UCA001 GestaoSistemasInformacao Tema9

Prévia do material em texto

Vulnerabilidade dos 
sistemas e uso indevido
Jeanne Louize Emygdio
Introdução
A interconexão de sistemas de informação geograficamente distantes e, atualmente, o 
acesso a eles por meio de tecnologias móveis, constituem benefícios provenientes do surgimento 
e avanço das redes de telecomunicações ao mesmo tempo em que estabelecem ambiente favo-
rável à ocorrência de diversas ameaças a estes sistemas capazes de comprometer sua utilização 
e a própria sobrevivência das empresas.
Nesta aula, você estudará sobre a vulnerabilidade dos sistemas, bem como a diversidade de 
circunstâncias que podem comprometer a segurança dos dados. Bons estudos!
Objetivos de aprendizagem
Ao final desta aula, você será capaz de:
 • compreender por que os sistemas são vulneráveis;
 • entender os conceitos de Software mal-intencionado, hackers e cibervandalismo, 
crimes de informática e ciberterrorismo;
 • identificar as ameaças internas: funcionários.
1 Fragilidades (vulnerabilidades) dos sistemas
As vulnerabilidades relacionadas aos sistemas de informação resultam de múltiplos fatores, 
como os técnicos, organizacionais, ambientais, de má administração de recursos ou ainda pelo 
conjunto destes fatores. 
EXEMPLO
Erros de programação em softwares; hardware configurado incorretamente, danifica-
do por uso indevido ou por atividades criminosas; ausência de políticas de segurança 
para uso adequado dos recursos de TI e que permitem acessos não autorizados aos 
sistemas e plataformas de hardware; enchentes, incêndios e queda de energia são fa-
tores que representam fortes ameaças aos sistemas de informação organizacionais.
Em sistemas do tipo cliente/servidor multicamadas, existem diversas vulnerabilidades que são 
exploradas pelos usuários da camada cliente, com o objetivo de danificar os serviços em execução. 
Os danos mais comuns provocados pelos usuários são: a introdução de códigos-fonte (pro-
gramas) maliciosos nos sistemas alterando seu funcionamento, vandalismo em sites empresa-
riais, danos a bases de dados, interceptação de mensagens para alteração de seu conteúdo ou 
roubo de segredos corporativos. Geralmente estes danos são mais críticos quando a plataforma 
envolve conexões em rede com parceiros e utilização de tecnologias móveis (tablets, celulares e 
smartphones), cuja portabilidade facilita o roubo e a violação de dados sobre segredos comerciais. 
Observe as principais ameaças à arquitetura cliente/servidor, ilustradas na Figura 1.
Figura 1 – Vulnerabilidades em arquitetura cliente/servidor
Cliente
(Usuário)
Linhas de
comunicação
Servidores
corporativos
Sistemas
corporativos
Hardware
Sistemas operacionais
Software
Banco
de dados
Acesso não
autorizado
Erros
Escuta
clandestina
Sniffing
(farejamento)
Alteração
de mensagem
Roubo e fRoubo e fraude
Radiação
Hacking
Malware
Roubo e fraude
Vandalismo
Ataques de
recusa de serviço
Roubo de dados
Cópia de dados
Alteração de dados
Falha de hardware
Falha de software
Fonte: LAUDON e LAUDON, 2014, p.256.
A utilização de redes corporativas via internet potencializa tais ameaças, em função de sua 
abertura e dimensão, o que facilita a ação de hackers. 
FIQUE ATENTO!
A maioria dos serviços de telefonia baseados em tecnologia para web (VOIP) não 
utiliza criptografia para garantir a privacidade das conversas que trafegam na rede, 
podendo estas, serem lidas na íntegra em caso de interceptação por terceiros. 
O uso de redes sem fio (wireless ou wi-fi) sem adoção de técnicas seguras de criptografia 
representa também séria ameaça à segurança dos dados domésticos e corporativos.
SAIBA MAIS!
A leitura do artigo “Implementação de segurança em redes wi-fi com a utilização de 
VPN” contribui para a compreensão das vulnerabilidades relacionadas e técnicas 
de segurança adequadas. O artigo está disponível em: <http://revista.srvroot.com/
linkscienceplace/index.php/linkscienceplace/article/viewFile/72/34>.
O uso de e-mails, ferramentas de mensagens instantâneas e programas de compartilha-
mento de arquivos ponto a ponto podem facilitar a disseminação de vírus e o acesso direto às 
redes, que até o uso destas tecnologias eram consideradas seguras. 
2 Exemplos de vulnerabilidade: software 
mal-intencionado, hackers, cibervandalismo, 
crimes de informática e ciberterrorismo.
As ameaças aos sistemas de informação em formato de programas de software mal-intencio-
nados são conhecidas por malware, sendo os mais populares: os vírus, worms e cavalos de Tróia. 
Os vírus são programas que se anexam a softwares ou dados existentes nos computadores e 
que se tornam ativos a partir do acesso dos usuários a estes recursos em suas atividades diárias. 
Uma vez ativos, passam a executar os comandos danosos que carregam, geralmente, sem conhe-
cimento ou permissão do usuário. Os worms, similares aos vírus, se diferenciam pela capacidade 
de autorreplicação em diversos computadores quando disseminados por mensagens de e-mail, 
potencializando ataques que podem paralisar redes inteiras. Os cavalos de Tróia são programas 
que abrem brechas para que os vírus e worms sejam disseminados.
EXEMPLO
O Storm, um cavalo de Tróia, originado em 2007, ainda não foi completamente er-
radicado, espalha-se por spam, via e-mail, apresentando-se como um falso anexo. 
Infectou mais de 10 milhões de computadores e conectou-os a uma rede zumbi, 
ligada a atividades criminais. 
Os malwares podem entrar em nossos computadores a partir do acesso que realizamos a 
sites não conhecidos da internet, dos cliques que executamos em anúncios virtuais, da abertura de 
anexos de e-mails provenientes de destinatários desconhecidos, do uso de pen-drives de terceiros 
ou do recebimento de arquivos via bluetooth. 
FIQUE ATENTO!
Outros tipos de malware muito disseminados são os que aproveitam falhas de de-
senvolvimento das aplicações web, como por exemplo: os ataques por SQL Injec-
tion, para inserção de código-fonte malicioso; os spywares que monitoram as ações 
dos usuários e os keyloggers que monitoram as teclas utilizadas no teclado do 
computador para roubo de senhas bancárias e de aplicações críticas.
Os softwares mal intencionados são desenvolvidos por pessoas com alto conhecimento téc-
nico que pretendem explorar as falhas em sistemas para os mais diversos fins. Quando os fins são 
benéficos, como por exemplo, para a descoberta de falhas graves em sites e sistemas de computa-
dor para realização de medidas de correção, são denominados hackers. Quando os fins são maléfi-
cos, são identificados como crackers. Popularmente, tais denominações são bastante confundidas. 
Acompanhe no quadro 1 as principais práticas realizadas por estes especialistas:
Quadro 1 – Atuação de hackers e crackers
Práticas Descrição
Spoofing
Uso de disfarces para coleta de dados privativos. Exemplo: sites bancários clonados (disfarça-
dos) por técnica denominada phishing; redes wi-fi falsas (e aeroportos, hotéis ou cafeterias), 
disfarçadas de redes confiáveis por técnica denominada evil twins (gêmeos do mal); sites fal-
sos acessados por redirecionamento provocado por uma técnica denominada pharming.
Sniffing Monitoramento de informações transmitidas por rede.
DoS
Sobrecarga de um servidor de rede ou de web com milhares de falsas comunicações ou 
requisições de serviço de forma a inutilizar a rede.
DDoS
Ataque distribuído de DoS a partir de inúmeros computadores zumbis organizados em uma 
rede de robôs (botnet).
Fonte: elaborado pela autora, 2016.
De acordo com as práticas apresentadas observa-se que os computadores podem ser alvos 
de crimes cibernéticos, nas ações relacionadas no Quadro 2; acompanhe.
Quadro 2 – Computadores como alvos de crime
Ações
 • Violar a confidencialidade de dados computadorizados protegidos.
 • Acessar um sistema de computador sem autorização.
 • Transmitirintencionalmente um programa, código de programa ou comando que deliberadamente 
danifique um computador protegido.
Fonte: Adaptado de LAUDON e LAUDON, 2014, p.264.
Por outro lado, podem ser utilizados como instrumentos por meio dos quais os especialistas 
realizam seus crimes, como nas ações relacionadas no Quadro 3.
Quadro 3 – Computadores como instrumentos de crime
Ações
 • Cópia não autorizada de software ou de material com propriedade intelectual registrada como 
artigos, livros, músicas e vídeos.
 • Usar e-mail para ameaças ou assédio.
 • Tentar interceptar comunicações eletrônicas intencionalmente.
Fonte: Adaptado de LAUDON e LAUDON, 2014, p.264.
As atividades destes especialistas se expandiram e atingindo ações de roubo de mercado-
rias, informações, danos em sistemas e cibervandalismo (dano intencional a sites e sistemas cor-
porativos), caracterizando crimes de informática passíveis de penalidades.
FIQUE ATENTO!
O roubo de identidade é um crime comum, realizado para obtenção de crédito, mer-
cadorias ou serviços em nome da(s) vítima(s). Este crime já foi praticado contra as 
empresas PayPal, Amazon.com, Walmart e diversos bancos.
As vulnerabilidades da internet criam oportunidades para o surgimento de cibercriminosos 
globais, capazes de promover guerras cibernéticas contra nações inteiras, ameaçando a infraes-
trutura social mundial cujas práticas diárias dependem do uso da internet.
3 Os funcionários como ameaça interna aos sistemas
Embora se possa pensar que as maiores ameaças aos sistemas de informação originam-se 
fora das organizações, a maior delas origina-se a partir das ações das pessoas que têm vínculos 
formais com as empresas, como os usuários ou os próprios especialistas da área.
SAIBA MAIS!
Assista ao filme Snowden, para conhecer a história do ex-analista de sistemas da 
CIA – Agência Central de Inteligência Americana, Edward Snoweden, que denunciou 
publicamente o governo americano por espionar vários países a partir do roubo de 
dados digitais privados. 
Ações conscientes ou desatentas podem ser relacionadas como causadoras de sérios danos 
à integridade de sistemas de informação em organizações. Entre elas, relacionam-se:
 • anotação de senhas em locais de fácil acesso no ambiente de trabalho;
 • compartilhamento de senhas de acesso para colegas ou desconhecidos que se fazem 
passar por funcionários;
 • uso indevido da internet e e-mails para fins pessoais durante o expediente de trabalho;
 • não cumprimento das normas de uso dos recursos de TI da empresa.
Quanto às falhas provenientes dos especialistas da área, destaca-se em primeiro lugar a 
ausência de políticas de uso dos recursos de TI, seguida de configurações, falhas em servidores, 
aplicações e bancos de dados, além da ausência de infraestrutura de software e hardware seguros.
Fechamento
Ao final desta aula, foi possível conhecer o amplo e diversificado contexto de ameaças aos 
sistemas de informação, bem como o perfil das pessoas envolvidas em tais práticas que, ao opor-
tunizarem a modernização de crimes há muito conhecidos, adquiriram também caráter criminal 
passível de penalidades legais.
Nesta aula, você teve a oportunidade de:
 • compreender as situações que tornam os sistemas vulneráveis como, as falhas técni-
cas no desenvolvimento das aplicações; falhas organizacionais na ausência de normas 
de segurança para utilização dos recursos de TI, além do baixo índice de adoção de 
técnicas de criptografia na transmissão de dados em rede;
 • entender os tipos de vulnerabilidades, a dimensão e os tipos de crimes cibernéticos 
realizados em nível mundial;
 • identificar que os funcionários se tornam ameaças internas aos sistemas quando não são 
devidamente orientados quanto ao uso seguro dos recursos tecnológicos à sua disposição.
Referências
LAUDON, Kenneth; LAUDON, Jane. Sistemas de Informações Gerenciais. Tradução de Célia 
Taniwaki. 11ª ed. São Paulo: Pearson Education do Brasil, 2014.
MATOS, Fábio Hugo Souza; RAGNINI, Diogo Fontana; OLIVEIRA, Paulo de Tarso Carvalho de; ALMEIDA, 
Fabrício Moraes de. Implementação de segurança em redes Wi-Fi com a utilização de VPN. Revista 
Científica Interdisciplinar, nº 1, v.2, 2015, p.133-164. Disponível em: <http://revista.srvroot.com/links-
cienceplace/index.php/linkscienceplace/article/viewFile/72/34>. Acesso em out. 2016.
Snowden. Direção: Oliver Stone. Los Angeles: Disney/Buena Vistta, c2016. (135MIN).