Ebook 3 tecnologias para internet

Prévia do material em texto

TECNOLOGIAS 
PARA INTERNET
Vanessa Gomes Albuquerque
E-book 3
Neste E-Book:
INTRODUÇÃO ����������������������������������������������������������� 3
GERENCIAMENTO E CONTROLE DE 
INFORMAÇÕES ���������������������������������������������������������4
 Segurança da informação �������������������������������������������������������5
Definições de ameaças ����������������������������������������������������������15
Confidencialidade, integridade e disponibilidade �����������������20
Tipos de controle de segurança ���������������������������������������������27
CONSIDERAÇÕES FINAIS ����������������������������������� 35
REFERÊNCIAS BIBLIOGRÁFICAS & 
CONSULTADAS ������������������������������������������������������ 40
2
INTRODUÇÃO
Neste módulo, exploraremos os conceitos de 
Segurança da Informação. Quando falamos de se-
gurança da informação, pensamos em informações 
bancárias. Entretanto, a Segurança da Informação 
trata de todo e qualquer tipo de informação pessoal, 
profissional ou de clientes que acreditam e confiam 
nas empresas a ponto de fornecer os próprios dados.
Sendo assim, estudaremos conceitos referentes à 
segurança da informação, bem como os tipos de 
sistemas encontrados nas empresas que buscam 
informatizar todo o processo de dados em sistemas 
e devem cumprir as exigências de segurança de todo 
e qualquer dado armazenado.
Em seguida, exploraremos as noções de Big Data 
e Internet das Coisas (IoT), muito utilizados com 
processos de armazenamento de informações em 
grande escala, bem como a implantação de sistemas 
IoT em vários equipamentos domésticos.
Com tantos processos de informatização, há necessi-
dade de os profissionais se qualificarem. Por isso, ao 
final, discutiremos tópicos como a competitividade 
atual na TI, além de aprofundar o assunto em ques-
tões sobre ataques, invasão e técnicas de proteção 
e segurança dos dados.
3
GERENCIAMENTO 
E CONTROLE DE 
INFORMAÇÕES
Temos, neste instante, uma das mais importantes 
definições de segurança da informação: a tomada 
de decisão. Tomamos decisões o tempo todo, desde 
que acordamos até a hora de dormir. Assim, no coti-
diano, é fundamental ter o conhecimento necessário 
para uma tomada de decisão mais assertiva.
No ramo empresarial, precisamos de muitas infor-
mações para resolver um problema específico; neste 
caso, uma tomada de decisão errada pode levar uma 
empresa à falência.
A segurança da informação é essencial, a ponto de 
ser necessário entender de forma aprofundada os 
Sistemas de Informação e aquilatar a relevância de 
sua parametrização. Essa adequação causa um im-
pacto em todo o processo empresarial empregado 
aos seus objetivos.
Saber analisar os dados e as informações forneci-
das pelo sistema faz parte de todo o processo do 
conhecimento, pois necessita de uma compreensão 
específica de interpretação dos dados, com vistas 
a tomar decisões sem prejuízos aos envolvidos em 
seu processo.
Estamos diante da evolução da informação, sen-
do que muitos já chamavam, em sua segunda ou 
4
terceira fases, de a Era da Informação. Atualmente, 
temos muito acesso às informações do mundo todo 
por meio da internet. Mas não se engane, pois nem 
tudo que está na internet é verdadeiro, do mesmo 
modo que nem tudo que parece informação é, de 
fato, informação.
Como, então, podemos transformar esses dados 
em informações e reconhecê-las como tal? Ou seja, 
como identificar as informações precisas para sua 
transformação em conhecimento e, consequente-
mente, para a tomada de decisão? Esse e outros são 
tópicos que discutiremos aqui com profundidade, 
agregando as questões de segurança da informação.
Nesse sentido, abordaremos as principais ameaças, 
com isso, analisaremos e controlaremos os dados 
da segurança da informação, tendo como suporte 
ferramentas de testes e reconhecimento de vulne-
rabilidades. Assim, abordaremos ainda o Big Data, 
com muitas informações de todos os níveis e em 
todos os segmentos, por isso é imprescindível seu 
gerenciamento para controle de danos e segurança 
de dados.
 Segurança da informação
Segundo O’Brien (2004), o principal conceito de 
Segurança da Informação é a mistura de Tecnologia 
da Internet e preocupações empresariais tradicionais, 
que influenciam a todos os setores empresariais e, 
sem dúvida, é a mais recente fase no processo de 
evolução dos negócios.
5
É relativamente fácil encontrar relatos empresariais 
de invasões aos seus sistemas e/ou roubos de infor-
mação. Mesmo com todos os recursos disponíveis, 
ainda encontramos empresas que reportam o vaza-
mento de informações de clientes e empresariais, 
demonstrando mais uma vez a necessidade contínua 
de pensar em segurança de informação.
Considera-se um sistema de informação um conjunto 
de pessoas, tecnologias e recursos que transformam 
dados em informação e, em seguida, em conheci-
mento e tomada de decisão. Os principais conceitos 
de sistemas são:
 ● Tecnologia: redes de computadores e seus com-
ponentes de hardware e software, que armazenam 
e processam as informações para se conseguir o 
gerenciamento de dados.
 ● Aplicações: as aplicações empresariais baseiam-
-se em sistemas de informação interconectados.
 ● Desenvolvimento: o desenvolvimento das tec-
nologias da informação nas empresas abrange os 
componentes básicos da tecnologia da informação.
 ● Administração: o gerenciamento da tecnologia da 
informação enfatiza tanto a qualidade quanto o valor 
estratégico para o negócio, mas também para a segu-
rança de informação dos sistemas da organização.
Repare que um sistema se define por um grupo de 
elementos que interagem e se completam, produ-
zindo resultados de organização de informação. Um 
6
sistema (ou sistema dinâmico) apresenta três com-
ponentes/funções de interações básicas:
 ● Entrada: envolve a captação dos dados, isto é, os 
elementos ingressam no sistema para a reunião de 
elementos pertinentes à informação.
 ● Processamento: uma vez reunidos os dados, é 
preciso processar a informação, ou seja, converter 
um simples dado em uma informação pertinente 
para um conhecimento específico.
 ● Saída: é a transferência de dados reunidos e pro-
duzidos em um processo de transformação até o 
destino final, podendo ser um relatório, gráfico ou 
qualquer outro elemento de saída, a partir do qual se 
possa entender a informação, seja para o seu geren-
ciamento, seja para o seu conhecimento específico.
Podemos, ainda, relacionar a reunião de informa-
ções de uma maneira mais simples, entendendo 
a definição de dado, informação e conhecimento. 
Por exemplo, quando digo o número 35, o que ele 
representa para você? Aparentemente nada, não é 
mesmo? E se eu complementar essa informação 
com “Eu tenho 35 anos”, pode ser uma informação, 
verídica ou não. Note que ela deixou de ser um dado 
para se transformar em uma informação, pois acres-
centei a necessidade de expressar o numeral para 
uma definição específica de uso.
O que você faz com essa informação? Em que ela é 
útil para você? No momento nada, não é mesmo? Ela 
não acrescenta qualquer tipo de informação útil para 
7
sua vida profissional ou pessoal. Em outras palavras, 
não é um conhecimento, pois não acrescenta nada. 
Nosso cérebro seleciona esta informação e “deleta”.
No entanto, e se eu precisasse desenvolver um sis-
tema para o qual necessito criar um campo de infor-
mação para o meu usuário com o nome da variável 
de $Cod_Fin?
 Aparentemente, para quem está criando os formu-
lários com as informações a serem acrescentadas 
aos usuários, não passa de um nome de variável para 
criar as tabelas de armazenamento em meu banco 
de dados, certo?
Contudo, para o meu usuário, ele está acrescentan-
do dados importantíssimos para relacionar os da-
dos financeiros da empresa, sendo assim, qualquer 
erro pode modificar todo o relatório financeiro da 
empresa.
Podemos dizer que, para cada pessoa envolvida, o 
tipo de informação é diferenciado, mas todas são 
necessárias para o gerenciamento do conhecimento 
e suas especificidades.Cada qual estará relacio-
nando o processo de saída dessas informações de 
modo que cada um entenda o processo de dado e 
o transforme em informação. Com isso, podemos 
utilizar como conhecimento para sua continuidade 
de criação ou sua gestão.
Dentro dos sistemas de informação, o processo de 
saída deve estar adequado a cada tipo de segmento 
setorial, ou seja, cada setor precisa de uma saída 
8
de reconhecimento de informação adequado para 
a interpretação e o conhecimento. Por essa razão, 
muitas das saídas podem estar relacionadas a grá-
ficos, formulários, planilhas etc.
Nesses processos, existem algumas ferramentas 
usadas para cada tipo de sistema, e as principais são:
 ● Sistema de Apoio à Decisão (SAD ou Decision 
Support System): é um “sistema que trata de as-
suntos específicos, estatísticas, projeções e com-
parações de dados referentes ao desempenho da 
empresa, estabelecendo parâmetros para novas 
ações dentro do negócio da empresa” (POLLONI, 
2001, p. 32).
 ● Sistema de Informações Estratégicas (SIE): é uti-
lizado em um nível hierárquico para a alta adminis-
tração, pois com ele se realiza o planejamento estra-
tégico em longo prazo, destinado aos presidentes, 
sócios, diretores e acionistas das empresas.
 ● Sistema de Informação Gerencial (SIG): é utilizado 
para o controle gerencial definido, para o planejamen-
to estratégico pelo planejamento tático, bem como 
para otimizar “determinada área de resultado ou fun-
ção empresarial e não a empresa inteira” (REZENDE; 
ABREU, 2003, p.131).
 ● Sistema de Informações Operacionais (SIO): é 
utilizado pelo corpo técnico (engenheiros, assistentes 
e auxiliares), tendo suas respectivas permissões e 
atividades que envolvam somente seu setor.
9
Essas mudanças nos papéis, envolvendo as sistema-
tizações, desempenham um crescente investimento 
em tecnologia e segurança, pois requerem aplicações 
diretas e interação entre pessoal de suporte técnico, 
gestores e o nível executivo da empresa.
Portanto, saber planejar a arquitetura da informação 
é a necessidade de organização e estruturação para 
as soluções de uma empresa.
Big Data
A realidade das empresas tem sido a busca pelo 
tratamento das informações. Para isso, é necessário 
analisar e obter informações a partir de um conjunto 
de dados inseridos por suas organizações.
Em muitos casos, principalmente em empresas de 
grande porte, os fluxos de dados são muito grandes, 
por isso, não podem ser analisados convencional-
mente. Ao longo das últimas décadas, esses conjun-
tos de informações têm tido um volume exponencial, 
o que foi impulsionado sobretudo pela Internet, au-
mentando de forma abrupta a quantidade de dados 
produzidos e popularizando a Internet das coisas 
(IoT).
O termo Big Data surgiu em 1997, quando da sua 
utilização para nomear a grande quantidade de in-
formação, chegando hoje ao Petabyte (PB) em uma 
unidade de sistema, ou seja, o equivalente à quin-
ta potência de 1.000 ou 1015, ou mesmo 10245 de 
bytes de uma unidade relacionada, ultrapassando o 
Terabyte (TB), atualmente o mais conhecido e que re-
10
presenta a quarta potência de 1.000: 1012 ou 10244 
bytes de uma unidade.
Atualmente, geramos mais de 2,5 quintilhões de 
bytes diretamente, sendo essenciais para as rela-
ções empresariais, questões econômicas e sociais, 
representando expressivamente uma evolução nos 
sistemas de negócios e na ciência de dados.
As ferramentas de Big Data são importantes para os 
segmentos empresariais, pois auxiliam as questões 
de produtividade, redução de custos e análise de in-
formações e, certamente, mudanças na tomada de 
decisão. Para que tudo isso aconteça, especialistas 
consideram os conceitos de dados mais utilizados de 
forma diferenciada, separando-os em grupos como:
 ● Social Data: dados referentes às redes sociais e 
que implicam a interação entre usuários, como seus 
comportamentos de compra.
 ● Enterprise Data: dados empresariais coletados 
pelos setores de Recursos Humanos (RH) das em-
presas, setores de vendas, financeiro, logísticas e de 
produção. Esses dados dizem respeito às atribuições 
de funcionários e setores internos de uma empresa, 
que deve identificar e criar soluções de problemas, 
melhorias ou fraudes.
 ● Personal Data: dados pessoais, geralmente rela-
cionados ao conceito de Internet das Coisas (IoT), 
como os dados obtidos por meio de aparelhos pes-
soais ou de uso coletivos (smartphones, geladeiras, 
micro-ondas, carros, televisões, entre outros). Esses 
dados mostram o estudo de padrões de um indiví-
11
duo e, a partir do uso do Personal Data, desenvolve 
metodologias que possam ser personalizadas para 
a interação com os usuários e/ou clientes.
Podemos observar que a aplicação do Big Data é de 
grande ajuda em todos os segmentos do mercado, 
por isso, os investimentos passam de USD 40 bi-
lhões. Por exemplo, a Google utiliza a Big Data para 
a obtenção de dados dos usuários, para tanto, cria 
ferramentas que, muitas vezes, podem ser considera-
das “invasiva”, pois tratam as informações pessoais 
dos usuários como identificáveis; e isso tornou-se 
uma constante discussão no tocante à necessidade 
de leis específicas para uso de dados dos usuários.
Embora seja uma ferramenta com investimentos 
altíssimos, muitas empresas defendem o uso de 
Big Data e, assim, criam parcerias para que possam 
compartilhar informações dos clientes e usuários, 
abrindo um novo leque de necessidades políticas 
sobre o uso e a negociação de dados.
Esse é um assunto muito comentado atualmente, 
porque se refere a uma ferramenta de manipulação 
de informações nas eleições dos Estados Unidos da 
América, além da disseminação de Fake News, com 
o Big Data como uma metodologia de uso duvidável 
pelas questões éticas.
12
Competitividade com a Tecnologia da 
Informação
Observamos que o uso das ferramentas tecnológicas 
e a necessidade de armazenamento dos dados têm 
sido de grande valia para as empresas. Com base 
nessa proposição, podemos dizer que há, conse-
quentemente, uma demanda por profissionais que 
atuem em Big Data e análise de dados e segurança 
da informação, o que implica desde a profissionali-
zação até questões éticas.
O Big Data permite trabalhar com grandes volumes 
de dados, sendo assim, um erro qualquer pode trazer 
irreparáveis danos às empresas. No Brasil, diversas 
áreas partilham o mesmo segmento de profissio-
nalização da Tecnologia da Informação (TI), como 
Estatístico, Analista de Dados, Analistas Estatísticos 
em Programação, Cientista de Dados, entre outros.
Nesse sentido, dado déficit de profissionais, a IBM 
sentiu a necessidade de criar a Big Data University, a 
fim de capacitar seus profissionais para o mercado 
de trabalho. Atualmente, é possível encontrar vá-
rias plataformas de ensino a distância com cursos 
nas áreas de Big Data e Ciências de Dados (Data 
Science) oferecidos por grandes universidades, como 
a Harvard e o MIT.
Ainda que as especificações de tratamento de da-
dos sejam essenciais, não podemos deixar de lado 
as questões de segurança, como a permissão de 
dados, os ajustes nas criptografias, as ameaças e 
invasões dos equipamentos de armazenamento de 
13
dados. Com isso, verificou-se a necessidade de pro-
fissionais de Segurança da Informação, guardando 
as informações empresariais e profissionais de seus 
clientes de maneira efetivamente segura.
Os profissionais de segurança cibernética devem 
ter as mesmas qualificações que os hackers, prin-
cipalmente no que diz respeito aos Hackers Black 
Hats, para proteger de ataques e possíveis invasões. 
Assim, a diferença entre um profissional de seguran-
ça e um hacker é que o profissional deve trabalhar 
dentro dos limites da lei. 
Tenha em mente que sempre há um rastro, cons-
ciente ou não, e esses rastros podem ser seguidos 
visando a encontrar o invasor. Os profissionais de 
segurança criam códigos de éticas para pessoas 
no seu setor, pois essa ainda é uma área que sofre 
mudanças não cobertas pela lei. As empresas criam, 
então, as própriasleis e os códigos de ética corpo-
rativa; portanto, os profissionais devem seguir um 
padrão de conduta.
SAIBA MAIS
A página Talent Bridge da Networking Academy 
disponibiliza informações para montar um bom 
currículo e se preparar para uma entrevista de em-
prego. Contém informações de vagas de empresas 
em grandes empresas com parceria da Cisco.
Saiba mais em www.netacad.com� 
14
Definições de ameaças
Para definir uma ameaça é necessário, a princípio, 
reconhecer a necessidade de gerenciamento de ris-
cos em Tecnologia da Informação e Comunicação 
(TIC), que envolve milhares de empresas com novos 
componentes de hardware e software.
Entendemos risco como a chance de que algo ruim 
possa acontecer, seja a perda de confidencialidade, 
integridade ou disponibilidade de informação ou sis-
temas de informação, podendo refletir em grandes 
impactos nas operações organizacionais.
O gerenciamento de risco deve se estruturar em uma 
linguagem que expresse essas características sem 
alteração, disseminação ou falsificação da legitimi-
dade dos dados.
Por exemplo, a linguagem de programação em PHP 
utiliza a programação em critérios de criptografia. 
Assim, o analista, presidente ou qualquer outra pes-
soa não tem acesso às informações armazenadas.
Mencionamos, a seguir, alguns métodos de cripto-
grafia em PHP utilizadas para senhas e dados espe-
cíficos, os quais reforçam a segurança:
 ● MD5: trabalha com o Hash de 32 caracteres he-
xadecimal, ou seja, é capaz de mapear uma senha 
de seis dígitos em um comprimento variável de 32 
caracteres, chamados de valores hash ou códigos 
hash. Esse tipo de criptografia armazena os 32 dí-
gitos e, até o momento, não há qualquer código ou 
15
programas que faça a descriptografia. Por isso, em 
alguns sistemas, não há maneira de recuperar a se-
nha, mas somente a possibilidade de criar uma nova 
senha a partir das confirmações de outros dados 
específicos. É utilizado na codificação de forma bem 
simples: $valor_criptografado = md5(“suasenha”).
 ● Secure Hash Algorithms (SHA): considerada mais 
segura que o MD5, é também uma função hash, mas 
seu valor é tratado como número hexadecimal de 
40 dígitos. Possuem ainda outras versões, como o 
SHA0, SHA2 e SHA3, processos segurança utiliza-
dos pelo Google e também a conhecida moeda de 
Bitcoin. Portanto, não é passível de qualquer detec-
ção, adulteração ou corrupção de dados. Sua codi-
ficação também se aplica de maneira bem simples:
$valor_criptografado = sha1(“suasenha”)
 ● Base64: é uma codificação de dados em hash, 
mas é considerada uma criptografia fraca e passível 
de descriptografia. Com base em MIME, a base64 é 
utilizada para a transferência de conteúdos por meio 
de transmissão em binário, muito utilizado em e-
-mails. Sua codificação se aplica de maneira simples:
$valor_criptografado = base64_encode(“suasenha”)
Para a descodi f icação , basta acrescen -
tar ao código: $valor_descriptografado = 
base64_decode($valor_criptografado).
Para a linguagem Python, há pacotes de criptografia 
chamados Cryptography, com vários outros pacotes 
16
para a implementação em algoritmos, incluindo a 
primitiva Fernet, a qual garante que uma mensagem 
criptografada não possa ser manipulada ou lida sem 
a chave de segurança.
Visando a utilizar a criptografia na classe Fernet, a 
instalação do pacote é feita a partir do uso de PIP 
com apenas um comando: pip install cryptography.
Figura 1: Instalação de Pacote de Criptografia do Fernet. 
Fonte: Elaboração própria.
Esse padrão é considerado um dos mais seguros, 
dado que gera uma chave no Fernet para que possa 
ser descriptada. Trata-se de algumas formas de bus-
car a garantia de integridade dos dados, mas ainda 
existem outras linguagens, aplicativos e formas de 
buscar a segurança de informação.
Os crimes digitais têm crescido, sobretudo atacando 
pessoas sem qualquer conhecimento abrangente ou 
específico em tecnologias. Contudo, é bom saber 
verificar que um crime em ambiente cibernético não 
constitui necessariamente um ato de guerra ciberné-
tica, ou seja, espionagens e hacktivismo (terrorismo).
A segurança cibernética deve ser um esforço contí-
nuo que visa a proteger todo e qualquer sistema em 
17
rede para eliminar o uso de dados não autorizado ou 
mesmo que seja prejudicial.
No tocante à questão empresarial, é responsabili-
dade da corporação proteger sua reputação, os da-
dos e clientes. Quanto ao Estado, deve-se proteger 
tanto a segurança nacional quanto o bem-estar dos 
cidadãos.
Porém, alguns problemas podem ser evitados, como 
usuários enviarem seus dados a plataformas que não 
são da empresa ou mesmo fornecer dados como 
senha em e-mails. Sua identidade on-line deve ser 
limitada, tal qual a escolha de um nome de usuário e 
senha de acesso, com caracteres especiais e caixas 
altas (maiúsculas). Parece uma informação simples, 
mas muitos ainda não utilizam tais métodos.
Temos, por exemplo, vários tipos de registros: mé-
dicos, escolas, emprego, financeiro etc., que reve-
lam informações pessoais, como o Individualized 
Education Programs (IEP), ou Programas de 
Educação Individualizada.
Essas informações são parte da sua vida pessoal, 
portanto, é necessário proteger não apenas seus 
dados, mas sua privacidade nos mais diversos dis-
positivos e sistemas.
Quem nunca baixou um aplicativo e só clicou em 
“permitir”, “permitir” e “permitir”? Quem já fez algum 
cadastro em um site e nunca leu todo o acordo ou 
as políticas do site? Acredito que muitos. E esse é o 
18
ponto que determina também a exposição dos seus 
dados.
Há empresas que não oferecem alternativas de não 
permissão, como um aplicativo que, para instalá-lo, 
pede permissão para acessar suas fotos em seu ce-
lular. Com todos os acessos liberados ou disponíveis 
on-line, seus dados pessoais tornam-se rentáveis 
aos hackers.
Por exemplo, alguns anos atrás, houve um caso de 
roubo de milhas de viagens. Aparentemente, não 
são tão importantes quanto seus dados pessoais 
ou bancários, mas são muito importantes para os 
criminosos digitais. Isso ocorreu em mais de 10 mil 
contas da American Airlines e United Airlines, sendo 
hackeadas e reservando voos e upgrades gratuitos 
com os dados.
Mesmo usando dados alheios “somente” para fazer 
reservas de voos, as empresas ainda mencionaram 
que os criminosos poderiam usar dados pessoais 
para atividades de relacionamentos e reputação, 
como o acesso a outros sistemas, e até para trans-
ferir dinheiro por meio de mecanismos diferenciados, 
como a indicação de familiares e amigos.
Nesse ponto, verificamos que o roubo de informa-
ções é tão importante quanto os valores financeiros. 
São diversos os meios de roubo de informações, por 
exemplo, o Imposto de Renda ou a identidade médica, 
cartões de créditos, financiamentos etc. 
19
No ambiente corporativo, os dados são mais di-
versos, pois temos informações de funcionários, 
propriedades intelectuais, informações financeiras, 
materiais, folha de pagamento, entre outras. Logo, 
são muito mais prejudiciais.
Confidencialidade, integridade 
e disponibilidade
A Confidencialidade, Integridade e Disponibilidade 
(CID) são as diretrizes de segurança da informação 
de uma empresa. A seguir, vamos tratar de cada uma.
Confiabilidade
A confiabilidade garante a privacidade dos dados, 
ao restringir os acessos por autenticação, ou seja, 
garante a privacidade das informações com uma 
política empresarial que impede o acesso a dados 
de clientes, ainda que sejam funcionários internos.
Os dados são divididos conforme a segurança ou o 
nível de confidencialidade da informação. Por exem-
plo, os desenvolvedores, que geralmente têm acesso 
ao banco de dados da empresa. No regime das polí-
ticas empresariais, não só não terão acesso, como 
também não poderão visualizar as informações pes-
soais de todo os funcionários. Exige-se, ainda, um 
treinamento para as melhores práticas de proteção 
de informações e segurança da empresa.
Os métodos utilizados como confidencialidade in-cluem a criptografia do ID de usuário e senha, atu-
20
almente com a autenticação em dois fatores, dimi-
nuindo a exposição de informações.
Integridade
A integridade relaciona-se à precisão, consistência 
e confiabilidade dos dados que, durante todo seu 
ciclo, devem permanecer inalterados, ou seja, todo o 
trâmite de armazenamento, visualização ou qualquer 
outro meio de saída de informação não pode estar 
disponível para qualquer tipo de modificação.
As permissões de acesso, neste caso, são conce-
didas apenas para os usuários autorizados a fazer 
inserção ou controle dos arquivos e dados inseridos. 
Esse tipo de controle evita alterações acidentais.
Os backups devem estar sempre disponíveis, em 
caso de erros acidentais, para a restauração de da-
dos danificados, e o hash para a verificação da inte-
gridade dos dados durante a transferência.
Disponibilidade
Os dados podem ser associados à manutenção de 
equipamentos, a reparos de hardware, atualização 
de software, criação de backups, entre outros, ga-
rantindo aos usuários autorizados a disponibilidade 
da rede de dados.
Geralmente, há planos de risco para ação imediata, 
pois a recuperação rápida é de catástrofe natural 
ou mesmo provocadas pelo homem, como no caso 
de equipamentos de segurança, softwares e firewall 
protegerem durante a fase de inatividade a proteção 
21
de ataques, chamados de Ataques de Negação de 
Serviço (Denial of Service – DoS).
As ameaças podem ocorrer em questões de seguran-
ça interna ou externa da empresa, pois um usuário, 
funcionário ou parceiro de contrato pode:
 ● Erroneamente tratar dados confidenciais.
 ● Instalar programas ou baixar arquivos que sejam 
uma ameaça às operações de servidores internos 
ou mesmo de dispositivos de infraestrutura de rede.
 ● Facilitar ataques quando estiver conectado a ou-
tras mídias, por exemplo, os USB infectados.
 ● Acidentalmente convidar malwares para a rede 
por e-mail ou sites mal-intencionados.
As ameaças internas têm um grande potencial de 
causar danos graves, mais do que as ameaças ex-
ternas, pois o funcionário está diretamente ligado a 
edifício, dispositivos, infraestrutura da empresa etc., 
por isso, é preciso criar permissões de privilégios, 
dado que são essenciais, desde o início da integração 
de cada funcionário à empresa.
Por sua vez, as ameaças externas são causadas por 
amadores ou invasores com menos habilidade. Ainda 
assim, podem explorar as vulnerabilidades nas redes 
ou dispositivos tecnológicos da empresa ou mesmo 
usar as engenharias sociais para obter algum tipo 
de acesso.
22
Ataques, conceitos e técnicas
Diante de algumas vulnerabilidades de software e 
hardware preestabelecidas em alguns ataques ci-
bernéticos, podemos categorizar diferentes vulne-
rabilidades na segurança.
Os softwares mal-intencionados, ou malware, são 
sintomas seriamente discutidos, pois têm diferentes 
maneiras de os invasores se infiltrarem em um siste-
ma, bem como obter ataques de negação de serviço. 
Os tipos de ataque cibernético mais modernos são 
os mistos, pois atacam utilizando-se de várias téc-
nicas ao mesmo tempo, para se infiltrarem em um 
sistema. Quando o ataque não pode ser prevenido, 
o profissional de segurança cibernética deve reduzir 
o máximo possível os impactos do ataque.
Esses ataques de segurança podem ocorrer em qual-
quer tipo de defeito de software ou hardware, por 
essa razão, devem ser feitos testes periódicos com 
vistas a buscar as vulnerabilidades.
Os usuários mal-intencionados podem explorar essas 
vulnerabilidades. Por exemplo, um Exploit, que é um 
termo utilizado para descrever um programa que 
busca vulnerabilidades ao criar falsos ataques. Tais 
falsos ataques visam a encontrar as vulnerabilidades 
e, com isso, ter acesso ao sistema ou aos dados para 
uma solução imediata.
A maioria das vulnerabilidades encontradas nos sof-
twares é criada pelo desenvolvedor; por isso, deve-
mos fazer os testes de qualidade de softwares em 
23
conformidade com padrões e normas de segurança 
antes da sua implementação. 
Periodicamente, presenciamos os avanços tecnoló-
gicos; logo, os testes devem ocorrer periodicamen-
te, seguidos da correção dos erros. Por exemplo, 
empresas como a Microsoft e a Apple lançam seus 
patches e atualizações quase que diariamente para 
corrigir erros ou brechas no sistema. Assim, os na-
vegadores e aplicativos são os mais comuns para 
tal atualização diária.
Em 2015, a chamada SYNful Knock foi descoberta no 
Cisco IOS como uma vulnerabilidade, o que permitiu 
aos invasores o controle de roteadores empresariais 
como o Cisco 1841, 2811 e o 3825, monitorando toda 
a rede de comunicação e infectando outros dispositi-
vos da empresa. Eles só conseguiram invadir, porque 
a atualização de uma versão do sistema operacional 
foi instalada nos roteadores.
Existem empresas e profissionais contratados para 
buscar tais vulnerabilidades de segurança. O Project-
Zero, do Google, é um exemplo de formação de equi-
pes que buscam as vulnerabilidades em diversos 
softwares de usuários finais.
SAIBA MAIS
O Project-Zero, do Google, é aberto a todos e 
pode ser visualizado em sua lista de testes. Saiba 
mais acessando https://bugs.chromium.org/p/
project-zero/issues/list?can=1&redir=1 
24
Ocorrem, ainda, falhas de hardware que criam vul-
nerabilidades frequentes por falhas de projeto. Por 
exemplo, a memória RAM consiste praticamente 
em capacitores instalados próximos um do outro 
e, por isso, descobriu-se que essa proximidade faz 
com que haja constantes mudanças aos capacitores, 
influenciando o capacitor vizinho.
A partir dessa falha, criou-se um Exploit chamado 
Rowhammer, que, ao escrever várias vezes na me-
mória nos mesmos endereços, o Exploit permite que 
os dados sejam recuperados de células próximas de 
endereços, mesmo que estejam protegidas.
As vulnerabilidades de hardware são bem específicas 
ao tipo de modelo do dispositivo e, geralmente, não 
são exploradas por tentativas de ataques. Contudo, 
é comum criar Exploits de hardware para um har-
dware específico, pois a proteção contra malwares 
tradicionais é suficiente para os usuários.
Os invasores podem ser indivíduos ou grupos que 
tentam explorar as vulnerabilidades para ganhos 
pessoais ou financeiros:
 ● Amadores: são chamados de hackers ou Lamers/
Lammer com pouca ou nenhuma qualificação pro-
fissional, nem conhecimento específico. Muitas das 
ferramentas utilizadas são encontradas na internet 
e usadas por curiosos que tentam demonstrar suas 
qualificações profissionais e causar danos.
 ● Hackers: grupo que invade computadores e redes 
para acesso; são classificados como White, Gray ou 
Black Hat. Os White Hat entram em redes ou siste-
25
mas de computadores para verificar suas vulnerabi-
lidades, a fim de melhorar a segurança. Os Gray Hat 
são os invasores do “bem”, assim como os White, 
buscam as vulnerabilidades e relatam aos proprie-
tários; muitos publicam os fatos sobre a vulnerabili-
dade na internet para que outros invasores possam 
explorá-la. Os Black Hat, por sua vez, são invasores 
do mal, mal-intencionados que se aproveitam das 
fraquezas e vulnerabilidades para ganho pessoal, 
financeiro ou político.
 ● Hacker organizados: grupo que inclui empresas 
de criminosos virtuais, os Hacktivistas ou terroristas, 
e geralmente são hacker patrocinados pelo Estado. 
Este grupo foca o controle, o poder e a riqueza. São 
extremamente sofisticados e organizados, por essa 
razão, oferecem seus serviços a outros criminosos 
digitais. Os hacktivistas fazem declarações políticas, 
cometem sabotagens e roubam informações em 
nome do Estado para seus benefícios.
Existe ainda o chamado “engenheiro social”, isto é, 
um ataque ao acesso de forma a manipular indivídu-
os para realizar ações ou divulgar informações confi-
denciais. O invasor reconhece a fraqueza do funcio-
nário e demonstra autoridade por meio de técnicas 
que citam nomes importantes para manipulá-lo. Para 
esse tipo de ataque, temos três tipos classificáveis:● Pretexting: quando o invasor mente a um indiví-
duo para obter os seus dados confidenciais e tentar 
o acesso.
26
 ● Tailgating: quando o invasor persegue uma pessoa 
autorizada em local considerado seguro, seguindo 
seus rastros.
 ● Something for something: também conhecido 
como Quid pro quo, ocorre quando se solicitam in-
formações pessoais em troca de algo como um pre-
sente, prêmio etc.
Tipos de controle de segurança
Para categorizar os tipos de controle de segurança, 
é necessário primeiramente conhecer as categorias 
de vulnerabilidade de segurança de software atuais. 
Sendo assim, vamos conhecê-los:
 ● Saturação do buffer: utilizada quando os dados 
são gravados além dos limites de um buffer. Os bu-
ffers são memórias alocadas em um dispositivo que, 
ao alterar os dados além do limite, o aplicativo aces-
sa a memória alocada em outros processos, ou seja, 
leva à queda do sistema e compromete os dados ou 
fornece o escalonamento de privilégios.
 ● Entrada não validada: é necessário criar privilégios 
para todos os usuários. Os dados não lançados a um 
sistema pelo funcionário podem ser mal-intenciona-
dos, forçando o programa a se comportar de maneira 
não desejada. Pode até ser uma simples imagem, 
mas essa imagem pode criar outra imagem com di-
mensões inválidas, forçando o programa a alocar em 
buffers de tamanhos incorretos e inesperados. Com 
isso, obtém outros acessos fora de sua permissão.
27
 ● Condição de corrida: ocorre quando a saída de 
um evento depende de saídas ordenadas ou crono-
metradas, tornando-se uma fonte de vulnerabilidade 
de eventos, desordenando-os ou colocando-os em 
uma sincronização incorreta.
 ● Deficiência nas práticas de segurança: os desen-
volvedores devem utilizar as bibliotecas de segurança 
para tratar os sistemas e dados confidenciais, pois 
estes devem ser protegidos por meio de técnicas de 
autenticação e criptografia.
 ● Problemas de controle de acesso: serve para con-
trolar e gerenciar o acesso físico aos equipamentos 
e determinar quem está utilizando o acesso a um re-
curso ou a um arquivo, mas também o que a pessoa 
pode fazer: somente leitura, somente alteração ou 
somente imprimir etc. A maioria das vulnerabilidades, 
neste quesito, deve-se às permissões de acesso.
Os softwares mal-intencionados ou malwares 
(Malicious Software) são usados por qualquer código 
não apenas para roubar dados, como também ignorar 
controles de acessos, causar danos ou comprometer 
um sistema. Os tipos mais comuns são:
 ● Spyware: projetado para espionar usuários, inclui 
rastreadores de atividades coletadas pelo toque de 
tela e captura de dados. Para combater esse tipo de 
malware, é preciso rever constantemente as confi-
gurações, pois o malware modifica as configurações 
de segurança e, muitas vezes, se junta a softwares 
legítimos.
28
 ● Adware: é um software de suporte a anúncios pro-
jetado para fornecer anúncios automaticamente. O 
adware pode ser instalado com algumas versões de 
antivírus, como Ad-Aware, que faz varreduras com-
pletas e eficientes. Alguns tipos de adware são pro-
jetados para oferecer anúncios que também incluem 
os spywares.
 ● Bot: oriundo da palavra “robot”, é um malware pro-
jetado para executar automaticamente a ação de 
infiltração. No geral, esse tipo de malware funciona 
apenas on-line: enquanto a maioria dos bots é ino-
fensiva, há utilização de bots mal-intencionados, os 
botnets, que operam somente com os comandos 
do invasor.
 ● Ransomware: projetado para manter um sistema 
de computador ou os dados incluídos nele até que 
um pagamento seja feito, tal qual um sequestro. Na 
maioria dos casos, funciona com dados criptogra-
fados que necessitam de uma chave para voltar ao 
seu funcionamento e que fica desconhecido, sem a 
possibilidade de se descobrir sua chave de descripto-
grafia. Existem, ainda, outras versões do ransoware, 
as quais podem até não usar as vulnerabilidades de 
sistemas, mas utilizam os bloqueios espalhados por 
meio de donwloads ou vulnerabilidades de softwares.
 ● Scareware: projetado para persuadir o usuário a 
executar alguma ação específica, normalmente com 
base no medo, ou seja, simula janelas pop-ups que 
se assemelham às janelas de diálogos do sistema 
operacional. Nessas janelas, transmitem mensagens 
falsificadas que afirmam que o sistema está em risco 
29
ou que, na verdade, precisa da execução de um pro-
grama para retornar sua operação normal, mas nada 
acontece no computador. Se os usuários tiverem 
receio e baixar o programa, o scareware é executado 
e faz uma limpeza no computador, com a permissão 
do usuário, infectando a máquina com o malware.
 ● Rootkit: criado para mudar o sistema operacio-
nal e fazer backdoor (porta dos fundos); é utilizado 
para escapar remotamente de uma autenticação ou 
criptografia normal. Esse tipo de malware acontece 
tanto em sistemas embarcados quanto em roteado-
res domésticos. É utilizado nas vulnerabilidades de 
softwares que escalonam privilégios, bem como para 
a computação forense do sistema, que recorre às 
ferramentas de monitoramento, podendo contornar 
os acessos difíceis de serem detectados. Quando 
infectado por um rootkit, deve-se apagá-lo e reinstalar 
todo o sistema operacional.
 ● Vírus: código executado mal-intencionado que é 
anexado a outros arquivos executáveis, podendo ser 
até executáveis legítimos. A maioria dos códigos exe-
cutáveis precisa de ativação do usuário, podendo ser 
uma atividade com hora e data específicas. Alguns 
desses vírus podem ser inofensivos, apenas exibem 
uma imagem, mas outros podem ser destrutivos. 
Esse tipo de vírus é programado para modificar ou 
excluir dados, tanto quanto podem se automodificar 
sem serem detectados. São disseminados por USB, 
discos ópticos, compartilhamentos de rede ou e-mail.
 ● Cavalo de Tróia: realiza operações sob o pretex-
to de uma operação real desejada. Trata-se de um 
30
código que explora os privilégios dos usuários que 
o executa, podendo ser encontrados em imagens, 
arquivos de áudios e jogos. Diferentemente do vírus, 
vincula-se aos arquivos não executáveis.
 ● Worms: são códigos que se replicam, ao explorar 
as vulnerabilidades das redes, deixando-as mais len-
ta. Ao passo que um vírus requer um programa host 
para sua execução, os worms podem ser executados 
de forma autônoma. Uma vez infectado o host, os 
worms podem se transmitirem muito rapidamente 
até a rede, compartilhando padrões. Todos os tipos 
de worms se aproveitam da vulnerabilidade para sua 
propagação, por isso, são os mais conhecidos e de-
vastadores da história dos servidores, pois em 19 
horas infecta mais de 300 mil servidores.
 ● Man-In-The-Middle (MitM): permite que o invasor 
tenha o controle de um dispositivo sem o conhe-
cimento do usuário, com isso, pode interceptar e 
capturar informações do usuário antes mesmo de 
transmiti-las. Os ataques MitM são recorrentes em 
casos de roubo de informações financeiras, possuin-
do muitos conceitos técnicos e recursos que os in-
vasores utilizam para sua criação.
 ● Man-In-The-Mobile (MitMo): como o nome diz, 
é um malware que ataca o dispositivo móvel, as-
sumindo o controle total. É utilizado em casos de 
roubo de informações confidenciais para enviar aos 
invasores. O MitMo mais conhecido é o ZeuS, que 
captura mensagens SMS de verificação em dois pas-
sos, normalmente, enviadas aos usuários.
31
Independentemente do tipo de invasão, podemos 
observar sintomas comuns, como o aumento do uso 
da CPU, a diminuição da velocidade do computador, 
o travamento ou congelamento do computador fre-
quentemente, a navegação via web lenta, arquivos 
podem ser excluídos ou modificados, problemas de 
conexões de redes, entre outros.
As informações e ferramentas usadas pelos hackers 
são as mesmas que os profissionais de segurança 
usam. Por isso, o Reconhecimento (Reconnaissance) 
desenvolve métodos para atacá-los ou rodar testes 
de invasão para vigilância.
O rastreio de pegadas na internet (Footprinting) é 
utilizado para se obtero reconhecimento técnico que 
os hackers iniciantes usam porque é mais seguro. 
A busca Whois é uma ferramenta de internet que 
auxilia com a recuperação de informações específi-
cas de nome de domínio do banco de dados de uma 
empresa específica.
É necessário conhecer os comandos específicos 
para seu uso na interface CLI de sistemas POSIX, 
como UNIX, Solaris e Linus. O utilitário Ping também 
faz parte do Protocolo de Mensagens de Controle 
de Internet (ICMP), que verifica o host, permitindo a 
transmissão de pacotes de dados, pois faz parte de 
várias ferramentas de administração de rede.
Entre os meios citados de rastreamento, Basta, Basta 
e Brown (2014, p. 38) mencionam o seguinte:
32
 ● Utilitário Tracerout: envia um pedido a uma pá-
gina web em um servidor remoto em um sistema 
operacional baseado no UNIX, rastreando todos os 
servidores intermediários, auxiliando os usuários e 
administradores a resolver problemas de conectivi-
dade de rede�
 ● Utilitário Netstat: permite a conexão do Protocolo 
de Controle de Transmissão (TCP), do Protocolo do 
Usuário (UDP) e do IP do computador, auxiliando o 
processo de localização do endereço IP dos compu-
tadores e de hosts.
Há escaneadores que buscam e criam relatórios de 
vulnerabilidades em hosts locais e remotos, são os 
chamados “escaneadores de portas”, que verificam 
quais estão “abertas”. Esse tipo de buscadores ini-
ciou antes da criação da ARPANET, automatizando 
o processo de análise de pontos fracos e verificando 
vulnerabilidades para abrirem as portas e conectar 
aos hosts, com isso, checam o endereço IP ou todas 
configuradas em seu host (BASTA; BASTA; BROWN, 
2014).
Há outras ferramentas Exploit úteis tanto para o esca-
neamento quanto para a descoberta de teste invasão 
(BASTA; BASTA; BROWN, 2014, p. 48):
 ● Nmpa: considerado o melhor escaneador de rede 
de código aberto, é poderoso e de fácil uso, bem 
flexível no suporte aos sistemas operacionais (SO).
 ● Unicornscan: é uma ferramenta de código aberto 
criada para identificar flags e banners TCP.
33
 ● Fierce: é uma ferramenta de código aberta base-
ada em Perl, utilizando comandos padrões.
 ● Maltego: baseia-se em Java, que oferece versões 
pagas e gratuitas para as áreas comercial e pericial, 
podendo ser usada em diversos SO.
 ● P a s s i v e R e c o n : r e c o n h e c i d o c o m o 
PacketlessRecon, é uma ferramenta de comple-
mentação do navegador Firefox que reúne as mais 
diversas informações dos usuários e as publica para 
reconhecimento de testes.
 ● Tcpdump: é uma ferramenta que analisa pacotes 
com comandos em linhas de código e funciona com 
UNIX/Linus. Para a versão em Windows, chamada 
WinDump, é utilizada para monitorar o tráfego que 
há entre dois hosts, incluindo senhas e URL.
 ● Wireshark: é um analisador de pacotes similar ao 
Tcpdump; era conhecido como Ethereal, utilizado 
para facilitar o uso de testes de invasão de inexpe-
rientes, contendo um pacote de interface GUI (grá-
fico) e compatível com os SO inclusive com o OS X.
 ● Nessus: é um escaneador remoto para o uso em 
Linux, BSD, Solaris e algumas versões do UNIX, ge-
rando relatórios e sugerindo soluções de segurança.
 ● NeXpose: efetua testes de vulnerabilidades co-
merciais com várias versões, dependendo do porte 
da empresa. Existe ainda uma versão para usuários 
que pode ser usada por pequenas empresas e que 
verifica mais de 15 mil vulnerabilidades.
Existem diversas ferramentas, como o Nipper, para o 
setor comercial baseado em C++, o Open VAS é usa-
34
da como suporte a usuários da arquitetura orientada 
a serviços (SOA), o QualysGuard também é para a 
área comercial e testes de rede e gestão em nuvem, 
o SAINT é utilizado na integração de redes, entre tan-
tas outras Exploits, cada qual com sua importância 
e relevância para cada tipo de usuário.
Em outras palavras, são geralmente utilizadas por 
profissionais cujo objetivo é garantir a segurança 
geral de empresas, equipamentos e usuários.
35
CONSIDERAÇÕES FINAIS
Neste módulo, pudemos observar que o espaço aqui 
ainda é pouco para tratar mais detidamente de tan-
tas informações sobre segurança da informação. 
Nossas leis ainda estão em evolução para a área de 
Tecnologia da Informação, por isso, muitos hackers 
se aproveitam da falta da legalização e, assim, bus-
cam se utilizar das brechas disponíveis pela falta de 
conhecimento técnico de programadores e das leis 
com maior rigidez a despeito desse tipo de roubo 
de informação�
Dado que os sistemas podem ser criados a cada 
necessidade empresarial, bem como websites e sis-
temas mobile, existe uma ferramenta para monitorar, 
escanear e corrigir possíveis problemas que favore-
çam a abertura de portas e possíveis invasões. 
Conforme já estudamos, as normas e regras prees-
tabelecidas em testes de softwares são necessárias 
para se evitar qualquer abertura de porta a hackers. 
Garante-se, assim, a segurança de informação. Mas 
para isso é necessário obter a certificação para cada 
tipo de processo, desde sua codificação passando 
por testes para assegurar a continuidade de segu-
rança do sistema e da rede.
Atualmente, não basta saber programar ou conhecer 
várias linguagens de programação. A certificação 
para codificação, testes de qualidade do software e 
segurança da informação são parte do profissional 
36
de TI comprometido com o próprio desenvolvimento 
e gerenciamento das informações dentro das rela-
ções jurídicas e éticas.
37
Referências Bibliográficas 
& Consultadas
BASTA, A.; BASTA, N.; BROWN, M. Segurança de 
computadores e teste de invasão. São Paulo: 
Cengage Learning, 2014 [Minha Biblioteca].
CARDOSO, A. L.; SALVADOR, D. O.; SIMONIADES, R. 
Planejamento de marketing digital. Rio de Janeiro: 
Brasport, 2017 [Biblioteca Virtual].
FRANCO JUNIOR, C. F. E-business na infoe-
ra: o impacto da infoera na Administração de 
Empresas: Internet e tele-comunicação multimí-
dia digital, tecnologia e sistemas de informação� 
4. ed. São Paulo: Atlas, 2006 [Minha Biblioteca].
GALLOTTI, G. M. A. Sistemas Multimídias� 
São Paulo: Pearson Education do Brasil, 2017 
[Biblioteca Virtual].
O’BRIEN, J. Sistema de Informação e as decisões 
gerenciais na era da internet. São Paulo: Saraiva, 
2004.
OGDEN, J. R.; CRESCITELLI, E. Comunicação inte-
grada de marketing: conceitos, técnicas e práti-
cas. 2. ed. São Paulo: Pearson Prentice Hall, 2007 
[Biblioteca Virtual].
POLLONI, E. G. F. Administrando sistemas de in-
formação: estudo de viabilidade. 2. ed. São Paulo: 
Futura, 2001.
REZENDE, D. A.; ABREU, A. F. Tecnologia da 
Informação Aplicada a Sistemas de Informações 
Empresariais. 3. ed. São Paulo: Atlas, 2003.
SHARMA, V.; SHARMA, R. Desenvolvendo sites 
de e-Commerce. São Paulo: Makron Books, 2001 
[Biblioteca Virtual].
TEIXEIRA, T. Comércio eletrônico: conforme o 
marco civil da internet e a regulamentação do 
e-commerce no Brasil. São Paulo: Saraiva, 2015 
[Minha Biblioteca].
TURBAN, E.; KING, D. Comércio eletrônico: estra-
tégia e gestão. São Paulo: Pearson Prentice Hall, 
2004 [Biblioteca Virtual].
	INTRODUÇÃO
	GERENCIAMENTO E CONTROLE DE INFORMAÇÕES
	 Segurança da informação
	Definições de ameaças
	Confidencialidade, integridade e disponibilidade
	Tipos de controle de segurança
	CONSIDERAÇÕES FINAIS
	Referências Bibliográficas & Consultadas