Artigo_Segurança_da_Informação_Enfoque_Humano

Prévia do material em texto

Breve história da evolução da comunicação na tecnologia e 
suas vulnerabilidades no enfoque humano 
Georthon Pereira Lacerda¹, Jair Ribeiro de Sousa¹ 
¹Acadêmicos do curso de TADS – Universidade do Estado do Pará (UEPA) 
CEP: 68550-305 – Redenção – PA – Brasil 
{georthon@gmail.com; jair_ribeiro2@hotmail.com} 
 
Resumo. Este artigo aborda uma breve história da evolução da comunicação na 
humanidade, bem como o foco humanístico de querer sempre utilizar de seu 
conhecimento para meios ilícitos ou não de querer utilizar estes mecanismos à seu 
favor. O que iremos ver, será uma pequena amostra de como tudo isso ocorre e do 
envolvimento que torna o usuário um ser de intenso poder de articulação e retorno de 
informações, bem como os meios mais básicos focados nas defesas de invasão e 
conscientização de suas tarefas atribuídas, que de certa forma, também interagem para 
criar “brechas” no sistema por terceiros. 
 
 
Palavras-chave: Comunicação, Segurança, Usuário, Sistemas, Invasão 
 
 
Abstract. This article gives a brief history of the evolution of communication in 
humanity as well as the humanistic focus of always wanting to use their knowledge for 
illicit means, or do not want to use these mechanisms to their favor. What we will see is 
a small sample of how this occurs and involvement that makes the user a being of 
intense power of articulation and feedback, as well as the most basic means focused on 
the defense of invasion and awareness of their assigned tasks , which somehow also 
interact to create "loopholes" in the system by third parties. 
 
Keywords: Communication, Security, User, System, Invasion 
 
1. Introdução 
Na história do homem, a necessidade de se comunicar sempre foi um exemplo claro de 
socialização e informação entre os mesmos, utilizando de diversas formas de 
comunicação, aos quais, desde gritos, grunhidos, desenhos, escritas, sinais de fumaça, 
conexão de voz, até os meios mais modernos que se tem hoje para uma emissão e 
receptação de mensagem entre os tempos. 
Com a modernização da comunicação entre a história da humanidade, as cartas foram os 
meios com maior quantidade de tempo, mesmo que atualmente não se tenha tanta 
procura quanto antes, porém mesmo em sua época, as interceptações de informações já 
existiam e não eram tão difíceis de obter. Apesar do grande desperdício de tempo e 
estratégia para arquitetar a melhor forma de, fisicamente, invadir, persuadir e interceptar 
as mesmas em sua jornada para proveito próprio, seja por espionagem, interesse político 
ou qualquer outra situação possível para o trabalho utilizado. 
Então podemos dizer que, mesmo em épocas remotas de apenas informações escritas 
em papel e transportadas ao seu receptor, eram de certa forma, “hackeadas” por aqueles 
que não queriam que estas informações fossem recebidas. Na era do Graham Bell 
(1870) com a invenção e popularização do telefone (aparelho ao qual teria uma 
comunicação por voz a grandes distâncias) já existia uma minoria de pessoas que 
pesquisavam possibilidades de utilizar deste serviço fazendo o mesmo efeito dos 
interceptadores de comunicação por cartas. Utilizando de conhecimentos e 
experimentos com os mesmo mecanismos, até mesmo, de uma forma improvisada, do 
aparelho mencionado para fazer de utilização pessoal. Um bom exemplo disto são os 
famosos “Phreaker´s”: Pessoas com conhecimento em de sistemas telefônicos e/ou de 
informação de dados que, através de pequenos métodos experimentados, utilizam de 
serviços telefônicos de forma gratuita para proveito pessoal. 
Com a evolução dos sistemas de comunicação e informação a partir da década de 90, a 
internet (centro maior de captação de informações e comunicações de todos os tempos) 
veio como um serviço que traria uma globalização comunicativa mais utilizada até os 
dias de hoje por toda a humanidade. Com isso, os E-mail´s vieram como um suporte 
com atributos de velocidade incrível, sendo assim, o meio de comunicação mais seguro 
e rápido de todos os tempos. Hoje, a interação com a sociedade está tão atual quanto nos 
dias de sua fundação. Porém, assim como em todos os meios, também evoluíram os 
usuários que poderia ter algum acesso, seja parcial ou total nas redes de internet, 
utilizando assim, seus recursos gratuitamente. E a utilização do correio eletrônico foi de 
grande valia para certas invasões em sistemas de segurança, exploração intensa de 
marketing e propaganda (SPAM) e emancipação de programas feitos com linguagem de 
programação causando prejuízos financeiros e/ou morais (vírus). 
 
2. Etapas do processo de invasão e interceptação de dados 
A partir do momento em que as brincadeiras de conseguir acesso á serviços via internet 
foi ficando cada vez mais complexa, o profissionalismo acabou por se estender na 
denominação “Hacker” de ser. Não geralmente com este significado, pois a filosofia 
Hacker não aceita esse tipo de conhecimento para invasão de sistemas a não ser por 
simples intuito de verificar suas capacidades, sem qualquer prejuízo financeiro ou 
moral. Porém, os “Crackers” (denominação da aversão a esta filosofia de invasão) 
acabou por ser disseminada com mais facilidade para obter poder cada vez mais na rede 
mundial de computadores. 
Seus ataques são sempre feitos pela madrugada, audaciosos, utilizam de um “pique” de 
velocidade mais rápida que em qualquer outra hora do dia para terem mais oportunidade 
de agilidade em seus objetivos. Para isso, o uso de ferramentas automáticas ajuda na 
guarnição da rede mundial de acesso, juntamente com a verificação dos logs das 
atividades noturnas, que devem ser cuidadosamente analisadas no dia seguinte. 
Os motivos são muitos, nem sempre são ganhos financeiros. A motivação pode ser 
relacionada também como: Vingança, Necessidade de aceitação ou respeito, Idealismo, 
Curiosidade ou busca de emoção, Aprendizado ou até mesmo espionagem industrial. 
Enfim, à uma gama de relações que podem ser administradas por um simples ataque. 
Nas fases de um ataque, o invasor tende a fazer o mesmo como se fosse um ataque 
físico a algo que queira muito saber ou usufruir. Para tanto, utiliza-se de diversas fases 
que poderemos citar a seguir: 
 
 Planejamento/Coleta de dados: O primeiro passo seria a maior quantidade de 
dados possível sobre seu alvo de ataque. No caso, alguns acessos inesperados 
podem lhe render boas quantidades de informações para seu objetivo, tais como: 
Topologia do site; Informações para ataques por Engenharia Social, como 
números de telefones, nomes de alto cargo, etc.; Tipos de serviços disponíveis; 
Cadastro da instituição na internet e ataques organizados anteriormente contra a 
organização; 
 Aproximação: Após o primeiro passo, chegou a hora de o invasor tentar utilizar 
todas as informações possíveis juntamente com as ferramentas adquiridas para 
começar pequenos ataques, geralmente usando técnicas de „spoofing‟ para 
mascarar seu endereço na rede e dificultar o rastreamento. É de senso comum, 
começar com atividade de identificação do melhor meio de acesso a instituição, 
determinando o caminho e os filtros de acesso implementados nos roteadores e 
firewall´s. 
 O acesso ao servidor DNS em busca de mais informações sobre endereços e 
hosts do site, onde entre eles, estão dados sobre o sistema operacional, endereços 
de firewall e roteadores internos, entre outros. Nisso, faz-se a transferência de 
zona, onde todas as informações DNS são roubadas. 
 Utilização do processo de port scan para listagem de serviços TCP e UDP 
disponíveis, para a descoberta de versões de aplicativos e sistemas operacionais 
vigentes da instituição. 
 Com conhecimento de toda arquitetura do sistema, versão, portas abertas,dentre 
outras informações do sistema o invasor começar a testar os hosts a fim de 
verificar a vulnerabilidade do site até achar uma brecha na segurança. A maior 
parte dessas informações de invasão são mantidas por grupos hacker´s que 
podem ser acessadas via internet, mantendo assim, um relatório completo e 
extenso. Muitas vezes, faz-se até um laboratório bem estruturado onde são 
simulados os ataques antes que eles ocorram, utilizando de diversas formas de 
invasão com planos arquitetados para diversas possibilidades de escapes. Todas 
essas informações, normalmente, serão documentadas no “diário de bordo” dos 
grupos para possíveis avaliações para ataques futuros, detectando armadilhas 
como honey pot, ajudando em contrapartida em movimentos de defesa dos 
mesmos. 
 Invasão: Nessa fase, todo o conhecimento é posto em prática. As estratégias são 
extremas e de quase que, exatamente, como ataques físicos militares. 
Normalmente são feitas avaliações em todo o processo de ataque para 
verificação de armadilhas, dando-se o mesmo em partes, com os cabeças de 
frente de batalha, com invasores que tentam implantar sensores de coleta de 
dados, para depois atacarem com força nas brechas de segurança, como um 
trojan para rastreamento de senhas ou um backdoor para acesso remoto do 
sistema; 
 Exploração: Neste estágio final, vem toda a recompensa pela labuta de até então. 
Pode-se caminhar por dias observando o sistema e tudo o que nele se mostra. 
Utilização de serviços e cópia de seus dados. 
 
3. Reflexão do comportamento humano na segurança dos sistemas de 
informação 
Antes de reintegrar as possiblidades de invasão e seus métodos de segurança no sistema 
de informação deveram pensar sempre no meio de interação do mundo virtual, o 
usuário. Neste ambiente psicológico, as possibilidades são imensas, posto que o 
primeiro passo da invasão nem sempre são conjuntos diferentes de programas com suas 
habilidades específicas com dados da rede para interceptação de informações, mas sim, 
o meio humano em que se interage com as possibilidades do sistema que é controlado. 
Neste caso, o login com senhas e demais dados que permanecem em nossa memória 
com o intuito de salvaguardar o acesso privativo, seja empresarial ou pessoal, são de 
grande importância para os usuários que querem um mínimo de brecha para começar 
uma intensa luta de percepção e engenharia social para suavizar e facilitar a invasão por 
acesso natural. 
“... na Era da Informação em que vivemos, manipulamos uma quantidade de 
informações cada vez maior. Por essa razão, a demanda por segurança digital tem 
crescido em função das sérias preocupações a respeito do uso não autorizado de 
informações sigilosas e das respectivas consequências. Na verdade, o uso de senhas, 
como forma mais comum de controlar o acesso a informações privilegiadas, envolve 
dois mundos muito diferentes - tecnológico e humano - que precisam conviver um com 
o outro e cuja interação tem gerado inúmeros problemas.” (RANGHETTI, Denise & 
STEIN, Lilian – Information Security: a reflection on the human component) 
 
A quantidade de serviços online está em milhares e em grandes possibilidades de acesso 
a uma gama de estilos e ingressões para senhas, informações pessoais de usuários, assim 
como localização através de endereços e verificação de autenticidade com 
possibilidades de aprofundamento da vida financeira do mesmo. 
Isso gera uma sensação psicológica de poder e facilidade para usuários que tem acesso 
com maior facilidade a rede mundial de computadores, estando assim, vulneráveis a 
grandes ramificações de interatividade através de SPAM´s, Propaganda indevida e em 
grande quantidade, cadastro sem autorização do proprietário, dentre outras 
possibilidades de utilização de dados para cadastro e/ou envio de pedidos de todas as 
formas possíveis de interação financeira entre empresas e usuários. 
 
Empresas gastam milhões em finanças para se atualizar em meios de informação 
flexível, interativa e veloz, porém uma boa parte dos prejuízos que incluem ataques de 
invasão, utilização de senhas com métodos de engenharia social, ataques em massa para 
interação com informações sigilosas ou mesmo ataques de vírus por e-mails pessoais 
abertos indevidamente no ambiente computacional destas empresas são um dos 
principais fatores para atualização dos sistemas de informação, demissões de 
funcionários, implementação de segurança em vigilância em empresas e demais fatores 
por pura vulnerabilidade do próprio usuário, seja por falta de conhecimento ou 
utilização de equipamentos empresariais para diversão sem mensurar importância para 
os fatores de risco. 
 
 
4. Meios de utilização prática na segurança de informações 
 
A partir deste processo de interação humana-máquina, podemos mencionar fatores 
simples para uma proteção básica para sua empresa, diminuindo ou até anulando as 
possibilidades de invasão e perda de informações sigilosas através do meio humano. A 
seguir, algumas regras a partir de dados do Departamento de Defesa Americano (DoD). 
“Do ponto de vista da Segurança da Informação, uma boa senha deveria ser segura, o 
que foi definido por algumas diretrizes publicadas pelo DoD, em 1985. Além de várias 
recomendações técnicas para a implementação e gerenciamento de senhas, o documento 
do DoD forneceu recomendações sobre como os indivíduos deveriam selecionar e 
administrar suas senhas.” (Smith, 2002) 
 Cada senha escolhida deve ser nova e diferente, já que o uso de uma única senha 
para vários sistemas pode dar aos invasores uma grande vantagem ao interceptar 
uma só senha; 
 Senhas devem ser memorizadas. Se uma senha é registrada em papel, este deve 
ser armazenado em local seguro; 
 Senhas devem ser compostas de pelo menos seis caracteres, provavelmente 
mais, dependendo do tamanho do conjunto de caracteres usado, i.e. se contêm 
apenas números, números e letras, ou se contêm uma combinação de números, 
letras e outros caracteres do teclado como, por exemplo, "*", "%", "$", "#", "@", 
e outros; 
 Senhas devem ser substituídas periodicamente; 
 Senhas devem conter uma mistura de letras (tanto maiúsculas quanto 
minúsculas), dígitos e caracteres de pontuação. 
 Quanto à utilização de correio eletrônico, cuidado redobrado ao acessar links 
desconhecidos, permaneça sempre em alerta quando o servidor de serviços 
SMTP divulga progressões de e-mails indevidos (SPAM´s ou Vírus) que mais 
atacam a rede mundial e utilize de bom senso para divulgar os tipos de e-mails 
maliciosos pela política de segurança dos servidores de correio eletrônico ora 
pela opção de lixo eletrônico ou denuncias de spam. 
Questionando sobre o processo de segurança da informação, algumas dicas podem ser 
de grande importância para atitudes impróprias de terceiros na invasão e utilização de 
seus dados. Na maior parte deles, são casos de extrema análise profunda para a 
apresentação do que realmente o sistema necessita, porém, devemos mencionar um 
pouco destas atribuições básicas, outras avançadas, a seguir: 
 Sempre analise o conteúdo das pastas que podem ser escritas pelo usuário que 
executam os serviços web; 
 Sempre cheque a integridade dos arquivos disponibilizados no seu servidor web. 
 A instalação de uma aplicação automatizada para isso, como o AIDE, facilita 
bastante a criação das somas de checagem e sua conferência; 
 Analise constantemente os registros de atividades (logs) do seu servidor; 
 Analise constantemente as informações vitais do seu servidor: consumo de 
disco, banda e memória. 
 Alterações significativas pode ser sinal de algo errado; 
 Elimine serviços não usados; 
 Mantenha uma política de atualizaçãode software; 
 Saiba quem acessa e o que faz em seu servidor. Uma política de acesso 
controlada com uso de sudo e registro de operações é fundamental; 
 Documente: A inexistência de documentação pode levar a soluções de contorno 
que podem expor a segurança; 
 Comunique: Modificações não comunicadas e não analisadas podem levar a 
problemas de segurança; 
 Mantenha-se antenado: Busque informações sobre problemas de segurança 
enfrentados por outros administradores ou nos boletins de segurança. 
 Observe as permissões especiais... 
 Utilize práticas de desenvolvimento seguras; 
 Faça tratamento de erros nas mensagens; 
 Nunca acredite nos dados que foram digitados, sempre efetue validações. Tanto 
no lado cliente como no lado servidor; 
 Crackers são criativos, sua defesa também é a criatividade. Passe um bom tempo 
imaginando o que faria se fosse um cracker; 
 Não acredite que algo é seguro. Ele pode estar seguro, mas mentes criativas 
estão tentando encontrar formas de torna-lo inseguro. 
Teste as aplicações antes que alguém faça isso por você! 
Todos possuímos informações valiosas que gostaríamos de manter confidenciais, por 
razões financeiras ou emocionais. Para que possamos atingir esse objetivo, é urgente 
buscarmos algumas respostas, no sentido de usar nossa capacidade de memória em 
nosso favor. Se as limitações da memória humana forem levadas em consideração, uma 
ponte ligando o Mundo Humano e o Mundo Tecnológico poderia ser construída e a 
cadeia de segurança, como um todo, poderia se beneficiar. 
 
5. Conclusão 
“Nesta era informatizada em que vivemos, o papel da segurança da informação é 
fundamental. A proteção a informações privilegiadas é essencial, e a abordagem mais 
usada para autenticação de usuários legítimos consiste de sistemas de senhas.” Contudo, 
os requisitos para se obter uma boa segurança de privilégios necessários não é de fácil 
acesso. Este trabalho apresenta o relacionamento entre duas facetas que se integram em 
algo muito comum nos dias de hoje, o homem-máquina que aqui se propõe com a 
capacidade de interação não só de métodos para avaliação de segurança da informação 
privada ou empresarial, mas também outros que lhe são intimamente ligados ao 
psicológico, cognitivo e de memória; questionando a validade e a eficácia do tratamento 
desses problemas, ao longo da história, pela sociedade que sempre carrega o fado da 
curiosidade e revela em conhecimentos suas atividades necessárias para poder utilizar a 
seu bom grado serviços, até então capitalizados, adquirem poder para manipular 
erroneamente permitindo que a evolução seja próspera. 
Os meios aqui propostos para a manutenção da vulnerabilidade dos sistemas de 
informação mais básicos, podem não ser totalmente eficazes, mas a proposta de adquirir 
os conceitos básicos não é mais que, de gerar um conhecimento lógico para os usuários 
na obtenção do aprofundamento sobre a segurança na rede e nas propriedades que 
envolvem informação privada e utilização de serviços pessoais na empresa, mantendo 
assim, um nível regular de proteção contra terceiros. 
Decerto, a manutenção destes métodos bem como o conhecimento de seus 
predecessores durante os anos na história da evolução comunicativa do homem, é 
apenas algo superficialmente abordado, mas que pode ser mais explorado no campo 
psicológico e cognitivo, onde se deve as principais vulnerabilidades ao usuário, ao 
contrário do que se pensa sobre sua interação com a rede mundial de computadores. 
 
 
 
6. Referências 
 
Gonçalves, Sérgio. (2001). A internet, o e-mail e a (in)segurança das empresas. Artigo 
Publicado. O Neófito – Informativo Jurídico. 
Febraban (2008). Setor bancário em números. Em http://www.febraban.org.br. 
Schneier, Bruce. Secrets and Lies – Plantão Info Exame (2003). 
Ranghetti Pilar da Silva. Denise & Stein, Milnitsky. Lilian – Segurança da Informação: 
Uma reflexão sobre o componente humano. PUC/RS – Artigo Científico publico em 
2007 na revista Ciências e Cognição. Vol 10: 46-53. (www.cienciasecognicacao.org) 
Site Hacker Teen. www.hackerteen.com/pt-br/ht-posts/invasao-website.html (acessado 
em 28 de maio de 2013). 
Site Rodval (Invasões de Sites – Incompetência ou habilidade? 
www.rdorval.com/2013/01/invasoes-de-sites-incompetencia-ou-habilidade/ (acessado 
em 28 de maio de 2013)