conceitos básicos de seguranca

que segurança é um hábito. Se seguir os procedimentos relacionados aqui, 
dificilmente alguém invadirá seu computador. Contudo, mesmo que você siga estes procedimentos, lembre-se 
também da segurança local. Não adianta tomar nenhuma precaução e deixar alguém mexer no seu 
computador inadvertidamente, ou sem acompanhamento. Da mesma forma, jamais use um computador 
compartilhado para digitar senhas ou informações sensíveis, MESMO QUE lhe dêem todas as seguranças 
possíveis e imagináveis. 
 
 
Análise Forense 
 
 Assim como em qualquer estudo criminalístico, o estudo sério da criminalidade envolvendo informática 
também tem seu ramo de análise forense. Contudo, pela própria informalidade do ambiente de informática 
nas empresas, e pela ausência de um corpo de estudo criminalístico na polícia, o assunto é tratado como 
conto de fadas. 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
 Grandes empresas que possuam uma infra-estrutura de TI proporcional terão provavelmente sua 
própria equipe de TI de segurança, e, consequentemente, de análise forense. Estudos mostram que a maioria 
dos ataques parte de dentro da empresa. Levando isso em consideração, faz-se necessária a presença de uma 
equipe que estude casos como por exemplo, proliferação de vírus. Porém, o objetivo principal da análise é a 
investigação de uma falha, com a intenção de colher evidências, que ajudem no processo de 
responsabilização, bem como no reparo dos danos e da própria falha. 
 
 O trabalho do investigador forense é baseado em provas digitais, dados armazenados em sistemas de 
informática. A característica destes dados é sua volatibilidade. Dados podem ser alterados com muita 
facilidade, estragando uma prova crucial, ou incriminando quem não tem nada a ver com a história. 
 
 
O especialista em segurança deve: 
 
• Colocar na mesma rede do computador / sistema comprometido um outro computador, geralmente 
um notebook, e analisar o tráfego 
 
• Desconectar o computador da rede 
 
• Analisar cada processo que o computador possui no ar 
 
• Tentar recuperar cada log possível, retirá-lo do computador e guardá-lo em um local seguro 
 
Só então o computador poderá ser desligado. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
8. Comércio Eletrônico 
 
 
 Tecnicamente falando, a tecnologia envolvida com comércio eletrônico é relativamente segura. 
Contudo, a segurança ao se realizar uma transação bancária, por exemplo, depende de diversos fatores, não 
só da tecnologia ou da segurança que a instituição financeira possui. 
 
 
Análise de Vulnerabilidades 
 
 Existem diversos pontos que são vulneráveis no comércio eletrônico. A típica conexão do usuário, até 
seu banco, no caso de home banking pela Internet, se parece com o seguinte diagrama: 
 
 
 No diagrama acima, vemos claramente que o maior risco de segurança está no computador do próprio 
usuário. Se este estiver infectado com um cavalo-de-tróia como o BO, todas as suas senhas, transações 
financeiras, enfim, tudo que estiver sendo digitado no teclado pode ser capturado para um arquivo e acessado 
por um suposto “hacker”. 
 
 Muitos autores de segurança irão discutir o quão seguras são as soluções para comércio eletrônico. 
Realmente, a grande maioria das soluções técnicas é excelente. Contudo, o usuário leigo não possui o 
conceito ou conhecimento para separar até onde vai a tecnologia de seu computador, e onde se inicia a 
tecnologia da companhia telefônica ou do provedor de acesso, ou até mesmo da instituição financeira ou loja 
virtual que se está acessando. O usuário leigo enxerga todos estes elementos como um único serviço. Assim 
Comércio Eletrônico
InternetInternetInternet
UsuárioUsuário
ProvedorProvedor
Servidor deServidor de
ComércioComércio
Vulnerabilidade:
Baixa
Média
Alta
http://home.http://home.netscapenetscape.com/eng/ssl3/3.com/eng/ssl3/3--SPEC.HTMSPEC.HTM
http://www.http://www.setcosetco.org/.org/
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
 
Romulo Moacyr Cholewa – http://www.rmc.eti.br, agosto de 2001. Vide “Distribuição / Cópia” neste material 
para maiores detalhes. 
sendo, ele não tomará as precauções necessárias com a segurança de seu computador, muitas vezes porque o 
serviço de comércio eletrônico lhe “disse” que o sistema era tão seguro que chegava a ser à prova de falhas. 
Hackers que desejem obter tais informações SEMPRE explorarão as FALHAS dos sistemas. Nunca irão de 
encontro com uma barreia praticamente intransponível: atacarão sempre o ponto mais frágil, mais vulnerável, 
aquele elo que pode ser “corrompido”. Neste caso, fácil até demais: o computador do usuário. 
 
 A grande maioria dos sites de comércio eletrônico usam três tecnologias (saparadas ou em conjunto, 
na maioria das vezes). São elas: 
 
1. SSL (Secure Sockets Layer) 
2. SET (Secure Eletronic Transactions) 
3. Shopping Carts 
 
 O SSL é um padrão de criptografia desenvolvido pela Netscape, para criar um túnel seguro, onde 
todas as informações entre o browser do usuário e o site da loja ou instituição financeira são trocadas de 
forma criptografada. Acessar e quebrar as informações durante o tráfego é praticamente impossível. Contudo, 
estudos comprovam ser possível realizar tal façanha. 
 
http://developer.netscape.com/docs/manuals/security/sslin/contents.htm 
 
 O padrão SET (Secure Eletronic Transactions) foi criado por administradoras de cartão de crédito, com 
a intenção de instituir um método capaz de impedir fraudes relativas a transações financeiras (geralmente 
compras através da Internet). A filosofia do sistema é bem simples: ao se comprar um produto numa loja 
virtual, você seleciona o(s) produto(s), e, na hora de efetuar o pagamento, através do SET, a cobrança é 
enviada diretamente do seu computador para a instituição financeira (digamos, a administradora do seu 
cartão de crédito). Assim, suas informações pessoais como o número do seu cartão NÃO são enviadas para a 
loja, e sim para administradora. A loja apenas recebe a confirmação do débito. Desta forma, mesmo que o site 
da loja seja atacado e suas informações sejam expostas, elas não conteriam em tese seu cadastro. 
Recentemente tivemos a invasão de uma grande loja de venda de CDs pela Internet, a CD Universe. Milhares 
de números de cartões de crédito foram comprometidos, o que forçou a empresa a entrar em um acordo com 
a administradora e emitir novos cartões para todos aqueles expostos. Um gasto de milhares de dólares, sem 
contar com o dano causado a imagem da empresa. 
 
 Os shopping carts são pequenos programas usados nos sites de comércio eletrônico que acompanham 
as páginas que você visitou recentemente no site, assim como que itens escolheu ultimamente, e que itens 
estão na sua relação de compra. A grande maioria deles utiliza “cookies”, pequenos textos que são trocados 
entre o seu browser e o site, para armazenar tais informações. Em sites que não possuem SET, ou que 
trabalham com programas de shopping carts de baixa qualidade / vulneráveis, eles podem gravar em cookies 
suas informações pessoais, sem criptografia, ou com criptografia fraca. Assim, qualquer um que tenha acesso 
ao seu computador localmente terá potencialmente acesso a tais arquivos. Algumas vezes, até senhas e 
números de cartões de crédito podem ser gravados em cookies. Como regra básica, não efetue transações de 
comércio