Baixe o app para aproveitar ainda mais
Prévia do material em texto
Breve história da evolução da comunicação na tecnologia e suas vulnerabilidades no enfoque humano Georthon Pereira Lacerda¹, Jair Ribeiro de Sousa¹ ¹Acadêmicos do curso de TADS – Universidade do Estado do Pará (UEPA) CEP: 68550-305 – Redenção – PA – Brasil {georthon@gmail.com; jair_ribeiro2@hotmail.com} Resumo. Este artigo aborda uma breve história da evolução da comunicação na humanidade, bem como o foco humanístico de querer sempre utilizar de seu conhecimento para meios ilícitos ou não de querer utilizar estes mecanismos à seu favor. O que iremos ver, será uma pequena amostra de como tudo isso ocorre e do envolvimento que torna o usuário um ser de intenso poder de articulação e retorno de informações, bem como os meios mais básicos focados nas defesas de invasão e conscientização de suas tarefas atribuídas, que de certa forma, também interagem para criar “brechas” no sistema por terceiros. Palavras-chave: Comunicação, Segurança, Usuário, Sistemas, Invasão Abstract. This article gives a brief history of the evolution of communication in humanity as well as the humanistic focus of always wanting to use their knowledge for illicit means, or do not want to use these mechanisms to their favor. What we will see is a small sample of how this occurs and involvement that makes the user a being of intense power of articulation and feedback, as well as the most basic means focused on the defense of invasion and awareness of their assigned tasks , which somehow also interact to create "loopholes" in the system by third parties. Keywords: Communication, Security, User, System, Invasion 1. Introdução Na história do homem, a necessidade de se comunicar sempre foi um exemplo claro de socialização e informação entre os mesmos, utilizando de diversas formas de comunicação, aos quais, desde gritos, grunhidos, desenhos, escritas, sinais de fumaça, conexão de voz, até os meios mais modernos que se tem hoje para uma emissão e receptação de mensagem entre os tempos. Com a modernização da comunicação entre a história da humanidade, as cartas foram os meios com maior quantidade de tempo, mesmo que atualmente não se tenha tanta procura quanto antes, porém mesmo em sua época, as interceptações de informações já existiam e não eram tão difíceis de obter. Apesar do grande desperdício de tempo e estratégia para arquitetar a melhor forma de, fisicamente, invadir, persuadir e interceptar as mesmas em sua jornada para proveito próprio, seja por espionagem, interesse político ou qualquer outra situação possível para o trabalho utilizado. Então podemos dizer que, mesmo em épocas remotas de apenas informações escritas em papel e transportadas ao seu receptor, eram de certa forma, “hackeadas” por aqueles que não queriam que estas informações fossem recebidas. Na era do Graham Bell (1870) com a invenção e popularização do telefone (aparelho ao qual teria uma comunicação por voz a grandes distâncias) já existia uma minoria de pessoas que pesquisavam possibilidades de utilizar deste serviço fazendo o mesmo efeito dos interceptadores de comunicação por cartas. Utilizando de conhecimentos e experimentos com os mesmo mecanismos, até mesmo, de uma forma improvisada, do aparelho mencionado para fazer de utilização pessoal. Um bom exemplo disto são os famosos “Phreaker´s”: Pessoas com conhecimento em de sistemas telefônicos e/ou de informação de dados que, através de pequenos métodos experimentados, utilizam de serviços telefônicos de forma gratuita para proveito pessoal. Com a evolução dos sistemas de comunicação e informação a partir da década de 90, a internet (centro maior de captação de informações e comunicações de todos os tempos) veio como um serviço que traria uma globalização comunicativa mais utilizada até os dias de hoje por toda a humanidade. Com isso, os E-mail´s vieram como um suporte com atributos de velocidade incrível, sendo assim, o meio de comunicação mais seguro e rápido de todos os tempos. Hoje, a interação com a sociedade está tão atual quanto nos dias de sua fundação. Porém, assim como em todos os meios, também evoluíram os usuários que poderia ter algum acesso, seja parcial ou total nas redes de internet, utilizando assim, seus recursos gratuitamente. E a utilização do correio eletrônico foi de grande valia para certas invasões em sistemas de segurança, exploração intensa de marketing e propaganda (SPAM) e emancipação de programas feitos com linguagem de programação causando prejuízos financeiros e/ou morais (vírus). 2. Etapas do processo de invasão e interceptação de dados A partir do momento em que as brincadeiras de conseguir acesso á serviços via internet foi ficando cada vez mais complexa, o profissionalismo acabou por se estender na denominação “Hacker” de ser. Não geralmente com este significado, pois a filosofia Hacker não aceita esse tipo de conhecimento para invasão de sistemas a não ser por simples intuito de verificar suas capacidades, sem qualquer prejuízo financeiro ou moral. Porém, os “Crackers” (denominação da aversão a esta filosofia de invasão) acabou por ser disseminada com mais facilidade para obter poder cada vez mais na rede mundial de computadores. Seus ataques são sempre feitos pela madrugada, audaciosos, utilizam de um “pique” de velocidade mais rápida que em qualquer outra hora do dia para terem mais oportunidade de agilidade em seus objetivos. Para isso, o uso de ferramentas automáticas ajuda na guarnição da rede mundial de acesso, juntamente com a verificação dos logs das atividades noturnas, que devem ser cuidadosamente analisadas no dia seguinte. Os motivos são muitos, nem sempre são ganhos financeiros. A motivação pode ser relacionada também como: Vingança, Necessidade de aceitação ou respeito, Idealismo, Curiosidade ou busca de emoção, Aprendizado ou até mesmo espionagem industrial. Enfim, à uma gama de relações que podem ser administradas por um simples ataque. Nas fases de um ataque, o invasor tende a fazer o mesmo como se fosse um ataque físico a algo que queira muito saber ou usufruir. Para tanto, utiliza-se de diversas fases que poderemos citar a seguir: Planejamento/Coleta de dados: O primeiro passo seria a maior quantidade de dados possível sobre seu alvo de ataque. No caso, alguns acessos inesperados podem lhe render boas quantidades de informações para seu objetivo, tais como: Topologia do site; Informações para ataques por Engenharia Social, como números de telefones, nomes de alto cargo, etc.; Tipos de serviços disponíveis; Cadastro da instituição na internet e ataques organizados anteriormente contra a organização; Aproximação: Após o primeiro passo, chegou a hora de o invasor tentar utilizar todas as informações possíveis juntamente com as ferramentas adquiridas para começar pequenos ataques, geralmente usando técnicas de „spoofing‟ para mascarar seu endereço na rede e dificultar o rastreamento. É de senso comum, começar com atividade de identificação do melhor meio de acesso a instituição, determinando o caminho e os filtros de acesso implementados nos roteadores e firewall´s. O acesso ao servidor DNS em busca de mais informações sobre endereços e hosts do site, onde entre eles, estão dados sobre o sistema operacional, endereços de firewall e roteadores internos, entre outros. Nisso, faz-se a transferência de zona, onde todas as informações DNS são roubadas. Utilização do processo de port scan para listagem de serviços TCP e UDP disponíveis, para a descoberta de versões de aplicativos e sistemas operacionais vigentes da instituição. Com conhecimento de toda arquitetura do sistema, versão, portas abertas,dentre outras informações do sistema o invasor começar a testar os hosts a fim de verificar a vulnerabilidade do site até achar uma brecha na segurança. A maior parte dessas informações de invasão são mantidas por grupos hacker´s que podem ser acessadas via internet, mantendo assim, um relatório completo e extenso. Muitas vezes, faz-se até um laboratório bem estruturado onde são simulados os ataques antes que eles ocorram, utilizando de diversas formas de invasão com planos arquitetados para diversas possibilidades de escapes. Todas essas informações, normalmente, serão documentadas no “diário de bordo” dos grupos para possíveis avaliações para ataques futuros, detectando armadilhas como honey pot, ajudando em contrapartida em movimentos de defesa dos mesmos. Invasão: Nessa fase, todo o conhecimento é posto em prática. As estratégias são extremas e de quase que, exatamente, como ataques físicos militares. Normalmente são feitas avaliações em todo o processo de ataque para verificação de armadilhas, dando-se o mesmo em partes, com os cabeças de frente de batalha, com invasores que tentam implantar sensores de coleta de dados, para depois atacarem com força nas brechas de segurança, como um trojan para rastreamento de senhas ou um backdoor para acesso remoto do sistema; Exploração: Neste estágio final, vem toda a recompensa pela labuta de até então. Pode-se caminhar por dias observando o sistema e tudo o que nele se mostra. Utilização de serviços e cópia de seus dados. 3. Reflexão do comportamento humano na segurança dos sistemas de informação Antes de reintegrar as possiblidades de invasão e seus métodos de segurança no sistema de informação deveram pensar sempre no meio de interação do mundo virtual, o usuário. Neste ambiente psicológico, as possibilidades são imensas, posto que o primeiro passo da invasão nem sempre são conjuntos diferentes de programas com suas habilidades específicas com dados da rede para interceptação de informações, mas sim, o meio humano em que se interage com as possibilidades do sistema que é controlado. Neste caso, o login com senhas e demais dados que permanecem em nossa memória com o intuito de salvaguardar o acesso privativo, seja empresarial ou pessoal, são de grande importância para os usuários que querem um mínimo de brecha para começar uma intensa luta de percepção e engenharia social para suavizar e facilitar a invasão por acesso natural. “... na Era da Informação em que vivemos, manipulamos uma quantidade de informações cada vez maior. Por essa razão, a demanda por segurança digital tem crescido em função das sérias preocupações a respeito do uso não autorizado de informações sigilosas e das respectivas consequências. Na verdade, o uso de senhas, como forma mais comum de controlar o acesso a informações privilegiadas, envolve dois mundos muito diferentes - tecnológico e humano - que precisam conviver um com o outro e cuja interação tem gerado inúmeros problemas.” (RANGHETTI, Denise & STEIN, Lilian – Information Security: a reflection on the human component) A quantidade de serviços online está em milhares e em grandes possibilidades de acesso a uma gama de estilos e ingressões para senhas, informações pessoais de usuários, assim como localização através de endereços e verificação de autenticidade com possibilidades de aprofundamento da vida financeira do mesmo. Isso gera uma sensação psicológica de poder e facilidade para usuários que tem acesso com maior facilidade a rede mundial de computadores, estando assim, vulneráveis a grandes ramificações de interatividade através de SPAM´s, Propaganda indevida e em grande quantidade, cadastro sem autorização do proprietário, dentre outras possibilidades de utilização de dados para cadastro e/ou envio de pedidos de todas as formas possíveis de interação financeira entre empresas e usuários. Empresas gastam milhões em finanças para se atualizar em meios de informação flexível, interativa e veloz, porém uma boa parte dos prejuízos que incluem ataques de invasão, utilização de senhas com métodos de engenharia social, ataques em massa para interação com informações sigilosas ou mesmo ataques de vírus por e-mails pessoais abertos indevidamente no ambiente computacional destas empresas são um dos principais fatores para atualização dos sistemas de informação, demissões de funcionários, implementação de segurança em vigilância em empresas e demais fatores por pura vulnerabilidade do próprio usuário, seja por falta de conhecimento ou utilização de equipamentos empresariais para diversão sem mensurar importância para os fatores de risco. 4. Meios de utilização prática na segurança de informações A partir deste processo de interação humana-máquina, podemos mencionar fatores simples para uma proteção básica para sua empresa, diminuindo ou até anulando as possibilidades de invasão e perda de informações sigilosas através do meio humano. A seguir, algumas regras a partir de dados do Departamento de Defesa Americano (DoD). “Do ponto de vista da Segurança da Informação, uma boa senha deveria ser segura, o que foi definido por algumas diretrizes publicadas pelo DoD, em 1985. Além de várias recomendações técnicas para a implementação e gerenciamento de senhas, o documento do DoD forneceu recomendações sobre como os indivíduos deveriam selecionar e administrar suas senhas.” (Smith, 2002) Cada senha escolhida deve ser nova e diferente, já que o uso de uma única senha para vários sistemas pode dar aos invasores uma grande vantagem ao interceptar uma só senha; Senhas devem ser memorizadas. Se uma senha é registrada em papel, este deve ser armazenado em local seguro; Senhas devem ser compostas de pelo menos seis caracteres, provavelmente mais, dependendo do tamanho do conjunto de caracteres usado, i.e. se contêm apenas números, números e letras, ou se contêm uma combinação de números, letras e outros caracteres do teclado como, por exemplo, "*", "%", "$", "#", "@", e outros; Senhas devem ser substituídas periodicamente; Senhas devem conter uma mistura de letras (tanto maiúsculas quanto minúsculas), dígitos e caracteres de pontuação. Quanto à utilização de correio eletrônico, cuidado redobrado ao acessar links desconhecidos, permaneça sempre em alerta quando o servidor de serviços SMTP divulga progressões de e-mails indevidos (SPAM´s ou Vírus) que mais atacam a rede mundial e utilize de bom senso para divulgar os tipos de e-mails maliciosos pela política de segurança dos servidores de correio eletrônico ora pela opção de lixo eletrônico ou denuncias de spam. Questionando sobre o processo de segurança da informação, algumas dicas podem ser de grande importância para atitudes impróprias de terceiros na invasão e utilização de seus dados. Na maior parte deles, são casos de extrema análise profunda para a apresentação do que realmente o sistema necessita, porém, devemos mencionar um pouco destas atribuições básicas, outras avançadas, a seguir: Sempre analise o conteúdo das pastas que podem ser escritas pelo usuário que executam os serviços web; Sempre cheque a integridade dos arquivos disponibilizados no seu servidor web. A instalação de uma aplicação automatizada para isso, como o AIDE, facilita bastante a criação das somas de checagem e sua conferência; Analise constantemente os registros de atividades (logs) do seu servidor; Analise constantemente as informações vitais do seu servidor: consumo de disco, banda e memória. Alterações significativas pode ser sinal de algo errado; Elimine serviços não usados; Mantenha uma política de atualizaçãode software; Saiba quem acessa e o que faz em seu servidor. Uma política de acesso controlada com uso de sudo e registro de operações é fundamental; Documente: A inexistência de documentação pode levar a soluções de contorno que podem expor a segurança; Comunique: Modificações não comunicadas e não analisadas podem levar a problemas de segurança; Mantenha-se antenado: Busque informações sobre problemas de segurança enfrentados por outros administradores ou nos boletins de segurança. Observe as permissões especiais... Utilize práticas de desenvolvimento seguras; Faça tratamento de erros nas mensagens; Nunca acredite nos dados que foram digitados, sempre efetue validações. Tanto no lado cliente como no lado servidor; Crackers são criativos, sua defesa também é a criatividade. Passe um bom tempo imaginando o que faria se fosse um cracker; Não acredite que algo é seguro. Ele pode estar seguro, mas mentes criativas estão tentando encontrar formas de torna-lo inseguro. Teste as aplicações antes que alguém faça isso por você! Todos possuímos informações valiosas que gostaríamos de manter confidenciais, por razões financeiras ou emocionais. Para que possamos atingir esse objetivo, é urgente buscarmos algumas respostas, no sentido de usar nossa capacidade de memória em nosso favor. Se as limitações da memória humana forem levadas em consideração, uma ponte ligando o Mundo Humano e o Mundo Tecnológico poderia ser construída e a cadeia de segurança, como um todo, poderia se beneficiar. 5. Conclusão “Nesta era informatizada em que vivemos, o papel da segurança da informação é fundamental. A proteção a informações privilegiadas é essencial, e a abordagem mais usada para autenticação de usuários legítimos consiste de sistemas de senhas.” Contudo, os requisitos para se obter uma boa segurança de privilégios necessários não é de fácil acesso. Este trabalho apresenta o relacionamento entre duas facetas que se integram em algo muito comum nos dias de hoje, o homem-máquina que aqui se propõe com a capacidade de interação não só de métodos para avaliação de segurança da informação privada ou empresarial, mas também outros que lhe são intimamente ligados ao psicológico, cognitivo e de memória; questionando a validade e a eficácia do tratamento desses problemas, ao longo da história, pela sociedade que sempre carrega o fado da curiosidade e revela em conhecimentos suas atividades necessárias para poder utilizar a seu bom grado serviços, até então capitalizados, adquirem poder para manipular erroneamente permitindo que a evolução seja próspera. Os meios aqui propostos para a manutenção da vulnerabilidade dos sistemas de informação mais básicos, podem não ser totalmente eficazes, mas a proposta de adquirir os conceitos básicos não é mais que, de gerar um conhecimento lógico para os usuários na obtenção do aprofundamento sobre a segurança na rede e nas propriedades que envolvem informação privada e utilização de serviços pessoais na empresa, mantendo assim, um nível regular de proteção contra terceiros. Decerto, a manutenção destes métodos bem como o conhecimento de seus predecessores durante os anos na história da evolução comunicativa do homem, é apenas algo superficialmente abordado, mas que pode ser mais explorado no campo psicológico e cognitivo, onde se deve as principais vulnerabilidades ao usuário, ao contrário do que se pensa sobre sua interação com a rede mundial de computadores. 6. Referências Gonçalves, Sérgio. (2001). A internet, o e-mail e a (in)segurança das empresas. Artigo Publicado. O Neófito – Informativo Jurídico. Febraban (2008). Setor bancário em números. Em http://www.febraban.org.br. Schneier, Bruce. Secrets and Lies – Plantão Info Exame (2003). Ranghetti Pilar da Silva. Denise & Stein, Milnitsky. Lilian – Segurança da Informação: Uma reflexão sobre o componente humano. PUC/RS – Artigo Científico publico em 2007 na revista Ciências e Cognição. Vol 10: 46-53. (www.cienciasecognicacao.org) Site Hacker Teen. www.hackerteen.com/pt-br/ht-posts/invasao-website.html (acessado em 28 de maio de 2013). Site Rodval (Invasões de Sites – Incompetência ou habilidade? www.rdorval.com/2013/01/invasoes-de-sites-incompetencia-ou-habilidade/ (acessado em 28 de maio de 2013)
Compartilhar