Baixe o app para aproveitar ainda mais
Prévia do material em texto
128 Unidade IV Unidade IV 7 ASPECTOS TECNOLÓGICOS DA SEGURANÇA DA INFORMAÇÃO 7.1 Criptografia e infraestrutura de chaves A criptografia é uma ciência fundamental para a segurança, servindo de base para diversas tecnologias e protocolos. Suas propriedades de confidencialidade, autenticidade, integridade, autenticação e não repúdio garantem o armazenamento, a comunicação e as transmissões de forma segura. Este capitulo discutirá o papel da criptografia, sua segurança e também a PKI (Public Key Infraestructure), ou Infraestrutura de Chaves Públicas. Para entender como chegamos aos conceitos aplicados hoje em dia, vamos voltar ao passado e entender o contexto em que tudo começou. Há aproximadamente 1900 a.C., escribas hebreus utilizaram um sistema de substituição do alfabeto, de forma reversa. A tal método foi atribuída a denominação de Atbash. Dessa forma, chamamos essa técnica de cifras de substituição, uma vez que os caracteres da mensagem original são substituídos pelos caracteres da mensagem cifrada. Tempos mais tarde, por volta de 100 e 44 a.C., Júlio César, o imperador romano, utilizou um sistema chamado de Cifra de César, o qual consistia em deslocar as letras do alfabeto em algumas posições. Por exemplo, utilizado a chave “3”, o alfabeto cifrado seria: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Utilizando esta técnica, se tentarmos descrever a frase “BOM DIA”, o resultado seria “ERP GLA”. Daquela época até os dias de hoje, muitas mudanças e avanços ocorreram, de modo que os métodos de criptografia tiveram uma grande evolução. Como exemplo temos o surgimento de novos algoritmos, como DES, 3 DES, Twofish, Blowfish, entre outros. Utilizando os mecanismos disponíveis hoje para o processo de criptografia, descrevemos a seguir um resumo dos serviços de segurança que a criptografia pode nos oferecer: • Confidencialidade: protege o sigilo das informações contra acesso de terceiros não autorizados. • Autenticação: verifica a identidade de um indivíduo ou um sistema. • Autenticidade: assegura que a mensagem foi gerada por quem realmente se alega ser. 129 SEGURANÇA DA INFORMAÇÃO • Integridade: garante que as informações não foram alteradas desde a sua geração. • Não repúdio: impede que uma pessoa ou sistema negue sua responsabilidade sobre seus atos. Para utilizar cada um destes serviços, diversas técnicas são empregadas, as quais serão detalhadas a seguir. De forma bastante simples, podemos definir a criptografia simétrica com dois elementos fundamentais: um algoritmo e uma chave que deve ser compartilhada entre os participantes na comunicação, sendo que esta mesma chave é utilizada tanto para codificar como para decodificar as mensagens. Quanto ao canal de transmissão dessas informações (chave e mensagens), e considerando que toda a segurança deste sistema depende do sigilo da chave, ela não pode ser transmitida no mesmo canal da mensagem. Para isso são utilizados canais seguros para a troca das chaves, em razão do alto custo, e canais não tão seguros para a transmissão das mensagens. Na figura a seguir está demonstrado um exemplo simples do funcionamento da criptografia simétrica. Mensagem original Mensagem original Criptografa mensagem Criptografa mensagem Mensagem cifrada Chave cripitografia Chave cripitografia Figura 35 – Criptografia simétrica Com base nesses conceitos, é possível perceber que esse mecanismo apresenta desvantagens aparentes, como escalabilidade na troca das chaves e garantia de não repúdio à falta de mecanismos seguros de autenticação. Já como vantagens, podemos citar a baixa demanda de processamento e memória. Na tabela seguinte podemos ver alguns exemplos de algoritmos simétricos e suas particularidades: Quadro 29 – Exemplos de algoritmos simétricos Algoritmo Comprimentoda Chave Descritivo DES 56 bits Primeiro padrão mundial 3DES 168 bits (efetivo de 112) Nova versão do DES Blowfish Variável até 448 bits Alternativa ao DES RC4 Variável de 40 a 256 bits Utilizado nos protocolos SSL, WEP e WPA 130 Unidade IV As funções de hash têm por objetivo macro garantir que a mensagem não foi alterada durante o caminho. Para isso, a mensagem a ser criptografada recebe uma chave simétrica que é utilizada para gerar o MAC (Message Autentication Code). Esse processo é bastante complexo, pois são empregadas funções fáceis de se calcular em uma direção e extremamente difícil na direção contrária. Dessa forma, a chave empregada para gerar o MAC não pode ser a mesma para a criptografia da mensagem. Dessa forma, é necessário que haja um canal seguro para a troca das chaves. Entretanto, para as chaves simétricas, será necessária a utilização de duas chaves: uma para criptografia das mensagens e outra para a geração do MAC. Com isso, quanto mais usuários utilizarem este mecanismo, mais chaves serão necessárias, o que torna o processo de gestão extremamente complexo. Para resolver este problema desenvolveu-se o conceito de chaves assimétricas. A criptografia assimétrica surgiu na década de 1970, quando foi desenvolvido o conceito de chaves assimétricas, o qual tem em sua essência a utilização de duas chaves matematicamente relacionadas, sendo uma pública e outra privada. Seu objetivo principal era resolver os problemas de troca segura de chaves e escalabilidade, encontrados nas cifras simétricas. De forma básica, quando uma mensagem é codificada com uma chave pública, ela somente pode ser interpretada utilizando a chave privada, e vice-versa. Tecnicamente, este mecanismo parte do princípio de que a multiplicação de dois números primos é fácil de ser feita, entretanto sua fatoração (processo inverso) para descobrir quais foram os números iniciais ainda é um problema de difícil resolução. Um exemplo de aplicação desta metodologia é o algoritmo RSA, proposto por Rivest, Shamir e Adleman em 1977. Mensagem original Utiliza a chave privada de A para decodificar o texto Mensagem cifrada Internet Chave pública usuário A Chave pública usuário A Criptografa o texto utilizando chave pública de A Figura 36 – Criptografia assimétrica 131 SEGURANÇA DA INFORMAÇÃO Até os dias de hoje, a grande complexidade destes problemas, além do tamanho das chaves utilizadas, garantem o sucesso deste algoritmo. Entretanto, em razão da quantidade de cálculos processados, o modelo exige uma grande capacidade de processamento. Para resolver problemas de verificação de autenticidade de uma mensagem, os sistemas de chaves públicas utilizam as chamadas assinaturas digitais, que funcionam da seguinte forma: • O remetente gera um hash da mensagem a ser envidada; • Realiza a codificação com sua chave privada, gerando uma assinatura digital; • Adiciona a mensagem, que é cifrada com a chave pública do destinatário. Dessa forma, se o hash da assinatura for igual ao gerado a partir da mensagem recebida, a assinatura é confirmada e a mensagem é autêntica e íntegra. Com base nestes conceitos, podemos perceber que tanto os algoritmos simétricos como os assimétricos possuem vantagens e desvantagens. Para uma melhor visualização deste conteúdo, descrevemos a seguir uma tabela comparando os dois modelos: Quadro 30 - Comparativo entre criptografia assimétrica x simétrica Sistema Criptografia Assimétrica Criptografia Simétrica Vantagens Chaves podem ser negociadas por meio de um canal inseguro Velocidade Maior escalabilidade Elevado nível de segurançaUtilizada em outros serviços, como assinatura digital Desvantagens Lentidão A troca das chaves deve ocorrer em um canal seguro Necessita de uma chave maior para obter segurança Baixa escalabilidade Não proporciona outros serviços Para um melhor aproveitamento destas tecnologias, alguns produtos utilizam uma abordagem mista, conhecida como criptografia híbrida. Dessa forma, aproveita-se a vantagem de cada sistema. Neste modelo, a mensagem seria codificada por meio da criptografia simétrica com uma chave gerada de forma pseudo-randômica, sendoque sua transmissão ocorre a partir de algoritmos assimétricos. Um exemplo disso é o protocolo SSL, em que uma das partes (cliente) gera uma chave simétrica e a codifica com uma chave pública do servidor. Quando esta chave é recepcionada, o servidor se abre utilizando um algoritmo simétrico para criptografar as mensagens em si. Nesse exemplo, é utilizado o desempenho da criptografia simétrica e a segurança na troca das chaves por meio da criptografia assimétrica. 132 Unidade IV 7.2 Certificados digitais Os sistemas de chaves públicas e seus conceitos resolvem uma série de problemas, assim como a utilização de sistemas híbridos. No entanto, fica uma pergunta: como é possível garantir a propriedade de uma chave pública em todos estes processos? Para resolver esta questão, é necessário que nestes processos exista uma entidade terceira, com a responsabilidade de verificar a identidade do proprietário de uma chave pública, assinando digitalmente sua comprovação. Para isso foram criadas as ACs (Autoridades Certificadoras), cujo objetivo é atestar a propriedade de sua chave pública, em que, na troca de informações, cada uma das partes solicita seus respectivos certificados digitais para as ACs. Entretanto, este modelo não seria viável em virtude das diferenças de localização e da quantidade de solicitações para uma única AC. Esta demanda foi resolvida com o relacionamento entre as ACs, os quais podemos dividir basicamente em três formatos: • Hierárquico: uma AC raiz tem a função de assinar o certificado de outras ACs, as quais podem ter outras ACs subordinadas e assim por diante; • Certificação cruzada: a AC raiz de uma cadeia assina o certificado de outra AC raiz de uma nova cadeia; • Híbrido: são utilizados os dois conceitos. Por exemplo, se a AC raiz “x” assina o certificado da AC raiz “y”, consequentemente todas as ACs abaixo destas cadeias confiam entre si. Embora as ACs tenham diversos problemas resolvidos quanto a comprovação da identidade do responsável por uma chave pública, algumas questões de gestão dos certificados ainda necessitam ser tratadas. Para isso lança-se mão da estrutura chamada de ICP (Infraestrutura de Chaves Públicas), a qual deve combinar a utilização de software, hardware, protocolos, padrões e processos para fornecer seus serviços. Trata-se de um conjunto de tecnologias e processos desenhados para prover diversos serviços de segurança. Uma ICP tem, entre seus componentes básicos, usuários, aplicações, as ACs, certificados digitais, além das ARs (Autoridades Registradoras) e de diretórios/repositórios de dados. As Autoridades Registradoras têm por objetivo interagir com o usuário e repassar as solicitações de emissão ou renovação de certificados digitais, por exemplo, para o processamento das ACs, garantindo assim a proteção das ACs contra ações externas. Quanto aos diretórios/repositórios de dados, estes fornecem um local de fácil acesso para os terceiros acessarem os certificados emitidos pelas ACs. 133 SEGURANÇA DA INFORMAÇÃO Saiba mais Para maiores informações sobre a estrutura da ICP Brasil, acesse: <http://www.iti.gov.br>. Acesso em 13 jan. 2012. Além da tecnologia, das políticas e dos processos estabelecidos para garantir segurança, podemos destacar a legislação sobre infraestrutura de chaves públicas como último elemento deste processo. O objetivo da legislação neste caso é validar legalmente os mecanismos criptográficos utilizados. A confidencialidade, a autenticidade e o não repúdio são os principais serviços oferecidos pela criptografia, sendo que a assinatura digital e os certificados digitais possibilitam a criação de leis que reconheçam esses registros. Diante dessa situação, em agosto de 2001 foi editada a Medida Provisória 2200-2, a partir da qual foi criada a ICP-Brasil, que dava validade a documentos assinados digitalmente. Ou seja, tem por objetivo garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. A Medida Provisória também instituiu a formação de um Comitê Gestor da ICP-Brasil, cuja missão é adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil. Também foi instituída a AC raiz, a primeira entidade da cadeia de certificação da ICP-Brasil, além das ACs e ARs, em conformidade com as normas do Comitê Gestor. A segurança a ataques criptográficos e a avaliação desta segurança de algoritmos residem na facilidade ou não com que uma pessoa consegue decifrar as mensagens. Além dos ataques de força bruta e dos ataques de forma mais simples a algoritmos – os quais são menos eficiente e às vezes impossíveis de ser implementados devido ao tamanho das chaves –, existem outras técnicas que podem ser utilizadas pelos criptoanalistas. Vejamos alguns exemplos: • COA (Ciphertext Only Attack): nesta técnica, o foco é o comprometimento da confidencialidade das informações. O criptoanalista tem acesso apenas a uma ou mais mensagens codificadas e seu objetivo é descrobrir as mensagens originais. • Ataque de KPA (Know Plaintext Attack): o criptoanalista tem acesso ao texto cifrado e ao texto plano que o originou, a partir das quais tenta obter a chave em uso. • CPA (Choose Plaintext Attack): o adversário é capaz de escolher o texto plano que será cifrado. • ACPA (Adaptative Choosen Plaintext Attack): são enviados diversos pequenos blocos de dados, os quais são adaptados conforme o criptoanalista vai coletando informações. Seu objetivo é descobrir a chave em uso. 134 Unidade IV Todos os sistemas criptográficos possuem níveis diferentes de segurança, dependendo da facilidade ou da dificuldade com que são quebrados. A segurança de um criptossistema não deve ser baseada nos algoritmos que cifram as mensagens, mas no tamanho das chaves usadas. Podemos dizer que um algoritmo é considerado forte quando é praticamente impossível quebrá-lo em um determinado espaço de tempo em que as informações ainda sejam relevantes e que possam ser utilizadas por pessoas não autorizadas. Geralmente, a maneira mais fácil de determinar se um algoritmo é considerado forte é publicando sua descrição, fazendo com que várias pessoas possam testar e avaliar sua eficiência. Programas que usam algoritmos proprietários não divulgam sua especificação. Normalmente isto acontece porque a simples divulgação do método revelaria também seus pontos fracos. 7.3 Vulnerabilidades, ameaças e mecanismos de proteção Quando uma organização se depara com os recursos tecnológicos para proteção dos ativos de informação, logo ela se preocupará em defender três ativos de informação em especial: seus dados, seus recursos e sua reputação diante dos clientes e do mercado. Para que uma organização consiga uma melhor eficácia na utilização dos recursos tecnológicos para a proteção à segurança da informação, alguns itens como vulnerabilidades, ameaças, possíveis formas de ataque, atacantes e, principalmente, formas de se proteger, devem estar bem definidos na mente dos profissionais de segurança da informação e dos profissionais de TI. A vulnerabilidade pode ser definida como uma falha no projeto ou na implementação de um software ou sistema operacional, que quando explorada por um atacante resulta na violação da segurança de um computador. Existem casos em que um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, por meio da rede. Portanto, um atacante conectado à internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável. Segundo a CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), 95% das invasões é resultado de vulnerabilidades conhecidas ou erros de configuração. Diante disso, podemos dizer que a grande maioria das vulnerabilidadespode ser facilmente prevenida se devidamente conhecidas. Por sua vez, as ameaças sempre existirão. Diferentemente das vulnerabilidades, que podem ser sanadas ou protegidas, as ameaças estão sempre à espreita, na espera de explorar uma vulnerabilidade para assim concretizar o ataque e, muito possivelmente, causar danos. 135 SEGURANÇA DA INFORMAÇÃO As ameaças podem ser divididas em: • Vírus • Worm • Backdoor • Cavalo de Troia • Negação de serviço (DoS – Denial of Service) • DDoS (Distributed Denial of Service) • Engenharia Social • Boatos (Hoaxes) • Spam 7.3.1 Vírus Programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infecção, o vírus embute uma cópia de si mesmo em um programa ou arquivo, que quando executado também executa o vírus, dando continuidade ao processo de infecção. Um vírus pode afetar um computador a ponto de assumir o controle total sobre ele, podendo mostrar uma simples mensagem de “feliz aniversário”, até alterar ou destruir programas e arquivos do disco. Para que aconteça a infecção por um vírus de computador, é preciso que de alguma maneira um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras: ao abrir arquivos anexados aos e-mails, ao abrir arquivos do Word, Excel e outros programas, ao abrir arquivos armazenados em outros computadores, ao compartilhar recursos, ao instalar programas de procedência duvidosa ou desconhecida, obtidos via internet, pendrives, CD-ROM e outros meios. É possível haver a infecção por um vírus sem que o usuário se dê conta disso. A maioria desses malwares procuram permanecer ocultos em sua máquina enquanto infecta arquivos do disco e executa uma série de atividades sem o conhecimento do usuário. Existem ainda outros tipos que permanecem inativos durante certos períodos, mas que entram em atividade em datas específicas ou quando acionados por seus programadores (redes zumbis). Uma ferramenta de grande capacidade de propagação de vírus são os e-mails, normalmente a partir de um arquivo anexado a uma mensagem. O conteúdo dessa mensagem invariavelmente procura induzir o usuário a clicar sobre o arquivo anexado, de modo que o vírus seja executado. Quando este vírus entra em ação, além de infectar arquivos e programas, envia cópias de si mesmo para todos os contatos encontrados nas listas de endereços de e-mail armazenadas no computador. É importante ressaltar que este tipo específico de vírus não é capaz de se propagar 136 Unidade IV automaticamente. O usuário precisa executar o arquivo anexado que contém o vírus, ou então o programa de e-mail precisa estar configurado para autoexecutar arquivos anexados. Outra forma de infecção é pelos vírus de macro. Macro é um conjunto de comandos que são armazenados em alguns aplicativos e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria em um editor de textos, que visa definir uma macro que contenha sequências de passos necessários para imprimir um documento com a orientação de retrato e utilizando a escala de cores em tons de cinza. Neste caso, um vírus de macro é escrito de forma a explorar tal facilidade de automatização, além de ser parte de um arquivo que normalmente é manipulado por algum aplicativo que utiliza macros. Para que o vírus entre em ação, o arquivo que o contém precisa ser aberto. A partir daí, automaticamente uma série de comandos são executados e outros arquivos no computador começam a ser infectados. Existem alguns aplicativos que possuem arquivos base (modelos) que são abertos sempre que o aplicativo é executado. Caso este arquivo base seja infectado pelo vírus de macro, toda vez que o aplicativo for executado, o vírus também será. Arquivos nos formatos gerados pelo Microsoft Word, Excel, Powerpoint e Access são os mais suscetíveis a este tipo de vírus. Arquivos nos formatos RTF e PDF são menos suscetíveis, porém isso não tira a possibilidade de conterem vírus. 7.3.2 Worm Worm (verme) é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferentemente do vírus, o worm não necessita ser explicitamente executado para se propagar. Sua propagação se dá a partir da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Geralmente o worm não tem como consequências os mesmos danos gerados por um vírus, como a infecção de programas e arquivos ou a destruição de informações. Porém isto não significa que não represente uma ameaça à segurança de um computador ou que não cause qualquer tipo de dano. Worms são notadamente responsáveis por consumir muitos recursos, degradar sensivelmente o desempenho de redes e possivelmente lotar o disco rígido em razão da grande quantidade de cópias de si mesmo que costumam propagar. Além disso, podem gerar grandes transtornos para aqueles que estão recebendo tais cópias. Detectar sua presença em um computador não é uma tarefa fácil. Muitas vezes eles realizam uma série de atividades, incluindo sua propagação, sem que o usuário tenha conhecimento. Embora alguns programas antivírus permitam detectar a presença de worms e até mesmo evitar que eles se propaguem, isto nem sempre é possível. Portanto, o melhor é evitar que os computadores sejam utilizados para propagá-los. 137 SEGURANÇA DA INFORMAÇÃO Para proteger seu equipamento contra essa ameaça, além de utilizar um bom antivírus que permita detectar e até mesmo evitar a propagação de um worm, é importante que o sistema operacional e os softwares instalados não possuam vulnerabilidades. Normalmente um worm procura explorar alguma vulnerabilidade disponível em um computador para que possa se propagar. Portanto, as medidas preventivas mais importantes são aquelas que procuram evitar a existência dessas vulnerabilidades. Outra medida preventiva é instalar e configurar um firewall pessoal. Se bem configurado, o firewall pode evitar que um worm explore uma possível vulnerabilidade em algum serviço disponível nos computadores ou, em alguns casos, mesmo que o worm já esteja instalado no computador, pode evitar que explore vulnerabilidades em outros computadores. Em resumo, para que os worms sejam evitados, é necessário: • Instalar e manter atualizado um bom programa antivírus; • Manter o sistema operacional e demais softwares sempre atualizados; • Corrigir eventuais vulnerabilidades existentes nos softwares utilizados; • Instalar um firewall pessoal, que em alguns casos pode evitar que uma vulnerabilidade existente seja explorada ou que o worm se propague. 7.3.3 Backdoors Backdoors ocorrem quando um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na realização da invasão. Na maioria dos casos, a intenção do atacante é poder retornar ao computador comprometido sem ser notado. A esses programas de retorno a um computador comprometido, utilizando-se serviços criados ou modificados para este fim, dá-se o nome de backdoor. A forma usual de inclusão de um backdoor consiste na adição de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente incluindo recursos que permitam acesso remoto (via internet). Outra forma se dá por meio de pacotes de software, tais como o Back Office e NetBus, da plataforma Windows, conhecidos por disponibilizarem backdoors nos computadores onde são instalados. Observação O Back Office é um programa desenvolvido pela Microsoft para a plataforma Windows que permite o acesso remoto entre estações de trabalho, as quais são atacadas pelos crackers a partir dessa funcionalidade 138 Unidade IV para obter acesso. Já o NetBus é um sistema de administração remoto similar ao Back Office para outras plataformas. A existência de um backdoor não depende necessariamente de uma invasão, como na instalação de um vírus por meio de um cavalo de troia ou na inclusão como consequênciada instalação e má configuração de um programa de administração remota. Alguns fabricantes incluem backdoors em seus produtos (softwares, sistemas operacionais), alegando necessidades administrativas. É importante ressaltar que estes casos constituem uma séria ameaça à segurança de um computador que contenha um destes produtos instalados, mesmo que backdoors sejam incluídos por fabricantes conhecidos. Todos os sistemas operacionais podem ter backdoors inclusos. Isso não é restrito a alguns sistemas operacionais. Embora os programas antivírus não sejam capazes de descobrir o malware em questão em um computador, as medidas preventivas contra a infecção por vírus são válidas para se evitar algumas formas de infecção. A ideia é que não se executem programas de procedência duvidosa ou desconhecida, sejam eles recebidos por e-mail, sejam obtidos na internet, pois a execução de tais programas pode resultar na instalação de um backdoor. Caso seja necessária a utilização de algum programa de administração remota, certifique-se de que ele esteja bem configurado, de modo a evitar que seja utilizado como um backdoor. Existem casos em que a disponibilização de uma nova versão ou de um patch está associada à descoberta de uma vulnerabilidade em um software, que permite a um atacante ter acesso remoto a um computador, de maneira similar ao acesso aos backdoors. Em resumo, para que sejam evitados os backdoors, deve-se seguir as seguintes recomendações: • Seguir as mesmas recomendações para prevenção contra infecção por vírus; • Não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas; • Não executar programas de procedência duvidosa ou desconhecida; • Instalar um firewall pessoal, que em alguns casos pode evitar o acesso a um backdoor já instalado no computador e corrigir eventuais vulnerabilidades existentes nos softwares utilizados. 7.3.4 Cavalo de Troia Conta a mitologia grega que o “Cavalo de Troia” foi uma grande estátua construída e utilizada como instrumento de guerra pelos gregos para obter acesso à cidade de Troia. A estátua do cavalo foi 139 SEGURANÇA DA INFORMAÇÃO recheada com soldados que, durante a noite, abriram os portões da cidade, possibilitando a entrada dos gregos e a dominação de Troia. Daí surgiram os termos “presente de grego” e “cavalo de Troia”. Para TI, um Cavalo de Troia (Trojan Horse) é um programa que, além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Algumas dessas funções são: alteração ou destruição de arquivos, furto de senhas e outras informações sensíveis, como números de cartões de crédito, inclusão de backdoors para permitir que um atacante tenha total controle sobre o computador, entre outros. É possível diferenciar facilmente um cavalo de troia de um vírus ou worm, pois, diferentemente desses dois malwares, ele não se replica, não infecta outros arquivos e nem propaga cópias de si mesmo automaticamente. Normalmente um cavalo de troia consiste de um único arquivo que necessita ser explicitamente executado. Podem existir casos em que um cavalo de troia contenha um vírus ou worm, mas mesmo nesses casos é possível distinguir as ações realizadas como consequência da execução do cavalo de troia propriamente dito, daquelas relacionadas ao comportamento de um vírus ou worm. Para que seja instalado em um computador, é necessário que o cavalo de troia seja executado. Ele geralmente vem anexado a um e-mail ou está disponível em algum website na internet. É importante ressaltar que existem programas de e-mail que podem estar configurados para executar automaticamente arquivos anexados às mensagens. Neste caso, o simples fato de ler uma mensagem é suficiente para que qualquer arquivo (executável) anexado seja executado. O ideal é verificar esta configuração e adequá-la para executar os anexos manualmente. Os exemplos mais comuns de cavalos de troia são programas que são recebidos ou que são acessados por meio de um website e que dizem ser jogos ou protetores de tela. 7.3.5 Spyware Software malicioso que, uma vez instalado no computador, monitora as atividades de seus usuários, coletando informações (senhas, logins, documentos) e as enviando para terceiros. 7.3.6 Phishing Golpe no qual o fraudador envia mensagens em nome de instituições oficiais com o objetivo de induzir o acesso a páginas falsas. Para tanto, são utilizados textos, imagens e links reais para instalar um programa que tenta furtar dados pessoais e financeiros de usuários, como número de cartão de crédito, senhas de acesso e outros, ou induzir a vítima a fornecê-los. 140 Unidade IV 7.3.7 Negação de serviço (DoS – Denial of Service) Neste tipo de ataque, o atacante a partir de um computador tira de operação um serviço ou computador conectado à internet para gerar uma grande sobrecarga no processamento de dados do equipamento, de modo que o usuário não consiga utilizá-lo. Exemplos deste tipo de ataque são: ações para gerar um grande tráfego de dados para uma rede, ocupando toda a banda disponível e indisponibilizando qualquer computador desta rede; retirar serviços importantes de um provedor do ar, impossibilitando o acesso dos usuários às suas caixas de correio no servidor de e-mail ou ao servidor web; entre outros. 7.3.8 DDoS (Distributed Denial of Service) Constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores que é utilizado para tirar de operação um ou mais serviços ou computadores conectados à internet. Normalmente estes ataques procuram ocupar toda a banda de acesso a um computador ou rede, causando grande lentidão ou até mesmo indisponibilizando qualquer comunicação com este computador ou rede. Se uma rede ou computador sofrer um DoS, isto não significa que houve uma invasão. O objetivo de tais ataques é indisponibilizar o uso de um ou mais computadores, e não a invasão. É importante notar que, principalmente em casos de DDoS, computadores comprometidos podem ser utilizados para desferir os ataques de negação de serviços. 7.3.9 Engenharia social Engenharia social é o termo utilizado para descrever o método de ataque em que alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou da confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou a outras informações. Um exemplo desse ataque pode ser entendido quando algum desconhecido liga para a empresa e diz ser da equipe de suporte técnico da rede. Nessa ligação ele diz que seu login está com problemas e que precisa do seu usuário e senha para resolver e efetuar os devidos testes. Caso o usuário entregue a senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso à rede e relacionar tais atividades ao usuário de rede. Lembrete A engenharia social é uma técnica que explora os valores e sentimentos humanos com intenção de obter informações e, assim, concretizar um ataque ainda maior dentro dos sistemas das organizações. 141 SEGURANÇA DA INFORMAÇÃO 7.3.10 Boatos (Hoaxes) Boatos (Hoaxes) são e-mails que possuem conteúdos alarmantes ou falsos e que geralmente têm como remetente ou apontam como autor da mensagem alguma instituição, empresa importante ou órgão governamental. Por meio de uma leitura minuciosa deste tipo de e-mail, normalmente é possível identificar em seu conteúdo mensagens absurdas e muitas vezes sem sentido. Dentre os diversos boatos típicos que chegam às caixas postais de usuários conectados à internet, podem-se citar: correntes ou pirâmides, mensagens sobre pessoas ou crianças que estão prestes a morrer de câncer, mensagens de que a República Federativa de algum país estaria oferecendo elevadas quantias em dinheiro e pedindo a confirmação do usuário ou, até mesmo, solicitando algum dinheiro para efetuar a transferência. Históriasdeste tipo são criadas não somente para espalhar desinformação pela internet, mas também para outros fins maliciosos. Normalmente, o objetivo do criador de um boato é verificar o quanto ele se propaga pela internet e por quanto tempo permanece se propagando. De modo geral, os boatos não são responsáveis por grandes problemas de segurança, a não ser ocupar espaço nas caixas de e-mails de usuários. No entanto, podem existir casos com consequências mais sérias, como boatos que procuram induzir usuários de internet a fornecer informações importantes (como números de documentos, de contas-corrente em banco ou de cartões de crédito), ou indicam uma série de ações a serem realizadas pelos usuários que, se forem realmente efetivadas, podem resultar em danos mais sérios (como instruções para apagar um arquivo que supostamente contém um vírus, mas que na verdade é parte importante do sistema operacional instalado no computador). É preciso ressaltar também que, além de poderem conter vírus ou cavalos de troia anexados, os e-mails de boatos podem comprometer a credibilidade e a reputação tanto da pessoa ou da entidade referenciada como suposta criadora do boato, quanto daqueles que o repassam. Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem confiam no remetente, não verificam a procedência da mensagem e não checam a veracidade do seu conteúdo. Assim, para evitar a distribuição de boatos, é muito importante sempre checar a procedência dos e-mails, pois mesmo que tenham como remetente alguém conhecido é preciso se certificar de que a mensagem não é um boato. 7.3.11 Spam Spam é o termo bastante conhecido entre usuários de internet e usado para se referir aos e-mails não solicitados, geralmente enviados a um grande número de pessoas. Quando o conteúdo 142 Unidade IV é exclusivamente comercial, este tipo de mensagem também é referenciado como UCE (do inglês Unsolicited Commercial E-mail – E-mail comercial não solicitado). Os usuários do serviço de correio eletrônico podem ser afetados pelos Spams de diversas formas: • Impedimento de receber e-mails: boa parte dos provedores de internet limita o tamanho da caixa postal do usuário no seu servidor, assim, caso o número de spams recebidos seja muito grande, o usuário corre o risco de ter sua caixa postal lotada com mensagens não solicitadas. Se isto ocorrer, todas as mensagens enviadas a partir deste momento serão devolvidas ao remetente e o usuário não conseguirá mais receber e-mails até que libere espaço em sua caixa postal, • Gasto desnecessário de tempo: para cada spam recebido, o usuário necessita gastar um determinado tempo para ler, identificar o e-mail como spam e removê-lo da caixa postal. • Aumento de custos: independentemente do tipo de acesso à internet utilizado, quem paga a conta pelo envio do spam é quem o recebe. Por exemplo, para um usuário que utiliza acesso discado à rede, cada spam representa alguns segundos a mais de ligação que ele estará pagando. • Perda de produtividade: para quem utiliza o e-mail como uma ferramenta de trabalho, o recebimento de spams aumenta o tempo dedicado à tarefa de leitura de e-mails, além de existir a chance de mensagens importantes não serem lidas, serem lidas com atraso ou apagadas por engano. • Conteúdo impróprio: como a maior parte dos spams são enviados para conjuntos aleatórios de endereços de e-mail, não há como prever se uma mensagem com conteúdo impróprio será recebida. Os casos mais comuns são de spams com conteúdo pornográfico ou de pedofilia enviados para crianças. Para as empresas e provedores os problemas são inúmeros e, muitas vezes, o custo adicional causado pelo spam é transferido para a conta a ser paga pelos usuários. Alguns dos problemas sentidos pelos provedores e empresas são: • Impacto na banda: o volume de tráfego gerado por causa de spams os obriga a aumentar a capacidade de seus links de conexão com a internet. Como este custo é alto, os lucros do provedor são diminuídos e muitas vezes podem refletir no aumento dos custos para o usuário. • Má utilização dos servidores: os servidores de e-mail dedicam boa parte do seu tempo de processamento para tratar das mensagens não solicitadas. Além disso, o espaço em disco ocupado por mensagens não solicitadas enviadas para um grande número de usuários é considerável. • Perda de clientes: os provedores muitas vezes perdem clientes que se sentem afetados pelos spams que recebem ou pelo fato de terem seus e-mails filtrados por causa de outros clientes que estão enviando spam. • Investimento em pessoal e equipamentos: para lidar com todos os problemas gerados pelo spam, os provedores necessitam contratar mais técnicos especializados e acrescentar sistemas de 143 SEGURANÇA DA INFORMAÇÃO filtragem dessas incômodas mensagens, o que implica na compra de novos equipamentos. Como consequência, os custos do provedor aumentam. Existem basicamente dois tipos de softwares que podem ser utilizados para barrar spams: aqueles que são colocados nos servidores e que filtram os e-mails antes que cheguem até o usuário, e aqueles que são instalados nos computadores dos usuários e que filtram os e-mails com base em regras individuais de cada usuário. Em resumo, um spam pode ser evitado das seguintes formas: • Considerar a utilização de um software de filtragem de e-mails; • Verificar com seu provedor ou com o administrador da rede se é utilizado algum software de filtragem no servidor de e-mails; • Evitar responder a um spam ou enviar um e-mail solicitando a remoção da lista. 7.4 Mecanismos de prevenção As pesquisas demonstram que, se adotados mecanismos corretos, a possibilidade de evitar que as vulnerabilidades sejam exploradas pelas ameaças aumentam consideravelmente. A identificação da presença de um vírus na rede ou em um computador se dá por meio dos programas antivírus, o qual, é importante ressaltar, deve ser sempre atualizado. Caso contrário, poderá não detectar os vírus mais recentes. Algumas das medidas de prevenção contra a infecção por vírus são: • Instalar e manter atualizado um bom programa antivírus; • Desabilitar no seu programa de e-mail a autoexecução de arquivos anexados às mensagens; • Não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas. Caso seja inevitável, certifique-se de que o arquivo foi verificado pelo programa antivírus; • No caso de arquivos de dados, procurar utilizar formatos menos suscetíveis à propagação de vírus, tais como RTF, PDF etc.; • No caso de arquivos comprimidos, procurar não utilizar o formato executável, mas o próprio formato compactado, como ZIP, RAR ou GZ. • A utilização de um bom programa antivírus (desde que atualizado frequentemente): ele pode detectar a presença de um cavalo de troia e os programas instalados por este malware em um equipamento ou rede. Mas é importante lembrar que nem sempre o antivírus será capaz de detectar ou remover os programas deixados por um cavalo de troia, principalmente se estes programas forem mais recentes que a sua versão de antivírus. 144 Unidade IV • Utilizar um firewall pessoal nas estações de trabalho, já que alguns podem bloquear o recebimento de cavalos de troia. Em resumo, as principais medidas preventivas contra a instalação de cavalos de troia são semelhantes às medidas contra a infecção por vírus. 7.4.1 Antivírus Os antivírus são programas que procuram detectar e, assim, anular ou remover os vírus presentes em um computador. Atualmente, novas funcionalidades têm sido adicionadas a esses programas, de modo que alguns procuram detectar e remover cavalos de troia, barrar programas hostis e verificar e-mails. Diante das funcionalidades de um bom antivírus, podem ser destacadas: • Identificação e eliminação da maior quantidade possível de vírus; • Análise de arquivos que estão sendo obtidos pela internet; • Verificação contínua dosdiscos rígidos (HDs), pendrives e CDs de forma transparente ao usuário; • Procura de vírus e cavalos de troia em arquivos anexados aos e-mails. Alguns antivírus, além das funcionalidades citadas, permitem verificar e-mails enviados de forma a detectar e barrar a propagação por e-mail de vírus e worms. Assim, para o bom uso de um antivírus, é preciso atentar-se a alguns pontos: • Mantenha-o sempre atualizado; • Configure-o para verificar automaticamente arquivos anexados aos e-mails e arquivos obtidos pela internet; • Configure-o para verificar automaticamente mídias removíveis (CDs, pendrives, discos para ZIP etc.); • Configure-o para verificar todo e qualquer formato de arquivo (qualquer tipo de extensão de arquivo) e, sempre que possível, crie um pendrive ou um CD de verificação (disco de boot) para o caso de seu computador apresentar um comportamento anormal (mais lento, gravando ou lendo o disco rígido fora de hora etc.). Algumas versões de antivírus são gratuitas para uso pessoal e podem ser obtidas pela internet. Porém, antes de obter um antivírus pela internet, verifique sua procedência e certifique-se de que o fabricante é confiável. Um software antivírus não é capaz de impedir que um atacante tente explorar alguma vulnerabilidade existente em um computador. Também não é capaz de evitar o acesso não autorizado a um backdoor instalado em um computador. 145 SEGURANÇA DA INFORMAÇÃO Saiba mais Como a vulnerabilidade em softwares pode representar um risco à segurança da informação, visite sites que mantêm listas atualizadas de vulnerabilidades em softwares e sistemas operacionais: CERT – Software Engineering Institute – Carnegie Mellon <http://www.cert.org/>. Acesso em: 13 mar. 2012. CERT – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil <http://www.cert.br/>. Acesso em: 13 mar. 2012. CVE – Common Vulnerabilities and Exposures <http://cve.mitre.org/>. Acesso em: 13 mar. 2012. Ainda em relação à vulnerabilidade de softwares, muitos fabricantes costumam manter páginas na internet com considerações a respeito. Portanto, a ideia é estar sempre atento a tais informações, normalmente publicadas nos sites dos fabricantes, em sites e revistas especializadas, em cadernos de informática dos jornais, entre outros meios, para estar a par da possível existência de vulnerabilidades e sua identificação. 7.4.2 Patches A melhor forma de evitar que o sistema operacional e os softwares instalados em um computador possuam vulnerabilidades é mantê-los sempre atualizados. Entretanto, em muitos casos os fabricantes não disponibilizam novas versões de seus softwares quando é descoberta alguma vulnerabilidade, mas sim correções específicas (patches). Estes patches, em alguns casos também chamados de hot fixes ou service packs, têm por finalidade corrigir os problemas de segurança referentes às vulnerabilidades descobertas. Portanto, é extremamente importante que você, além de manter o sistema operacional e os softwares sempre atualizados, instale os patches sempre que forem disponibilizados. 7.4.3 Segurança dos e-mails Grande parte dos problemas de segurança envolvendo e-mails está relacionada aos conteúdos das mensagens, que normalmente abusam das técnicas de engenharia social ou de características de determinados programas de e-mail, permitindo abrir arquivos ou executar programas anexados às mensagens automaticamente. 146 Unidade IV Algumas dicas de configuração para melhorar a segurança do programa de e-mail são: • Desligar as operações que permitem abrir ou executar automaticamente arquivos ou programas anexados às mensagens; • Desligar as operações de execução do JavaScript e de programas Java; • Desligar, se possível, o modo de visualização de e-mails no formato HTML. Todas essas configurações podem evitar que o seu programa de e-mail propague automaticamente vírus e cavalos de troia. Existem programas de e-mail que não implementam tais funções e, portanto, não possuem estas operações. Vejamos algumas medidas preventivas que minimizam os problemas trazidos com os e-mails: • Manter sempre a versão mais atualizada do seu programa de e-mail; • Evitar abrir arquivos ou executar programas anexados aos e-mails sem antes verificá-los com um antivírus; • Desconfiar sempre dos arquivos anexados à mensagem, mesmo que tenham sido enviados por pessoas ou instituições conhecidas. O endereço do remetente pode ter sido forjado e o arquivo anexo pode ser, por exemplo, um vírus ou um cavalo de troia; • Fazer o download de programas diretamente do site do fabricante; • Desconfiar de e-mails pedindo urgência na instalação de algum aplicativo ou correções de determinados defeitos dos softwares que você utilize. Caso isto ocorra, entre em contato com os distribuidores destes softwares para se certificar sobre a veracidade do fato. 7.4.4 Riscos dos navegadores (browsers) Existem diversos riscos envolvidos na utilização de um browser (navegador). Dentre eles, podemos citar: • Execução de JavaScript ou de programas Java hostis; • Execução de programas ou controles ActiveX hostis; • Obtenção e execução de programas hostis em sites não confiáveis; • Realização de transações comerciais ou bancárias via web, sem qualquer mecanismo de segurança. Observação Browser é nome que se dá aos programas que fazem a interação do usuário à internet, conhecidos como navegadores. Os mais conhecidos são Internet Explorer, Mozilla Firefox, Google Chrome e Opera. 147 SEGURANÇA DA INFORMAÇÃO Java é uma linguagem orientada a objetos muito utilizada em navegadores web. Normalmente os browsers contém módulos específicos para processar programas Java. Apesar de estes módulos fornecerem mecanismos de segurança, podem conter falhas de implementação e, neste caso, permitir que um programa Java hostil cause alguma violação de segurança em um computador. O JavaScript é bem mais utilizado em páginas web do que os programas Java e, de modo geral, constitui uma versão bem “enxuta” do Java. É importante ressaltar que isto não quer dizer que não existam riscos associados à sua execução. Um JavaScript hostil também pode acarretar a violação da segurança de um computador. Antes de receber um programa ActiveX, o seu browser verifica sua procedência por meio de um esquema de certificados digitais. Se você optar por aceitar o certificado, o programa é executado em seu computador. Ao serem executados, os programas ActiveX podem fazer de tudo, desde enviar um arquivo qualquer pela internet até instalar programas (que podem ter fins maliciosos) nos computadores. Muitos sites ao serem acessados utilizam cookies para manter guardadas informações, como as preferências de um usuário. Essas informações, muitas vezes, são compartilhadas entre diversas entidades na internet e podem afetar a privacidade do usuário. Normalmente as transações, sejam comerciais ou bancárias, envolvem informações sensíveis, como senhas ou números de cartões de crédito. Portanto, é muito importante que você, ao realizar transações via web, se certifique da procedência das páginas acessadas, se são realmente das instituições que dizem ser e se fornecem mecanismos de segurança para evitar que alguém conectado à internet possa obter informações sensíveis de suas transações, no momento em que estiverem sendo realizadas. Algumas medidas preventivas para o uso de browsers são: • Mantê-lo sempre atualizado; • Desativar a execução de programas Java na configuração do browser. Se for absolutamente necessário que o Java esteja ativado para que as páginas de um site possam ser vistas, basta ativá-lo antes de entrar no site e, então, desativá-lo ao sair; • Permitir que programas ActiveX sejam executados em seu computador apenas quando vierem de sites conhecidos e confiáveis; • Manter maior controle sobre o uso de cookies; • Se certificar da procedência do site e da utilização de conexões seguras ao realizar transações via web. 148 Unidade IV 7.4.5Cópias de segurança Cópias de segurança dos dados armazenados em um computador são importantes não só para a recuperação de eventuais falhas, mas também das consequências de uma possível infecção por vírus ou de uma invasão. As cópias de segurança podem ser simples como o armazenamento de arquivos em CDs, ou mais complexas como o espelhamento de um disco rígido inteiro em um outro disco de um computador/ servidor, ou em uma fita magnética. A frequência com que é realizado um backup (cópia de segurança) em uma rede é recomendada seguindo as melhores práticas. Eles podem ser incrementais (realizado de hora em hora copiando apenas os arquivos na rede que foram alterados naquele período de 1h), diários (consolidando todos os backups incrementais do dia), semanais (consolidando todos os backups diários daquela semana) e mensais (que consolida todas as semanas do mês em uma única mídia). No caso de redes, é necessário fazer o backup de todos os arquivos contidos no segmento de rede. Para as informações pessoais, o processo depende da periodicidade com que o usuário cria ou modifica arquivos. Cada usuário deve criar sua própria política para a realização de cópias de segurança de acordo com suas necessidades e deve procurar responder algumas perguntas antes de adotar um ou mais cuidados no assunto em questão: • Quais informações são realmente importantes para estar armazenada em minhas cópias de segurança? • Quais as consequências ou os prejuízos caso as cópias de segurança sejam destruídas ou danificadas? • O que aconteceria no caso de as cópias de segurança serem furtadas? Baseado nas respostas para as perguntas anteriores, um usuário deve atribuir maior ou menor importância a cada um dos cuidados discutidos a seguir: • Escolha dos dados: cópias de segurança devem conter apenas arquivos confiáveis do usuário, ou seja, que não contenham vírus e que não sejam trojans. Arquivos do sistema operacional e que façam parte da instalação dos softwares de um computador não devem fazer parte das cópias de segurança, pois podem ter sido modificados ou substituídos por versões maliciosas, que quando restauradas podem trazer uma série de problemas de segurança. O sistema operacional e os softwares podem ser reinstalados de mídias confiáveis, fornecidas por fabricantes confiáveis. • Mídia utilizada: no caso de redes, devido ao alto volume de dados, o procedimento de backup deve estar documentado e a escolha da mídia deve representar a verdadeira necessidade da empresa e a criticidade de recuperação, bem como a execução de testes nas fitas. Para o caso de backups pessoais a escolha da mídia é extremamente importante e depende da 149 SEGURANÇA DA INFORMAÇÃO importância e da vida útil que a cópia deve ter. A utilização de alguns pendrives para armazenar um pequeno volume de dados que estão sendo modificados constantemente é perfeitamente viável, mas um grande volume de dados, de maior importância, que deve perdurar por longos períodos, deve ser armazenado em mídias mais confiáveis, como CDs, discos externos ou discos espelhados. • Local de armazenamento: quando nos referimos a backups de organizações, é necessário que o local de armazenamento das mídias seja uma sala-cofre ou até mesmo um cofre, todos à prova de fogo. Os backups particulares devem ser guardados em um local condicionado (longe de muito frio ou muito calor) e restrito, de modo que apenas pessoas autorizadas tenham acesso a este local (segurança física). • Cópia em outro local: cópias de segurança devem ser guardadas em locais diferentes. Um exemplo seria manter uma cópia em uma filial ou em outro escritório. Também existem empresas especializadas em manter áreas de armazenamento com cópias de segurança de seus clientes. Nesses casos é muito importante considerar a segurança física de suas cópias. • Criptografia: o uso de criptografia para informações sigilosas armazenadas em cópias de segurança também é recomendado. Nesse caso, os dados que contenham informações sigilosas devem ser armazenados em algum formato criptografado. • Furto de dados: o furto de dados pessoais dos colaboradores pode ser a porta de entrada para um ataque à organização ou até mesmo um ataque ao próprio colaborador. Por isso, cuidados com os dados pessoais é importante, de modo que deve-se evitar fornecer dados pessoais (como nome, e-mail, endereço e números de documentos) para terceiros, assim como informações sensíveis (como senhas e números de cartão de crédito), a menos que esteja sendo realizada uma transação (comercial ou financeira) e se tenha certeza da idoneidade da instituição que mantém o site. Como estas informações geralmente são armazenadas em servidores de tais instituições, corre-se o risco de estas informações serem repassadas sem autorização para outras instituições ou de um atacante comprometer este servidor e ter acesso a todas as informações. 7.4.6 Cuidados com a segurança das informações Ataques de engenharia social são mais comuns do que se imagina. Neste caso, ao obter acesso aos dados pessoais da vítima, um atacante pode, por exemplo, utilizar o e-mail em alguma lista de distribuição de spams ou se fazer passar pela vítima na internet (com o uso das senhas furtadas). Deve ser dada total atenção aos dados pessoais armazenados nos discos rígidos das estações de trabalho e garantir certos cuidados no armazenamento de dados em um computador. Mantenha informações sensíveis ou pessoais que não devem ser vistas por terceiros, como números de cartões de crédito, declarações de imposto de renda e senhas, as quais devem ser armazenadas em algum formato criptografado. 150 Unidade IV Esses cuidados são extremamente importantes no caso de notebooks, pois são mais visados e, portanto, mais suscetíveis a roubos e furtos. Caso as informações não estejam criptografadas e seja necessário levar o computador a alguma assistência técnica, por exemplo, seus dados poderão ser lidos por algum técnico mal-intencionado. Para criptografar estes dados existem programas que, além de serem utilizados para a criptografia de e-mails, também podem ser utilizados para criptografar arquivos. Um exemplo seria utilizar um programa que implemente criptografia de chaves pública e privada. O arquivo sensível seria criptografado com a sua chave pública e, então, decodificado com a sua chave privada, sempre que fosse necessário. É importante ressaltar que a segurança deste método de criptografia depende do sigilo da chave privada. A ideia, então, é manter a chave privada em um CD ou em outro disco rígido (em uma gaveta removível) e que este não acompanhe o computador, caso seja necessário enviá-lo, por exemplo, para a assistência técnica. Também deve-se ter um cuidado especial ao trocar ou vender um computador. Apenas apagar ou formatar um disco rígido não é o suficiente para evitar que informações antes armazenadas possam ser recuperadas. Portanto, é importante sobrescrever todos os dados do disco rígido. Para assegurar que as informações armazenadas não possam ser recuperadas de um disco rígido, é preciso sobrescrevê-las com outras informações. Um exemplo seria gravar o caractere 0 (zero), ou algum caractere escolhido aleatoriamente, em todos os espaços de armazenamento do disco. Tenha em mente que é preciso repetir algumas vezes a operação de sobrescrever os dados de um disco rígido para assegurar que as informações anteriormente armazenadas não possam ser recuperadas. Existem softwares gratuitos e comerciais que cumprem com essa função e que podem ser executados em diversos sistemas operacionais, como o Windows, Unix (Linux, FreeBSD, entre outros) e Mac OS. Cuidados com a senha de acesso a rede, sistemas e e-mails devem ser tomados, como: • Elaborar sempre uma senha que contenha pelo menos oito caracteres, compostos de letras números e símbolos; • Jamais utilizar como senha o nome, sobrenome, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadascom você ou palavras constantes em dicionários; • Utilizar uma senha diferente para cada serviço; • lterar a senha com frequência. Diante das vulnerabilidades de informações que não estão devidamente protegidas, os atacantes as exploram para atingir seus objetivos. Existem dois tipos de atacantes: os externos e os internos. Os atacantes internos podem ser representados por funcionários insatisfeitos ou simplesmente mal intencionados que, em virtude da oportunidade visualizada em uma ou mais vulnerabilidades, acaba 151 SEGURANÇA DA INFORMAÇÃO concretizando o ataque. Já os atacantes externos são representados pelos crackers, que são pessoas com conhecimentos avançados de tecnologia que invade um sistema de computador, geralmente em benefício próprio ou de terceiros, com o objetivo de roubar informações ou implantar códigos maliciosos. Observação É comum a confusão dos termos hackers e crackers. Assim como os crackers, os hackers possuem conhecimentos avançados sobre tecnologia, porém voltados para a proteção dos ativos de informação que estão amparados em tecnologia. Geralmente são contratados pelas organizações para fazer um contraponto nas ações de atacantes crackers. A primeira atitude para o desempenho eficaz da gestão de incidentes é o correto controle dos registros de eventos (logs). Para isso é necessário sempre verificar os logs do firewall pessoal e dos IDSs que estejam instalados no computador para, assim, verificar se não se trata de um falso positivo antes de notificar um incidente. Os logs são registros de atividades gerados por programas de computador. No caso de logs relativos a incidentes de segurança, eles normalmente são gerados por firewalls ou por sistemas de detecção de intrusão. Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém tenta acessar um computador, barrando o acesso. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de ataque, mas também pode ser um falso positivo. Já os sistemas de detecção de intrusão podem gerar logs tanto para casos de tentativa de ataques quanto para casos em que um ataque teve sucesso. Apenas uma análise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os firewalls, os sistemas de detecção de intrusão também podem gerar falsos positivos. Observação O termo “falso positivo” é utilizado para designar uma situação em que um firewall ou um IDS aponta uma atividade como sendo um ataque, quando na verdade não o é. Um exemplo clássico de falso positivo ocorre no caso de usuários que costumam se conectar em servidores de IRC e que possuem um firewall pessoal. Atualmente, boa parte dos servidores de IRC possui uma política de uso que define que um usuário, para se conectar em determinados servidores, não 152 Unidade IV deve possuir softwares em sua máquina pessoal que atuem como proxy. Para verificar se um usuário tem algum software deste tipo, ao receberem uma solicitação de conexão por parte de um cliente, os servidores enviam para a máquina do cliente algumas conexões que checam pela existência destes programas. Se o usuário possuir um firewall, é quase certo que estas conexões serão apontadas como um ataque. Outro caso comum de falso positivo ocorre quando o firewall não está devidamente configurado e indica como ataques e respostas as solicitações feitas pelo próprio usuário. Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informações: data e horário em que ocorreu uma determinada atividade, endereço IP de origem da atividade e portas envolvidas. Dependendo do grau de refinamento da ferramenta que gerou o log, ele também pode conter informações como: o timezone do horário do log, o protocolo utilizado (TCP, UDP, ICMP etc.), os dados completos que foram enviados para o computador ou rede, entre outras. 7.5 Resposta a incidentes Diante das responsabilidades da área de segurança da informação dentro do ambiente corporativo, a resposta a incidentes tem papel fundamental na eficácia do processo de gestão dos ativos de informação. Manter os recursos computacionais seguros atualmente em ambientes interconectados por meio de redes é um desafio cuja dificuldade aumenta a cada inclusão de um novo sistema. A grande maioria das instituições e empresas não utiliza uma única solução de segurança genérica que cobre todas as vulnerabilidades. Em vez disso, a estratégia mais utilizada é a de estabelecer camadas complementares de segurança, abrangendo: tecnologia, processos e pessoas. Uma das camadas de segurança que as empresas adotam para gerenciar o risco de segurança é a criação de um CIRT (Computer Incident Response Team – Time de Resposta a Incidentes Computacionais). As principais motivações para a criação de um CIRT residem no crescente número de incidentes reportados de empresas sendo atacadas. Isso aumentaria o entendimento sobre a necessidade de possuir políticas de segurança e procedimentos de melhoramento do gerenciamento de riscos, nas novas regulamentações e leis que exigem controles de segurança sobre os sistemas de informação e no entendimento de que os administradores de rede e sistemas não são capazes de proteger os recursos computacionais isoladamente. Para a estruturação de um CIRT é necessário entender claramente o seu objetivo. Para isto temos de conceituar o que são eventos e incidentes de segurança da informação: • Evento é uma ocorrência observável a respeito de um sistema de informação a exemplo de um e-mail, um telefonema ou um travamento de um servidor (crash). 153 SEGURANÇA DA INFORMAÇÃO • Incidente é um evento ou uma cadeia de eventos maliciosos sobre um sistema de informação que implica em comprometimento ou tentativa de comprometimento da segurança. Em resumo: tentativa ou quebra de segurança de um sistema da informação (confidencialidade, integridade ou disponibilidade), violação da política de segurança, tentativa ou acesso não autorizado, modificação e criação ou remoção de informações sem o conhecimento do gestor. São exemplos de eventos e incidentes: Em ataque de software malicioso: • Evento: usuário informa que pode ter sido contaminado por vírus. • Incidente potencial: seu sistema apresenta características típicas de contaminação por vírus. Em ataques DoS (Denial of Service): • Evento: usuário informa que não consegue acessar um serviço. • Incidente potencial: muitos usuários informam o mesmo problema. Para invasões: • Evento: administrador imagina que seu sistema foi invadido. • Incidente potencial: administrador envia log e trilhas de auditoria indicando atividades suspeitas. Uso não autorizado: • Evento: proxy indica que um usuário tentou acessar um site pornográfico. • Incidente potencial: proxy indica que um usuário tentou acessar vários sites pornográficos. O CIRT é formado por um grupo de profissionais pertencentes a diversos departamentos da corporação, devidamente treinados, com larga experiência nas suas respectivas áreas, e cuja missão é atender e acompanhar, imediatamente, incidentes de segurança no ambiente computacional da empresa, seguindo procedimentos previamente estabelecidos. Quando uma organização tem a intenção de criar um CIRT, normalmente procura verificar como este processo ocorreu em outras empresas, além de estabelecer requerimentos que devem ser atendidos por este time. Apesar de a atuação do CIRT variar bastante em função da disponibilidade de pessoal, capacitação da equipe, orçamento, entre outros fatores, existem algumas recomendações de melhores práticas que se aplicam para a maioria dos casos, que são: obter o apoio da administração da empresa, elaborar um plano estratégico do CIRT, levantar informações relevantes, elaborar e divulgar a missão do CIRT e o 154 Unidade IV plano operacional, iniciar a implementação do CIRT, divulgar a entrada em operação do CIRT e avaliar continuamentea qualidade dos serviços prestados. Também é importante obter o apoio da administração da organização, pois sem ele a criação do CIRT é muito difícil. Este apoio pode vir sob a forma de: fornecimento de recursos (computadores, softwares etc.), financiamento, disponibilização de pessoal, tempo do líder de segurança para criar o CIRT e espaço nos comitês de segurança para a discussão do assunto. Além do apoio da administração da empresa, é fundamental que ela esteja ciente quanto as funções e responsabilidades do CIRT para que haja respaldo às ações e requisições do CIRT junto a outras áreas. Inclusive, o pleno envolvimento de participantes do CIRT e seus respectivos superiores é um pré-requisito para a discussão posterior de orçamento quanto à implantação e à manutenção do time. A elaboração do plano estratégico deve levar em conta aspectos administrativos da concepção do CIRT em função de que existem cronogramas que precisam ser cumpridos e de que eles são realistas; de que existe um grupo de projeto já formado e que ele está devidamente representado; de como a organização toma conhecimento sobre as ações de desenvolvimento do CIRT; de que existe um membro representando este grupo em uma instância maior; de que o processo está devidamente formalizado (e-mail, relatórios etc.) e de que todos os membros do grupo estão tendo acesso às informações produzidas. É necessário levantar informações relevantes para compor as responsabilidades e serviços prestados pelo CIRT. Inicialmente é preciso levantar as áreas e sistemas mais críticos da empresa, e depois os eventos e incidentes reportados no passado para dimensionar o grau de conhecimento da empresa sobre estes fatos. Estas informações permitirão avaliar a competência dos profissionais existentes em assuntos relacionados com segurança da informação, de modo que com isso será possível dimensionar os serviços que serão prestados pelo CIRT e se haverá a possibilidade de utilizar funcionários já existentes na empresa ou se precisará de novas contratações. Alguns exemplos de informações relevantes são: detalhes sobre o último incidente com vírus na empresa (tentativa de invasão, por exemplo); se a empresa já teve incidente de fraude envolvendo funcionários internos; se algumas funções do CIRT já são cobertas por áreas existentes; o levante dos procedimentos já existentes na empresa que ajudarão nas funções do CIRT; agendamento de visitas com instituições semelhantes e que já possuam o CIRT. Com base nas informações levantadas, é preciso elaborar a missão do CIRT, a qual deve se alinhar com a administração antes de divulgá-la para a empresa e deve estar aberta para receber críticas e sugestões de melhoria da hierarquia. Tendo-se alinhado às expectativas com os envolvidos, traçado o plano estratégico e definida a missão do CIRT, é hora de colocá-lo em ação por meio de contratação e treinamento do grupo principal do CIRT, elaboração e divulgação da metodologia de trabalho entre todos, compra e instalação dos equipamentos e softwares de suporte ao CIRT, definição das especificações de 155 SEGURANÇA DA INFORMAÇÃO recuperação de evidências de incidentes para cada sistema crítico, desenvolvimento de modelos de relatórios e mecanismos de informação de incidentes etc. Quando o CIRT estiver operacional, é preciso elaborar uma campanha de divulgação que deve, entre outros fatores, informar aos colaboradores sobre suas funções, sobre as formas de entrar em contato para reportar incidentes e funcionários envolvidos e a sobre a divulgação, que deve ser repetida periodicamente. A avaliação da atuação do CIRT deve ser periódica por: estatísticas de incidentes reportados, incidentes resolvidos, falsos positivos e tempo de indisponibilidade de sistemas. A correta manutenção e crescimento da base de conhecimento documentada ajudam no aprimoramento dos membros do CIRT. O CIRT é formado por um grupo multidisciplinar de profissionais. Esta característica procura atender à necessidade de, na eventualidade de um incidente, o time ser capaz de atuar em várias frentes paralelamente, identificando as causas e coletando evidências do ataque. Este grupo de funcionários não possui dedicação exclusiva ao CIRT, porém quando acionados pelo líder do CIRT devem responder imediatamente. Pode-se também fazer uma analogia comparando o CIRT à brigada de incêndio das empresas. O líder do CIRT deve ser um funcionário da corporação com ampla experiência em segurança da informação e em gerenciamento de projetos de tecnologia. É recomendado que este líder possua um cargo na hierarquia que possibilite a tomada de decisões, requisição de auxílio de funcionários de outras áreas e condução de verificações nas diversas áreas da corporação. Este líder poderá ser um gerente ou um diretor pertencente à área de segurança da informação (security office). A atuação responsável pela área de segurança da informação está em instruir os funcionários das outras áreas na identificação, coleta e/ou preservação de rastros do incidente, além de avaliar as consequências ocasionadas pelo ataque e providenciar, em caso de necessidade, a execução do plano de continuidade de negócios. Ao final do acompanhamento de um incidente, deverá coordenar a elaboração do relatório descrevendo o(s) fato(s) ocorrido(s). A atuação da área de redes está em prover o acesso aos equipamentos de comunicação e segurança sob sua responsabilidade, como firewalls, roteadores e switches, sempre que requisitado pelo líder do CIRT, a fim de auxiliar no levantamento e na análise dos logs. Quando necessário, também é função da área de redes entrar em contato com provedores de acesso, empresas de telecomunicações etc. A área de manutenção de servidores deve atentar para a verificação detalhada da configuração dos servidores em virtude de possíveis acessos não autorizados. Além disso, deve coletar os rastros de transações fazendo a verificação do código de aplicações. O líder do CIRT poderá requisitar que um determinado servidor ou um conjunto deles seja mantido em quarentena para verificações mais precisas; neste caso, a equipe designada deverá providenciar a instalação e a configuração de servidores sobressalentes para assumir o ambiente de produção. 156 Unidade IV A atuação da área de auditoria visa identificar quais controles de segurança ou procedimentos falharam e permitiram a ocorrência do incidente, de modo que sua missão será a de auxiliar o líder do CIRT na elaboração do relatório do incidente e na validação/auditoria da implementação do respectivo plano de ação preparado para solucioná-lo. A auditoria também contribuirá com o CIRT na estimativa dos prejuízos financeiros e de imagem causados pelo incidente. A área de inspetoria atua na contribuição com a identificação das causas e motivações do incidente, mas também é de sua responsabilidade a manutenção do histórico de todos os incidentes identificados ou reportados na corporação, subsidiando o líder do CIRT com informações sobre padrões de comportamento, objetivos, frequência e medidas adotadas em casos semelhantes. A área de recursos humanos poderá ser acionada pelo líder do CIRT na medida em que o incidente envolver funcionários ou terceiros que prestam serviços para a instituição (ou empresas do conglomerado que estejam sob a sua gestão). O líder do CIRT poderá requisitar informações sobre o(s) funcionário(s) envolvido(s), como seu cargo, suas responsabilidades, sua formação, entre outros. A área jurídica poderá ser acionada com o objetivo de obter auxílio jurídico na coleta e preservação de evidências e no tratamento com empresas parceiras, funcionários ou clientes envolvidos. Toda comunicação com empresas parceiras, clientes ou mesmo funcionários internos deverá ser acompanhada pela área jurídica da organização. A área de relações públicas é acionada no caso de o incidente trazer a exposição da empresa perante seus clientes e parceiros de negócios. A área de relações públicas poderáser envolvida pelo líder do CIRT com o objetivo de orientar a melhor maneira de promover a comunicação com eles ou mesmo com a imprensa, caso seja necessário. Líder do CRT Telecom/ redes Mainframe Auditoria Engenharia Recursos humanos Jurídico Relações públicasDesenvolvimento Tecnologia da informação Tecnologia da informação Área de seg. info Figura 37 – Organograma do CIRT (Computer Incident Response Team) O fluxo de resposta a incidentes deve seguir a seguinte sequência lógica: Sempre que um incidente for informado ou detectado, ele deverá ser encaminhado ao responsável pela área de segurança da informação (Security Office). 157 SEGURANÇA DA INFORMAÇÃO Caberá a esta área decidir se o CIRT deverá ser acionado ou não, em função da gravidade do incidente. Sendo acionado, o CIRT deverá abrir um chamado de incidente. Este chamado é composto por um relatório, o qual deverá ser completado durante todo o acompanhamento do incidente. Ao final do trabalho, ou mesmo durante sua execução, o líder do CIRT apresentará ao comitê de segurança um resumo deste relatório, que deverá conter os seguintes pontos: • Descrição sucinta do incidente; • Causa do incidente; • Forma de identificação do incidente; • Classificação se pode ou não haver consequências financeiras e de imagem avaliados; • Contra medidas tomadas; • Plano de ação para a contenção de incidentes semelhantes. O acionamento do CIRT deve ser realizado por meio dos canais de fácil acesso, os quais devem ser disponibilizado pelo CIRT, que podem ser um ramal telefônico exclusivo, um endereço de e-mail genérico, páginas de webmail na intranet (para não identificar o emissor), entre outros modos, tudo de forma a facilitar o acesso ao CIRT. Acionamento da Área de Segurança de Informação Reunião emergencial do CIRT Documentação e ampliação da base de conhecimento Apresentação do relatório ao comitê de segurança Elaboração do plano de ação Avaliação das consequências financeiras e imagem Aplicação do plano de continuidade de negócios Identificação da causa e coleta de rastros Parceiros de segurança Tecnologia da Inform ação Colaboradores do CIRT Relações públicas Jurídico Recursos humanos Auditoria / Inspetoria Figura 38 – Fluxo da gestão de incidentes 158 Unidade IV 8 PLANO DE CONTINUIDADE DO NEGÓCIO Lembrete Para o CIRT (Computer Incident Response Team – Time de Resposta a Incidentes Computacionais), tão importante quanto tratar e resolver os incidentes de segurança da informação é a criação de uma base de conhecimento. Uma organização pode estar sujeita a diversos incidentes, os quais podem apresentar prejuízos ainda não previstos ou ainda não imagináveis. Essas peculiaridades necessitam de tratamentos diferenciados, sempre objetivando a proteção dos ativos de informação da organização, o que além de todos os aparatos tecnológicos também incluem a integridade física de seus colaboradores. Nas próximas páginas explicaremos um pouco do funcionamento de um Plano de Continuidade do Negócio, detalhando seus conceitos e metodologias de implantação. Definição de Conceitos Um BCP (Business Continuty Plan) ou PCN (Plano de Continuidade do Negócio) tem em sua essência diversos procedimentos e medidas, cujo objetivo é minimizar as perdas decorrentes de um possível desastre. Entende-se por desastre a ocorrência de um evento súbito, de grande magnitude, que possa causar grandes prejuízos aos ativos e processos (RAMOS, 2006, p. 154). Podemos citar como exemplos grandes enchentes ou incêndios, catástrofes meteorológicas ou até mesmo grandes manifestações. Voltando um pouco na história, o PCN pode ser considerado uma evolução do DRP (Disaster Recovery Plan), ou PRD (Plano de Recuperação de Desastres), cujo foco eram somente os ativos de Tecnologia da Informação, diferentemente do PCN, cujo processo abrange além das áreas de TI, pessoas e processos. A criação e a manutenção deste plano são chamadas de Gestão de Continuidade de Negócio. De forma macro, o que define a implantação ou não de um PCN é exatamente o tempo máximo de parada em um processo crítico da organização. Isto significa que, se a empresa possui um processo que não permite sua paralisação por um período maior que 48 horas, esse processo será levantado e todos os recursos necessários para o funcionamento deste processo serão considerados na elaboração do PCN, desde instalações físicas e sistemas de TI até colaboradores e fornecedores. 8.1 Etapas de um PCN A primeira fase para implantação é o entendimento do negócio, que deve ser feito sob a ótica da continuidade de processos, identificando os principais objetivos e aspectos críticos a serem preservados. 159 SEGURANÇA DA INFORMAÇÃO Também devem ser levados em consideração os argumentos que serão utilizados para justificar a execução do plano. Para isso é importante realizar uma Análise e Avaliação de Riscos, cujo objetivo é identificar os processos críticos da empresa que devem ser considerados na elaboração do plano, com o objetivo de garantir sua continuidade em caso de incidentes ou desastres. Hoje existem no mercado diversas ferramentas que auxiliam o gestor a realizar essa tarefa. Saiba mais Com relação a metodologias para execução do plano, existem diversas opções disponíveis, dentre as quais destacamos o DRII (Disaster Recovery Institute International). Visite o website para mais informações: <http://www.drii.org/>. Acesso em: 13 mar. 2012. Ainda nesta etapa, é essencial escolher a equipe que participará do PCN, considerando as pessoas- chave das áreas envolvidas, com destaque para o coordenador do projeto. Essa pessoa deve ter um amplo conhecimento da empresa, bem como acesso à alta direção e outras áreas da empresa. Após isso, o próximo passo é a execução do BIA (Business Impact Analysis), ou AIN (Análise de Impacto nos Negócios), que, de forma macro, tem o objetivo de avaliar quais impactos a organização sofrerá por conta da ocorrência de um incidente ou desastre, além de analisar o tempo máximo permitido de parada. Neste momento não é necessário se preocupar com a probabilidade de acontecer ou não o evento, mas atentar para o impacto que o evento pode trazer, caso ele ocorra. Para esse levantamento, é importante consultar os gestores dos processos, por meio de entrevistas. Ninguém melhor que eles para identificar a criticidade dos processos. Deve-se também levar em consideração os aspectos financeiros, operacionais, legais e regulatórios. A próxima etapa é voltada para a definição estratégica de garantir a disponibilidade dos recursos, metodologias e processos de modo a permitir a continuidade dos processos críticos, caso ocorra um desastre. De acordo com Ramos (2006), existem três modelos de estratégias a serem adotados: • Ativo/backup: utilização de recursos sobressalentes, podendo ser utilizados em caso de desastre. • Ativo/ativo: duas ou mais localidades operacionais separadas geograficamente, dividindo as operações, sendo uma contingência da outra. • Localidade alternativa: modelo intermediário entre os outros dois apresentados, sendo que uma localidade recebe parte das operações de forma periódica para homologar seu funcionamento. Outro passo importante é a definição de um PAC (Programa de Administração de Crises), o qual define as ações de resposta a serem tomadas durante a ocorrência de um desastre. Este centro será 160 Unidade IV o responsável em tomar todas as decisões, inclusive realizando contato com agentes externos, como defesa civil, imprensa, entre outros. 8.2 Gestão de continuidade de negócios O PCN é um plano que permitirá atingir objetivos de continuidade em caso de desastres. Entretanto, com a velocidade de mudanças constantes, é importante destacar que um plano elaborado em um momento talvez não tenha efeitos a médio e longo prazo. Dessa forma, devemos entender que o PCN é um “organismo vivo”, que necessita de atualizações constantes, de modo a se adequar à
Compartilhar