeções e com- parações de dados referentes ao desempenho da empresa, estabelecendo parâmetros para novas ações dentro do negócio da empresa” (POLLONI, 2001, p. 32). ● Sistema de Informações Estratégicas (SIE): é uti- lizado em um nível hierárquico para a alta adminis- tração, pois com ele se realiza o planejamento estra- tégico em longo prazo, destinado aos presidentes, sócios, diretores e acionistas das empresas. ● Sistema de Informação Gerencial (SIG): é utilizado para o controle gerencial definido, para o planejamen- to estratégico pelo planejamento tático, bem como para otimizar “determinada área de resultado ou fun- ção empresarial e não a empresa inteira” (REZENDE; ABREU, 2003, p.131). ● Sistema de Informações Operacionais (SIO): é utilizado pelo corpo técnico (engenheiros, assistentes e auxiliares), tendo suas respectivas permissões e atividades que envolvam somente seu setor. 9 Essas mudanças nos papéis, envolvendo as sistema- tizações, desempenham um crescente investimento em tecnologia e segurança, pois requerem aplicações diretas e interação entre pessoal de suporte técnico, gestores e o nível executivo da empresa. Portanto, saber planejar a arquitetura da informação é a necessidade de organização e estruturação para as soluções de uma empresa. Big Data A realidade das empresas tem sido a busca pelo tratamento das informações. Para isso, é necessário analisar e obter informações a partir de um conjunto de dados inseridos por suas organizações. Em muitos casos, principalmente em empresas de grande porte, os fluxos de dados são muito grandes, por isso, não podem ser analisados convencional- mente. Ao longo das últimas décadas, esses conjun- tos de informações têm tido um volume exponencial, o que foi impulsionado sobretudo pela Internet, au- mentando de forma abrupta a quantidade de dados produzidos e popularizando a Internet das coisas (IoT). O termo Big Data surgiu em 1997, quando da sua utilização para nomear a grande quantidade de in- formação, chegando hoje ao Petabyte (PB) em uma unidade de sistema, ou seja, o equivalente à quin- ta potência de 1.000 ou 1015, ou mesmo 10245 de bytes de uma unidade relacionada, ultrapassando o Terabyte (TB), atualmente o mais conhecido e que re- 10 presenta a quarta potência de 1.000: 1012 ou 10244 bytes de uma unidade. Atualmente, geramos mais de 2,5 quintilhões de bytes diretamente, sendo essenciais para as rela- ções empresariais, questões econômicas e sociais, representando expressivamente uma evolução nos sistemas de negócios e na ciência de dados. As ferramentas de Big Data são importantes para os segmentos empresariais, pois auxiliam as questões de produtividade, redução de custos e análise de in- formações e, certamente, mudanças na tomada de decisão. Para que tudo isso aconteça, especialistas consideram os conceitos de dados mais utilizados de forma diferenciada, separando-os em grupos como: ● Social Data: dados referentes às redes sociais e que implicam a interação entre usuários, como seus comportamentos de compra. ● Enterprise Data: dados empresariais coletados pelos setores de Recursos Humanos (RH) das em- presas, setores de vendas, financeiro, logísticas e de produção. Esses dados dizem respeito às atribuições de funcionários e setores internos de uma empresa, que deve identificar e criar soluções de problemas, melhorias ou fraudes. ● Personal Data: dados pessoais, geralmente rela- cionados ao conceito de Internet das Coisas (IoT), como os dados obtidos por meio de aparelhos pes- soais ou de uso coletivos (smartphones, geladeiras, micro-ondas, carros, televisões, entre outros). Esses dados mostram o estudo de padrões de um indiví- 11 duo e, a partir do uso do Personal Data, desenvolve metodologias que possam ser personalizadas para a interação com os usuários e/ou clientes. Podemos observar que a aplicação do Big Data é de grande ajuda em todos os segmentos do mercado, por isso, os investimentos passam de USD 40 bi- lhões. Por exemplo, a Google utiliza a Big Data para a obtenção de dados dos usuários, para tanto, cria ferramentas que, muitas vezes, podem ser considera- das “invasiva”, pois tratam as informações pessoais dos usuários como identificáveis; e isso tornou-se uma constante discussão no tocante à necessidade de leis específicas para uso de dados dos usuários. Embora seja uma ferramenta com investimentos altíssimos, muitas empresas defendem o uso de Big Data e, assim, criam parcerias para que possam compartilhar informações dos clientes e usuários, abrindo um novo leque de necessidades políticas sobre o uso e a negociação de dados. Esse é um assunto muito comentado atualmente, porque se refere a uma ferramenta de manipulação de informações nas eleições dos Estados Unidos da América, além da disseminação de Fake News, com o Big Data como uma metodologia de uso duvidável pelas questões éticas. 12 Competitividade com a Tecnologia da Informação Observamos que o uso das ferramentas tecnológicas e a necessidade de armazenamento dos dados têm sido de grande valia para as empresas. Com base nessa proposição, podemos dizer que há, conse- quentemente, uma demanda por profissionais que atuem em Big Data e análise de dados e segurança da informação, o que implica desde a profissionali- zação até questões éticas. O Big Data permite trabalhar com grandes volumes de dados, sendo assim, um erro qualquer pode trazer irreparáveis danos às empresas. No Brasil, diversas áreas partilham o mesmo segmento de profissio- nalização da Tecnologia da Informação (TI), como Estatístico, Analista de Dados, Analistas Estatísticos em Programação, Cientista de Dados, entre outros. Nesse sentido, dado déficit de profissionais, a IBM sentiu a necessidade de criar a Big Data University, a fim de capacitar seus profissionais para o mercado de trabalho. Atualmente, é possível encontrar vá- rias plataformas de ensino a distância com cursos nas áreas de Big Data e Ciências de Dados (Data Science) oferecidos por grandes universidades, como a Harvard e o MIT. Ainda que as especificações de tratamento de da- dos sejam essenciais, não podemos deixar de lado as questões de segurança, como a permissão de dados, os ajustes nas criptografias, as ameaças e invasões dos equipamentos de armazenamento de 13 dados. Com isso, verificou-se a necessidade de pro- fissionais de Segurança da Informação, guardando as informações empresariais e profissionais de seus clientes de maneira efetivamente segura. Os profissionais de segurança cibernética devem ter as mesmas qualificações que os hackers, prin- cipalmente no que diz respeito aos Hackers Black Hats, para proteger de ataques e possíveis invasões. Assim, a diferença entre um profissional de seguran- ça e um hacker é que o profissional deve trabalhar dentro dos limites da lei. Tenha em mente que sempre há um rastro, cons- ciente ou não, e esses rastros podem ser seguidos visando a encontrar o invasor. Os profissionais de segurança criam códigos de éticas para pessoas no seu setor, pois essa ainda é uma área que sofre mudanças não cobertas pela lei. As empresas criam, então, as própriasleis e os códigos de ética corpo- rativa; portanto, os profissionais devem seguir um padrão de conduta. SAIBA MAIS A página Talent Bridge da Networking Academy disponibiliza informações para montar um bom currículo e se preparar para uma entrevista de em- prego. Contém informações de vagas de empresas em grandes empresas com parceria da Cisco. Saiba mais em www.netacad.com� 14 Definições de ameaças Para definir uma ameaça é necessário, a princípio, reconhecer a necessidade de gerenciamento de ris- cos em Tecnologia da Informação e Comunicação (TIC), que envolve milhares de empresas com novos componentes de hardware e software. Entendemos risco como a chance de que algo ruim possa acontecer, seja a perda de confidencialidade, integridade ou disponibilidade de informação ou sis- temas de informação, podendo refletir em grandes impactos nas operações organizacionais. O gerenciamento de risco deve se estruturar em uma linguagem que expresse essas características sem alteração, disseminação ou falsificação da legitimi- dade dos dados. Por exemplo, a linguagem de programação em PHP utiliza a programação em critérios de criptografia. Assim, o analista, presidente ou qualquer outra pes- soa não tem acesso às informações armazenadas. Mencionamos, a seguir, alguns métodos de cripto- grafia em PHP utilizadas para senhas e dados espe- cíficos, os quais reforçam a segurança: ● MD5: trabalha com o Hash de 32 caracteres he- xadecimal, ou seja, é capaz de mapear uma senha de seis dígitos em um comprimento variável de 32 caracteres, chamados de valores hash ou códigos hash. Esse tipo de criptografia armazena os 32 dí- gitos e, até o momento, não há qualquer código ou 15 programas que faça a descriptografia. Por isso, em alguns sistemas, não há maneira de recuperar a se- nha, mas somente a possibilidade de criar uma nova senha a partir das confirmações de outros dados específicos. É utilizado na codificação de forma bem simples: $valor_criptografado = md5(“suasenha”). ● Secure Hash Algorithms (SHA): considerada mais segura que o MD5, é também uma função hash, mas seu valor é tratado como número hexadecimal de 40 dígitos. Possuem ainda outras versões, como o SHA0, SHA2 e SHA3, processos segurança utiliza- dos pelo Google e também a conhecida moeda de Bitcoin. Portanto, não é passível de qualquer detec- ção, adulteração ou corrupção de dados. Sua codi- ficação também se aplica de maneira bem simples: $valor_criptografado = sha1(“suasenha”) ● Base64: é uma codificação de dados em hash, mas é considerada uma criptografia fraca e passível de descriptografia. Com base em MIME, a base64 é utilizada para a transferência de conteúdos por meio de transmissão em binário, muito utilizado em e- -mails. Sua codificação se aplica de maneira simples: $valor_criptografado = base64_encode(“suasenha”) Para a descodi f icação , basta acrescen - tar ao código: $valor_descriptografado = base64_decode($valor_criptografado). Para a linguagem Python, há pacotes de criptografia chamados Cryptography, com vários outros pacotes 16 para a implementação em algoritmos, incluindo a primitiva Fernet, a qual garante que uma mensagem criptografada não possa ser manipulada ou lida sem a chave de segurança. Visando a utilizar a criptografia na classe Fernet, a instalação do pacote é feita a partir do uso de PIP com apenas um comando: pip install cryptography. Figura 1: Instalação de Pacote de Criptografia do Fernet. Fonte: Elaboração própria. Esse padrão é considerado um dos mais seguros, dado que gera uma chave no Fernet para que possa ser descriptada. Trata-se de algumas formas de bus- car a garantia de integridade dos dados, mas ainda existem outras linguagens, aplicativos e formas de buscar a segurança de informação. Os crimes digitais têm crescido, sobretudo atacando pessoas sem qualquer conhecimento abrangente ou específico em tecnologias. Contudo, é bom saber verificar que um crime em ambiente cibernético não constitui necessariamente um ato de guerra ciberné- tica, ou seja, espionagens e hacktivismo (terrorismo). A segurança cibernética deve ser um esforço contí- nuo que visa a proteger todo e qualquer sistema em 17 rede para eliminar o uso de dados não autorizado ou mesmo que seja prejudicial. No tocante à questão empresarial, é responsabili- dade da corporação proteger sua reputação, os da- dos e clientes. Quanto ao Estado, deve-se proteger tanto a segurança nacional quanto o bem-estar dos cidadãos. Porém, alguns problemas podem ser evitados, como usuários enviarem seus dados a plataformas que não são da empresa ou mesmo fornecer dados como senha em e-mails. Sua identidade on-line deve ser limitada, tal qual a escolha de um nome de usuário e senha de acesso, com caracteres especiais e caixas altas (maiúsculas). Parece uma informação simples, mas muitos ainda não utilizam tais métodos. Temos, por exemplo, vários tipos de registros: mé- dicos, escolas, emprego, financeiro etc., que reve- lam informações pessoais, como o Individualized Education Programs (IEP), ou Programas de Educação Individualizada. Essas informações são parte da sua vida pessoal, portanto, é necessário proteger não apenas seus dados, mas sua privacidade nos mais diversos dis- positivos e sistemas. Quem nunca baixou um aplicativo e só clicou em “permitir”, “permitir” e “permitir”? Quem já fez algum cadastro em um site e nunca leu todo o acordo ou as políticas do site? Acredito que muitos. E esse é o 18 ponto que determina também a exposição dos seus dados. Há empresas que não oferecem alternativas de não permissão, como um aplicativo que, para instalá-lo, pede permissão para acessar suas fotos em seu ce- lular. Com todos os acessos liberados ou disponíveis on-line, seus dados pessoais tornam-se rentáveis aos hackers. Por exemplo, alguns anos atrás, houve um caso de roubo de milhas de viagens. Aparentemente, não são tão importantes quanto seus dados pessoais ou bancários, mas são muito importantes para os criminosos digitais. Isso ocorreu em mais de 10 mil contas da American Airlines e United Airlines, sendo hackeadas e reservando voos e upgrades gratuitos com os dados. Mesmo usando dados alheios “somente” para fazer reservas de voos, as empresas ainda mencionaram que os criminosos poderiam usar dados pessoais para atividades de relacionamentos e reputação, como o acesso a outros sistemas, e até para trans- ferir dinheiro por meio de mecanismos diferenciados, como a indicação de familiares e amigos. Nesse ponto, verificamos que o roubo de informa- ções é tão importante quanto os valores financeiros. São diversos os meios de roubo de informações, por exemplo, o Imposto de Renda ou a identidade médica, cartões de créditos, financiamentos etc. 19 No ambiente corporativo, os dados são mais di- versos, pois temos informações de funcionários, propriedades intelectuais, informações financeiras, materiais, folha de pagamento, entre outras. Logo, são muito mais prejudiciais. Confidencialidade, integridade e disponibilidade A Confidencialidade, Integridade e Disponibilidade (CID) são as diretrizes de segurança da informação de uma empresa. A seguir, vamos tratar de cada uma. Confiabilidade A confiabilidade garante a privacidade dos dados, ao restringir os acessos por autenticação, ou seja, garante a privacidade das informações com uma política empresarial que impede o acesso a dados de clientes, ainda que sejam funcionários internos. Os dados são divididos conforme a segurança ou o nível de confidencialidade da informação. Por exem- plo, os desenvolvedores, que geralmente têm acesso ao banco de dados da empresa. No regime das polí- ticas empresariais, não só não terão acesso, como também não poderão visualizar as informações pes- soais de todo os funcionários. Exige-se, ainda, um treinamento para as melhores práticas de proteção de informações e segurança da empresa. Os métodos utilizados como confidencialidade in-cluem a criptografia do ID de usuário e senha, atu- 20 almente com a autenticação em dois fatores, dimi- nuindo a exposição de informações. Integridade A integridade relaciona-se à precisão, consistência e confiabilidade dos dados que, durante todo seu ciclo, devem permanecer inalterados, ou seja, todo o trâmite de armazenamento, visualização ou qualquer outro meio de saída de informação não pode estar disponível para qualquer tipo de modificação. As permissões de acesso, neste caso, são conce- didas apenas para os usuários autorizados a fazer inserção ou controle dos arquivos e dados inseridos. Esse tipo de controle evita alterações acidentais. Os backups devem estar sempre disponíveis, em caso de erros acidentais, para a restauração de da- dos danificados, e o hash para a verificação da inte- gridade dos dados durante a transferência. Disponibilidade Os dados podem ser associados à manutenção de equipamentos, a reparos de hardware, atualização de software, criação de backups, entre outros, ga- rantindo aos usuários autorizados a disponibilidade da rede de dados. Geralmente, há planos de risco para ação imediata, pois a recuperação rápida é de catástrofe natural ou mesmo provocadas pelo homem, como no caso de equipamentos de segurança, softwares e firewall protegerem durante a fase de inatividade a proteção 21 de ataques, chamados de Ataques de Negação de Serviço (Denial of Service – DoS). As ameaças podem ocorrer em questões de seguran- ça interna ou externa da empresa, pois um usuário, funcionário ou parceiro de contrato pode: ● Erroneamente tratar dados confidenciais. ● Instalar programas ou baixar arquivos que sejam uma ameaça às operações de servidores internos ou mesmo de dispositivos de infraestrutura de rede. ● Facilitar ataques quando estiver conectado a ou- tras mídias, por exemplo, os USB infectados. ● Acidentalmente convidar malwares para a rede por e-mail ou sites mal-intencionados. As ameaças internas têm um grande potencial de causar danos graves, mais do que as ameaças ex- ternas, pois o funcionário está diretamente ligado a edifício, dispositivos, infraestrutura da empresa etc., por isso, é preciso criar permissões de privilégios, dado que são essenciais, desde o início da integração de cada funcionário à empresa. Por sua vez, as ameaças externas são causadas por amadores ou invasores com menos habilidade. Ainda assim, podem explorar as vulnerabilidades nas redes ou dispositivos tecnológicos da empresa ou mesmo usar as engenharias sociais para obter algum tipo de acesso. 22 Ataques, conceitos e técnicas Diante de algumas vulnerabilidades de software e hardware preestabelecidas em alguns ataques ci- bernéticos, podemos categorizar diferentes vulne- rabilidades na segurança. Os softwares mal-intencionados, ou malware, são sintomas seriamente discutidos, pois têm diferentes maneiras de os invasores se infiltrarem em um siste- ma, bem como obter ataques de negação de serviço. Os tipos de ataque cibernético mais modernos são os mistos, pois atacam utilizando-se de várias téc- nicas ao mesmo tempo, para se infiltrarem em um sistema. Quando o ataque não pode ser prevenido, o profissional de segurança cibernética deve reduzir o máximo possível os impactos do ataque. Esses ataques de segurança podem ocorrer em qual- quer tipo de defeito de software ou hardware, por essa razão, devem ser feitos testes periódicos com vistas a buscar as vulnerabilidades. Os usuários mal-intencionados podem explorar essas vulnerabilidades. Por exemplo, um Exploit, que é um termo utilizado para descrever um programa que busca vulnerabilidades ao criar falsos ataques. Tais falsos ataques visam a encontrar as vulnerabilidades e, com isso, ter acesso ao sistema ou aos dados para uma solução imediata. A maioria das vulnerabilidades encontradas nos sof- twares é criada pelo desenvolvedor; por isso, deve- mos fazer os testes de qualidade de softwares em 23 conformidade com padrões e normas de segurança antes da sua implementação. Periodicamente, presenciamos os avanços tecnoló- gicos; logo, os testes devem ocorrer periodicamen- te, seguidos da correção dos erros. Por exemplo, empresas como a Microsoft e a Apple lançam seus patches e atualizações quase que diariamente para corrigir erros ou brechas no sistema. Assim, os na- vegadores e aplicativos são os mais comuns para tal atualização diária. Em 2015, a chamada SYNful Knock foi descoberta no Cisco IOS como uma vulnerabilidade, o que permitiu aos invasores o controle de roteadores empresariais como o Cisco 1841, 2811 e o 3825, monitorando toda a rede de comunicação e infectando outros dispositi- vos da empresa. Eles só conseguiram invadir, porque a atualização de uma versão do sistema operacional foi instalada nos roteadores. Existem empresas e profissionais contratados para buscar tais vulnerabilidades de segurança. O Project- Zero, do Google, é um exemplo de formação de equi- pes que buscam as vulnerabilidades em diversos softwares de usuários finais. SAIBA MAIS O Project-Zero, do Google, é aberto a todos e pode ser visualizado em sua lista de testes. Saiba mais acessando https://bugs.chromium.org/p/ project-zero/issues/list?can=1&redir=1 24 Ocorrem, ainda, falhas de hardware que criam vul- nerabilidades frequentes por falhas de projeto. Por exemplo, a memória RAM consiste praticamente em capacitores instalados próximos um do outro e, por isso, descobriu-se que essa proximidade faz com que haja constantes mudanças aos capacitores, influenciando o capacitor vizinho. A partir dessa falha, criou-se um Exploit chamado Rowhammer, que, ao escrever várias vezes na me- mória nos mesmos endereços, o Exploit permite que os dados sejam recuperados de células próximas de endereços, mesmo que estejam protegidas. As vulnerabilidades de hardware são bem específicas ao tipo de modelo do dispositivo e, geralmente, não são exploradas por tentativas de ataques. Contudo, é comum criar Exploits de hardware para um har- dware específico, pois a proteção contra malwares tradicionais é suficiente para os usuários. Os invasores podem ser indivíduos ou grupos que tentam explorar as vulnerabilidades para ganhos pessoais ou financeiros: ● Amadores: são chamados de hackers ou Lamers/ Lammer com pouca ou nenhuma qualificação pro- fissional, nem conhecimento específico. Muitas das ferramentas utilizadas são encontradas na internet e usadas por curiosos que tentam demonstrar suas qualificações profissionais e causar danos. ● Hackers: grupo que invade computadores e redes para acesso; são classificados como White, Gray ou Black Hat. Os White Hat entram em redes ou siste- 25 mas de computadores para verificar suas vulnerabi- lidades, a fim de melhorar a segurança. Os Gray Hat são os invasores do “bem”, assim como os White, buscam as vulnerabilidades e relatam aos proprie- tários; muitos publicam os fatos sobre a vulnerabili- dade na internet para que outros invasores possam explorá-la. Os Black Hat, por sua vez, são invasores do mal, mal-intencionados que se aproveitam das fraquezas e vulnerabilidades para ganho pessoal, financeiro ou político. ● Hacker organizados: grupo que inclui empresas de criminosos virtuais, os Hacktivistas ou terroristas, e geralmente são hacker patrocinados pelo Estado. Este grupo foca o controle, o poder e a riqueza. São extremamente sofisticados e organizados, por essa razão, oferecem seus serviços a outros criminosos digitais. Os hacktivistas fazem declarações políticas, cometem sabotagens e roubam informações em nome do Estado para seus benefícios. Existe ainda o chamado “engenheiro social”, isto é, um ataque ao acesso de forma a manipular indivídu- os para realizar ações ou divulgar informações confi- denciais. O invasor reconhece a fraqueza do funcio- nário e demonstra autoridade por meio de técnicas que citam nomes importantes para manipulá-lo. Para esse tipo de ataque, temos três tipos classificáveis:● Pretexting: quando o invasor mente a um indiví- duo para obter os seus dados confidenciais e tentar o acesso. 26 ● Tailgating: quando o invasor persegue uma pessoa autorizada em local considerado seguro, seguindo seus rastros. ● Something for something: também conhecido como Quid pro quo, ocorre quando se solicitam in- formações pessoais em troca de algo como um pre- sente, prêmio etc. Tipos de controle de segurança Para categorizar os tipos de controle de segurança, é necessário primeiramente conhecer as categorias de vulnerabilidade de segurança de software atuais. Sendo assim, vamos conhecê-los: ● Saturação do buffer: utilizada quando os dados são gravados além dos limites de um buffer. Os bu- ffers são memórias alocadas em um dispositivo que, ao alterar os dados além do limite, o aplicativo aces- sa a memória alocada em outros processos, ou seja, leva à queda do sistema e compromete os dados ou fornece o escalonamento de privilégios. ● Entrada não validada: é necessário criar privilégios para todos os usuários. Os dados não lançados a um sistema pelo funcionário podem ser mal-intenciona- dos, forçando o programa a se comportar de maneira não desejada. Pode até ser uma simples imagem, mas essa imagem pode criar outra imagem com di- mensões inválidas, forçando o programa a alocar em buffers de tamanhos incorretos e inesperados. Com isso, obtém outros acessos fora de sua permissão. 27 ● Condição de corrida: ocorre quando a saída de um evento depende de saídas ordenadas ou crono- metradas, tornando-se uma fonte de vulnerabilidade de eventos, desordenando-os ou colocando-os em uma sincronização incorreta. ● Deficiência nas práticas de segurança: os desen- volvedores devem utilizar as bibliotecas de segurança para tratar os sistemas e dados confidenciais, pois estes devem ser protegidos por meio de técnicas de autenticação e criptografia. ● Problemas de controle de acesso: serve para con- trolar e gerenciar o acesso físico aos equipamentos e determinar quem está utilizando o acesso a um re- curso ou a um arquivo, mas também o que a pessoa pode fazer: somente leitura, somente alteração ou somente imprimir etc. A maioria das vulnerabilidades, neste quesito, deve-se às permissões de acesso. Os softwares mal-intencionados ou malwares (Malicious Software) são usados por qualquer código não apenas para roubar dados, como também ignorar controles de acessos, causar danos ou comprometer um sistema. Os tipos mais comuns são: ● Spyware: projetado para espionar usuários, inclui rastreadores de atividades coletadas pelo toque de tela e captura de dados. Para combater esse tipo de malware, é preciso rever constantemente as confi- gurações, pois o malware modifica as configurações de segurança e, muitas vezes, se junta a softwares legítimos. 28 ● Adware: é um software de suporte a anúncios pro- jetado para fornecer anúncios automaticamente. O adware pode ser instalado com algumas versões de antivírus, como Ad-Aware, que faz varreduras com- pletas e eficientes. Alguns tipos de adware são pro- jetados para oferecer anúncios que também incluem os spywares. ● Bot: oriundo da palavra “robot”, é um malware pro- jetado para executar automaticamente a ação de infiltração. No geral, esse tipo de malware funciona apenas on-line: enquanto a maioria dos bots é ino- fensiva, há utilização de bots mal-intencionados, os botnets, que operam somente com os comandos do invasor. ● Ransomware: projetado para manter um sistema de computador ou os dados incluídos nele até que um pagamento seja feito, tal qual um sequestro. Na maioria dos casos, funciona com dados criptogra- fados que necessitam de uma chave para voltar ao seu funcionamento e que fica desconhecido, sem a possibilidade de se descobrir sua chave de descripto- grafia. Existem, ainda, outras versões do ransoware, as quais podem até não usar as vulnerabilidades de sistemas, mas utilizam os bloqueios espalhados por meio de donwloads ou vulnerabilidades de softwares. ● Scareware: projetado para persuadir o usuário a executar alguma ação específica, normalmente com base no medo, ou seja, simula janelas pop-ups que se assemelham às janelas de diálogos do sistema operacional. Nessas janelas, transmitem mensagens falsificadas que afirmam que o sistema está em risco 29 ou que, na verdade, precisa da execução de um pro- grama para retornar sua operação normal, mas nada acontece no computador. Se os usuários tiverem receio e baixar o programa, o scareware é executado e faz uma limpeza no computador, com a permissão do usuário, infectando a máquina com o malware. ● Rootkit: criado para mudar o sistema operacio- nal e fazer backdoor (porta dos fundos); é utilizado para escapar remotamente de uma autenticação ou criptografia normal. Esse tipo de malware acontece tanto em sistemas embarcados quanto em roteado- res domésticos. É utilizado nas vulnerabilidades de softwares que escalonam privilégios, bem como para a computação forense do sistema, que recorre às ferramentas de monitoramento, podendo contornar os acessos difíceis de serem detectados. Quando infectado por um rootkit, deve-se apagá-lo e reinstalar todo o sistema operacional. ● Vírus: código executado mal-intencionado que é anexado a outros arquivos executáveis, podendo ser até executáveis legítimos. A maioria dos códigos exe- cutáveis precisa de ativação do usuário, podendo ser uma atividade com hora e data específicas. Alguns desses vírus podem ser inofensivos, apenas exibem uma imagem, mas outros podem ser destrutivos. Esse tipo de vírus é programado para modificar ou excluir dados, tanto quanto podem se automodificar sem serem detectados. São disseminados por USB, discos ópticos, compartilhamentos de rede ou e-mail. ● Cavalo de Tróia: realiza operações sob o pretex- to de uma operação real desejada. Trata-se de um 30 código que explora os privilégios dos usuários que o executa, podendo ser encontrados em imagens, arquivos de áudios e jogos. Diferentemente do vírus, vincula-se aos arquivos não executáveis. ● Worms: são códigos que se replicam, ao explorar as vulnerabilidades das redes, deixando-as mais len- ta. Ao passo que um vírus requer um programa host para sua execução, os worms podem ser executados de forma autônoma. Uma vez infectado o host, os worms podem se transmitirem muito rapidamente até a rede, compartilhando padrões. Todos os tipos de worms se aproveitam da vulnerabilidade para sua propagação, por isso, são os mais conhecidos e de- vastadores da história dos servidores, pois em 19 horas infecta mais de 300 mil servidores. ● Man-In-The-Middle (MitM): permite que o invasor tenha o controle de um dispositivo sem o conhe- cimento do usuário, com isso, pode interceptar e capturar informações do usuário antes mesmo de transmiti-las. Os ataques MitM são recorrentes em casos de roubo de informações financeiras, possuin- do muitos conceitos técnicos e recursos que os in- vasores utilizam para sua criação. ● Man-In-The-Mobile (MitMo): como o nome diz, é um malware que ataca o dispositivo móvel, as- sumindo o controle total. É utilizado em casos de roubo de informações confidenciais para enviar aos invasores. O MitMo mais conhecido é o ZeuS, que captura mensagens SMS de verificação em dois pas- sos, normalmente, enviadas aos usuários. 31 Independentemente do tipo de invasão, podemos observar sintomas comuns, como o aumento do uso da CPU, a diminuição da velocidade do computador, o travamento ou congelamento do computador fre- quentemente, a navegação via web lenta, arquivos podem ser excluídos ou modificados, problemas de conexões de redes, entre outros. As informações e ferramentas usadas pelos hackers são as mesmas que os profissionais de segurança usam. Por isso, o Reconhecimento (Reconnaissance) desenvolve métodos para atacá-los ou rodar testes de invasão para vigilância. O rastreio de pegadas na internet (Footprinting) é utilizado para se obtero reconhecimento técnico que os hackers iniciantes usam porque é mais seguro. A busca Whois é uma ferramenta de internet que auxilia com a recuperação de informações específi- cas de nome de domínio do banco de dados de uma empresa específica. É necessário conhecer os comandos específicos para seu uso na interface CLI de sistemas POSIX, como UNIX, Solaris e Linus. O utilitário Ping também faz parte do Protocolo de Mensagens de Controle de Internet (ICMP), que verifica o host, permitindo a transmissão de pacotes de dados, pois faz parte de várias ferramentas de administração de rede. Entre os meios citados de rastreamento, Basta, Basta e Brown (2014, p. 38) mencionam o seguinte: 32 ● Utilitário Tracerout: envia um pedido a uma pá- gina web em um servidor remoto em um sistema operacional baseado no UNIX, rastreando todos os servidores intermediários, auxiliando os usuários e administradores a resolver problemas de conectivi- dade de rede� ● Utilitário Netstat: permite a conexão do Protocolo de Controle de Transmissão (TCP), do Protocolo do Usuário (UDP) e do IP do computador, auxiliando o processo de localização do endereço IP dos compu- tadores e de hosts. Há escaneadores que buscam e criam relatórios de vulnerabilidades em hosts locais e remotos, são os chamados “escaneadores de portas”, que verificam quais estão “abertas”. Esse tipo de buscadores ini- ciou antes da criação da ARPANET, automatizando o processo de análise de pontos fracos e verificando vulnerabilidades para abrirem as portas e conectar aos hosts, com isso, checam o endereço IP ou todas configuradas em seu host (BASTA; BASTA; BROWN, 2014). Há outras ferramentas Exploit úteis tanto para o esca- neamento quanto para a descoberta de teste invasão (BASTA; BASTA; BROWN, 2014, p. 48): ● Nmpa: considerado o melhor escaneador de rede de código aberto, é poderoso e de fácil uso, bem flexível no suporte aos sistemas operacionais (SO). ● Unicornscan: é uma ferramenta de código aberto criada para identificar flags e banners TCP. 33 ● Fierce: é uma ferramenta de código aberta base- ada em Perl, utilizando comandos padrões. ● Maltego: baseia-se em Java, que oferece versões pagas e gratuitas para as áreas comercial e pericial, podendo ser usada em diversos SO. ● P a s s i v e R e c o n : r e c o n h e c i d o c o m o PacketlessRecon, é uma ferramenta de comple- mentação do navegador Firefox que reúne as mais diversas informações dos usuários e as publica para reconhecimento de testes. ● Tcpdump: é uma ferramenta que analisa pacotes com comandos em linhas de código e funciona com UNIX/Linus. Para a versão em Windows, chamada WinDump, é utilizada para monitorar o tráfego que há entre dois hosts, incluindo senhas e URL. ● Wireshark: é um analisador de pacotes similar ao Tcpdump; era conhecido como Ethereal, utilizado para facilitar o uso de testes de invasão de inexpe- rientes, contendo um pacote de interface GUI (grá- fico) e compatível com os SO inclusive com o OS X. ● Nessus: é um escaneador remoto para o uso em Linux, BSD, Solaris e algumas versões do UNIX, ge- rando relatórios e sugerindo soluções de segurança. ● NeXpose: efetua testes de vulnerabilidades co- merciais com várias versões, dependendo do porte da empresa. Existe ainda uma versão para usuários que pode ser usada por pequenas empresas e que verifica mais de 15 mil vulnerabilidades. Existem diversas ferramentas, como o Nipper, para o setor comercial baseado em C++, o Open VAS é usa- 34 da como suporte a usuários da arquitetura orientada a serviços (SOA), o QualysGuard também é para a área comercial e testes de rede e gestão em nuvem, o SAINT é utilizado na integração de redes, entre tan- tas outras Exploits, cada qual com sua importância e relevância para cada tipo de usuário. Em outras palavras, são geralmente utilizadas por profissionais cujo objetivo é garantir a segurança geral de empresas, equipamentos e usuários. 35 CONSIDERAÇÕES FINAIS Neste módulo, pudemos observar que o espaço aqui ainda é pouco para tratar mais detidamente de tan- tas informações sobre segurança da informação. Nossas leis ainda estão em evolução para a área de Tecnologia da Informação, por isso, muitos hackers se aproveitam da falta da legalização e, assim, bus- cam se utilizar das brechas disponíveis pela falta de conhecimento técnico de programadores e das leis com maior rigidez a despeito desse tipo de roubo de informação� Dado que os sistemas podem ser criados a cada necessidade empresarial, bem como websites e sis- temas mobile, existe uma ferramenta para monitorar, escanear e corrigir possíveis problemas que favore- çam a abertura de portas e possíveis invasões. Conforme já estudamos, as normas e regras prees- tabelecidas em testes de softwares são necessárias para se evitar qualquer abertura de porta a hackers. Garante-se, assim, a segurança de informação. Mas para isso é necessário obter a certificação para cada tipo de processo, desde sua codificação passando por testes para assegurar a continuidade de segu- rança do sistema e da rede. Atualmente, não basta saber programar ou conhecer várias linguagens de programação. A certificação para codificação, testes de qualidade do software e segurança da informação são parte do profissional 36 de TI comprometido com o próprio desenvolvimento e gerenciamento das informações dentro das rela- ções jurídicas e éticas. 37 Referências Bibliográficas & Consultadas BASTA, A.; BASTA, N.; BROWN, M. Segurança de computadores e teste de invasão. São Paulo: Cengage Learning, 2014 [Minha Biblioteca]. CARDOSO, A. L.; SALVADOR, D. O.; SIMONIADES, R. Planejamento de marketing digital. Rio de Janeiro: Brasport, 2017 [Biblioteca Virtual]. FRANCO JUNIOR, C. F. E-business na infoe- ra: o impacto da infoera na Administração de Empresas: Internet e tele-comunicação multimí- dia digital, tecnologia e sistemas de informação� 4. ed. São Paulo: Atlas, 2006 [Minha Biblioteca]. GALLOTTI, G. M. A. Sistemas Multimídias� São Paulo: Pearson Education do Brasil, 2017 [Biblioteca Virtual]. O’BRIEN, J. Sistema de Informação e as decisões gerenciais na era da internet. São Paulo: Saraiva, 2004. OGDEN, J. R.; CRESCITELLI, E. Comunicação inte- grada de marketing: conceitos, técnicas e práti- cas. 2. ed. São Paulo: Pearson Prentice Hall, 2007 [Biblioteca Virtual]. POLLONI, E. G. F. Administrando sistemas de in- formação: estudo de viabilidade. 2. ed. São Paulo: Futura, 2001. REZENDE, D. A.; ABREU, A. F. Tecnologia da Informação Aplicada a Sistemas de Informações Empresariais. 3. ed. São Paulo: Atlas, 2003. SHARMA, V.; SHARMA, R. Desenvolvendo sites de e-Commerce. São Paulo: Makron Books, 2001 [Biblioteca Virtual]. TEIXEIRA, T. Comércio eletrônico: conforme o marco civil da internet e a regulamentação do e-commerce no Brasil. São Paulo: Saraiva, 2015 [Minha Biblioteca]. TURBAN, E.; KING, D. Comércio eletrônico: estra- tégia e gestão. São Paulo: Pearson Prentice Hall, 2004 [Biblioteca Virtual]. INTRODUÇÃO GERENCIAMENTO E CONTROLE DE INFORMAÇÕES Segurança da informação Definições de ameaças Confidencialidade, integridade e disponibilidade Tipos de controle de segurança CONSIDERAÇÕES FINAIS Referências Bibliográficas & Consultadas
Compartilhar