Baixe o app para aproveitar ainda mais
Prévia do material em texto
Vulnerabilidade dos sistemas e uso indevido Jeanne Louize Emygdio Introdução A interconexão de sistemas de informação geograficamente distantes e, atualmente, o acesso a eles por meio de tecnologias móveis, constituem benefícios provenientes do surgimento e avanço das redes de telecomunicações ao mesmo tempo em que estabelecem ambiente favo- rável à ocorrência de diversas ameaças a estes sistemas capazes de comprometer sua utilização e a própria sobrevivência das empresas. Nesta aula, você estudará sobre a vulnerabilidade dos sistemas, bem como a diversidade de circunstâncias que podem comprometer a segurança dos dados. Bons estudos! Objetivos de aprendizagem Ao final desta aula, você será capaz de: • compreender por que os sistemas são vulneráveis; • entender os conceitos de Software mal-intencionado, hackers e cibervandalismo, crimes de informática e ciberterrorismo; • identificar as ameaças internas: funcionários. 1 Fragilidades (vulnerabilidades) dos sistemas As vulnerabilidades relacionadas aos sistemas de informação resultam de múltiplos fatores, como os técnicos, organizacionais, ambientais, de má administração de recursos ou ainda pelo conjunto destes fatores. EXEMPLO Erros de programação em softwares; hardware configurado incorretamente, danifica- do por uso indevido ou por atividades criminosas; ausência de políticas de segurança para uso adequado dos recursos de TI e que permitem acessos não autorizados aos sistemas e plataformas de hardware; enchentes, incêndios e queda de energia são fa- tores que representam fortes ameaças aos sistemas de informação organizacionais. Em sistemas do tipo cliente/servidor multicamadas, existem diversas vulnerabilidades que são exploradas pelos usuários da camada cliente, com o objetivo de danificar os serviços em execução. Os danos mais comuns provocados pelos usuários são: a introdução de códigos-fonte (pro- gramas) maliciosos nos sistemas alterando seu funcionamento, vandalismo em sites empresa- riais, danos a bases de dados, interceptação de mensagens para alteração de seu conteúdo ou roubo de segredos corporativos. Geralmente estes danos são mais críticos quando a plataforma envolve conexões em rede com parceiros e utilização de tecnologias móveis (tablets, celulares e smartphones), cuja portabilidade facilita o roubo e a violação de dados sobre segredos comerciais. Observe as principais ameaças à arquitetura cliente/servidor, ilustradas na Figura 1. Figura 1 – Vulnerabilidades em arquitetura cliente/servidor Cliente (Usuário) Linhas de comunicação Servidores corporativos Sistemas corporativos Hardware Sistemas operacionais Software Banco de dados Acesso não autorizado Erros Escuta clandestina Sniffing (farejamento) Alteração de mensagem Roubo e fRoubo e fraude Radiação Hacking Malware Roubo e fraude Vandalismo Ataques de recusa de serviço Roubo de dados Cópia de dados Alteração de dados Falha de hardware Falha de software Fonte: LAUDON e LAUDON, 2014, p.256. A utilização de redes corporativas via internet potencializa tais ameaças, em função de sua abertura e dimensão, o que facilita a ação de hackers. FIQUE ATENTO! A maioria dos serviços de telefonia baseados em tecnologia para web (VOIP) não utiliza criptografia para garantir a privacidade das conversas que trafegam na rede, podendo estas, serem lidas na íntegra em caso de interceptação por terceiros. O uso de redes sem fio (wireless ou wi-fi) sem adoção de técnicas seguras de criptografia representa também séria ameaça à segurança dos dados domésticos e corporativos. SAIBA MAIS! A leitura do artigo “Implementação de segurança em redes wi-fi com a utilização de VPN” contribui para a compreensão das vulnerabilidades relacionadas e técnicas de segurança adequadas. O artigo está disponível em: <http://revista.srvroot.com/ linkscienceplace/index.php/linkscienceplace/article/viewFile/72/34>. O uso de e-mails, ferramentas de mensagens instantâneas e programas de compartilha- mento de arquivos ponto a ponto podem facilitar a disseminação de vírus e o acesso direto às redes, que até o uso destas tecnologias eram consideradas seguras. 2 Exemplos de vulnerabilidade: software mal-intencionado, hackers, cibervandalismo, crimes de informática e ciberterrorismo. As ameaças aos sistemas de informação em formato de programas de software mal-intencio- nados são conhecidas por malware, sendo os mais populares: os vírus, worms e cavalos de Tróia. Os vírus são programas que se anexam a softwares ou dados existentes nos computadores e que se tornam ativos a partir do acesso dos usuários a estes recursos em suas atividades diárias. Uma vez ativos, passam a executar os comandos danosos que carregam, geralmente, sem conhe- cimento ou permissão do usuário. Os worms, similares aos vírus, se diferenciam pela capacidade de autorreplicação em diversos computadores quando disseminados por mensagens de e-mail, potencializando ataques que podem paralisar redes inteiras. Os cavalos de Tróia são programas que abrem brechas para que os vírus e worms sejam disseminados. EXEMPLO O Storm, um cavalo de Tróia, originado em 2007, ainda não foi completamente er- radicado, espalha-se por spam, via e-mail, apresentando-se como um falso anexo. Infectou mais de 10 milhões de computadores e conectou-os a uma rede zumbi, ligada a atividades criminais. Os malwares podem entrar em nossos computadores a partir do acesso que realizamos a sites não conhecidos da internet, dos cliques que executamos em anúncios virtuais, da abertura de anexos de e-mails provenientes de destinatários desconhecidos, do uso de pen-drives de terceiros ou do recebimento de arquivos via bluetooth. FIQUE ATENTO! Outros tipos de malware muito disseminados são os que aproveitam falhas de de- senvolvimento das aplicações web, como por exemplo: os ataques por SQL Injec- tion, para inserção de código-fonte malicioso; os spywares que monitoram as ações dos usuários e os keyloggers que monitoram as teclas utilizadas no teclado do computador para roubo de senhas bancárias e de aplicações críticas. Os softwares mal intencionados são desenvolvidos por pessoas com alto conhecimento téc- nico que pretendem explorar as falhas em sistemas para os mais diversos fins. Quando os fins são benéficos, como por exemplo, para a descoberta de falhas graves em sites e sistemas de computa- dor para realização de medidas de correção, são denominados hackers. Quando os fins são maléfi- cos, são identificados como crackers. Popularmente, tais denominações são bastante confundidas. Acompanhe no quadro 1 as principais práticas realizadas por estes especialistas: Quadro 1 – Atuação de hackers e crackers Práticas Descrição Spoofing Uso de disfarces para coleta de dados privativos. Exemplo: sites bancários clonados (disfarça- dos) por técnica denominada phishing; redes wi-fi falsas (e aeroportos, hotéis ou cafeterias), disfarçadas de redes confiáveis por técnica denominada evil twins (gêmeos do mal); sites fal- sos acessados por redirecionamento provocado por uma técnica denominada pharming. Sniffing Monitoramento de informações transmitidas por rede. DoS Sobrecarga de um servidor de rede ou de web com milhares de falsas comunicações ou requisições de serviço de forma a inutilizar a rede. DDoS Ataque distribuído de DoS a partir de inúmeros computadores zumbis organizados em uma rede de robôs (botnet). Fonte: elaborado pela autora, 2016. De acordo com as práticas apresentadas observa-se que os computadores podem ser alvos de crimes cibernéticos, nas ações relacionadas no Quadro 2; acompanhe. Quadro 2 – Computadores como alvos de crime Ações • Violar a confidencialidade de dados computadorizados protegidos. • Acessar um sistema de computador sem autorização. • Transmitirintencionalmente um programa, código de programa ou comando que deliberadamente danifique um computador protegido. Fonte: Adaptado de LAUDON e LAUDON, 2014, p.264. Por outro lado, podem ser utilizados como instrumentos por meio dos quais os especialistas realizam seus crimes, como nas ações relacionadas no Quadro 3. Quadro 3 – Computadores como instrumentos de crime Ações • Cópia não autorizada de software ou de material com propriedade intelectual registrada como artigos, livros, músicas e vídeos. • Usar e-mail para ameaças ou assédio. • Tentar interceptar comunicações eletrônicas intencionalmente. Fonte: Adaptado de LAUDON e LAUDON, 2014, p.264. As atividades destes especialistas se expandiram e atingindo ações de roubo de mercado- rias, informações, danos em sistemas e cibervandalismo (dano intencional a sites e sistemas cor- porativos), caracterizando crimes de informática passíveis de penalidades. FIQUE ATENTO! O roubo de identidade é um crime comum, realizado para obtenção de crédito, mer- cadorias ou serviços em nome da(s) vítima(s). Este crime já foi praticado contra as empresas PayPal, Amazon.com, Walmart e diversos bancos. As vulnerabilidades da internet criam oportunidades para o surgimento de cibercriminosos globais, capazes de promover guerras cibernéticas contra nações inteiras, ameaçando a infraes- trutura social mundial cujas práticas diárias dependem do uso da internet. 3 Os funcionários como ameaça interna aos sistemas Embora se possa pensar que as maiores ameaças aos sistemas de informação originam-se fora das organizações, a maior delas origina-se a partir das ações das pessoas que têm vínculos formais com as empresas, como os usuários ou os próprios especialistas da área. SAIBA MAIS! Assista ao filme Snowden, para conhecer a história do ex-analista de sistemas da CIA – Agência Central de Inteligência Americana, Edward Snoweden, que denunciou publicamente o governo americano por espionar vários países a partir do roubo de dados digitais privados. Ações conscientes ou desatentas podem ser relacionadas como causadoras de sérios danos à integridade de sistemas de informação em organizações. Entre elas, relacionam-se: • anotação de senhas em locais de fácil acesso no ambiente de trabalho; • compartilhamento de senhas de acesso para colegas ou desconhecidos que se fazem passar por funcionários; • uso indevido da internet e e-mails para fins pessoais durante o expediente de trabalho; • não cumprimento das normas de uso dos recursos de TI da empresa. Quanto às falhas provenientes dos especialistas da área, destaca-se em primeiro lugar a ausência de políticas de uso dos recursos de TI, seguida de configurações, falhas em servidores, aplicações e bancos de dados, além da ausência de infraestrutura de software e hardware seguros. Fechamento Ao final desta aula, foi possível conhecer o amplo e diversificado contexto de ameaças aos sistemas de informação, bem como o perfil das pessoas envolvidas em tais práticas que, ao opor- tunizarem a modernização de crimes há muito conhecidos, adquiriram também caráter criminal passível de penalidades legais. Nesta aula, você teve a oportunidade de: • compreender as situações que tornam os sistemas vulneráveis como, as falhas técni- cas no desenvolvimento das aplicações; falhas organizacionais na ausência de normas de segurança para utilização dos recursos de TI, além do baixo índice de adoção de técnicas de criptografia na transmissão de dados em rede; • entender os tipos de vulnerabilidades, a dimensão e os tipos de crimes cibernéticos realizados em nível mundial; • identificar que os funcionários se tornam ameaças internas aos sistemas quando não são devidamente orientados quanto ao uso seguro dos recursos tecnológicos à sua disposição. Referências LAUDON, Kenneth; LAUDON, Jane. Sistemas de Informações Gerenciais. Tradução de Célia Taniwaki. 11ª ed. São Paulo: Pearson Education do Brasil, 2014. MATOS, Fábio Hugo Souza; RAGNINI, Diogo Fontana; OLIVEIRA, Paulo de Tarso Carvalho de; ALMEIDA, Fabrício Moraes de. Implementação de segurança em redes Wi-Fi com a utilização de VPN. Revista Científica Interdisciplinar, nº 1, v.2, 2015, p.133-164. Disponível em: <http://revista.srvroot.com/links- cienceplace/index.php/linkscienceplace/article/viewFile/72/34>. Acesso em out. 2016. Snowden. Direção: Oliver Stone. Los Angeles: Disney/Buena Vistta, c2016. (135MIN).
Compartilhar