Baixe o app para aproveitar ainda mais
Prévia do material em texto
71 SEGURANÇA NO AMBIENTE WEB Unidade III 5 CÓDIGOS MALICIOSOS (MALWARES) 5.1 Introdução Códigos maliciosos (malwares) são softwares desenvolvidos com a finalidade de executar ações danosas e atividades maliciosas em um sistema ou computador. Esse tipo de software pode ser utilizado para obter informações sensíveis ou para excluir e modificar arquivos. Por exemplo, um malware pode infectar um computador: • pelo acesso a páginas web maliciosas, com o uso de navegadores vulneráveis; • pela execução automática de mídias removíveis contaminadas, como pen drives; • pela ação direta dos atacantes, que incluem códigos maliciosos em arquivos após a invasão de um computador. As características mais frequentes que observamos em computadores infectados por malwares são: • aumento do percentual de uso da CPU; • diminuição da velocidade de processamento do computador; • travamento repetido do computador; • redução da velocidade de navegação na web; • modificação ou exclusão de arquivos; • execução de processos desconhecidos; • envio de emails sem o conhecimento ou consentimento do usuário. As principais motivações para um atacante disseminar códigos maliciosos são: • coleta de informações confidenciais; • obtenção de vantagens financeiras; 72 Unidade III • desejo de autopromoção; • vontade de praticar vandalismo. Há grande variedade de malwares, como vírus, worm, Trojan, spyware, adware, scareware, bot, MitM (man-in-the-middle), MitMo (man-in-the-mobile), rootkit, ransomware, bomba lógica e sequestrador de navegador. Vamos ver, a seguir, alguns detalhes desses malwares. 5.2 Vírus O vírus é um programa (ou parte de um programa), normalmente malicioso, que se propaga pela introdução de cópias dele mesmo. Trata-se do malware mais conhecido e que depende da execução do programa ou do arquivo hospedeiro para se tornar ativo e, assim, prosseguir com o processo de infecção. Podemos dizer que o primeiro registro formal de vírus em computadores ocorreu com o Creeper, em 1971, programado pelo pesquisador Bob Thomas. O Creeper realizava diversas cópias dele mesmo em vários computadores de uma rede e mostrava a seguinte mensagem: “I’m the Creeper! Catch me if you can” (Eu sou o Sorrateiro! Pegue-me se for capaz). Mais tarde, foi desenvolvido um programa chamado Reaper, que tinha o objetivo de encontrar o vírus Creeper e erradicar seus efeitos nos computadores infectados. Já o Morris, criado em 1988 pelo, na época, universitário Robert Morris, foi um dos primeiros vírus disseminados online. O estudante desejava conhecer a dimensão da internet, mas produziu um malware que se reproduzia velozmente em redes: ele criava pastas temporárias para salvar cópias de si próprio e, com isso, fazia com que máquinas e servidores ficassem muito vagarosos. Estimativas sugerem que cerca de 10% dos PCs conectados à internet foram infectados pelo Morris no final da década de 1980. No contexto em análise, podemos formular uma analogia: do mesmo modo que um vírus pode contagiar um ser humano, um vírus de computador anexa-se a algum tipo de código executável, como um programa. Quando o vírus é executado, ele tenta infectar uma grande quantidade de arquivos. O vírus é replicado nesses arquivos, realiza a tarefa maliciosa à qual se destina e repete isso até se espalhar o máximo possível. Os antigos disquetes já foram os principais meios de propagação de vírus. Com o desuso deles, surgiram novas vias de proliferação de vírus, como o envio de emails e o uso de pen drives. Há vários tipos de vírus, com distintas características e diferentes potenciais de causar danos. • Existem vírus sorrateiros, que permanecem ocultos aos usuários e, assim, infectam arquivos do disco rígido e executam processos sem qualquer consentimento. • Existem vírus dorminhocos, que permanecem inativos durante a maior parte do ano e apenas agem em datas específicas. 73 SEGURANÇA NO AMBIENTE WEB Frequentemente, vemos vírus que se propagam por email. Nesse caso, o usuário recebe um email com um arquivo anexado. A mensagem recebida induz o usuário a clicar sobre o arquivo para executá-lo. Com isso, muitos arquivos do computador desse usuário são infectados. Além disso, esse vírus encaminha cópias de emails para os contatos armazenados no computador. Também temos os chamados vírus de script, implementados em linguagem VBScript ou em linguagem JavaScript. O usuário pode ser infectado ao acessar uma página web com o script malicioso, ao abrir um arquivo anexado a um email ou ao verificar uma mensagem HTML. Uma categoria específica de vírus de script é o vírus de macro, implantado em linguagem VBScript, que visa a infectar arquivos produzidos pelo Microsoft Office. 5.3 Worm O worm ou verme é um programa capaz de se multiplicar por uma rede, visto que envia cópias de si mesmo para os computadores interligados. Os worms são semelhantes aos vírus, mas não se propagam pela inclusão de cópias de si em outros arquivos, mas pela execução direta das suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. O worm pode consumir muitos recursos computacionais e, com isso, diminuir o desempenho de redes e a eficácia do uso de computadores, já que realiza muitas cópias de si mesmo. Um exemplo de worm é o conhecido como ILOVEYOU, ou bug do amor, que se espalhou em milhões de máquinas que rodavam com o sistema operacional Windows. O worm propagava-se por email: uma pessoa enviava uma mensagem por email com o assunto “I Love You” e com um arquivo anexo de nome LOVE-LETTER-FOR-YOU.TXT.vbs (a última extensão, .vbs, era escondida por padrão pelo Windows). Na realidade, esse anexo era um worm disfarçado de arquivo de texto de uma carta de amor. O arquivo era um executável que, quando aberto, realizava muitos ataques: fazia várias cópias de si mesmo para diversos arquivos e pastas, iniciava softwares prejudiciais, substituía arquivos e, por fim, ocultava-se dos seus malfeitos. Esse worm disseminou-se de modo intenso e gerou prejuízos da ordem de milhões de dólares, pois furtava os endereços de email do computador das vítimas e remetia mensagens para todos da lista de endereços. O worm ILOVEYOU, desenvolvido em 2000 pelo estudante universitário filipino Onel de Guzman, foi escrito em Visual Basic como parte de um trabalho da faculdade, o qual foi rejeitado. Guzman remeteu a mensagem com o worm na véspera da sua formatura e, com isso, chegou a infectar mais de 50 milhões de computadores. Como curiosidade, vale dizer que, em virtude da falta de legislação específica para crimes digitais na ocasião em que o ILOVEYOU foi criado, Guzman foi absolvido. 5.4 Trojan Antes de falarmos sobre o malware conhecido como Trojan ou cavalo de Troia, vamos relembrar um pouco da Ilíada, de Homero, para entendermos o porquê da escolha desse nome. 74 Unidade III Troia era uma cidade fortificada, capital de um grande e poderoso reino. Na epopeia intitulada Ilíada, Homero conta a história da guerra de Troia. Vamos a essa história. Páris, filho do rei de Troia, raptou Helena, rainha da pólis grega chamada Esparta. Os gregos, revoltados com o rapto, entraram em guerra contra Troia. Juntaram seus exércitos e cercaram a cidade por anos, mas as altas muralhas impediam sua invasão. Então, o grego Ulisses teve uma ideia: ordenou que fosse construído um imenso cavalo de madeira oco, para que, na sua barriga, pudessem ser escondidos soldados gregos (incluindo o próprio Ulisses). A estratégia de Ulisses foi a seguinte: os gregos deixariam o cavalo na entrada de Troia e abandonariam o cerco à cidade. Por causa dessa falsa retirada, os troianos acreditaram, erroneamente, que os gregos haviam desistido da guerra. Pensaram que o cavalo era um presente (uma espécie de oferta de paz) e, por isso, colocaram-no para dentro da cidade. Quando os troianos estavam dormindo, Ulisses e os outros guerreiros saíram da barriga do cavalo de madeira, tomaram Troia, invadiram o palácio eresgataram Helena, que foi levada de volta a Esparta. A figura 24 mostra uma representação do cavalo de Troia. Figura 24 – Representação do cavalo de Troia No contexto que estamos estudando, há um malware que funciona como um cavalo de Troia: é o Trojan, um malware que usa sua aparência externa com a finalidade de enganar o usuário e fazer com que ele o execute (KIM; SOLOMON, 2014). Trata-se de um código malicioso que, uma vez executado, realiza as instruções de ataque com as permissões e a autoridade do usuário. Cabe ressaltar que esse cavalo de Troia precisa ser aceito pelo usuário, pois o programa tem de ser executado por uma pessoa. 75 SEGURANÇA NO AMBIENTE WEB É evidente que ninguém instalaria um malware em sua máquina de modo proposital. Em virtude disso, os Trojans disfarçam-se de outros softwares a fim de ludibriar o usuário. Em 1974, foi lançado o primeiro cavalo de Troia, denominado Animal, que usava um jogo de charadas para agir: o computador tentava adivinhar o animal pensado pelo usuário por meio de perguntas. Esse programa se copiava em todos os diretórios nos quais o usuário podia fazer gravações. Entre as atividades que um Trojan pode realizar, temos: • fazer cópias de si mesmo; • abrir portas de comunicação do computador; • baixar arquivos inutilmente; • ocultar informações confidenciais. Saiba mais Para saber mais sobre o malware Trojan, visite o site a seguir. O QUE É Trojan (cavalo de Troia): o pior vírus de computador. Ynternix, 19 jan. 2018. Disponível em: https://ynternix.com/o-que-e-trojan-cavalo- de-troia/. Acesso em: 19 ago. 2020. 5.5 Spyware Um spyware (programa espião) é um tipo de malware que colhe informações sobre um usuário por meio de uma conexão de internet realizada sem o seu consentimento. Assim, esse código malicioso retira a confidencialidade da informação. Note-se que há programas gratuitos, ou freeware, que contêm programas espiões. Depois que o programa espião é instalado, esse aplicativo monitora as atividades de um usuário na internet e coleta informações, como endereços de email, senhas e números de cartão de crédito. Tais informações podem ser utilizadas para o envio de propagandas, para o encaminhamento de mensagens de marketing ou para a facilitação de roubo de identidades. O spyware age como um programa executável independente e pode efetuar: • varreduras de arquivos no disco rígido; • leituras de cookies; 76 Unidade III • alterações na página inicial do navegador web; • monitoração dos toques no teclado. 5.6 Adware O adware é uma das formas mais visíveis de malware, pois trata-se de um software que exibe anúncios e, com isso, coleta dados. Muitas vezes, o próprio usuário baixa o adware de modo não intencional. Isso ocorre quando a pessoa aceita os termos de serviço de softwares gratuitos em troca da exibição de anúncios. Há casos em que o adware é instalado sem qualquer concordância do usuário e, mesmo assim, consegue realizar outras ações prejudiciais, além de simplesmente exibir anúncios. De modo geral, podemos dizer que o adware é qualquer programa que automaticamente executa, mostra ou baixa publicidade para o computador depois de instalado ou enquanto é executado. Há programas adware que rodam instruções para captar informações pessoais e passam tais informações para terceiros, sem a autorização ou o conhecimento do usuário. Essa prática é conhecida como spyware e é alvo de crítica dos especialistas em segurança de redes e computadores e dos defensores de privacidade. No entanto, existem alguns adwares que não instalam spywares. Lembrete Adware é qualquer programa que automaticamente executa, mostra ou baixa publicidade para o computador depois de instalado ou enquanto é executado. Entretanto, no caso de adwares que não são spywares, as informações pessoais identificáveis não são transmitidas. 5.7 Scareware O scareware é um malware projetado para persuadir o usuário a executar uma ação específica com base no medo. Esse código simula janelas pop-up que se assemelham às janelas de diálogo do próprio sistema operacional. Essas janelas transmitem mensagens falsas, que dizem que o sistema está em risco ou que precisa da execução de um programa específico para retornar à operação normal. De fato, não existem problemas nem ameaças reais. Contudo, se o usuário concordar e executar o programa para a limpeza do disco rígido, por exemplo, seu sistema será infectado com malware. 5.8 Bot O bot é um programa que disponibiliza recursos de comunicação com o invasor capazes de fazer com que ele seja controlado de forma remota. Seu processo de infecção e de propagação é similar ao realizado pelo worm: ele tenta se aproveitar das vulnerabilidades existentes nos softwares e nos sistemas instalados em uma máquina para propagar-se automaticamente. 77 SEGURANÇA NO AMBIENTE WEB Um computador infectado por um bot é conhecido como zumbi (zombie computer), visto que é controlado pelo malware sem o conhecimento de seu dono. 5.9 MitM (man-in-the-middle) Um criminoso realiza um ataque de homem no meio – MitM (man-in-the-middle) – pela interceptação da comunicação entre computadores visando a roubar informações que trafegam pela rede. O MitM possibilita que o invasor tenha controle sobre um dispositivo sem o conhecimento do usuário. Ao obter esse nível de acesso, o invasor pode interceptar e capturar informações do usuário antes de transmiti-las ao seu destino desejado. Os ataques do tipo MitM são notadamente usados por criminosos que intencionam roubar informações financeiras e podem ser tentados por agentes intermediários em uma conexão, como roteador, proxy ou servidor DNS. A figura 25 mostra um exemplo de ataques do tipo MitM dentro de uma rede. Quem é o servidor? EU!!! 4 3 2 1 6 5 Atacante Rede local Sou um cliente, posso conectar? Tudo bem. Servidor Cliente Atacar Figura 25 – Exemplo de ataque do tipo MitM Na figura 25, 1 e 2 são mensagens feitas em conexão normal entre o servidor e o cliente (sem interferência maliciosa); 3 é a mensagem na qual o agente malicioso percebe que o cliente quer entrar em contato com o servidor; 4 é a mensagem na qual o agente malicioso se passa pelo servidor, responde ao cliente e estabelece a conexão falsa; 5 é a mensagem na qual o agente malicioso se passa pelo cliente 78 Unidade III e abre nova conexão; e 6 é a mensagem na qual o servidor aceita a conexão e, assim, o agente malicioso obtém as informações necessárias para executar o ataque. 5.10 MitMo (man-in-the-mobile) O ataque de homem no dispositivo móvel – MitMo (man-in-the-mobile) – é uma variação do ataque MitM na qual o criminoso assume o controle do dispositivo móvel da vítima. Quando infectado, o dispositivo móvel fica sujeito à extração de informações confidenciais do usuário pelo invasor. 5.11 Rootkit Um rootkit é um malware que modifica o sistema operacional para criar uma porta dos fundos (backdoor), a fim de esconder a presença de um invasor no computador contaminado. Assim, os invasores utilizam a backdoor para acessar o computador remotamente. As ferramentas que integram o rootkit não são obrigatoriamente empregadas com a intenção de obter acesso privilegiado ao sistema operacional na qualidade de administrador (root). Há casos em que se deseja manter o acesso privilegiado em um computador infectado anteriormente. 5.12 Ransomware O ransomware é um malware que “aprisiona” um sistema de computador ou os dados nele contidos até que a vítima faça um pagamento para o criminoso que invadiu a máquina. Esse programa normalmente funciona por meio da criptografia dos dados no computador com uma chave desconhecida pelo usuário. O usuário é pressionado a pagar um resgate aos criminosos para remover a restrição. Há versões do ransomware que podem se aproveitar da vulnerabilidade de sistemas específicos para bloqueá-los. Nesse tipo de ataque, a meta do criminoso é receber valores por meio de um sistema de pagamento indetectável. Depois que a vítimaefetua o pagamento, o criminoso fornece-lhe um programa que decriptografa os arquivos ou envia um código de desbloqueio. Vale destacar que o ransomware se propaga como um cavalo de Troia e resulta de um arquivo baixado ou de um ponto fraco no software. Um exemplo de ransomware é o Locky, disseminado pela primeira vez em 2016 por um grupo organizado de hackers. Esse malware era capaz de criptografar cerca de 150 tipos de arquivo e espalhou-se da seguinte forma: persuadia as vítimas a instalá-lo nas máquinas pela abertura de anexos infectados postados em emails falsos. Uma das pessoas atingidas por esse golpe, em 2016, foi um funcionário do hospital Hollywood Presbyterian Medical Center, localizado em Los Angeles (EUA), que abriu um anexo que parecia uma fatura do hospital. Com isso, o ransomware foi replicado na rede, mapeou os drivers e derrubou a rede do hospital inteiro. 79 SEGURANÇA NO AMBIENTE WEB Na ocasião, os sistemas computacionais do hospital ficaram extremamente lentos, e todos os arquivos de drivers locais e da rede foram encriptados. Como a rede permaneceu fora de operação por cerca de dez dias, os funcionários foram obrigados a usar fax e blocos de notas para realizarem suas tarefas. Para conseguir reaver suas informações, o hospital pagou 40 bitcoins, o equivalente a 17 mil dólares na época do ataque, a fim de que os criminosos remetessem a chave de decriptografia. Na figura 26, temos uma ilustração do ransomware Locky. Figura 26 – Ilustração do ransomware Locky 5.13 Bomba lógica Uma bomba lógica é um programa mal-intencionado que usa um gatilho para ativar o código malicioso. Como exemplos de gatilho, temos dispositivos que acionam datas e horários: a bomba lógica permanece inativa até que o evento acionador aconteça. Ou seja, no momento em que é ativada, a bomba lógica implementa um código malicioso capaz de danificar um computador. Uma bomba lógica pode: • sabotar registros de banco de dados; • apagar arquivos; • atacar sistemas operacionais ou aplicativos; • destruir componentes de hardware, como ventoinha, CPU, memória, disco rígido e fonte de alimentação. 80 Unidade III Na última situação elencada, a bomba lógica sobrecarrega os dispositivos até que ocorram falhas devidas ao superaquecimento. 5.14 Sequestrador de navegador O sequestrador de navegador é um malware que altera as configurações do navegador de um computador de forma a realizar o redirecionamento do usuário para sites pagos pelos clientes de criminosos virtuais. Em geral, os sequestradores de navegador são instalados sem a anuência do usuário e compõem um drive-by download. Um drive-by download é um programa transferido automaticamente para o computador quando um usuário visita um site da web ou visualiza uma mensagem de email HTML. Vale destacar que é de suma importância a leitura atenta dos contratos por parte do usuário antes de fazer download de programas, a fim de evitar a ação desse tipo de malware. Observação Não confunda o termo scan com scam. Scams (com M) são quaisquer esquemas para enganar um usuário – geralmente, com a finalidade de obter vantagens financeiras. Ataques desse tipo são enquadrados na categoria de fraude. 6 FERRAMENTAS E TECNOLOGIAS PARA A SEGURANÇA DE SISTEMAS Neste capítulo, serão apresentadas ferramentas e tecnologias de proteção de sistemas baseadas em software, hardware, rede e nuvem. 6.1 Tecnologias de proteção baseadas em software As tecnologias baseadas em softwares incluem programas e serviços destinados a proteger sistemas operacionais, bancos de dados e serviços executados em estações de trabalho, dispositivos portáteis e servidores. Nesse caso, os administradores instalam contramedidas ou proteções em hosts e em servidores individuais. Temos ferramentas baseadas em software usadas para proteger os ativos de uma empresa, como as exemplificadas a seguir. • Firewalls Os firewalls de software controlam o acesso remoto a um site. Os sistemas operacionais normalmente já incluem um firewall. No entanto, um usuário pode comprar um firewall ou fazer download de softwares de terceiros. 81 SEGURANÇA NO AMBIENTE WEB • Scanners de rede e de porta Os scanners de rede e de porta detectam e monitoram portas abertas em um host ou em um servidor. • Analisadores de protocolo Os analisadores de protocolo, ou analisadores de assinatura, são dispositivos que coletam e examinam o tráfego de rede. Eles identificam problemas de desempenho e de configuração, detectam aplicativos com comportamento inadequado, estabelecem os parâmetros e os padrões de tráfego normal e depuram equívocos de comunicação. • Scanners de vulnerabilidades Os scanners de vulnerabilidades são programas computacionais projetados para avaliar os pontos fracos em computadores ou redes. • IDSs (sistemas de detecção de intrusão) baseados em host Os IDSs baseados em host examinam as atividades apenas em sistemas de host. Um IDS gera arquivos de log e mensagens de alarme quando detecta atividade incomum. Um sistema que armazena dados confidenciais ou que presta serviços essenciais pode cumprir a função de um IDS. 6.1.1 Anti-malwares Vimos que os malwares, ou códigos maliciosos, englobam vírus, worms, cavalos de Troia, keyloggers, spyware e adware. Todos eles invadem máquinas, comprometem a privacidade, roubam informações, danificam sistemas ou corrompem dados, por exemplo. Assim, é fundamental que façamos a proteção de computadores e dispositivos móveis com softwares anti-malwares de qualidade e atualizados. Entre esses softwares, temos os mostrados a seguir. • Proteção antivírus Trata-se de um programa computacional de monitoramento contínuo que, quando detecta um vírus, avisa o usuário. Ele tenta colocar o vírus em quarentena ou faz sua exclusão. Na figura 27, temos uma captura de tela do software antivírus McAfee. 82 Unidade III Figura 27 – Captura de tela do software antivírus McAfee • Proteção contra adware Trata-se de um programa computacional que procura continuamente programas que exibem publicidade em um computador. • Proteção contra phishing Trata-se de um programa computacional que bloqueia endereços IP de sites de phishing conhecidos na web e alerta o usuário sobre sites suspeitos. • Proteção contra spyware Trata-se de um programa computacional que varre o computador em busca de keyloggers e de outros tipos de spyware. • Fontes confiáveis e não confiáveis Trata-se de um programa computacional que avisa o usuário sobre programas ou sites não seguros que tentam se instalar na máquina, antes de um usuário visitá-los. 83 SEGURANÇA NO AMBIENTE WEB Muitas vezes, precisamos utilizar vários programas diferentes e fazer diversas varreduras para remover completamente todos os softwares mal-intencionados. A recomendação é que se execute apenas um programa de proteção contra malware por vez. Cabe notar que existem várias empresas de segurança confiáveis, que oferecem proteção completa contra malware para computadores e dispositivos móveis. Devemos desconfiar de produtos antivírus falsos mal-intencionados que podem aparecer durante a navegação na internet. A maioria desses produtos exibe um anúncio ou um pop-up que surge como uma janela de aviso real do Windows. Geralmente, em tais janelas, afirma-se que um malware está infectando o computador e solicita-se ao usuário que o limpe. Quando a pessoa clica em qualquer lugar na janela, ela pode iniciar o download e a instalação do malware. Observação Um software não aprovado ou não compatível pode ser instalado de forma intencional em um computador. Mesmo que esse tipo de software não seja mal-intencionado, ele pode violar políticas de segurança. Um sistema não compatível pode interferir negativamente no software da empresa ou nos serviços de rede. Por isso, os usuários devem remover softwares não aprovados imediatamente. 6.1.2 Softwares do sistema operacional O sistema operacional desempenha um papel crítico na operação de um computador e, em virtude disso,tende a ser o alvo preferencial de muitos ataques. A segurança do sistema operacional tem efeito cascata sobre a segurança geral de um computador. Um administrador de rede deve se certificar de que a configuração de um sistema operacional é a mais segura possível em dado cenário. Eventualmente, a configuração padrão pode ser alterada. Esse processo engloba a remoção de programas e serviços desnecessários. Outros requisitos importantes na manutenção de sistemas operacionais são a aplicação de patches e a execução de atualizações de segurança. Patches e atualizações de segurança são correções que as empresas liberam para serem usadas na tentativa de reduzir a vulnerabilidade e corrigir falhas em seus produtos. Uma organização deve ter uma abordagem sistemática para o endereçamento de atualizações do sistema por meio dos procedimentos expostos a seguir. • Estabelecimento de práticas consolidadas de monitoramento de informações relacionadas à segurança. • Avaliação contínua das atualizações para que elas tenham eficaz aplicabilidade. 84 Unidade III • Planejamento detalhado da instalação de atualizações e de patches de aplicativos. • Instalação de atualizações com base em um plano documentado. Ainda no que se refere à proteção dos sistemas operacionais, é essencial que identifiquemos suas possíveis vulnerabilidades. Isso pode ser feito pelo estabelecimento de uma linha de base, com a intenção de permitir que o administrador faça uma avaliação comparativa de como um sistema está sendo executado em relação às expectativas (geradas pela linha de base). Por exemplo, o Analisador de Segurança de Parâmetro Microsoft – MBSA (Microsoft Baseline Security Analyzer) – analisa as atualizações de segurança ausentes e os problemas de configuração de segurança no Microsoft Windows. O MBSA verifica senhas em branco, senhas simples, inexistência de senhas, configurações de firewall, status de conta de convidado e detalhes da conta de administrador. Além disso, faz a auditoria de eventos de segurança, de serviços desnecessários, de compartilhamentos de rede e de configurações do registro. Depois da codificação do sistema operacional, o administrador cria as políticas adequadas e os procedimentos necessários para a manutenção de um alto nível de segurança. 6.1.3 Gerenciador de patches Os patches são atualizações de código que os fabricantes fornecem para evitar que vírus ou worms executem ataques bem-sucedidos. Periodicamente, os fabricantes combinam patches e atualizações em uma aplicação completa chamada de service pack. Certos ataques de vírus podem ser abrandados e ter consequências menos graves se mais usuários baixarem e instalarem a versão mais recente do service pack. Há casos em que os ataques podem até mesmo ser evitados. O sistema Windows verifica, frequentemente, o site Windows Update para a realização de atualizações de alta prioridade. Isso ajuda na proteção do computador contra as mais recentes ameaças de segurança. Esse procedimento contempla atualizações de segurança, críticas e de service packs. Dependendo da configuração escolhida, o Windows baixa e instala, automaticamente, todas as atualizações de alta prioridade que o computador precisa ou notifica o usuário conforme essas atualizações estiverem disponíveis. Há empresas que desejam testar um patch antes de implantá-lo em toda a organização (a organização usaria um serviço para gerenciar patches localmente, em vez de utilizar o serviço de atualização online do fornecedor). Alguns dos benefícios advindos do emprego de um serviço de atualização automática de patch são os expostos a seguir. • Os administradores têm a opção de aprovar ou recusar atualizações. • Os administradores podem forçar a atualização de sistemas para uma data específica. 85 SEGURANÇA NO AMBIENTE WEB • Os administradores conseguem obter relatórios sobre as atualizações necessárias para cada sistema. • Cada computador não precisa se conectar ao serviço do fornecedor para baixar os patches, visto que o sistema obtém a atualização de um servidor local. • Os usuários não podem desativar nem contornar as atualizações. Vale destacar que um serviço de patches automáticos fornece aos administradores um ambiente controlado. 6.2 Tecnologias de proteção baseadas em hardware Existem diversas tecnologias baseadas em hardware para proteger os ativos de uma empresa, como as explicadas a seguir. • Dispositivos de firewall. Estes dispositivos bloqueiam o tráfego indesejado de informações. Eles contêm regras que definem o tráfego permitido dentro e fora de uma rede. • IDSs (sistemas de detecção de intrusão). Estes sistemas detectam sinais de ataque ou tráfego incomum em uma rede e enviam um alerta. • IPSs (sistemas de prevenção de intrusão). Estes sistemas detectam sinais de ataque ou de tráfego incomum de informações em uma rede, geram alertas e tomam medidas corretivas. • Serviços de filtro de conteúdo. Estes serviços controlam o acesso e a transmissão de conteúdo ofensivo ou censurável. 6.3 Tecnologias de proteção baseadas em rede Existem várias tecnologias baseadas em rede que podem ser empregadas para proteger os ativos da empresa, como as apresentadas a seguir. • Rede privada virtual – VPN (virtual private network) A VPN é uma rede virtual segura que usa a rede pública, isto é, a internet. A segurança dessa rede encontra-se na criptografia do conteúdo do pacote entre os endpoints que definem a VPN. • Controle de acesso à rede – NAC (network access control) O NAC requer um conjunto de verificações antes de permitir que um dispositivo se conecte a uma rede. Algumas dessas verificações incluem o uso de softwares antivírus ou a realização de atualizações do sistema operacional. 86 Unidade III • Segurança de access point sem fio A segurança de access point sem fio ocorre com a implementação de autenticações e de criptografia. Saiba mais A empresa Cisco elaborou uma história em quadrinhos na qual um super-herói chamado SuperSmart auxilia no estabelecimento da segurança cibernética. Essa publicação se encontra no link indicado a seguir. MANEY, K.; HOLMES, M. SuperSmart Security graphic novel. In: THE NETWORK. [s.d.]. Disponível em: https://newsroom.cisco.com/ supersmartsecurity. Acesso em: 24 abr. 2020. 6.4 Tecnologias de proteção baseadas na nuvem As tecnologias de proteção baseadas na nuvem colocam o componente de tecnologia da organização no provedor da nuvem. Os três principais serviços de computação em nuvem são os explicados a seguir. • SaaS (software as a service) O SaaS permite que os usuários tenham acesso aos bancos de dados e aos softwares de aplicativos. Os provedores de nuvem gerenciam a infraestrutura, e os usuários armazenam dados nos servidores do provedor de nuvem. • IaaS (infrastructure as a service) O IaaS fornece recursos de computação virtualizados pela internet. O provedor hospeda o hardware, o software, os servidores e os componentes de armazenamento. • PaaS (platform as a service) O PaaS proporciona acesso a ferramentas e a serviços de desenvolvimento usados para entregar os aplicativos. Os provedores de serviços de nuvem ampliaram as opções citadas para incluir o ITaaS (IT as a service), que proporciona suporte para os modelos de serviço IaaS, PaaS e SaaS. No modelo ITaaS, a empresa contrata serviços individuais ou contrata um pacote com o provedor de serviços em nuvem. 87 SEGURANÇA NO AMBIENTE WEB Provedores de serviços de nuvem usam dispositivos de segurança virtual que são executados no próprio ambiente virtual. Utilizam um sistema operacional pré-preparado em pacotes, codificado, que é executado em hardware virtualizado. 6.5 Implementação de educação e treinamento em segurança cibernética Para obtermos uma rede corporativa efetivamente segura, precisamos de um programa de conscientização, visto que as pessoas, muitas vezes, formam o elo mais fraco da segurança cibernética. Um funcionário pode não ter intenções ruins, mas, por desconhecer os procedimentosadequados, pode colocar a segurança de sistemas e da rede em risco. Por isso, é importante observarmos as recomendações a seguir. • O treinamento de conscientização de segurança deve ser parte do processo de integração do funcionário às normas da empresa. • A conscientização de segurança deve ser componente dos requisitos do trabalho e estar presente nas avaliações de desempenho. • As sessões de treinamento presenciais e os cursos online devem constar das atividades do funcionário. A conscientização de segurança deve ser um processo contínuo, já que novas ameaças e técnicas estão sempre surgindo. 6.6 Estabelecimento de uma cultura de conscientização de segurança cibernética Todos os membros de uma organização devem estar conscientes das suas políticas de segurança, que precisam estar presentes nas atividades laborais diárias. Um programa de conscientização de segurança ativo no que se refere aos elementos da computação depende: • das características da empresa (ambiente organizacional); • do nível das ameaças. O estabelecimento de uma cultura de conscientização de segurança cibernética requer: • atitudes de efetiva liderança da alta gerência; • comprometimento e esforço contínuo de todos os envolvidos (usuários e funcionários). As mudanças na cultura de segurança cibernética de uma empresa dependem, inicialmente, da proposta de políticas e da concretização de procedimentos pela gerência. Além disso, algumas ações que contribuem para a real inserção das práticas de segurança são: 88 Unidade III • a criação de datas e dias voltados à conscientização de segurança cibernética; • a publicação de banners e de esquemas para aumentar a conscientização geral de segurança cibernética; • o oferecimento de seminários e workshops de orientação de segurança cibernética. No que se refere aos computadores, aos sistemas e à rede, além dos avanços da tecnologia e das funcionalidades inseridas nos firewalls, há serviços que podem ser incorporados para o aumento da segurança, como os mostrados a seguir. • Autenticação. • Uso de VPN. • Filtragem de conteúdo. • Filtragem de URL. • Filtragem de palavras-chave para emails. • Filtragem de spam. • Utilização de antivírus. 6.7 Dispositivos de segurança: firewall No campo da engenharia, em especial no que diz respeito às edificações, uma parede corta-fogo (firewall) é uma espécie de porta que isola as áreas comuns de um prédio da saída de incêndio. Essa porta visa a impedir que, no caso da ocorrência de incêndio, o fogo se alastre pelas dependências do prédio. Com isso, garante-se a segurança dos moradores do edifício. Na área de redes de computadores, um firewall deve exercer, basicamente, a função de filtrar as comunicações que podem entrar ou sair de um dispositivo ou da rede. Assim, um firewall é uma das ferramentas de segurança mais eficazes na proteção dos usuários contra ameaças externas. Segundo Nakamura e Geus (2007), o firewall representa um ponto de convergência entre duas ou mais redes. Ele pode ser um componente único ou congregar um conjunto de componentes. Pelo firewall, deve passar todo o tráfego de informações, a fim de que ele possa controlar, autenticar e registrar esse tráfego. Na figura 28, temos um esquema de atuação de um firewall. 89 SEGURANÇA NO AMBIENTE WEB Rede 1 Rede 2 Um ou mais componentes Ponto único Controle de acesso Autenticação Registro de tráfego Figura 28 – Esquema de atuação de um firewall Temos os seguintes tipos de firewall. • Firewall baseado em host. Instalado em um único computador, com o objetivo de protegê-lo. • Firewall pela rede. Dispositivo de rede autônomo que protege uma rede de computadores e todos os dispositivos hospedados nela. Vale notar que o firewall é um instrumento utilizado geralmente para a proteção de uma rede confiável em relação a uma rede pública não confiável, como esquematizado na figura 29. Internet Rede interna da organização Firewall Figura 29 – Uso de firewall nas conexões com a internet Em resumo: • os firewalls de rede, localizados entre duas ou mais redes, controlam o tráfego entre elas e ajudam a evitar o acesso não autorizado; • os firewalls baseados em hosts ou firewalls pessoais são instalados nos sistemas finais. Nos firewalls, temos várias técnicas que determinam a permissão ou a negação do acesso à rede, como as indicadas na sequência. • Filtragem de pacotes. Permite ou impede acessos com base em endereços IP ou MAC. 90 Unidade III • Filtragem de aplicações. Permite ou impede acessos a determinados tipos de aplicação com base no número das portas. • Filtragem de URL. Permite ou impede acessos a sites com base em URLs específicas ou palavras-chave. • Análise de pacote stateful – SPI (stateful packet inspection). Os pacotes de entrada devem ser respostas legítimas às solicitações de hosts internos. Na SPI, os pacotes não solicitados são bloqueados, a menos que exista alguma especificação contrária. A SPI também pode dispor de um recurso de reconhecimento de tipos específicos de ataque, como o ataque de DoS. Os produtos de firewall comerciais podem oferecer suporte a um ou mais desses recursos de filtragem. Outra finalidade do firewall é realizar a separação de diferentes sub-redes, grupos de trabalho ou LANs (local area networks) em uma organização. Ao longo dos anos, à medida que os ataques à rede e aos computadores se tornaram mais complexos e sofisticados, foram desenvolvidos novos tipos de firewall com propósitos específicos na proteção de uma rede. Na figura 30, temos uma captura de tela do Windows Firewall. Figura 30 – Captura de tela do Windows Firewall 91 SEGURANÇA NO AMBIENTE WEB 6.8 Comunicações seguras com VPN Quando nos conectamos a uma rede local e somente nela compartilhamos arquivos, a comunicação entre computadores mantém-se dentro dessa rede. Os dados permanecem seguros porque ficam fora de outras redes e fora da internet. No entanto, para a realização de comunicações e de compartilhamento de recursos por uma rede que não seja segura, os usuários devem empregar uma rede privada virtual – VPN (virtual private network). Inicialmente, a VPN foi desenvolvida para que redes baseadas em determinados protocolos pudessem se interconectar com redes diferentes, como ocorre no caso de uma rede X.25 que passa por uma rede baseada em IP. Por ser inaceitável que informações de negócios trafeguem sem proteção e sem segurança pela internet, a VPN incorporou os conceitos de criptografia para a manutenção do sigilo dos dados. Além disso, foi criado um protocolo padrão específico para as VPNs, denominado IPSec (IP security), com a finalidade de garantir a integridade, a autenticação e o sigilo dos dados. Em resumo, a VPN é uma rede privada que conecta usuários ou sites remotos por uma rede pública, como a internet. O tipo mais comum de VPN acessa uma rede privada corporativa. Nesse caso, a VPN utiliza conexões seguras dedicadas, roteadas pela internet, da rede corporativa privada para o usuário remoto. Quando os usuários estão conectados à rede privada corporativa, eles tornam-se parte dela e passam a ter acesso a todos os serviços e recursos dessa rede, como se estivessem fisicamente conectados à LAN corporativa. Conforme Nakamura e Geus (2007), as VPNs permitem criar conexões privadas, a fim de que as comunicações sejam efetuadas por meio de uma única ligação com a rede pública. Os resultados desse tipo de estratégia podem ser observados na simplicidade das conexões mostradas na figura 31. Nessa figura, vemos que apenas uma conexão pública precisa ser gerenciada, em oposição às múltiplas conexões que teriam de existir na implementação sem VPN. A) Matriz Fornecedor Internet Filial Distribuidor B) Internet Matriz Fornecedor Filial Distribuidor Figura 31 – A) Malha de conexões entre matriz, filiais, fornecedores e distribuidores. B) Malha simplificada de conexões pela utilização de VPN 92 Unidade III Um usuário que utiliza a VPN tem a percepçãode que está conectado diretamente à rede privada. No entanto, na realidade, o que se utiliza é uma infraestrutura pública. O emprego da rede pública para fazer a comunicação entre matriz, filiais e parceiros comerciais implica custos reduzidos, maior flexibilidade e maior escalabilidade em relação aos usuários móveis e ao aumento das conexões. A redução dos custos gerada pelo uso de uma VPN é consequência, primordialmente, do fato de o gerenciamento das conexões privadas ser mais complexo, em razão do maior número de componentes envolvidos. Além de isso provocar custos mais altos, existem problemas com a flexibilidade e a escalabilidade da rede. Com as VPNs, podemos ter acessos individualizados, como no caso de um acesso remoto, ou podemos ter acessos de uma rede para outra (gateway-to-gateway VPN). Nesse contexto, cabe notar que a criptografia possibilita o tunelamento das comunicações – por exemplo, com o uso de protocolos como IPSec ou TLS (NAKAMURA; GEUS, 2007). Os usuários de acesso remoto precisam ter o cliente VPN instalado em seus computadores para constituir uma conexão segura com a rede privada corporativa. O software do cliente VPN criptografa os dados antes de enviá-los pela internet para o gateway VPN na rede privada corporativa. Os gateways VPN estabelecem, gerenciam e controlam conexões VPN, também conhecidas como túneis VPN. Nessa situação, alguns sistemas operacionais incluem um cliente VPN que o usuário configura para uma conexão VPN. Na figura 32, temos uma captura de tela de conexão a uma VPN. Figura 32 – Captura de tela de conexão a uma VPN 93 SEGURANÇA NO AMBIENTE WEB Observação A VPN é um ambiente de comunicação com acesso controlado, que permite conexões seguras exclusivamente para determinada comunidade e que usa a infraestrutura de rede pública já existente, como a internet (GUIMARÃES; LINS; OLIVEIRA, 2006). Ela é chamada de virtual porque é meramente uma ilusão, do mesmo modo que os circuitos não são reais e que a memória virtual não é uma memória real (TANENBAUM; WETHERALL, 2011). Existem diversas formas de acessarmos uma VPN. Tais formas são sempre baseadas em protocolos específicos, cuja função é, essencialmente, criptografar os pacotes de dados entre os pontos de rede virtualmente conectados, simulando uma única rede e protegendo o fluxo de dados em um ambiente público. Entre os protocolos de acesso à VPN, temos o PPTP (point-to-point tunneling protocol). Sua função é executar transferências, de maneira segura, de um computador remoto para um servidor privado, por meio da VPN. Outro protocolo padrão, muito similar ao PPTP, é o protocolo L2TP (layer 2 tunneling protocol). Ambos são uma extensão do protocolo PPP (point-to-point protocol), ou seja, são protocolos da camada de enlace que encapsulam os pacotes de dados de um ponto de origem da rede até seu ponto de destino e não têm a capacidade de roteamento. No entanto, eles utilizam a criptografia para aumentar a segurança do tráfego de dados em um ambiente público, como a internet. No quadro a seguir, apresentamos os esquemas de encapsulamento dos protocolos PPTP e L2TP, partindo do ponto de vista dos quadros PPP. Quadro 7 – Esquemas de encapsulamento dos protocolos PPTP e L2TP Cabeçalho UDP Cabeçalho PPTP / L2TP Cabeçalho PPP Dados PPP 6.9 IDS (sistema de detecção de intrusão) O IDS é um componente essencial em um sistema de segurança de ambiente corporativo, visto que ele consegue detectar diversos ataques e intrusões e auxilia na proteção do ambiente. Um IDS opera como uma câmera ou como um alarme na prevenção das intrusões e é capaz de realizar detecções com base em algum tipo de conhecimento, como assinaturas de ataques, ou em desvios de comportamento. 94 Unidade III As principais funções do IDS são: • coleta de informações de intrusão; • avaliação das informações; • armazenamento das informações; • emissão de respostas para as atividades suspeitas. O firewall pode bloquear ou permitir uma tentativa de conexão. Quando a conexão é permitida pelo firewall, o IDS analisa o tráfego, que pode ser legítimo ou suspeito. Se o tráfego é legítimo, ele é liberado. Se o tráfego é suspeito, ele é analisado e respondido. A figura 33 mostra a relação entre o IDS e o firewall. Firewall IDS Conexão Permitir conexão Tráfego suspeito Detectar Analisar Responder Tráfego legítimo Bloquear conexão Figura 33 – Relação entre o IDS e o firewall Vale destacar que a localização do IDS é uma questão a ser definida com cuidado. 6.10 Segurança de endpoints Um endpoint, ou um host, é um sistema de computador individual ou um dispositivo que atua como um cliente da rede. Os endpoints mais frequentemente observados são notebooks, desktops, servidores, smartphones e tablets. A segurança de dispositivos de endpoint é uma das tarefas mais desafiadoras de um administrador de rede, porque envolve a natureza humana. Nesse sentido, as empresas devem ter as políticas em vigor bem documentadas, e os funcionários devem conhecê-las. Os funcionários precisam ser capacitados para usarem corretamente a rede. As políticas, nesse quesito, em geral incluem instruções sobre o uso de software antivírus e sobre medidas de prevenção contra invasões. Soluções de segurança de endpoints mais abrangentes são baseadas no controle de acesso à rede. Vejamos um caso, relativo a um fabricante de brinquedos de alta tecnologia para crianças, Vtech, que apresentou uma falha de segurança na sua base de dados em novembro de 2015. Essa falha causou 95 SEGURANÇA NO AMBIENTE WEB a exposição de informações sensíveis, como nomes de clientes, endereços de email, senhas, fotografias e registros de chat. Um brinquedo fabricado pela Vtech, na forma de tablet, tornou-se alvo de piratas digitais. Os clientes partilhavam fotos e usavam as funcionalidades do chat do tablet para brincar. Entretanto, as informações não foram protegidas de modo eficaz, e o site da empresa não suportava uma comunicação SSL segura. A falha não gerou a exibição de dados de cartão de crédito nem de dados de identificação pessoal, mas, mesmo assim, a Vtech foi punida com a suspensão das suas operações na bolsa de valores. Como a Vtech não protegeu devidamente as informações dos clientes, ela foi exposta durante a falha. Embora a empresa tenha informado aos clientes que as respectivas senhas tinham sido protegidas por hash, ainda seria possível que os hackers as decifrassem. As senhas na base de dados foram codificadas utilizando a função hash MD5 (que apresenta vulnerabilidades), mas as perguntas e as respostas de segurança foram armazenadas em texto simples. Com a possível exibição de informações em virtude da falha, os cibercriminosos poderiam utilizá-las para criar contas de email, solicitar crédito e assediar crianças. Em resumo, a falha de segurança da Vtech poderia ter ocasionado impactos sobre a privacidade dos clientes e, por isso, quase arruinou a reputação da empresa. 6.11 Segurança em operações bancárias 6.11.1 Evolução das transações bancárias Os bancos representam um setor que fez elevados investimentos em tecnologia a fim de automatizar suas operações e migrar para canais de custo reduzido. Inicialmente, houve investimento para disponibilizar operações bancárias pelo internet banking. Com a evolução dos smartphones, eles passaram a representar um novo canal para essas operações, o mobile banking. Os canais digitais oferecem praticidade e conveniência aos usuários, que têm à disposição uma gama variada de opções e, com isso, não precisam ir às agências com frequência. O relatório intitulado Pesquisa Febraban de Tecnologia Bancária 2019 mostrou, conforme ilustrado na figura 34, a evolução da quantidade de transações bancárias realizadas entre 2014 e 2018, separadas pelos seguintes canais: • mobile banking; • internet banking; • caixas eletrônicos – ATM (automated teller machine); • pontos de venda no comércio – POS (point of sale); • agências bancárias; 96 Unidade III • centraisde atendimento (contact centers); • correspondentes bancários. 2014 48,8 55,7 65,4 73,2 78,9 8% 12% 18% Evolução das transações bancárias por canal (em bilhões de transações) 14% 20162015 2017 2018 1,41,51,41,41,5 4,05,95,64,44,9 4,2 4,04,43,22,3 9,2 9,910,2 10,010,2 12,6 10,99,7 7,87,2 16,2 15,715,517,718,0 31,3 25,3 18,6 11,2 4,7 Mobile banking Internet banking POS (pontos de venda no comércio) ATM (autoatendimento) Correspondentes bancários Agências bancárias Contact centers Figura 34 – Quantidade de transações bancárias em diversos canais (2014-2018) Pela figura 34, vemos que o grande impulsionador do aumento na quantidade de transações bancárias foi o celular. Além disso, vemos que: • em 2014, das 48,8 bilhões de transações, 4,7 bilhões ocorreram via mobile banking, o que representa 9,6% do total; • em 2018, das 78,9 bilhões de transações, 31,3 bilhões ocorreram via mobile banking, o que representa 39,7% do total. Os percentuais apresentados estão indicados nos cálculos a seguir. Percentual de transações via mobile banking (2014): 4,7 48,8 x 100% = 9,6% Percentual de transações via mobile banking (2018): 31,3 78,9 x 100% = 39,7% 97 SEGURANÇA NO AMBIENTE WEB Concluímos que: • a quantidade do total de transações bancárias realizadas de 2014 para 2018 aumentou de 48,8 bilhões para 78,9 bilhões, o que representa 61,6% de aumento; • a quantidade de transações bancárias via mobile banking realizadas de 2014 para 2018 aumentou de 4,7 bilhões para 31,3 bilhões, o que representa 566% de aumento. Os percentuais apresentados estão indicados nos cálculos a seguir. Aumento percentual total (de 2014 para 2018): (78,9 - 48,8) 48,8 x 100% = 61,6% Aumento percentual de mobile banking (de 2014 para 2018): (31,3 - 4,7) 31,3 x 100% = 566% A tabela 1 apresenta a evolução da quantidade de operações feitas por mobile banking e por internet banking, divididas por tipo de transação. Tabela 1 – Quantidade de operações feitas por mobile banking e por internet banking, divididas por tipo de transação Evolução das transações com e sem movimentação financeira por canal (número de transações) Mobile banking Internet banking 2017 2018 Variação (%) 2017 2018 Variação (%) Pagamento de contas 872 milhões 1,6 bilhão 80% 1,5 bilhão 1,5 bilhão 0% Transferência/DOC/TED 394 milhões 862 milhões 119% 485 milhões 534 milhões 10% Contratação de crédito 225 milhões 359 milhões 60% 87 milhões 86 milhões -1% Investimento/aplicação 10 milhões 14 milhões 36% 58 milhões 94 milhões 63% Pesquisa de saldo 18,6 milhões 21,8 bilhões 17% 6,2 bilhões 5,1 bilhões -17% Fonte: Febraban (2019, p. 17). 6.11.2 Mecanismos de segurança para transações bancárias via internet Há vários mecanismos de segurança para transações bancárias feitas via internet. De acordo com Correia et al. (2008), tais mecanismos podem ser divididos em duas categorias: • mecanismos contra ataques remotos; • mecanismos contra ataques locais. Cabe notar que os mecanismos contra ataques remotos objetivam proteger usuários contra ataques nos quais indivíduos que agem de má-fé capturam dados sensíveis sem que tenham penetrado no computador ou na máquina do usuário do sistema. Esses mecanismos são eficientes contra alguns tipos 98 Unidade III de ataque, como o sniffing. Contudo, são ineficientes contra outros tipos, como o phishing, que devem ser tratados por mecanismos contra ataques locais. Vamos ver, a seguir, alguns exemplos de mecanismos de segurança. • TLS (transport layer security) O TLS é um protocolo criptográfico que proporciona a comunicação de internet para diversos serviços – por exemplo, o HTTP, utilizado pelos internet bankings. O protocolo TLS provê a autenticidade, a privacidade e a integridade dos dados transmitidos entre duas aplicações que se comunicam via internet. Isso se dá por troca de credenciais, criptografia e checagem de dados. Esse protocolo ajuda a impedir o acesso de atacantes a dados transmitidos e evita que ocorra a falsificação desses dados. • Encerramento da sessão Uma sessão é representada pelas informações armazenadas nos servidores em cada conexão. Quando o cliente efetua a autenticação, as informações são mantidas nos servidores, o que permite que ele seja identificado como um usuário autenticado e tenha garantia de acesso ao serviço. A sessão apenas permanece aberta se estiver de acordo com as regras impostas pelo serviço. O não atendimento às regras causa o encerramento da sessão e obriga o usuário a fazer nova conexão. • Chave temporal As chaves temporais, utilizadas com a intenção de reduzir o risco do roubo de senhas, baseiam-se no conceito de que seu uso é válido por um pequeno período. A segurança de uma chave temporal está centrada no fato de que uma chave comprometida em determinado tempo será invalidada após a passagem de certo período de tolerância, por ter sido trocada por outra chave. Uma das maneiras de implementarmos chaves temporais é pelo emprego de tokens. Outra maneira é a utilização de um cartão que contenha uma sequência que será solicitada a cada tentativa de autenticação no serviço, conforme mostrado na figura 35. Nesse caso, há reutilização das chaves, o que diminui consideravelmente o nível de segurança proporcionado pelo mecanismo. Figura 35 – Chave temporal em cartão 99 SEGURANÇA NO AMBIENTE WEB Uma terceira abordagem implementa a chave temporal no próprio celular do cliente. Com isso, o usuário pode acessar tanto o internet banking quanto as centrais de atendimento e o caixa eletrônico com ampliação da segurança. • Teclado virtual O teclado virtual é um dos principais mecanismos de segurança utilizados na prevenção de ataques locais gerados por malwares instalados nos computadores dos usuários. O teclado virtual serve para evitar que o usuário digite sua senha no teclado real. Nesse tipo de teclado, cada tecla tem dois números, o que dificulta que um observador externo descubra a senha digitada. A figura 36 mostra um exemplo de teclado virtual. Figura 36 – Captura de tela de teclado virtual Resumo Vimos, na unidade III, os tipos de malware mais frequentes e suas características, com destaque para vírus, worm, Trojan, spyware, adware, scanware, bot, MitM (man-in-the-middle), MitMo (man-in-the-mobile), rootkit, ransomware e bomba lógica. Abordamos as ferramentas para a segurança de sistemas, especificando as tecnologias de proteção baseadas em software, hardware, rede e nuvem. Verificamos a importância do estabelecimento de uma cultura de conscientização de segurança cibernética. Analisamos o dispositivo de segurança firewall e as comunicações seguras com VPN. Falamos sobre segurança em operações bancárias. 100 Unidade III Exercícios Questão 1. Os chamados códigos maliciosos, ou malwares, são programas computacionais desenvolvidos com a intenção de realizar ações danosas e atividades maliciosas em um computador ou em uma rede de computadores. Esse tipo de software pode ser utilizado, por exemplo, para a obtenção de informações confidenciais ou para a modificação de arquivos. Nesse sentido, um malware pode infectar um computador: I – Pelo acesso a páginas web maliciosas, com o uso de navegadores vulneráveis. II – Pela execução automática de mídias removíveis contaminadas, como pen drives. III – Pela ação direta dos invasores, que inserem códigos maliciosos em arquivos. É correto o que se expõe em: A) I, apenas. B) II, apenas. C) III, apenas. D) II e III, apenas. E) I, II e III. Resposta correta: alternativa E. Análise da questão Um código malicioso, ou malware, pode infectar um computador quando, por exemplo: • são acessadas determinadas páginas web por meio de navegadores vulneráveis; • é realizada a execução automática de mídias removíveis contaminadas; • é inserido em arquivos por ataques de invasores. Questão 2. As atividades realizadas na internet precisam ser providas de mecanismos de segurança que garantam as características expostas a seguir.• Confidencialidade. Trata-se da manutenção das restrições que foram autorizadas sobre o acesso e a divulgação de informações e da privacidade de indivíduos. 101 SEGURANÇA NO AMBIENTE WEB • Integridade. Trata-se da prevenção contra alterações ou destruições impróprias de informações. • Disponibilidade. Trata-se da garantia ao acesso e à utilização da informação de maneira rápida e confiável. Com base nesse tema, analise as afirmativas. I – Uma VPN (virtual private network) corresponde a uma rede de dados criptografados que são publicamente distribuídos por redes públicas. II – A assinatura digital refere-se a um mecanismo no qual são empregadas uma chave pública e uma chave privada. III – A criptografia assimétrica é um documento eletrônico assinado digitalmente, que possibilita que associemos uma pessoa (ou uma entidade) a uma chave pública. É correto o que se afirma em: A) I, apenas. B) II, apenas. C) III, apenas. D) II e III, apenas. E) I, II e III. Resposta correta: alternativa A. Análise das afirmativas I – Afirmativa correta. Justificativa: uma VPN (virtual private network) corresponde a uma rede de dados criptografados que são publicamente distribuídos por redes públicas. II – Afirmativa incorreta. Justificativa: a criptografia assimétrica refere-se a um mecanismo no qual são empregadas uma chave pública e uma chave privada. III – Afirmativa incorreta. Justificativa: a assinatura digital é um documento eletrônico assinado digitalmente, que possibilita que associemos uma pessoa (ou uma entidade) a uma chave pública.
Compartilhar