Guia de Estudos Segurança da Informação

Prévia do material em texto

p á g i n a | 1 
UNIDADE I 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO 
p á g i n a | 2 
UNIDADE I 
 
 
 
 
 
 
 
 
 
 
 
 
 
G 
Reitor 
Prof. Me. Stefano Barra Gazzola 
 
Pós-Graduação a Distância 
Profa. Ma. Letícia Veiga Vasques 
 
Arte 
Isabella de Menezes 
 
Diagramação 
Elias Márcio Tavares 
 
 
 
 
 
 
 
 
 
 
 
BERNARDES, Mauro César. 
 
Guia de Estudo – Gestão de Segurança da Informação, Mauro César 
Bernardes. 
 
Revisão Técnica: 2020 
Revisão Ortográfica: 2020 
 
100 p. 
p á g i n a | 3 
UNIDADE I 
 
 
 
 
 
 
 
Possui graduação em Ciência da 
Computação pela Universidade José do 
Rosário Vellano (1995), mestrado e 
doutorado em Ciência da Computação 
pela Universidade de São Paulo 
(ICMC/USP 2005). Atualmente é 
diretor de divisão tecnológica no 
Centro de Computação Eletrônica da 
Universidade de São Paulo (CCE/USP) 
e professor no Centro Universitário 
Radial (UniRadial). Tem experiência na 
área de Ciência da Computação, com 
ênfase em Segurança da informação e 
Governança de TIC, atuando 
principalmente nos seguintes temas: 
segurança da informação, Governança 
de TIC, modelos para gerenciamento 
de serviços de TIC e sistemas de 
detecção de intrusão. 
 
 
 
 
 
 
 
 
 
 
PROFESSOR DR. 
MAURO 
CÉSAR BERNARDES 
p á g i n a | 4 
UNIDADE I 
 
 
 
 
Segurança da Informação: Principais formas de incidentes de 
segurança da informação: probe, scan, DoS DDoS, Sniffer, Código 
Malicioso, Spam, Mail bomb, Spoofing, comprometimento de conta. 
Exploração de vulnerabilidades, principais formas de proteção: Política 
de Segurança, Firewalls, Sistemas de Detecção de Intrusão, Criptografia, 
VPN, Biometria, Política de Segurança. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
p á g i n a | 5 
UNIDADE I 
APRESENTAÇÃO 
 
 
Caro (a) aluno (a), 
 
Este será seu Guia de Estudos da disciplina de Segurança da 
Informação ministrada para o curso de pós-graduação lato sensu em 
EaD pelo Centro Universitário do Sul de Minas - UNIS. 
A segurança da informação é um tema obrigatório ao profissional 
que atua na área de Tecnologia da Informação e Comunicação (TIC). 
Uma análise do cenário atual demonstra que o crescimento e o 
sucesso das organizações estão intimamente relacionados com a 
necessidade de se manter uma infraestrutura de TIC segura e confiável. 
A dependência atual das organizações da sua infraestrutura de TIC, 
associadas às oportunidades, benefícios e riscos inerentes a essa área, 
faz com que elas passem a considerar a necessidade de uma melhor 
gerência das questões relacionadas com a TIC. Esse cenário implica na 
necessidade das organizações em desenvolver modelos para a 
Governança da Tecnologia da Informação e Comunicação, o que inclui 
alinhamento estratégico e minimização de riscos. 
Minimização de riscos está diretamente relacionado ao 
desenvolvimento de um Sistema de Gerenciamento de Segurança da 
Informação (SGSI), o que inclui especificação de requisitos para o seu 
estabelecimento, implementação, operação, monitoramento, analise 
crítica, manutenção e melhoria dentro do contexto dos riscos de 
negócio globais da organização. Ela especifica requisitos para a 
implementação de controles de segurança personalizados para as 
necessidades individuais de organizações ou suas partes. 
Esta disciplina tem como foco, propiciar aos participantes/alunos, 
conhecimentos e técnicas em segurança da informação, com o objetivo 
de desenvolver e manter profissionais qualificados aptos no 
gerenciamento das questões pertinentes a esta área desafiadora. 
 
 
 
 
 
p á g i n a | 6 
UNIDADE I 
 
 
 
ALECRIM, Emerson. Introdução à Biometria, Infowester: 2005. 
Disponível on-line em http://www.infowester.com/biometria.php. 
 
ANONYMOUS. Maximum Linux Security. Sams Publishing, 2000. 
 
ARBAUGH, W.A; FITHEN, W.L.; McHUGH, John, "Windows of 
vulnerability: a case study analysis": Computer, vol.33, no.12, pp.52- 59, 
Dec 2000. doi: 10.1109/2.889093. Disponível on-line em 
http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=889093&is
number=19227. 
 
BELLOVIN, S.; CHESWICK, W. Firewalls and Internet Security: Repelling 
the Wily Hacker. Addison-Wesley. 1994. 
 
CERT CORDINATION CENTER, CERT Advisory CA-2001-19 "Code Red" 
Worm Exploiting Buffer Overflow In IIS Indexing Service DLL. Disponível 
on-line em: http://www.cert.org/advisories/CA-2001-19.html. Visitado 
em 12/03/2020 
 
CERT CORDINATION CENTER, CERT Advisory CA-2001-22 
W32/Sircam Malicious Code.Disponível on-line em: 
http://www.cert.org/advisories/CA-2001-22.html. Visitado em 
12/03/2020 
 
CERT CORDINATION CENTER, CERT Incident Note IN-2001-09 - "Code 
Red II:" Another Worm Exploiting Buffer Overflow In IIS Indexing Service 
DLL. Disponível on-line em: http://www.cert.org/incident_notes/IN-
2001-09.html. Visitado em 12/03/2020 
 
 
 
 
 
http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=889093&isnumber=19227
http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=889093&isnumber=19227
http://www.cert.org/advisories/CA-2001-22.html.%20Visitado%20em
http://www.cert.org/advisories/CA-2001-22.html.%20Visitado%20em
http://www.cert.org/incident_notes/IN-2001-09.html.%20Visitado%20em
http://www.cert.org/incident_notes/IN-2001-09.html.%20Visitado%20em
p á g i n a | 7 
UNIDADE I 
 
 
CERT CORDINATION CENTER, CERT Advisory CA-2001-26 Nimda 
Worm. Disponível on-line em: http://www.cert.org/advisories/CA-
2001-26.html. 
 
CERT BR. Cartilha de Segurança para a Internet. São Paulo: 2012. ISBN: 
978-85-60062-54-6. Disponível on-line em http://cartilha.cert.br/livro/ 
 
CERT. CERT Coordination Center. Disponível on-line em: 
http://www.cert.org. 
 
CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de 
Segurança no Brasil. Disponível on-line em http://www.cert.br/stats 
CHAPMAN, D. B. Network (In) Security Through IP Packet Filtering. In: 
Proceedings of USENIX Security. Simposyum III, p.63-76. Setembro 
1992. 
International Organization for Standardization / International 
Eletrotechnical Committee. Information technology- Code of practice 
for information security management. Reference number ISO/IEC 
17799:2005(E). 
 
WACK, J. P.; CARNAHAN, L. Keeping Your Site Comfortably Secure: An 
Introduction to Internet Firewalls. In: National Institute of Standards and 
Technology Publication. 1994. WWW: 
http://www.raptor.com/lib/index.html. 
 
ZERKLE, Dan; LEVITT, Karl. NetKuang. A Multi-Host Configuration 
Vulnerability Checker. Departament of Computer Science. University of 
California at Davis. Disponível on-line em: 
http://seclabs.cs.ucdavis.edu/papers/zl96.ps. 
 
 
 
 
 
http://www.cert.org/advisories/CA-2001-26.html
http://www.cert.org/advisories/CA-2001-26.html
http://cartilha.cert.br/livro/
http://www.cert.org/
http://www.cert.br/stats
http://www.raptor.com/lib/index.html
http://seclabs.cs.ucdavis.edu/papers/zl96.ps
p á g i n a | 8 
UNIDADE I 
APRESENTAÇÃO 
 
Caro (a) aluno (a), 
 
Este será seu Guia de Estudos da disciplina de Segurança 
da Informação ministrada para o curso de pós-graduação lato 
sensu em EaD pelo Centro Universitário do Sul de Minas - UNIS. 
A segurança da informação é um tema obrigatório ao 
profissional que atua na área de Tecnologia da Informação e 
Comunicação (TIC). 
Uma análise do cenário atual demonstra que o crescimento 
e o sucesso das organizações estão intimamente relacionados 
com a necessidade de se manter umainfraestrutura de TIC segura 
e confiável. A dependência atual das organizações da sua 
infraestrutura de TIC, associadas às oportunidades, benefícios e 
riscos inerentes a essa área, faz com que elas passem a considerar 
a necessidade de uma melhor gerência das questões relacionadas 
com a TIC. Esse cenário implica na necessidade das organizações 
em desenvolver modelos para a Governança da Tecnologia da 
Informação e Comunicação, o que inclui alinhamento estratégico 
e minimização de riscos. 
Minimização de riscos está diretamente relacionado ao 
desenvolvimento de um Sistema de Gerenciamento de Segurança 
da Informação (SGSI), o que inclui especificação de requisitos 
para o seu estabelecimento, implementação, operação, 
monitoramento, analise crítica, manutenção e melhoria dentro do 
contexto dos riscos de negócio globais da organização. Ela 
especifica requisitos para a implementação de controles de 
segurança personalizados para as necessidades individuais de 
organizações ou suas partes. 
Esta disciplina tem como foco, propiciar aos 
participantes/alunos, conhecimentos e técnicas em segurança da 
informação, com o objetivo de desenvolver e manter profissionais 
qualificados aptos no gerenciamento das questões pertinentes a 
esta área desafiadora. 
 
 
p á g i n a | 9 
UNIDADE I 
 
 
1 0 | Unidade I 
 Considerações Iniciais 
 
1 4 | Unidade II 
 Conceitos iniciais em Segurança da Informação 
 
20 | Unidade III 
 Exploração de vulnerabilidade pelos invasores 
 
27 | Unidade IV 
 Principais formas de incidentes de segurança 
 
35 | Unidade V 
 Principais formas proteção a recursos computacionais 
 
39 | .......................5.1. Criptografia 
42 | .......................5.2. Certificação Digital 
43 | .......................5.3. Políticas de Segurança 
45 | .......................5.4. Biometria 
46 | .......................5.5. O uso da Biometria 
47 | .......................5.6. Tipos de identificação biométrica 
52 | .......................5.7. Rede Privada Virtual (Virtual Private Network - 
VPN) 
53 | .......................5.8. Necessidade de Governança da Segurança da 
Informação 
 
55 | Considerações Finais 
 
 
p á g i n a | 10 
UNIDADE I 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONSIDERAÇÕES INICIAIS 
p á g i n a | 11 
UNIDADE I 
 
UNIDADE I 
Considerações Iniciais 
 
No meio computacional, o termo segurança da informação é 
usado com o significado de minimizar a vulnerabilidade de dados, da 
informação, do conhecimento e do suporte oferecido pela 
infraestrutura de Tecnologia da Informação e Comunicação (TIC). 
Vulnerabilidade é qualquer fraqueza que pode ser explorada para se 
violar um sistema ou para acessar as informações que ele contém. 
Para a segurança da informação procura-se a preservação da 
confidencialidade, integridade e disponibilidade da informação. 
Adicionalmente, outras propriedades, tais como autenticidade, 
responsabilidade, não repúdio e confiabilidade, podem também estar 
envolvidas. 
A segurança da informação está relacionada à necessidade de 
proteção contra o acesso ou manipulação intencional ou não de 
informações confidenciais por elementos não autorizados e a 
utilização não autorizada do computador ou de seus dispositivos 
periféricos. A necessidade de proteção deve ser definida em termos 
das possíveis ameaças e riscos e dos objetivos de uma organização, 
formalizada nos termos de uma política de segurança. Zorkle e Levit 
(1996) ainda acrescentam que a segurança computacional vai além 
da integridade do software e mecanismos de proteção do sistema 
operacional em uso; ela também é dependente da própria 
configuração e uso do software com base na política de segurança 
previamente definida (ZERKLE and LEVITT, 1996). 
Para minimização do número de incidentes relacionados à 
segurança da informação torna-se imprescindível a compreensão dos 
riscos relacionados para que se possa tomar as medidas preventivas 
necessárias. Segundo o CERT [CERT, 2013], alguns destes riscos são: 
 Acesso a conteúdos impróprios ou ofensivos: ao navegar você 
pode se deparar com páginas que contenham pornografia, 
que atentem contra a honra ou que incitem o ódio e o racismo. 
p á g i n a | 12 
UNIDADE I 
 Contato com pessoas mal-intencionadas: existem pessoas que 
se aproveitam da falsa sensação de anonimato da Internet 
para aplicar golpes, tentar se passar por outras pessoas e 
cometer crimes como, por exemplo, estelionato, pornografia 
infantil e sequestro. 
 Furto de identidade: assim como você pode ter contato direto 
com impostores, também pode ocorrer de alguém tentar se 
passar por você e executar ações em seu nome, levando 
outras pessoas a acreditarem que estão se relacionando com 
você, e colocando em risco a sua imagem ou reputação. 
 Furto e perda de dados: os dados presentes em seus 
equipamentos conectados à Internet podem ser furtados e 
apagados, pela ação de ladrões, atacantes e códigos 
maliciosos. 
 Invasão de privacidade: a divulgação de informações pessoais 
pode comprometer a sua privacidade, de seus amigos e 
familiares e, mesmo que você restrinja o acesso, não há como 
controlar que elas não serão repassadas. Além disto, os sites 
costumam ter políticas próprias de privacidade e podem 
alterá-las sem aviso prévio, tornando público aquilo que antes 
era privado. 
 Divulgação de boatos: as informações na Internet podem se 
propagar rapidamente e atingir um grande número de pessoas 
em curto período de tempo. Enquanto isto pode ser desejável 
em certos casos, também pode ser usado para a divulgação 
de informações falsas, que podem gerar pânico e prejudicar 
pessoas e empresas. 
 Dificuldade de exclusão: aquilo que é divulgado na Internet 
nem sempre pode ser totalmente excluído ou ter o acesso 
controlado. Uma opinião dada em um momento de impulso 
pode ficar acessível por tempo indeterminado e pode, de 
alguma forma, ser usada contra você e acessada por 
diferentes pessoas, desde seus familiares até seus chefes. 
 Dificuldade de detectar e expressar sentimentos: quando você 
se comunica via Internet não há como observar as expressões 
faciais ou o tom da voz das outras pessoas, assim como elas 
p á g i n a | 13 
UNIDADE I 
não podem observar você (a não ser que vocês estejam 
utilizando webcams e microfones). Isto pode dificultar a 
percepção do risco, gerar mal-entendido e interpretação 
dúbia. 
 Dificuldade de manter sigilo: no seu dia a dia é possível ter 
uma conversa confidencial com alguém e tomar cuidados para 
que ninguém mais tenha acesso ao que está sendo dito. Na 
Internet, caso não sejam tomados os devidos cuidados, as 
informações podem trafegar ou ficar armazenadas de forma 
que outras pessoas tenham acesso ao conteúdo. 
 Uso excessivo: o uso desmedido da Internet, assim como de 
outras tecnologias, pode colocar em risco a sua saúde física, 
diminuir a sua produtividade e afetar a sua vida social ou 
profissional. 
 Plágio e violação de direitos autorais: a cópia, alteração ou 
distribuição não autorizada de conteúdos e materiais 
protegidos pode contrariar a lei de direitos autorais e resultar 
em problemas jurídicos e em perdas financeiras. 
 
Com o aumento do número de pessoas que se interessam por 
invasões a meios digitais, a proliferação de ferramentas que realizam 
ataques automáticos pela Internet, a facilidade crescente de se obter 
informações sobre como quebrar segurança de sistemas 
computacionais, o lançamento de técnicas modernas para isso e a sua 
rápida disseminação, o número de tentativas de ataque e o sucessodessas tentativas tem crescido rapidamente nos últimos anos. Isso pode 
ser comprovado através de diversas pesquisas realizadas por órgãos 
especializados em segurança (CERT, 2013). Consequentemente, torna-
se necessário o desenvolvimento constante de novas pesquisas na área 
e a capacitação de profissionais que possam desenvolver estratégias 
para incrementar o nível de segurança computacional nas organizações. 
 
 
 
p á g i n a | 14 
UNIDADE II 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CONCEITOS INICIAIS EM 
SEGURANÇA DA INFORMAÇÃO 
p á g i n a | 15 
UNIDADE II 
 
UNIDADE II 
Conceitos iniciais em Segurança da 
Informação 
 
Para iniciar uma discussão sobre segurança da informação, 
torna-se necessário primeiramente ter em mente três importantes 
conceitos básicos: confidencialidade, integridade e disponibilidade. 
 
a) confidencialidade: garantia de que a informação é acessível 
somente por pessoas autorizadas a terem acesso; 
b) integridade: salvaguarda da exatidão e completeza da 
informação e dos métodos de processamento; 
c) disponibilidade: garantia de que os usuários autorizados 
obtenham acesso à informação e aos ativos correspondentes 
sempre que necessário. 
 
Quando informações são lidas ou copiadas por alguém não 
autorizado a fazê-lo, o resultado é conhecido como perda de 
confidencialidade. Para alguns tipos de informações, 
confidencialidade é um atributo indispensável. Como exemplo, pode-
se considerar dados de pesquisas, especificações de um novo 
produto e estratégias de investimento empresarial. 
Em algumas situações há uma obrigação moral, e até mesmo 
legal em alguns casos, de proteger a privacidade dos dados 
referentes a um indivíduo. Isso é particularmente verdadeiro para 
bancos e companhias de empréstimo, companhias de cartão de 
crédito, consultórios médicos etc. Os regulamentos dos Estados 
Unidos da América, como o Sarbanes-Oxley, Californian Senate Bill 
1386 (SB 1386) e o HIPPA (Health Insurance Portability and 
Accountability Act) exigem que as organizações protejam 
informações de identificação pessoal. 
 
p á g i n a | 16 
UNIDADE II 
 
 
 
Se você quiser se aprofundar mais sobre o assunto 
Sarbanes-Oxley e HIPPA, aqui estão algumas 
sugestões de leitura: 
Sarbanes-Oxley - SOx: 
The Sarbanes-Oxley Act: http://www.soxlaw.com/ 
 
Quando uma informação é modificada de uma forma não 
esperada, o resultado é conhecido com perda de integridade. Isso 
significa que mudanças não autorizadas são realizadas nas 
informações, seja por erro humano ou de forma intencional. 
Integridade é particularmente importante para informações de 
segurança críticas usados para atividades como controle de tráfego 
aéreo, contabilidade financeira, transações bancárias etc. 
A informação também pode ser apagada ou tornar-se 
inacessível, resultando na falta de disponibilidade. Isto significa que 
pessoas que são autorizadas a acessar a informação não podem fazê-
lo. 
Disponibilidade é frequentemente o atributo mais importante 
em negócios que dependem da informação. Disponibilidade de uma 
rede é importante quando se depende da conexão com a rede para 
realização de atividades essenciais à execução da missão da 
organização. Quando um usuário não pode acessar a rede ou serviços 
específicos suportados por ela, diz-se que houve uma falha conhecida 
como uma negação do serviço (DoS - Denial of Service). 
Além dos conceitos de confidencialidade, integridade e 
disponibilidade. Deve-se também ter em mente três conceitos 
relacionados com as pessoas que usam a informação: autenticação, 
autorização e irretratabilidade/irrevogabilidade. 
Para tornar a informação disponível para aqueles que precisam 
dela e são autorizados a acessá-la, organizações usam autenticação 
e autorização. A autenticação é utilizada para provar que o usuário é 
quem diz ser. Esse processo envolve algo que o usuário conheça 
(como uma senha), algo que ele tenha (como um smartcard) ou algo 
sobre o usuário que prove sua identificação (com o uso de recursos 
http://www.soxlaw.com/
p á g i n a | 17 
UNIDADE II 
biométricos). Autorização, por sua vez, é o ato de determinar se um 
usuário particular (ou sistema computacional) tem o direito de 
executar certa atividade, como a leitura de um arquivo ou a execução 
de um programa. Autenticação e autorização são processos 
empregados em conjunto. Os usuários precisam ser autenticados 
antes de executarem uma atividade que eles estão autorizados a 
executar. A segurança torna-se mais forte quando o resultado de uma 
autenticação não pode ser negado posteriormente (ou seja, o usuário 
não poderá negar que executou uma determinada atividade). Este 
processo é conhecido como não-repúdio. 
 
 
Apesar dos termos DoS-Denial of Service, 
smartcard e biometria serem definidos ao longo 
deste material, esta é uma excelente 
oportunidade para nossa primeira pesquisa. Faça 
uma pesquisa na Internet sobre estes termos! 
 
Atualmente é muito fácil o ganho de acesso não autorizado à 
informação em uma rede insegura e, de modo inverso, está cada vez 
mais difícil identificar os invasores. Mesmo que os usuários não 
possuam nada importante armazenado em seus computadores, um 
computador desprotegido pode ser explorado para ser utilizado 
como “a porta de entrada” para o acesso não autorizado às 
informações de uma organização que estejam armazenadas em 
outros equipamentos interconectados. 
Em muitas vezes, informações aparentemente simples podem 
contribuir para o comprometimento de um sistema computacional. 
Informações que os invasores consideram úteis incluem quais 
hardwares, softwares, configurações, tipo de conexão com a rede, 
número de telefones e procedimentos de acesso e autorização estão 
sendo utilizados. Informações relacionadas à segurança podem 
permitir que indivíduos não autorizados ganhem o acesso a 
importantes arquivos e programas e dessa forma, comprometer a 
segurança do sistema. Exemplos de informações importantes que 
podem contribuir para o comprometimento da segurança em 
p á g i n a | 18 
UNIDADE II 
sistemas computacionais são: senhas, informações pessoais e chaves 
de criptografia, versões de sistemas etc. 
Conforme relatos de respeitados centros mundiais 
especializados em segurança computacional, como exemplo o CERT, 
não é possível garantir 100% de segurança quando se está conectado 
à Internet. 
 
 
 
Por que não é possível garantir 100% de 
segurança a equipamentos conectados à 
Internet? 
 
Diversas estatísticas demonstram que entre os afetados 
encontram-se grandes bancos e companhias financeiras, companhias 
de seguro, órgãos governamentais, hospitais, provedores de serviços 
de redes, universidades, etc. Entre as invasões, muitas irão acarretar 
perda financeira de forma direta, como exemplo uma transferência 
monetária, e/ou indireta, como exemplo o comprometimento da 
imagem da organização. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Para ter acesso a informações sobre segurança 
da informação e estatísticas de ataques no Brasil 
e em outros países, visite os links abaixo: 
CERT - Brasil 
CERT.br -- Centro de Estudos, Resposta e 
Tratamento de Incidentes de Segurança no 
Brasil. Disponível on-line em: 
http://www.cert.br/ 
 
CERT – Reino Unido 
United Kingdon Computer Emergency 
Response Team: Disponível on-line em: 
http://www.ukcert.org.uk/ 
 
CERT – Bélgica 
The Federal Emergency Team. Disponível on-
line em: https://www.cert.be/en 
http://www.cert.br/
http://www.ukcert.org.uk/
p á g i n a | 19 
UNIDADE II 
 
CERT - USA 
CERT Coordination Center. Disponívelon-line 
em: http://www.cert.org/. 
 
AusCERT – Austrália 
Australian Computer Emergency Response 
Team. Disponível on-line em: 
http://www.auscert.org.au/ 
 
 
Após visitar as páginas do CERT Brasil, 
identifique o número de incidentes de 
segurança computacional que foi reportado a 
este órgão nos últimos 5 anos. Procure pelo link 
estatísticas. 
 
 
Os conceitos de confidencialidade, integridade 
e disponibilidade são imprescindíveis no 
desenvolvimento de um projeto de segurança 
da informação. Dessa forma é apresentado a 
seguir um exemplo onde ocorre o 
comprometimento de desses itens: 
- Confidencialidade: alguém obtém acesso não 
autorizado ao seu sistema e consegue ler 
informações sigilosas. 
- Integridade: alguém obtém acesso não 
autorizado ao seu sistema e altera alguma 
informação 
- Disponibilidade: alguém modifica alguma 
configuração em seu sistema de forma que você 
não consegue acessá-lo quando precisar dele. 
 
 
 
http://www.sarbanes-oxley-forum.com/
p á g i n a | 20 
UNIDADE III 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
EXPLORAÇÃO DE 
VULNERABILIDADE PELOS 
INVASORES 
p á g i n a | 21 
UNIDADE III 
 
UNIDADE III 
Exploração de vulnerabilidade pelos 
invasores 
 
É difícil caracterizar pessoas que causam incidentes de 
segurança da informação. Um invasor pode ser um adolescente 
curioso sobre o que pode e o que não pode fazer na Internet, um 
estudante que criou um novo software, um indivíduo em busca de um 
algum lucro, um espião pago para roubar informações de uma 
empresa ou um país estrangeiro buscando conseguir alguma 
vantagem competitiva, política ou econômica, etc. 
Embora a definição da palavra invasão não inclua o conceito de 
um usuário interno fazendo mau uso dos recursos a que tem acesso, 
ela é muitas vezes empregada nesse sentido. Assim, uma invasão 
também pode ser causada por um funcionário legítimo de uma 
empresa ou por um consultor que ganhou acesso a informações da 
rede enquanto desenvolve um trabalho na organização. 
O invasor pode encarar um ataque contra uma organização 
como uma busca por entretenimento, um desafio intelectual, uma 
sensação de poder, um protesto político, ganho financeiro etc. 
Geralmente os invasores trabalham em comunidade e 
compartilham informações. Invasores identificam sistemas mal 
configurados e divulgam esta informação, além de usarem esses 
sistemas para troca de software pirata, envio de spam, troca de 
informações etc. Com isso, pode-se concluir que informações sobre 
vulnerabilidades são disseminadas de forma muito mais rápida entre 
os invasores. 
No contexto deste curso iremos considerar Spam com o termo 
usado para referir-se aos e-mails não solicitados, que geralmente são 
enviados para um grande número de pessoas. Quando o conteúdo é 
exclusivamente comercial, esse tipo de mensagem é chamado de 
UCE, do inglês Unsolicited Commercial E-mail. 
p á g i n a | 22 
UNIDADE III 
 
 
 
Para ter acesso a mais informações sobre SPAM, 
visite o link abaixo: 
Comitê Gestor da Internet no Brasil. Disponível 
on-line em: http://www.antispam.br/. 
Uma vulnerabilidade pode ser definida como uma falha no 
projeto, na implementação ou na configuração de um software ou 
sistema operacional que, quando explorada por um atacante, resulta 
na violação da segurança de um computador ou sistema. 
Existem casos onde um software ou sistema operacional 
instalado em um computador pode conter uma vulnerabilidade que 
permite sua exploração remota, ou seja, através da rede. Portanto, um 
invasor conectado à Internet ao explorar tal vulnerabilidade pode 
obter acesso não autorizado ao equipamento vulnerável. 
A figura 1 apresenta a curva de comportamento de uma 
vulnerabilidade sendo explorada por invasões. Logo que uma 
determinada vulnerabilidade é descoberta, o número de invasões é 
pequeno. Esse número cresce à medida que a vulnerabilidade se 
torna conhecida por um grupo maior de invasores e também, quando 
ferramentas automáticas para ataque são disponibilizadas na 
Internet. 
 
Figura 1: Ciclo de exploração de vulnerabilidades 
(Adaptadas de [ARBAUGH, 2000]). 
http://www.cgi.br/
http://www.antispam.br/
p á g i n a | 23 
UNIDADE III 
Geralmente, na maioria dos casos, os administradores só se dão 
conta de uma nova vulnerabilidade após esta estar largamente 
difundida entre os invasores e o número de ataques ter crescido. Com 
isso, os administradores necessitam estar constantemente atentos às 
publicações especializadas para obterem informações sobre falhas de 
segurança e aplicar as devidas correções. Quanto mais tempo se leva 
para descobrir a vulnerabilidade e aplicar tais correções, maior a 
probabilidade de o sistema tornar-se comprometido. 
Como existe certa demora no lançamento de correções de 
segurança para sistemas vulneráveis e uma grande dificuldade dos 
administradores se manterem constantemente atualizados, tem-se um 
cenário em que uma infraestrutura de TIC pode alcançar um estado 
altamente vulnerável muito rapidamente. 
Além dos fatos citados anteriormente, é possível observar que em 
função do grande número de vulnerabilidades descobertas a cada dia, 
seus ciclos se sobrepõem, conforme ilustrado na Figura 2. 
Exemplificando, este efeito pode ser comprovado pelos ataques 
provenientes de worms e vírus de alcance mundial que surgiram na 
década de 2000, especialmente com o Code Red [CERT,2001a], 
Sircam[CERT,2001b] e Nimda[CERT,2001d]. 
 
 
 
 
 
Figura 2: Sobreposição dos Ciclos de Vulnerabilidades 
 
Figura 2: Sobreposição de ciclos de vulnerabilidades. 
 
Algumas ferramentas que exploraram as vulnerabilidades podem 
ainda sofrer mutações e comportarem-se de forma diferente da 
originalmente identificada, conforme ilustrado na Figura 3. Assim, 
ressurgem como uma ameaça algum tempo após os administradores 
terem desviado seu foco de atenção para outros ciclos. Apesar de 
muitas vezes não ressurgirem com o mesmo potencial de ameaça, 
 
p á g i n a | 24 
UNIDADE III 
variações frequentemente tomam um tempo considerável dos 
administradores no processo de sua eliminação. 
 
 
Diferenciando Worms e Vírus 
 
Vírus 
Um vírus é um código de computador que se anexa 
a um programa ou arquivo para poder se espalhar 
entre os computadores, infectando-os à medida que 
se desloca. Ele infecta enquanto se desloca. Os vírus 
podem danificar seu software, hardware e arquivos. 
Vírus (s. m.) Código escrito com a intenção explícita 
de se autoduplicar. Um vírus tenta se alastrar de 
computador para computador se incorporando a um 
programa hospedeiro. Ele pode danificar hardware, 
software ou informações. 
Assim como os vírus humanos possuem níveis de 
gravidade diferentes, como o vírus Ebola e o vírus da 
gripe, os vírus de computador variam entre 
levemente perturbador e totalmente destrutivo. A 
boa notícia é que um verdadeiro vírus não se 
dissemina sem ação humana. É necessário que 
alguém envie um arquivo ou envie um e-mail para 
que ele se alastre. 
Worm 
Um worm, assim como um vírus, cria cópias de si 
mesmo de um computador para outro, mas faz isso 
automaticamente. Primeiro, ele controla recursos no 
computador que permitem o transporte de arquivos 
ou informações. Depois que o worm contamina o 
sistema, ele se desloca sozinho. O grande perigo dos 
worms é a sua capacidade de se replicar em grande 
volume. Por exemplo, um worm pode enviar cópias 
de si mesmo a todas as pessoas que constam no seu 
catálogo de endereços de e-mail, e os computadores 
dessas pessoas passam a fazer o mesmo, causando 
p á g i n a | 25 
UNIDADE III 
um efeitodominó de alto tráfego de rede que pode 
tornar mais lentas as redes corporativas e a Internet 
como um todo. Quando novos worms são lançados, 
eles se alastram muito rapidamente. Eles obstruem 
redes e provavelmente fazem com que você (e todos 
os outros) tenha de esperar um tempo maior para 
abrir páginas na Internet. 
Worm (s. m.) uma subclasse de vírus. Um worm 
geralmente se alastra sem a ação do usuário e 
distribui cópias completas (possivelmente 
modificadas) de si mesmo através das redes. Um 
worm pode consumir memória e largura de banda de 
rede, o que pode travar o seu computador. 
Como os worms não precisam viajar através de um 
programa ou arquivo "hospedeiro", eles também 
podem se infiltrar no seu sistema e permitir que 
outra pessoa controle o seu computador 
remotamente. 
Fonte: http://support.microsoft.com/kb/129972/pt 
 
 
 
 
 
 
 
 
Figura 3: Mutações em vulnerabilidades e Ferramentas de Ataque 
 
Um dos primeiros exemplos desta mutação que alcançou 
proporções mundiais foi o Code Red sofrendo mutação para o Code Red 
II (Code Blue) [CERT,2001c]. 
Com base nessas informações, fica evidente a necessidade das 
organizações se estruturarem para identificar as vulnerabilidades no 
menor tempo possível, permitindo manter os níveis de serviço 
acordados para a realização de seu negócio. Ao encontro dessa 
 
p á g i n a | 26 
UNIDADE III 
necessidade, as organizações estão em busca de modelos que lhes 
permitam alcançar a Governança da Segurança da Informação. 
 
 
 
No papel de responsável pela área de TI der uma 
organização, o que você poderia fazer para reduzir a 
vulnerabilidade dos computadores e sistemas? 
 
 
 
 
 
 
 
 
 
 
 
 
p á g i n a | 27 
UNIDADE IV 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
PRINCIPAIS FORMAS DE 
INCIDENTES DE SEGURANÇA 
p á g i n a | 28 
UNIDADE IV 
 
UNIDADE IV 
Principais formas de incidentes de 
segurança 
 
Um incidente de segurança pode ser definido como qualquer 
evento adverso, confirmado ou sob suspeita, relacionado à segurança 
de sistemas de computação ou de redes de computadores. 
Conforme pode ser observado na figura 4, houve uma grande 
evolução das ferramentas e nos métodos utilizados para se invadir 
um sistema e caracterizar um incidente de segurança ao longo dos 
anos. Inicialmente era necessário que um invasor possuísse um 
grande conhecimento sobre sistemas computacionais e linguagens 
de programação para que alcançasse sucesso em suas tentativas. Isso 
se devia principalmente à inexistência de ferramentas próprias para 
esse tipo de ação. 
Entretanto, com o passar dos anos, diversas ferramentas e 
métodos foram sendo desenvolvidos e disseminados. Com isso, o 
conhecimento necessário para se conseguir êxito em uma invasão 
diminuiu de forma alarmante, conforme ilustrado na Figura 4. 
 
Figura 4: Sofisticação dos ataques X Conhecimento exigido do Invasor 
(Adaptado de [CERT, 2012]). 
p á g i n a | 29 
UNIDADE IV 
Hoje em dia, uma vez conectada à Internet, qualquer pessoa pode 
acionar um serviço de busca e, pesquisando por palavras chaves, terá 
acesso a informações sobre como atacar equipamentos e obter 
softwares para invasão simples de serem utilizados. Além de a Internet 
ser o principal meio pelo qual a maioria das intrusões ocorre, é também 
através dela que são largamente disponibilizados e veiculados 
documentos explicando e demonstrando técnicas de invasão, furos de 
segurança e casos de monitoração de intrusões em andamento. É 
possível encontrar com facilidade documentos do tipo “receita de bolo”, 
que ensinam técnicas de intrusão detalhadamente. Ainda que sejam 
técnicas simples, podem ser altamente destrutivas, tendo-se em vista 
que boa parte das redes conectadas à Internet não possui um completo 
domínio das questões relacionadas com a segurança. 
Além dos vírus e dos worms, já apresentados no capítulo anterior, 
existe um conjunto de ferramentas e métodos para invasão a sistemas 
computacionais que podem ser categorizados em diversas classes. 
Entre as principais encontram-se as seguintes: 
 Probe - Um probe é caracterizado por uma tentativa não usual 
de ganhar acesso a um sistema ou de descobrir informações 
sobre o mesmo. Os probes são algumas vezes seguidos por um 
evento de segurança mais sério, mas eles muitas vezes são 
resultados de curiosidade ou confusão. 
 Scan - Varredura em redes, ou scan, é uma técnica que consiste 
em efetuar buscas minuciosas em redes, com o objetivo de 
identificar computadores ativos e coletar informações sobre 
eles como, por exemplo, serviços disponibilizados e programas 
instalados. Com base nas informações coletadas é possível 
associar possíveis vulnerabilidades aos serviços 
disponibilizados e aos programas instalados nos 
computadores ativos detectados. Um scan também pode ser 
visto como um grande número de probes feito a partir de uma 
ferramenta automatizada. Os scans podem algumas vezes ser 
o resultado de um sistema mal configurado ou outro erro, mas 
eles são frequentemente os anúncios de um ataque mais 
direcionado a um sistema em que o invasor encontrou alguma 
vulnerabilidade. A varredura em redes e a exploração de 
p á g i n a | 30 
UNIDADE IV 
vulnerabilidades associadas podem ser usadas de forma: 
legítima: por pessoas devidamente autorizadas, para verificar 
a segurança de computadores e redes e, assim, tomar medidas 
corretivas e preventivas. Maliciosa: por atacantes, para 
explorar as vulnerabilidades encontradas nos serviços 
disponibilizados e nos programas instalados para a execução 
de atividades maliciosas. Os atacantes também podem utilizar 
os computadores ativos detectados como potenciais alvos no 
processo de propagação automática de códigos maliciosos e 
em ataques de força bruta (Você terá mais detalhes ao longo 
deste guia de estudo). 
 Falsificação de e-mail (E-mail spoofing): Falsificação de e-mail, 
ou e-mail spoofing, é uma técnica que consiste em alterar 
campos do cabeçalho de um e-mail, de forma a aparentar que 
ele foi enviado de uma determinada origem quando, na 
verdade, foi enviado de outra. Esta técnica é possível devido a 
características do protocolo SMTP (Simple Mail Transfer 
Protocol) que permitem que campos do cabeçalho, como 
"From:" (endereço de quem enviou a mensagem), "Reply-To" 
(endereço de resposta da mensagem) e "Return-Path" 
(endereço para onde possíveis erros no envio da mensagem 
são reportados), sejam falsificados. Ataques deste tipo são 
bastante usados para propagação de códigos maliciosos, 
envio de spam e em golpes de phishing. Atacantes utilizam-se 
de endereços de e-mail coletados de computadores infectados 
para enviar mensagens e tentar fazer com que os seus 
destinatários acreditem que elas partiram de pessoas 
conhecidas. 
 Spam - Spam é mensagem não solicitada. Sua definição em 
termos práticos refere-se ao envio abusivo de mensagens de 
correio eletrônico não solicitadas, geralmente em grande 
quantidade, distribuindo propaganda, correntes, esquemas de 
"ganhe dinheiro fácil" etc. É o envio de mensagens de correio 
eletrônico tentando forçar a leitura pela pessoa que recebe e 
que, normalmente, não optou por este recebimento. No 
ambiente Internet, spam significa enviar uma mensagem 
p á g i n a | 31 
UNIDADE IV 
qualquer para uma grande quantidade de usuários, sem 
primeiro verificar a utilidade do conteúdo da mensagem para 
aqueles destinatários. O autor do spam é conhecido como 
"spammer". Apesar de aparentemente não causar perdas 
diretas aos sistemas que recebem um spam, quando bem 
planejado um spam pode levar o sistemaalvo a experimentar 
a indisponibilidade de seus serviços de e-mail. 
 DoS (Denial of Service) – O objetivo em um ataque DoS, 
também conhecido como negação de serviço, não é obter 
acesso não autorizado a máquinas ou dados, mas impedir que 
usuários legítimos utilizem um sistema. Este ataque consiste, 
por exemplo, em sobrecarregar um servidor com uma 
quantidade excessiva de solicitações de serviços. 
 DDoS (Distributed Denial of Service) - Os ataques DDoS são o 
resultado da união de negação de serviço e intrusão 
distribuída. Os ataques DDoS podem ser definidos como 
ataques DoS diferentes partindo de várias origens, disparados 
simultânea e coordenadamente sobre um ou mais alvos. 
Resumidamente são ataques DoS em larga escala. 
 Interceptação de Tráfego (Sniffing) - Interceptação de tráfego, 
ou sniffing, é uma técnica que consiste em inspecionar os 
dados trafegados em redes de computadores, por meio do uso 
de programas específicos chamados de sniffers. Um sniffer é 
um programa que captura pacotes que estão trafegando em 
uma rede. Tais pacotes podem conter nomes de usuários, 
senhas e informações proprietárias que trafegam 
decodificados pela rede. De posse de uma grande quantidade 
de nomes de usuários e senhas o usuário pode lançar um 
ataque de larga escala a um sistema. Uma vez que para a 
instalação de um sniffer não é necessária uma conta 
privilegiada, este recurso é largamente utilizado em redes de 
computadores no padrão ethernet. 
 Código Malicioso – O termo Código malicioso, também 
conhecido pelo termo em inglês malware, é utilizado para 
designar programas que, quando executados, causarão 
p á g i n a | 32 
UNIDADE IV 
resultados indesejados a um sistema. Os usuários do programa 
não estão cientes de suas ações até que os danos sejam 
descobertos. Nesta classe de software estão incluídos os 
seguintes: Trojan horses (cavalos de tróia), spywares, vírus e 
worms. Os trojans horses e os vírus estão usualmente ocultos 
em um programa legítimo ou arquivos que os invasores 
alteraram para fazer mais do que se espera deles. Os worms 
são programas que se multiplicam automaticamente e se 
espalham sem intervenção humana depois que são 
inicializados. Vírus são programas que se multiplicam 
automaticamente, mas usualmente requerem uma ação 
humana para se espalharem inadvertidamente para outros 
programas ou outros sistemas. Esta classe de programa pode 
levar a perdas sérias de dados, perda de desempenho, 
indisponibilidade (denial-of-service) e outros tipos de 
incidentes de segurança. O spyware é o termo utilizado para 
se referir a uma grande categoria de software que tem o 
objetivo de monitorar atividades de um sistema e enviar as 
informações coletadas para terceiros. Podem ser utilizados de 
forma legítima, mas, na maioria das vezes, são utilizados de 
forma dissimulada, não autorizada e maliciosa. 
 Spoofing - Um spoofing ocorre quando invasores autenticam 
uma máquina em nome de outra forjando pacotes de um host 
confiável. Nos últimos anos, essa definição foi expandida para 
abranger qualquer método de subverter a relação de confiança 
ou autenticação baseada em endereço ou em nome de host. 
Entre as mais conhecidas encontram-se as seguintes: spoofing 
de IP, spoofing de ARP e spoofing de DNS. 
 Comprometimento de Conta - Um comprometimento de conta 
é o uso não autorizado de uma conta por alguém que não é 
seu proprietário, não considerando os privilégios de sistema e 
root. Um comprometimento de conta pode expor a vítima a 
perdas de dados, roubo de dados ou serviços etc. 
 
Todos os exemplos acima podem ser utilizados individualmente 
ou em conjunto para comprometer a confidencialidade, integridade ou 
p á g i n a | 33 
UNIDADE IV 
disponibilidade dos sistemas e, consequentemente, tornando-os 
inseguros. 
Essa conjuntura de computadores, redes e comunicações 
inseguras deve-se, em parte, ao modo como a Internet foi projetada. O 
principal foco do projeto da Internet, e mais basicamente do protocolo 
TCP/IP, estava muito distante dos atuais usos da Internet. Seu projeto 
previa inicialmente o uso por instituições militares e de pesquisa. O 
crescimento e a popularização da Internet, o surgimento de aplicações 
de comércio eletrônico, a interligação das redes das diversas filiais de 
uma empresa e muitas outras características e serviços oferecidos pela 
Internet de hoje, não eram sequer supostas pelos seus projetistas e 
técnicos. O crescimento da Internet levou a uma mudança no foco e no 
perfil dos usuários e das aplicações da rede. Em vista disso, muitos dos 
protocolos, serviços, sistemas operacionais e softwares que são 
utilizados na Internet não foram projetados e especificados com as 
devidas preocupações com relação à segurança. Originalmente, no 
UNIX, as senhas circulavam totalmente abertas pela rede, o protocolo 
TCP/IP não previa nenhum esquema de criptografia dos dados ou 
autenticação das máquinas e usuários envolvidos em uma conexão. 
Os sistemas operacionais atuais foram criados em cenários com 
preocupações específicas sobre segurança. Porém ainda não se 
mostraram soluções totalmente confiáveis devido a diversos fatores, o 
que acarretaram falhas e furos de segurança que são descobertos a 
cada dia e notificados pelo fabricante. 
Outro aspecto das novas formas de ataque é que elas focalizam a 
infraestrutura da rede, como roteadores e firewalls, e a capacidade de 
disfarçar seu comportamento. Invasores têm utilizado malwares para 
esconder suas atividades dos administradores de rede. Por exemplo, 
invasores alteram programas de autenticação e login para que eles 
possam acessar os sistemas sem gerar arquivos de logs de suas 
atividades. Invasores também podem criptografar o resultado de suas 
atividades, como informações capturadas por um sniffer. Mesmo se o 
administrador encontrar os logs da ferramenta utilizada para captura de 
informações, é muito difícil ou impossível determinar quais informações 
foram comprometidas. 
p á g i n a | 34 
UNIDADE IV 
Armados com conhecimento sobre uma vulnerabilidade 
específica, técnicas de engenharia social e ferramentas automáticas 
para roubar informações que possam levar ao acesso de sistemas, 
invasores frequentemente conseguem acessar redes e hosts. 
p á g i n a | 35 
UNIDADE V 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
PRINCIPAIS FORMAS DE PROTEÇÃO 
A RECURSOS COMPUTACIONAIS 
p á g i n a | 36 
UNIDADE V 
 
UNIDADE V 
Principais formas de proteção a recursos 
computacionais 
 
Em função das vulnerabilidades e tendências a incidentes 
discutidas anteriormente, observa-se que a tarefa do administrador de 
rede torna-se extremamente sobrecarregada com administração dos 
recursos necessários para a administração de segurança. Fica evidente 
que devido ao grande número de alertas e vulnerabilidades descobertas 
que trafegam diariamente pela Internet, torna-se necessário que exista 
nas organizações alguém ou uma equipe que ocupe uma posição 
destinada exclusivamente à administração das questões relativas à 
segurança computacional. 
Com base no que foi visto nos capítulos anteriores, para que seja 
possível aplicar cuidados nos sistemas computacionais procedimentos 
similares aos que são aplicados pelas pessoas em seu dia a dia, é 
necessário que os serviços disponibilizados e as comunicações 
realizadas por este meio garantam alguns requisitos básicos de 
segurança, como: 
 Identificação: permitir que uma entidade se identifique, ou seja, 
diga quem ela é. 
 Autenticação: verificar se a entidade é realmente quem ela diz 
ser. 
 Autorização: determinar as ações que a entidade pode executar. Integridade: proteger a informação contra alteração não 
autorizada. 
 Confidencialidade ou sigilo: proteger uma informação contra 
acesso não autorizado. 
 Não repúdio: evitar que uma entidade possa negar que foi ela 
quem executou uma ação. 
 Disponibilidade: garantir que um recurso esteja disponível 
sempre que necessário. 
 
p á g i n a | 37 
UNIDADE V 
Uma grande variedade procedimentos e tecnologias têm sido 
desenvolvida para ajudar organizações e administradores a proteger 
seus sistemas e informações contra invasores. Essas tecnologias ajudam 
a detectar atividades suspeitas, proteger contra-ataques ou operações 
não usuais e a responder a eventos que afetam a segurança de uma rede 
de computadores. Entre as principais tecnologias, destacam-se as 
seguintes: 
 Firewall - Um firewall é uma coleção de hardware e software 
projetado para examinar o tráfego em uma rede e os serviços 
requisitados. Ele é basicamente um dispositivo que impede que 
pessoas externas acessem sua rede. Esse dispositivo é em geral 
um roteador, um computador, um computador isolado que 
executa um filtro de pacotes independente (standalone), um 
software proxy ou um firewall-in-a-box, a saber, (um dispositivo 
proprietário de hardware que desempenha as funções de filtro e 
proxy. Seu propósito é eliminar do fluxo aqueles pacotes ou 
requisições que não se encaixam nos critérios de segurança 
previamente estabelecidos pela organização em sua Política de 
Segurança. Uma vez que os firewalls são tipicamente a primeira 
linha de proteção contra invasores, sua configuração deve ser 
cuidadosamente implementada e testada antes que conexões 
sejam estabelecidas entre a rede interna e a Internet. O firewall 
fundamenta-se no fato de que normalmente a segurança é 
inversamente proporcional a complexidade. Assim, proteger 
máquinas de uso geral onde são executadas diferentes 
aplicações e de variados portes é uma tarefa complicada, pois é 
muito improvável que nenhuma das várias aplicações apresente 
falhas que possam ser exploradas para violar a segurança do 
sistema. Dessa forma, fica muito mais fácil garantir a segurança 
isolando as máquinas de uso geral de acessos externos, usando 
uma barreira de proteção que impeça a exploração das possíveis 
falhas. 
 Sistema de Detecção de Intrusão (SDI) - A detecção de intrusão 
é a prática de utilizar ferramentas automatizadas e inteligentes 
para detectar tentativas de invasão em tempo real. Apesar do 
uso dos diversos esquemas de segurança existentes, ainda existe 
p á g i n a | 38 
UNIDADE V 
a possibilidade de ocorrência de falhas nesses esquemas e, 
portanto, é desejável a existência de sistemas capazes de realizar 
a detecção de tais falhas e informar o administrador da rede. Tais 
sistemas são conhecidos como sistemas de detecção de intrusão 
(SDI). Intrusões são difíceis de detectar porque existem muitas 
formas pela qual elas podem acontecer. Intrusos podem explorar 
as fraquezas conhecidas da arquitetura dos sistemas ou explorar 
o conhecimento de um sistema operacional para conseguir a 
autenticação normal de um processo. A tentativa de retirar uma 
falha do sistema pode introduzir uma nova falha ou expor uma 
falha existente, dando a oportunidade para um novo ataque. 
 
Na figura 5 é apresentada a localização de sistemas de IDS e de 
um firewall em uma rede local. É ilustrado ainda o uso de uma DMZ 
(demilitarized zone) ou Zona Desmilitarizada, que é o termo utilizado 
para designar um computador ou uma pequena rede localizada entre 
uma rede interna confiável, como a rede corporativa, e uma rede 
externa não confiável, como a Internet. 
 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 5: Exemplo de um cenário descrevendo a utilização de um Firewall, e 
Sistemas de Detecção de Intrusão (SDI) a técnica de DMZ. 
 
Diversas outras formas de proteção estão sendo utilizadas 
atualmente. Cada uma apresenta seu ponto forte e também sua 
p á g i n a | 39 
UNIDADE V 
fragilidade. Informações mais detalhadas podem ser encontradas em 
[CHAPMAN, 1992][WACK & CARNAHAN, 1994][BELLOVIN & 
CHESWICK, 1994][ANONYMOUS, 2000]. 
 Além da utilização de Firewalls e Sistemas de Detecção de 
Intrusão podemos destacar: Criptografia, VPN (Virtual Private 
Networks), Biometria e a Definição de uma Política de Segurança. 
 
5.1. Criptografia 
 
A palavra criptografia tem origem grega e significa a arte de 
escrever em códigos de forma a esconder a informação na forma de um 
texto incompreensível. A informação codificada é chamada de texto 
criptografado. O processo de codificação ou ocultação é chamado de 
cifragem, e o processo inverso, ou seja, obter a informação original a 
partir do texto cifrado, chama-se decifragem. 
A cifragem e a decifragem são realizadas por programas de 
computador chamados de cifradores e decifradores. Um programa 
cifrador ou decifrador, além de receber a informação a ser cifrada ou 
decifrada, recebe um número chave que é utilizado para definir como o 
programa irá se comportar. Os cifradores e decifradores se comportam 
de maneira diferente para cada valor da chave. Sem o conhecimento da 
chave correta não é possível decifrar um dado texto cifrado. Assim, para 
manter uma informação secreta, basta cifrar a informação e manter em 
sigilo a chave. 
 
 
Figura 6: Processo de criptografia 
 
Atualmente existem dois tipos de criptografia: a simétrica e a 
assimétrica (ou de chave pública). 
Olá, 
tudo 
Bem? 
 
#$%@ 
!@#$¨@ 
Algoritmo 
Criptográfico 
Texto Original Texto 
Criptografado 
(Ou texto cifrado) 
p á g i n a | 40 
UNIDADE V 
A criptografia simétrica realiza a cifragem e a decifragem de uma 
informação através de algoritmos que utilizam a mesma chave, 
garantindo sigilo na transmissão e armazenamento de dados. Como a 
mesma chave deve ser utilizada na cifragem e na decifragem, a chave 
deve ser compartilhada entre quem cifra e quem decifra os dados. O 
processo de compartilhar uma chave é conhecido como troca de 
chaves. A troca de chaves deve ser feita de forma segura, uma vez que 
todos que conhecem a chave podem decifrar a informação cifrada ou 
mesmo reproduzir uma informação cifrada. 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 7: Criptografia com chave simétrica. 
 
Os algoritmos de criptografia assimétrica operam com duas 
chaves distintas: chave privada e chave pública. Essas chaves são 
geradas simultaneamente e são relacionadas entre si, o que possibilita 
que a operação executada por uma seja revertida pela outra. A chave 
privada deve ser mantida em sigilo e protegida por quem gerou as 
chaves. A chave pública é disponibilizada e tornada acessível a qualquer 
indivíduo que deseje se comunicar com o proprietário da chave privada 
correspondente. 
 
 
 
 
 
 
 
Cifragem Decifragem 
p á g i n a | 41 
UNIDADE V 
 
 
 
 
 
 
 
 
 
 
 
Figura 8: Criptografia com chaves assimétricas. 
 
Os algoritmos criptográficos de chave pública permitem garantir 
tanto a confidencialidade quanto a autenticidade das informações por 
eles protegidas. 
 
a) CONFIDENCIALIDADE 
O emissor que deseja enviar uma informação sigilosa deve utilizar 
a chave pública do destinatário para cifrar a informação. Para isto é 
importante que o destinatário disponibilize sua chave pública, 
utilizando, por exemplo, diretórios públicos acessíveis pela Internet. 
O sigilo é garantido, já que somente o destinatário que possui a 
chave privada conseguirá desfazer a operação de cifragem, ou seja, 
decifrar e recuperar as informações originais. Por exemplo, para uma 
pessoa A compartilhar uma informação de forma secreta com uma 
pessoa B, ela deve cifrar a informação usando a chave pública da pessoa 
B.Somente a pessoa B pode decifrar a informação, pois somente ela 
possui a chave privada correspondente. 
 
b) AUTENTICIDADE 
No processo de autenticação, as chaves são aplicadas no sentido 
inverso ao da confidencialidade. 
O autor de um documento utiliza sua chave privada para cifrá-lo 
de modo a garantir a autoria em um documento ou a identificação em 
 
 
Decifragem Cifragem 
p á g i n a | 42 
UNIDADE V 
uma transação. Esse resultado só é obtido porque a chave privada é 
conhecida exclusivamente por seu proprietário. 
Assim, se a pessoa A cifrar uma informação com sua chave 
privada e enviar para a pessoa B, ele poderá decifrar esta informação, 
pois tem acesso à chave pública de A. Além disto, qualquer pessoa 
poderá decifrar a informação, uma vez que todos conhecem a chave 
pública de A. Por outro lado, o fato de ser necessário o uso da chave 
privada da pessoa A para produzir o texto cifrado caracteriza uma 
operação que somente a pessoa A tem condições de realizar. 
 
5.2. Certificação Digital 
 
A certificação digital atesta a identidade de uma pessoa ou 
instituição na internet por meio de um arquivo eletrônico assinado 
digitalmente. 
Seu objetivo é atribuir um nível maior de segurança nas 
transações eletrônicas, permitindo a identificação inequívoca das partes 
envolvidas, bem como a integridade e a confidencialidade dos 
documentos e dados da transação. 
A certificação digital oferece as seguintes garantias: 
 Autenticidade do emissor e do receptor da transação ou do 
documento; 
 Integridade dos dados contidos na transação ou no 
documento; 
 Confidencialidade entre as partes; 
 Não-repúdio das transações efetuadas ou documentos 
assinados 
 
 
 
 
 
Para ter acesso a mais informações sobre 
certificação digital no Brasil, conheça o projeto 
ICP Brasil: 
ICP Brasil 
ICP Brasil: Instituto Nacional de Tecnologia da 
Informação. Disponível on-line em: 
http://www.iti.gov.br/icp-brasil 
 
http://www.cgi.br/
p á g i n a | 43 
UNIDADE V 
5.3. Políticas de Segurança 
 
Uma política de segurança é um conjunto de normas, regras e 
práticas que regulam como uma organização gerencia, protege e 
distribui suas informações e recursos. 
Uma política de segurança define os direitos e as 
responsabilidades de cada um em relação à segurança dos recursos 
computacionais que utiliza e as penalidades às quais está sujeito, caso 
não a cumpra. Assim, uma política de segurança tem como objetivo 
prover à direção uma orientação e apoio para a segurança da 
informação. 
É considerada como um importante mecanismo de segurança, 
tanto para as instituições como para os usuários, pois com ela é possível 
deixar claro o comportamento esperado de cada um. Desta forma, 
casos de mau comportamento, que estejam previstos na política, 
podem ser tratados de forma adequada pelas partes envolvidas. A 
política de segurança pode conter outras políticas específicas, como: 
a) Política de senhas: define as regras sobre o uso de senhas 
nos recursos computacionais, como tamanho mínimo e 
máximo, regra de formação e periodicidade de troca. 
b) Política de backup: define as regras sobre a realização de 
cópias de segurança, como tipo de mídia utilizada, 
período de retenção e frequência de execução. 
c) Política de privacidade: define como são tratadas as 
informações pessoais, sejam elas de clientes, usuários ou 
funcionários. 
d) Política de confidencialidade: define como são tratadas 
as informações institucionais, ou seja, se elas podem ser 
repassadas a terceiros. 
e) Política de uso aceitável (PUA) ou Acceptable Use Policy 
(AUP): também chamada de "Termo de Uso" ou "Termo 
de Serviço", define as regras de uso dos recursos 
computacionais, os direitos e as responsabilidades de 
quem os utilizam e as situações que são consideradas 
abusivas. 
 
p á g i n a | 44 
UNIDADE V 
Um dado sistema é considerado seguro em relação a uma política 
de segurança, caso garanta o cumprimento das leis, regras e práticas 
definidas nessa política. Uma política de segurança provê formas de 
preservação da confidencialidade, integridade e disponibilidade da 
informação. (ISO, 2000) 
Uma política de segurança deve incluir regras detalhadas 
definindo como as informações e recursos da organização devem ser 
manipulados ao longo de seu ciclo de vida, ou seja, desde o momento 
que passam a existir no contexto da organização até quando deixam de 
existir. 
As regras que definem uma política de segurança são funções das 
designações de sensibilidade, associadas aos recursos e informações, 
tais como: não classificado, confidencial, secreto e ultrassecreto, do 
grau de autorização das entidades tais como: indivíduos ou processos 
agindo sob o comando de indivíduos, e das formas de acesso 
suportadas por um sistema. 
A implantação de uma política de segurança baseia-se na 
aplicação de regras que limitam o acesso de uma entidade às 
informações e recursos, com base na comparação do seu nível de 
autorização relativo a essa informação ou recurso, na designação da 
sensibilidade da informação ou recurso e na forma de acesso 
empregada. Assim, a política de segurança define o que é e o que não é 
permitido em termos de segurança, durante a operação de um dado 
sistema. A base de uma política de segurança é a definição do 
comportamento autorizado para os indivíduos que interagem com um 
sistema. 
Uma quebra de segurança pode ser definida como uma ação ou 
conjunto de ações que vão contra a política de segurança vigente. A 
política de segurança é criada com as necessidades particulares de cada 
local. Desta forma, o que é considerado uma quebra de segurança pode 
variar conforme o local. A política de segurança irá definir o que pode 
ou não pode ser feito, por quem, sob que circunstâncias. Um Plano de 
Emergência, nos quais se definem os procedimentos a serem tomados 
frente a uma invasão, quais são os recursos que devem ser 
prioritariamente protegidos, que nível de risco é aceitável, além de 
resolver questões éticas e polêmicas, como, por exemplo, se o 
p á g i n a | 45 
UNIDADE V 
administrador ou chefe tem o direito de ler o e-mail dos funcionários. 
Uma vez que se tenha tudo definido e que cada usuário e administrador 
estejam cientes dessa política, tem-se um quadro onde é fácil 
determinar se uma ação é considerada uma quebra de segurança e que 
medidas podem ser tomadas. 
Uma das normas e padrões mais utilizados e normalmente 
implementada pelas organizações para a definição de uma política de 
segurança foi a norma ISO 17799, que passou por um processo de 
evolução e atualmente integra a família de normas a ISO 27000. Essas 
normas apresentam uma compilação de recomendações para melhores 
práticas de segurança, que podem ser aplicadas por empresas, 
independentemente do seu porte ou setor. Ela foi criada com a intenção 
de ser um padrão flexível, nunca guiando seus usuários a seguirem uma 
solução de segurança específica em detrimento de outra. As 
recomendações da ISO 27000 são neutras com relação à tecnologia e 
não fornecem nenhuma ajuda na avaliação ou entendimento de medidas 
de segurança já existentes. 
 
 
Faça uma pesquisa sobre as normas ISO 27000. 
Considerando-se responsável pela área de TI de 
uma pequena organização, desenvolva uma 
proposta de uma política de segurança para os 
usuários dos serviços de TI. 
 
5.4. Biometria 
 
Biometria [bio (vida) + metria (medida) ] (do grego Bios = vida, 
metron = medida) é o estudo estatístico das características físicas ou 
comportamentais dos seres vivos. A biometria é uma ciência de 
identificação baseada na medição precisa de traços biológicos. Dessa 
forma, a Biometria utiliza de características biológicas em mecanismos 
de identificação.Entre essas características tem-se a íris (parte colorida 
do olho), a retina (membrana interna do globo ocular), a impressão 
digital, a voz, o formato do rosto e a geometria da mão. Há ainda 
algumas características físicas que poderão ser usadas no futuro, como 
DNA (Deoxyribonucleic Acid) e até mesmo odores do corpo. 
p á g i n a | 46 
UNIDADE V 
O uso de características biológicas para identificação se mostra 
como uma ideia viável porque cada pessoa possui as características 
mencionadas diferentes das outras. Por exemplo, não há ninguém com 
a voz igual, com a mesma impressão digital ou com olhos exatamente 
idênticos. Até mesmo entre irmãos gêmeos muito parecidos há 
diferenças. (ALECRIM, 2005) 
 
5.5. O uso da Biometria 
 
Atualmente, uma das formas de identificação mais utilizada é o 
uso de senhas. Por exemplo, no acesso a um sistema o usuário 
geralmente fornece informações que o identifica como um usuário em 
potencial (e.g., login) e ainda, uma senha de acesso que na maioria dos 
casos deverá ser pessoal e intransferível. No caso das transações 
bancárias, a cada dia os bancos apresentam sugestões de melhorias, 
que vão desde a confirmação das transações através de identificadores 
fornecidos aos clientes (e.g. cartões ou tokens gerados de 
identificadores) até o fornecimento de informações confidenciais aos 
clientes. (ALECRIM, 2005) 
Há também o uso de cartões com chips ou com dispositivos 
magnéticos que permitem a identificação de um indivíduo através de 
uma simples leitura (e.g. sistemas de smartcards). 
Um problema relacionado a esses métodos é que o identificador 
pode ser roubado ou emprestado. Por exemplo, uma pessoa que perder 
o seu identificador ou tê-lo roubado poderá enfrentar problemas em 
relação ao uso desse material. Ainda me relação a este caso, uma pessoa 
pode ser forçada por uma terceira pessoa a fornecer o seu cartão de 
banco e a senha de sua conta. Em resumo, é muito difícil garantir a 
exclusividade dessas informações de identificação, uma vez que podem 
ser capturadas por outras pessoas. 
Com a biometria esse problema amenizado. Embora nada impeça 
os dispositivos de identificação biométrica possam ser enganados, é 
mais difícil copiar uma característica física e, dependendo do que é 
usado na identificação, a cópia é praticamente impossível (como a íris 
do olho). (ALECRIM, 2005) 
 
p á g i n a | 47 
UNIDADE V 
5.6. Tipos de identificação biométrica 
 
Existem várias características biológicas que podem ser usadas 
em um processo de identificação. Vejamos as principais: 
a) Impressão digital (fingerprint): o uso de impressão digital é 
uma das formas de identificação mais usadas. Consiste na captura da 
formação de sulcos na pele dos dedos e das palmas das mãos de uma 
pessoa. Esses sulcos possuem determinadas terminações e divisões que 
diferem de pessoa para pessoa. Para esse tipo de identificação existem, 
basicamente, três tipos de tecnologia: óptica, que faz uso de um feixe 
de luz para ler a impressão digital; capacitiva, que mede a temperatura 
que sai da impressão; e ultrassônica, que mapeia a impressão digital 
através de sinais sonoros. Um exemplo de aplicação de identificação por 
impressão digital é seu uso em catracas, onde o usuário deve colocar 
seu dedo em um leitor que, ao confirmar a identificação, liberará seu 
acesso; 
Atualmente os leitores de impressão digital encontram-se 
presentes em vários equipamentos, como por exemplo alguns modelos 
para notebooks. 
 
 
 
 
 
 
Figura 9: Dispositivos de leitura de impressão digital. 
 
As figuras anteriores ilustram a identificação por impressão 
digital. Esse tipo de dispositivo também vem sendo usado como 
substituto de senhas. Por exemplo, já existem soluções onde ao invés 
de digitar uma senha para acessar seu computador de trabalho, o 
usuário posiciona seu dedo indicador em um leitor ligado à máquina. Em 
estudo, encontra-se a possibilidade de se usar impressão digital no 
acesso a sites e serviços na Web. 
http://images.google.com.br/imgres?imgurl=http://img.mercadolivre.com.br/jm/img%3Fs%3DMLB%26f%3D41287104_9482.jpg%26v%3DP&imgrefurl=http://produto.mercadolivre.com.br/MLB-50397531-leitor-de-impresso-digital-microsoft-fingerprint-reader-_JM&h=250&w=250&sz=8&hl=pt-BR&start=28&um=1&tbnid=M_Ni0ds6-VpwQM:&tbnh=111&tbnw=111&prev=/images%3Fq%3Dfingerprint%26start%3D18%26ndsp%3D18%26svnum%3D10%26um%3D1%26hl%3Dpt-BR%26rls%3DGGLJ,GGLJ:2006-42,GGLJ:en%26sa%3DN
http://images.google.com.br/imgres?imgurl=http://www.james-international.com/images/biometrics/fingerprint2.jpg&imgrefurl=http://www.james-international.com/profile.htm&h=382&w=730&sz=136&hl=pt-BR&start=27&um=1&tbnid=QepuKs3O0GwxYM:&tbnh=74&tbnw=141&prev=/images%3Fq%3Dfingerprint%26start%3D18%26ndsp%3D18%26svnum%3D10%26um%3D1%26hl%3Dpt-BR%26rls%3DGGLJ,GGLJ:2006-42,GGLJ:en%26sa%3DN
p á g i n a | 48 
UNIDADE V 
 
b) Retina: a identificação por retina está entre os métodos 
biométricos mais seguros, pois analisa a formação de vasos sanguíneos 
no fundo do olho. Para isso, o indivíduo deve olhar para um dispositivo 
que, através de um feixe de luz de baixa intensidade, é capaz de 
"escanear" sua retina. A confiabilidade desse método se deve ao fato da 
estrutura dos vasos sanguíneos estarem relacionadas com os sinais 
vitais da pessoa. Sendo mais direto, o dispositivo leitor não conseguirá 
definir o padrão da retina de uma pessoa se esta estiver sem vida; 
 
Figura 10: Exemplo de um dispositivo analisador de Retina. 
 
c) Íris: a identificação por meio da íris é uma forma menos 
incômoda, pois se baseia na leitura dos anéis coloridos existentes em 
torno da pupila (o orifício preto do olho). Por essa combinação formar 
uma "imagem" muito complexa, a leitura da íris é um formato 
equivalente ou mais preciso que a impressão digital. Por nem sempre 
necessitar da checagem do fundo do olho, é um método mais rápido de 
identificação. A preferência por identificação da íris também se baseia 
no fato desta praticamente não mudar durante a vida da pessoa; 
 
Figura 11: Exemplos de sistemas de identificação por meio da leitura da Íris. 
 
As figuras anteriores exemplificam um sistema de identificação 
pela íris. O indivíduo deve olhar de maneira fixa para um ponto do 
aparelho enquanto este faz a leitura. Sua aplicação é comumente feita 
http://images.google.com.br/imgres?imgurl=http://www.fraudes.org/images/bio_iris.jpg&imgrefurl=http://www.fraudes.org/showpage1.asp%3Fpg%3D245&h=162&w=206&sz=9&hl=pt-BR&start=16&um=1&tbnid=Dh2z6CFnu1AkwM:&tbnh=83&tbnw=105&prev=/images%3Fq%3Diris%2Bbiometria%26svnum%3D10%26um%3D1%26hl%3Dpt-BR%26rls%3DGGLJ,GGLJ:2006-42,GGLJ:en
p á g i n a | 49 
UNIDADE V 
no controle de acesso a áreas restritas, uma vez que se trata de uma 
tecnologia cara para ser usada em larga escala. Uma das vantagens de 
seu uso é que nem sempre o usuário precisa informar uma senha, pois a 
identificação pelo olho costuma ser tão precisa que tal procedimento se 
faz desnecessário. 
 
 Como você imagina que os usuários se sentiriam ao 
utilizar um sistema biométrico para leitura de retina 
ou leitura de Íris? Você acredita que este tipo de 
sistema poderia ser rejeitado por algum tipo de 
usuário? 
 
d) Geometria da mão: este também é um método bastante usado. 
Consiste na medição do formato da mão do indivíduo. Para utilizá-lo, a 
pessoa deve posicionar sua mão no dispositivo leitor sempre da mesma 
maneira, do contrário as informações de medidas poderão ter 
diferenças. Por esse motivo, os dispositivos leitores contêm pinos que 
indicam onde cada dedo deve ficar posicionado. Esse é um dos métodos 
mais antigos que existe, porém não é tão preciso. Em contrapartida, é 
um dos meios de identificação mais rápidos, motivo pelo qual sua 
utilizaçãoé comum em lugares com muita movimentação, como 
universidades, por exemplo; 
 
 
Figura 12: Identificação por geometria da mão. 
 
A figura anterior mostra um dispositivo que faz identificação por 
meio de geometria de mão. Seu funcionamento é simples: o indivíduo 
digita um número único (número de funcionário, número de matrícula 
ou qualquer outro) e, em seguida, posiciona sua mão em um painel. Este 
p á g i n a | 50 
UNIDADE V 
possui pinos que indicam onde cada dedo deve ficar posicionado. Com 
isso, a posição da mão sempre vai ser a mesma e assim o aparelho 
consegue medir sua geometria e comparar com os dados gravados em 
seu banco de dados. Esse tipo de aparelho pode ser aplicado, por 
exemplo, em catracas e no controle de abertura de portas. Alguns 
dispositivos aceitam o uso de cartões (como crachás) ao invés da 
digitação de números, o que tem como vantagem a possibilidade de o 
usuário não ter que decorar uma combinação, e como desvantagem o 
risco de perda do cartão. 
 
e) Face: neste método a definição dos traços do rosto de uma 
pessoa é usada como identificação. É um processo que se assemelha 
em parte com a leitura da geometria das mãos, mas considera o formato 
do nariz, do queixo, das orelhas, etc.; 
 
Figura 13: Dispositivo para reconhecimento Facial. 
 
f) Voz: a identificação por voz funciona através da dicção de uma frase 
que atua como senha. O usuário deverá informar a um reconhecedor a 
tal frase sempre que for necessária sua identificação. O entrave dessa 
tecnologia é que ela deve ser usada em ambientes sem ruídos, pois 
estes podem influenciar no processo. Além disso, se o indivíduo estiver 
rouco ou gripado sua voz sairá diferente e poderá atrapalhar sua 
validação. Por esta razão, a identificação por voz ainda é pouco 
aplicada; 
 
 
 
 
http://images.google.com.br/imgres?imgurl=http://www.cognitec.com.br/images/Lobby%2520Watch%2520004.jpg&imgrefurl=http://www.cognitec.com.br/lobbywatch.htm&h=454&w=182&sz=12&hl=pt-BR&start=26&um=1&tbnid=GP8UxutY0ZE18M:&tbnh=128&tbnw=51&prev=/images%3Fq%3Dbiometria%2Breconhecimento%2Bde%2Bface%26start%3D18%26ndsp%3D18%26svnum%3D10%26um%3D1%26hl%3Dpt-BR%26rls%3DGGLJ,GGLJ:2006-42,GGLJ:en%26sa%3DN
p á g i n a | 51 
UNIDADE V 
 
 
 
Figura 14: A voz de cada um possui características próprias que permite a sua 
identificação. 
 
g) Assinatura: esse tipo de identificação consiste na comparação 
da assinatura com uma versão gravada em um banco de dados. Além 
disso, é feita a verificação da velocidade da escrita, a força aplicada, 
entre outros fatores. É um dos mecanismos mais usados em instituições 
financeiras, embora não se trate completamente de um método 
biométrico. 
É importante frisar que todos esses métodos possuem alguns 
entraves que os fazem necessitar de aperfeiçoamento ou, dependendo 
do caso, da aplicação de outra solução. Por exemplo, na identificação 
por retina, a pessoa que estiver usando óculos deve retirá-lo; na 
identificação por face, um ferimento ou um inchaço no rosto pode 
prejudicar o processo; na identificação da geometria da mão, um anel 
também pode trazer problemas; na identificação por voz, ruídos 
externos, rouquidão ou até mesmo uma imitação da voz de um 
indivíduo pode pôr em dúvida o procedimento; na comparação de 
assinaturas, o estado emocional da pessoa pode atrapalhar e há ainda o 
fato da escrita mudar com o passar do tempo. 
 
 
Figura 15: Exemplo de um sistema biométrico para reconhecimento da assinatura. 
 
http://images.google.com.br/imgres?imgurl=http://www.ppgia.pucpr.br/~alekoe/Port/BIOMETRICS/voice.print.jpg&imgrefurl=http://www.ppgia.pucpr.br/~alekoe/Port/PPGIA_Biometrica.html&h=170&w=216&sz=8&hl=pt-BR&start=77&um=1&tbnid=EQS6IKYrQoFMjM:&tbnh=84&tbnw=107&prev=/images%3Fq%3Dbiometria%2Bidentificador%2Bde%2Bvoz%26start%3D72%26ndsp%3D18%26svnum%3D10%26um%3D1%26hl%3Dpt-BR%26rls%3DGGLJ,GGLJ:2006-42,GGLJ:en%26sa%3DN
p á g i n a | 52 
UNIDADE V 
 
Diversos exemplos de produtos comerciais 
relacionados a biometria podem ser encontrados no 
mercado. 
Faça uma pesquisa na Internet sobre sistemas 
comerciais que utilizam biometria. 
 
5.7. Rede Privada Virtual (Virtual Private 
Network - VPN) 
 
Uma Rede Privada Virtual (Virtual Private Network - VPN) é uma 
rede de comunicações privada normalmente utilizada por uma empresa 
ou um conjunto de empresas e/ou instituições, construída em cima de 
uma rede de comunicações pública (como por exemplo, a Internet). O 
tráfego de dados é levado pela rede pública utilizando protocolos 
padrão, não necessariamente seguros. 
VPNs seguras usam protocolos de criptografia por tunelamento 
que fornecem a confidencialidade, autenticação e integridade 
necessárias para garantir a privacidade das comunicações requeridas. 
Quando adequadamente implementados, estes protocolos podem 
assegurar comunicações seguras através de redes inseguras. 
A ideia de utilizar uma rede pública como a Internet em vez de 
linhas privativas para implementar redes corporativas é denominada de 
Virtual Private Network (VPN) ou Rede Privada Virtual. As VPNs são 
túneis de criptografia entre pontos autorizados, criados através da 
Internet ou outras redes públicas e/ou privadas para transferência de 
informações, de modo seguro, entre redes corporativas ou usuários 
remotos. 
A segurança é a primeira e mais importante função da VPN. Uma 
vez que dados privados serão transmitidos pela Internet, que é um meio 
de transmissão inseguro, eles devem ser protegidos de forma a não 
permitir que sejam modificados ou interceptados. 
Outro serviço oferecido pelas VPNs é a conexão entre 
corporações através da Internet, além de possibilitar conexões 
criptografadas que podem ser muito úteis para usuários móveis ou 
remotos, bem como filiais distantes de uma empresa. 
http://pt.wikipedia.org/wiki/Internet
http://pt.wikipedia.org/wiki/Criptografia
p á g i n a | 53 
UNIDADE V 
Uma das grandes vantagens decorrentes do uso das VPNs é a 
redução de custos com comunicações corporativas, pois elimina a 
necessidade de links dedicados de longa distância que podem ser 
substituídos pela Internet. As LANs podem, através de links dedicados 
ou discados, conectar-se a algum provedor de acesso local e interligar-
se a outras LANs, possibilitando o fluxo de dados através da Internet. 
Esta solução pode ser bastante interessante sob o ponto de vista 
econômico, sobretudo nos casos em que enlaces internacionais ou 
nacionais de longa distância estão envolvidos. Outro fator que simplifica 
a operacionalização da WAN é que a conexão LAN-Internet-LAN fica 
parcialmente a cargo dos provedores de acesso. 
Deve ser notado que a escolha, implementação e uso destes 
protocolos não é algo trivial, e várias soluções de VPN inseguras são 
distribuídas no mercado. Adverte-se os usuários para que investiguem 
com cuidado os produtos que fornecem VPNs. 
 
 
Figura 16: Exemplo de utilização de uma VPN 
 
5.8. Necessidade de Governança da 
Segurança da Informação 
 
No ambiente empresarial globalizado atual, o significado de 
informação é amplamente aceito e sistemas de informação estão 
verdadeiramente presente em toda organização. A dependência cada 
vez maior das organizações de seus sistemas de informação, associada 
aos riscos, benefícios e oportunidades providos pela infraestrutura de 
TIC, torna a Governança de TIC uma necessidade crescente. Diretorias 
p á g i n a | 54 
UNIDADE V 
e gerentes precisam se certificar que a TIC está em consonância com as 
estratégias empresariais. 
Gerentes executivos têm a responsabilidade de certificar que a 
organização provê a todos os usuários um ambiente seguro de sistemas 
de informação. Além disso, organizações precisam proteger-se dosriscos inerentes ao uso de sistemas de informação, enquanto 
reconhecem simultaneamente os benefícios provenientes de se ter um 
sistema de informação seguro. 
Assim, à medida que a dependência das organizações de seus 
sistemas de informação aumenta, percebe-se o aumento da 
necessidade de segurança nesses sistemas, o que acarreta necessidade 
de Governança da Segurança da Informação. 
 
 
 
 
p á g i n a | 55 
CONSIDERAÇÕES FINAIS 
CONSIDERAÇÕES FINAIS 
 
 
Para cada forma de ataque existente, há às vezes mais de uma 
ferramenta disponível, algumas livres para download na Internet, e que 
podem ser utilizadas por qualquer pessoa que tenha acesso a elas. Em 
contrapartida, existe uma grande quantidade de ferramentas e 
metodologias que podem auxiliar na tarefa de proteção dos sistemas. 
Para auxiliar na identificação das melhores ferramentas e do 
investimento necessário, uma Gestão de Riscos de TI precisa estar no 
dia-a-dia dos responsáveis pela área. Isso pode ser feito por meio de: 
processos que precisam ser implementados para mitigação de riscos, 
ajustes na estrutura organizacional para acomodar estes novos 
processos, definição de indicadores “de riscos”, incluir a análise de 
riscos no Plano Diretor de TI ou Plano de Tecnologia da Informação, 
fazendo com que este assunto seja recorrente dentro da TI. 
Na área de TI, podemos encontrar referências sobre como 
mitigar/controlar riscos no PMBOK (http://www.pmi.org/PMBOK-
Guide-and-Standards.aspx), ITIL (https://www.axelos.com/best-
practice-solutions/itil), COBIT (http://www.isaca.org.br/) entre outros 
frameworks. Além desses há frameworks com foco em gestão de riscos 
como o M_O_R (https://www.axelos.com/best-practice-
solutions/mor) que é a mesma mantenedora da ITIL e o Risk IT 
(http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-
Management/Pages/Risk-IT1.aspx) que foi concebida pela ISACA, 
mesma mantenedora do COBIT. 
Pode-se dizer que uma das formas de se mensurar o grau de 
segurança de um sistema é estabelecer uma relação entre os diversos 
tipos de ferramentas/métodos utilizados para a quebra de segurança 
em um sistema e a utilização de ferramentas/métodos conhecidos para 
torná-los seguros. 
Todos os métodos, técnicas e ferramentas apresentadas neste 
material geram uma enorme quantidade de dados (logs) acerca do 
ambiente que se quer proteger, conforme apresentado na figura 9. 
Como se já não bastasse essa vasta quantidade de dados, ainda há um 
grande número de alertas de segurança que precisam ser analisados, 
https://www.axelos.com/best-practice-solutions/itil
https://www.axelos.com/best-practice-solutions/itil
https://www.axelos.com/best-practice-solutions/mor
https://www.axelos.com/best-practice-solutions/mor
http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx
http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx
p á g i n a | 56 
CONSIDERAÇÕES FINAIS 
 
 
compreendidos e, na maioria dos casos, ter as respectivas medidas de 
correção colocadas em prática no menor tempo possível. Cabe ao 
administrador de segurança manter-se informado e levantar as 
fraquezas nos sistemas sob sua responsabilidade, transformando todos 
esses dados em informações e extrair conhecimentos úteis em tempo 
hábil. Além disso, na maioria das organizações é obrigação do 
administrador de segurança avaliar e implementar mecanismos que 
possam aumentar o grau de segurança desses sistemas. 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 9: Dados (logs) gerados pelos sistemas na tentativa de se proteger um 
ambiente. 
 
p á g i n a | 57 
UNIDADE V 
 
 
 
 
 
 
 
 
 
 
	APRESENTAÇÃO
	APRESENTAÇÃO
	UNIDADE I
	Considerações Iniciais
	UNIDADE II
	Conceitos iniciais em Segurança da Informação
	UNIDADE III
	Exploração de vulnerabilidade pelos invasores
	UNIDADE IV
	Principais formas de incidentes de segurança
	UNIDADE V
	Principais formas de proteção a recursos computacionais
	1.
	2.
	3.
	4.
	5.
	5.1. Criptografia
	5.2. Certificação Digital
	5.3. Políticas de Segurança
	5.4. Biometria
	5.5. O uso da Biometria
	5.6. Tipos de identificação biométrica
	5.7. Rede Privada Virtual (Virtual Private Network - VPN)
	5.8. Necessidade de Governança da Segurança da Informação
	CONSIDERAÇÕES FINAIS