Beruflich Dokumente
Kultur Dokumente
Cdigo do vrus
01110101101000111001010 10001010010110101010001 01010101010001010101010 11111010101010100101010 Sistema 1 0 1 1 1 0 1 0 0 0 1 1 0 0 1 1 0 1 0 1 0 1 1 Operacional 00011101010100111110101 11010101011101010101000 10101010111010101001010 Dados 1 0 0 0 0 1 0 1 0 1 0 0 0 0 1 0 1 1 1 0 1 0 1 01001010101010101010011 10101010111111010101110 10010101010101010101011 11111111111111110001010 01111101010101000111001 01010001010001010101010 01010111001010101010101
MBR
Programa
Y
Cdigo do vrus
Manaus - AM 2010
Centro de Educao Tecnolgica do Amazonas CETAM Este Caderno foi elaborado em parceria entre o Centro de Educao Tecnolgica do Amazonas e a Universidade Federal de Santa Catarina para o Sistema Escola Tcnica Aberta do Brasil e-Tec Brasil.
Equipe de Elaborao Centro de Educao Tecnolgica do Amazonas CETAM Coordenao Institucional Adriana Lisboa Rosa/CETAM Laura Vicua Velasquez/CETAM Coordenao do Curso Helder Cmara Viana/CETAM Professor-autor Jorge Procpio da Costa Novo/CETAM Comisso de Acompanhamento e Validao Universidade Federal de Santa Catarina UFSC Coordenao Institucional Araci Hack Catapan/UFSC Coordenao de Projeto Silvia Modesto Nassar/UFSC Coordenao de Design Instrucional Beatriz Helena Dal Molin/UNIOESTE e UFSC Coordenao de Design Grco Carlos Antonio Ramirez Righi/UFSC Design Instrucional Renato Cislaghi/UFSC Web Design Beatriz Wilges/UFSC Gustavo Pereira Mateus/UFSC Diagramao Andr Rodrigues da Silva/UFSC Andria Takeuchi/UFSC Bruno Csar Borges Soares de vila/UFSC Guilherme Ataide Costa/UFSC Reviso Jlio Csar Ramos/UFSC Projeto Grco e-Tec/MEC
Catalogao na fonte pela DECTI da Biblioteca Universitria da Universidade Federal de Santa Catarina
N945s Novo, Jorge Procpio da Costa Softwares de segurana da informao / Jorge Procpio da Costa Novo. - Manaus : Centro de Educao Tecnolgica do Amazonas, 2010. 116 p. : il., tabs. Inclui bibliograa Curso Tcnico em Manuteno e Suporte em Informtica, desenvolvido pelo Sistema Escola Tcnica Aberta do Brasil, e-Tec Brasil. ISBN: 978-85-63576-20-0 1. Software Medidas de segurana. 2. Software - Proteo. I. Ttulo. CDU: 681.31.004.4
NSTITUTO FEDERAL
IO GRANDE DO SUL
e-Tec Brasil
Indicao de cones
Os cones so elementos grcos utilizados para ampliar as formas de linguagem e facilitar a organizao e a leitura hipertextual. Ateno: indica pontos de maior relevncia no texto.
Saiba mais: oferece novas informaes que enriquecem o assunto ou curiosidades e notcias recentes relacionadas ao tema estudado. Glossrio: indica a denio de um termo, palavra ou expresso utilizada no texto. Mdias integradas: sempre que se desejar que os estudantes desenvolvam atividades empregando diferentes mdias: vdeos, lmes, jornais, ambiente AVEA e outras. Atividades de aprendizagem: apresenta atividades em diferentes nveis de aprendizagem para que o estudante possa realiz-las e conferir o seu domnio do tema estudado.
e-Tec Brasil
Sumrio
Aula 1 Viso histrica 1.1 Fatos histricos relevantes para a SI 1.2 A SI no mundo de hoje Aula 2 Conceitos iniciais 2.1 Segurana da Informao 2.2 Dado 2.3 Informao 2.4 Ativos de informao 2.5 Vulnerabilidades 2.6 Ameaas 2.7 Impactos 2.8 Medidas de segurana 2.9 Ciclo da Segurana da Informao Aula 3 Problemas enfrentados pela SI danos, vrus, cavalos de tria e spyware 3.1 Danos 3.2 Malwares 3.3 Vrus de computador 3.4 Cavalo de troia 3.5 Spywares Aula 4 Problemas enfrentados pela SI ransomwares, worms e spam 4.1 Ransomwares 4.2 Worms 4.3 Spam 4.4 Por que existem tantos problemas? Aula 5 Softwares de SI gerenciadores de senha, de backup e ferramentas de criptograa 5.1 Introduo 15 15 24 27 27 27 27 29 29 31 34 35 39 41 41 42 43 50 51 53 53 53 54 55 57 57
e-Tec Brasil
5.2 Gerenciadores de senha 5.3 Gerenciadores de backup 5.4 Ferramentas de criptograa Aula 6 Softwares de SI ferramentas de descarte de dados e antivrus 6.1 Ferramentas para o descarte seguro de dados 6.2 Ferramentas Antivrus Aula 7 Softwares de SI antispywares e rewalls 7.1 Ferramentas Antispyware 7.2 Firewalls Aula 8 O papel do usurio 8.1 Introduo 8.2 Instalao de softwares de segurana 8.3 Atualizaes de software 8.4 Varreduras semanais 8.5 Escolher boas senhas 8.6 Cuidado com as mdias removveis 8.7 Evite lan houses 8.8 No divulgue seu e-mail em qualquer lugar 8.9 No clique em tudo o que lhe oferecerem 8.10 Fazer cpias de segurana (backup) 8.11 Manter-se atualizado 8.13 Ser tico Referncias Currculo do professor-autor
57 62 67 77 77 85 91 91 95 101 101 102 102 102 103 103 104 104 104 105 105 106 107 115
e-Tec Brasil
Palavra do professor-autor
Caro(a) Estudante! Seja bem-vindo disciplina de Segurana da Informao (SI). Como muitas disciplinas, a SI fascinante e instigante. Todos os dias, pessoas mal-intencionadas apresentam novas formas de corromper, adquirir, recuperar ou utilizar indevidamente informaes de usurios desatenciosos. Portanto, importantssimo que estejamos preparados. E preparo subentende adquirir conhecimento, trabalhar com tica e transmitir o que aprendeu. Esta disciplina est inserida em um ambiente virtual e voltada modalidade de Educao a Distncia, que permite ao estudante conhecer e decidir o ritmo de seu aprendizado, estimulando seu autodidatismo. O conhecimento aqui contido de modo algum denitivo ou imutvel. esperado (e recomendado) que voc procure explorar cada uma das aulas ao mximo, buscando assimilar conhecimentos correlatos e que no esto contidos explicitamente neste material. Explore os hiperlinks sugeridos e, se possvel, procure ter acesso s obras indicadas no item Referncias. Explore tambm os recursos disponveis na sala de aula virtual, participe dos fruns, cumpra as tarefas designadas, leia os textos e assista aos vdeos sugeridos. Este caderno de nada valer sem sua dedicao, esforo e vontade, pois to nobre quanto decidir aprender perseverar no aprendizado. Um grande abrao, Jorge Procpio da Costa Novo
e-Tec Brasil
Apresentao da disciplina
O mantra de qualquer bom engenheiro de segurana : Segurana no um produto, mas um processo. mais que implantar criptograa forte, desenhar todo o sistema de tal forma que todas as medidas de segurana, incluindo a criptograa, trabalhem em conjunto. Bruce Schneier
A Segurana da Informao (SI) o ramo do conhecimento responsvel pela preservao e descarte de um dos bens materiais mais preciosos da histria da humanidade: a informao. Ao longo da existncia humana, a informao foi gerada, acumulada, passada de gerao em gerao e, por muitas vezes, perdida denitivamente. Com ela, nossa civilizao pde desenvolver tecnologias que permitiram, por exemplo, aumentar a produo de alimentos, combater e prevenir doenas, crescer tecnolgica e nanceiramente. Neste caderno, a Segurana da Informao apresentada atravs de noes introdutrias, concentrando-se nos softwares que permitem a aplicao e o entendimento dos princpios desta disciplina Condencialidade, Integridade, Disponibilidade, Autenticidade e Irretratabilidade. De modo algum o conhecimento aqui contido est perfeito e acabado. Este caderno mostra to somente a direo a ser seguida. Pois o caminho construdo com o esforo e a dedicao do estudante.
11
e-Tec Brasil
Projeto instrucional
Disciplina: Softwares de Segurana da Informao (carga horria: 40h). Ementa: Viso histrica - fatos histricos relevantes para a Segurana da Informao (SI) e o seu papel no mundo de hoje. Conceitos iniciais: dado, informao, ativos de informao, vulnerabilidades, ameaas, riscos, impactos, medidas de segurana e princpios da SI, ciclo da SI, problemas enfrentados pela SI: danos, malwares, spam e razes para tantos problemas. Softwares de SI: gerenciadores de senha, gerenciadores de backup, ferramentas de criptograa, ferramentas para descarte seguro, ferramentas antivrus, ferramentas antispyware e rewalls. O papel do usurio: razes para instalao de softwares de segurana, atualizaes de software, varreduras semanais, escolha de boas senhas, cuidado com as mdias removveis, uso de lan-houses, proteo dos endereos de e-mail, cuidados com o phishing, cpias de segurana (backup), atualizao do prprio conhecimento e tica.
OBJETIVOS DE APRENDIZAGEM
Conhecer fatos histricos relevantes para a SI; 1 Viso histrica Reconhecer a importncia da SI no mundo de hoje.
AULA
MATERIAIS
Indicao de hiperligaes para stios na internet sobre o tema; Vdeo do stio Youtube sobre a histria da internet; Indicao da obra O Livro dos Cdigos de Simon Singh.
05
Identicar os conceitos bsicos da Segurana da Informao; 2 Conceitos bsicos Entender e diferenciar os princpios norteadores da SI; Conhecer o ciclo da SI. 3 Problemas enfrentados pela SI danos, vrus, cavalos de tria e spywares
Indicao de hiperligaes para stios na internet sobre o tema; Vdeo do stio Youtube sobre vulnerabilidades de transmisso.
05
Identicar os principais problemas enfrentados pela Segurana da Informao; Reconhecer esses problemas como ameaas aos ativos de informao.
Indicao de hiperligaes para stios na internet sobre o tema; Indicao do lme Troia, do diretor Wolfgang Petersen.
05
13
e-Tec Brasil
AULA
4 Problemas enfrentados pela SI ransomwares, worms e SPAM 5 Softwares de SI gerenciadores de senha, de backup e ferramentas de criptograa 6 Softwares de SI ferramentas de descarte de dados e antivrus
OBJETIVOS DE APRENDIZAGEM
Identicar os principais problemas enfrentados pela Segurana da Informao; Reconhecer esses problemas como ameaas aos ativos de informao. Conhecer os conceitos bsicos sobre o tema softwares de Segurana da Informao; Realizar estudos de caso em cada um dos tipos de ferramentas apresentadas. Conhecer os conceitos bsicos sobre o tema softwares de Segurana da Informao; Realizar estudos de caso em cada um dos tipos de ferramentas apresentadas. Conhecer os conceitos bsicos sobre o tema softwares de Segurana da Informao; Realizar estudos de caso em cada um dos tipos de ferramentas apresentadas. Perceber que o fator humano o elemento mais importante da Segurana da Informao.
MATERIAIS
Indicao de hiperligaes para stios na internet sobre o tema;
05
05
05
8 O papel do usurio
Indicao de hiperligaes para stios na internet sobre o tema; 05 Indicao do livro Segredos e Mentiras de Bruce Schneier.
e-Tec Brasil
14
Um computador permite que voc cometa rapidamente mais erros que qualquer outra inveno na histria da humanidade exceto pelas armas de fogo e pela tequila, possivelmente. Mitch Ratliff
Objetivos
Conhecer fatos histricos relevantes para a SI. Reconhecer a importncia da SI no mundo de hoje.
15
e-Tec Brasil
A inveno da escrita h aproximadamente 6.000 anos permitiu que conceitos abstratos e tradies orais fossem registrados e passados de gerao em gerao. Os antigos povos da China, Egito, Mesopotmia (Figura 1.2) e da Amrica Central disputam a paternidade dessa ferramenta, que lhes permitiu alar a condio de grandes civilizaes em seu tempo.
Escrita Cuneiforme. http://pt.wikipedia.org/wiki/ Cuneiforme Cmaras Negras. http://en.wikipedia.org/wiki/ Cabinet_noir Cifra de Vigenre. http://pt.wikipedia.org/wiki/ Cifra_de_Vigen%C3%A8re A mquina Enigma. http://pt.wikipedia.org/wiki/ Enigma_%28m% C3%A1quina%29
A Segurana da Informao, como hoje conhecemos, surgiu com o advento da burocracia na Renascena, atravs do registro dos atos de administrao dos governos e das guerras, passando pelas Cmaras Negras no sculo XVIII, responsveis pela anlise de toda correspondncia que circulasse pelos territrios europeus. No sculo XIX, a inveno do telgrafo e da codicao Morse permitiu que mensagens fossem enviadas rapidamente dentro de um pas ou mesmo entre pases. J havia a preocupao com a condencialidade das mensagens, o que tornou a Cifra de Vigenre bastante utilizada. No sculo XX, relevante o uso da criptograa e da criptanlise como ferramentas militares na Segunda Guerra Mundial, a ascenso e queda da mquina Enigma alem e o incio da era da computao e da telecomunicao. Na dcada de 1950, os computadores estavam localizados em instalaes militares e se apresentavam na forma de mainframes, ocupando salas inteiras e exigindo um grande nmero de especialistas para sua operao e manuteno. A interao homem-mquina se dava atravs do rearranjo de os e cabos ou do uso de cartes perfurados. No havia ainda as redes de dados e cada mainframe era uma mquina isolada.
e-Tec Brasil
16
A comunicao entre os mainframes s era possvel atravs do envio de tas magnticas pelo correio. A Segurana da Informao resumia-se a proteo fsica dos equipamentos e dos meios de armazenamento externos, garantindo que nada fosse roubado, furtado, danicado ou modicado sem autorizao. Em 1957, lanado o primeiro satlite articial da Terra, o Sputnik I, pela Unio Sovitica. Sua funo bsica era transmitir um sinal de rdio capaz de ser sintonizado por qualquer radioamador. O Sputnik I iniciou a era das comunicaes via satlite. Na dcada de 1960, a quantidade de mainframes instalados para suportar a expanso militar decorrente da Guerra Fria era to grande que o isolamento entre os diversos equipamentos no podia mais ser tolerado. Na verdade, tornou-se imperativo que os diversos computadores trocassem informaes entre si de modo rpido e convel. Da necessidade de troca de informaes nasceu a ARPANET, uma rede de dados redundante, territorialmente ampla e convel, utilizada pelos mainframes para comunicao de dados. A ARPANET expandiu sobremaneira a abrangncia da Segurana da Informao. Antes, a SI estava centrada na proteo fsica dos equipamentos e dos meios de armazenamento; agora, devia se preocupar tambm com os acessos remotos, permisses de usurio, senhas de acesso fceis de quebrar e tentativas de invaso, no intuito de evitar o furto, a corrupo ou o uso indevido de informaes. Em 1964, a IBM lanou um novo mainframe, chamado System/360, com a peculiaridade de no ser mais uma mquina de uso militar e sim de uso comercial, sendo adquirida por universidades e agncias civis do governo norte-americano. Alm de novos equipamentos, era necessrio que os sistemas operacionais fornecessem ferramentas para auxiliar os gestores de SI. Em 1964, um consrcio entre o Massachusetts Institute of Technology (MIT), a General Electric e o Laboratrios Bell apresentou o Multiplexed Information and Computer Service (MULTICS), um sistema operacional concebido para permitir autenticao de segurana em vrios nveis e tratar de modo robusto as senhas de usurio.
Mainframes: so computadores com capacidade de processar um grande volume de informaes. Seus servios podem ser utilizados por at milhares de usurios atravs de terminais conectados diretamente ou atravs de uma rede de dados. Atualmente so empregados no processamento de informaes de instituies bancrias, universidades, siderrgicas, instituies geradoras de energia eltrica, entre outras.
ENIAC. http://pt.wikipedia.org/wiki/ Eniac Sputinik. http://pt.wikipedia.org/wiki/ Sputnik Guerra Fria. http://pt.wikipedia.org/wiki/ Guerra_fria ARPANET. http://pt.wikipedia.org/wiki/ Arpanet IBM System 360. http://pt.wikipedia.org/wiki/ IBM_System/360 Multics. http://pt.wikipedia.org/wiki/ Multics
17
e-Tec Brasil
Na dcada de 1970, os prossionais de tecnologia perceberam que, alm de hardwares e softwares adequados, era necessrio consolidar seus conhecimentos e prticas de Segurana da Informao em algum documento capaz de guiar os prossionais da rea. A primeira iniciativa nesse sentido partiu do Departamento de Defesa norte-americano, intitulada Controles de Segurana para Sistemas Computacionais, tambm conhecida como Relatrio Rand R-609. Entre as principais ideias contidas nesse relatrio, temos o reconhecimento da informao como um bem material muito valioso, a importncia da vericao das credenciais de cada usurio, a noo de que a Segurana da Informao responsabilidade de todos e no apenas dos gestores de tecnologia etc. Em 1974, a IBM solicitou ao National Bureau of Standards (NBS) que registrasse seu algoritmo Lcifer como padro de encriptao de dados nos Estados Unidos da Amrica (EUA). O pedido foi aceito em 1977, aps avaliao e modicao de alguns parmetros do algoritmo pela National Security Agency (NSA). O Lcifer rebatizado com o nome de Data Encryption Standard (DES). Em 1976, o artigo New Directions in Cryptography, de Whiteld Dife e Martin Hellman, apresentou o conceito de criptograa de chave pblica e fundou as bases da criptograa na internet. Em 1977, os pesquisadores Whiteld Dife e Martin Hellman propuseram um modelo de hardware capaz quebrar em apenas um dia, via fora bruta, o algoritmo DES. A construo dessa mquina consumiria 20 milhes de dlares. Nesse mesmo ano, Ronald Rivest, Adi Shamir e Leonard Adleman inventaram o algoritmo RSA, que implementa a criptograa de chave pblica baseada na diculdade de fatorao de grandes nmeros inteiros. O algoritmo RSA utilizado at hoje. A dcada de 1980 caracterizou-se principalmente pelo incio da computao pessoal. Consequentemente, a questo da Segurana da Informao se tornou mais relevante. Os computadores comearam sua carreira no ambiente de trabalho e pouco a pouco foram surgindo nos lares. A popularidade das Bulletin Board System (BBS) alcanou seu auge, permitindo aos usurios o download e o upload de arquivos, leitura de notcias, troca de mensagens, participao em fruns de discusso, jogos e bate-
e-Tec Brasil
18
-papo. Permitia, ainda, integrar a atividade de funcionrios externos aos Sistemas de Informao da empresa, bastando que esse funcionrio dispusesse de um computador e uma linha telefnica. Eventualmente, uma BBS podia se tornar um foco de problemas de segurana, caso os arquivos postos disposio dos usurios estivesse contaminado com vrus de computador, por exemplo. Em 1982, noticiado o 1 programa com caractersticas de vrus de computador. Foi criado para a plataforma Apple II e chamava-se ElkCloner. Nesse mesmo ano, se inicia a comercializao dos Compact Discs (CD), inicialmente para uso na indstria fonogrca e posteriormente para o armazenamento de dados. Tal tecnologia permitiu a reduo de custos e o aumento da integridade das cpias de segurana dos dados. Em 1984 fundada a Information Systems Security Association (ISSA), a primeira associao de prossionais de Segurana da Informao. Em 1985, a Microsoft lana um gerenciador de interface grca para o MS-DOS, chamado Windows 1.0. Tecnicamente, o Windows ainda no era um sistema operacional, em razo de sua instalao exigir um computador com o MS-DOS. Em 1986, publicada nos EUA a primeira lei a tratar de crimes cometidos atravs do uso de computadores. O vrus de computador conhecido como BRAIN o primeiro a infectar em larga escala o setor de boot de discos rgidos. Em 1988, o estudante da Cornell University, Robert Tappan Morris, dissemina o primeiro worm de computador, causando a parada de 10% dos servidores ativos da internet. O worm explorava uma srie de erros nos sistemas operacionais BSD Unix e similares, propagando-se rapidamente. Pelos prejuzos causados, Morris foi julgado e condenado a cumprir 400 horas de servio comunitrio e ao pagamento de multa no valor de 10 mil dlares. O episdio d incio criao do CERT, uma equipe de especialistas em Segurana da Informao, localizada no Instituto de Engenharia de Software da Universidade Carnegie Mellon, dedicada ao estudo das vulnerabilidades de segurana na internet, ao desenvolvimento de melhorias nas redes de dados e na capacitao de prossionais de tecnologia. O Brasil tambm conta com uma equipe que tem mesmo objetivo, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil (CEST.br).
CEST. http://www.cert.org CEST.br. http://www.cert.br Revoluo Digital. http://pt.wikipedia.org/wiki/ Revolu%C3%A7% C3%A3o_digital WWW. http://pt.wikipedia.org/wiki/ Www Navegador. http://pt.wikipedia.org/wiki/ Navegador Por que voc precisa do PGP? http://www.dca.fee.unicamp.br/ pgp/why_PGP.shtml
19
e-Tec Brasil
Ainda em 1988, Denny Yanuar Ramdhani cria o primeiro software antivrus. Foi escrito para eliminar e imunizar sistemas operacionais contra o vrus BRAIN. No ano seguinte, surgem os primeiros softwares antivrus comerciais. Caracterizavam-se por combater e proteger sistemas contra vrias espcies de vrus. Na dcada de 1990 acontece a desmilitarizao da ARPANET, surgindo a internet como conhecemos hoje. Tal fato permitiu que empresas se conectassem a essa rede e vendessem acesso a usurios domsticos. A combinao da venda crescente de computadores pessoais, o aumento no fornecimento de servios de acesso internet e o advento da telefonia celular do incio Revoluo Digital. Em 1990 surge a World Wide Web (WWW), um servio executado na internet e capaz de prover interligao entre documentos (vdeos, sons, textos, animaes, etc.) hospedados em diversos servidores dessa rede. Surgem os primeiros navegadores para internet (browsers). Essas ferramentas permitem explorar gracamente os recursos da WWW, enriquecendo a experincia do utilizador. Paralelamente ao crescimento da WWW, pesquisadores suos apresentam o International Data Encryption Algorithm (IDEA), com a inteno de substituir o algoritmo DES. O IDEA era mais seguro, pois utilizava chaves maiores e era mais rpido, em razo de utilizar instrues bsicas de processamento. Em 1991, Philip Zimmermann publica o software de criptograa Pretty Good Privacy (PGP), o qual tornou-se muito popular em razo de combinar criptograa de chave pblica, criptograa de chave privada e assinaturas digitais com uma interface simples e fcil de usar. Foi criado para ajudar na defesa das liberdades individuais e do direito privacidade. O PGP fornece um alto grau de segurana aos dados e s comunicaes do usurio pela internet. Em razo disso, seu autor sofreu investigao federal para determinar se ele havia descumprido o determinado pela Arms Export Control Act. Essa lei classicava a criptograa forte como armamento militar e restringia sua exportao. Aps trs anos, o processo foi encerrado e arquivado. Ainda em 1991, o nlands Linus Benedict Torvalds anuncia a primeira verso ocial do Linux. Em 1994, a Microsoft lana o Windows 95, sistema operacional com vrias inovaes tecnolgicas, tais como sistema de arquivos FAT32, suporte a nomes longos de arquivo (at 256 caracteres), dispensa de instalao prvia do MS-DOS, suporte ao barramento USB e ao Ultra DMA.
e-Tec Brasil
20
Em 1995, criado o Digital Versatile Disc (DVD), mdia que apresenta maior capacidade de armazenamento e maior taxa de transmisso de dados que os Compact Discs. At hoje aproveitado na indstria cinematogrca e no armazenamento de dados. Em 1996, o congresso dos EUA publica o Communications Decency Act (CDA), lei que classicava como criminosa qualquer pessoa que transmitisse material indecente ou obsceno atravs da internet. A Suprema Corte norte-americana declarou que a CDA era inconstitucional. Em 1997, o Brasil passa a ser o primeiro pas do mundo onde o cidado pode enviar sua declarao de Imposto de Renda pela internet. Tal iniciativa permitiu Secretaria da Receita Federal maior agilidade e preciso no processamento das declaraes, reduzindo a sonegao e o perodo de restituio ao contribuinte. A partir desse ano, novas tecnologias e esforos culminaram na quebra do DES. O projeto DESCHALL foi o primeiro a vencer o DES Challenge, srie de desaos propostos pela RSA Security Inc., que consistia em recuperar uma mensagem criptografada com o DES. O xito do projeto se deu aps 96 dias, a uma taxa de sete bilhes de operaes por segundo, valendo-se do processamento ocioso de milhares de computadores distribudos pela internet. Em 1998, a Electronic Frontier Foundation (EFF) constri uma mquina, chamada DES-Cracker, que em trs dias recupera a senha utilizada na encriptao DES de um arquivo, demonstrando a insegurana do algoritmo diante de um adversrio obstinado. A curiosidade est no fato de a quebra acontecer 21 anos mais tarde e a um custo 80 vezes menor que o previsto por Whiteld Dife e Martin Hellman, na poca da homologao do DES. Em 1998, o presidente dos EUA Bill Clinton assina o Digital Millennium Copyright Act (DMCA). Essa lei classica como crime a construo e distribuio de tecnologias e qualquer tentativa de burlar as protees existentes em material coberto por direitos autorais. O ano de 1999 foi muito expressivo para a Segurana da Informao. Em janeiro, j era possvel quebrar o algoritmo DES em menos de 24 horas,
21
forando o governo norte-americano a recomendar a utilizao do padro DES-Triplo, considerado relativamente seguro at os dias de hoje. No ms de maro, um vrus de macro chamado Melissa disseminou-se rapidamente pela internet, aproveitando-se de uma falha no programa Microsoft Outlook, obrigando algumas empresas a suspender seus servios de e-mail para evitar maior contaminao. O vrus Melissa provocou em prejuzos calculados em 600 milhes de dlares ao redor do mundo. David Smith, criador do vrus, foi condenado a vinte meses de priso e ao pagamento de multa no valor de cinco mil dlares. Ainda em 1999, o jovem noruegus Jon Lech Johansen, de 15 anos, publica o cdigo de seu DeCSS, um software capaz de quebrar a proteo regional presente nos DVDs comerciais. A dcada de 2000, at o momento, foi marcada principalmente pela popularizao do acesso banda larga internet, proliferao dos cibercrimes, discusses sobre privacidade, consolidao do software livre como modelo de negcios e pelos malwares. Em maio de 2000, o mundo conhece o worm I LOVE YOU da pior maneira: quase cinquenta milhes de computadores do mundo inteiro infectados em 24 horas. Segundo a consultoria americana Computer Economics, o worm causou prejuzos na ordem de 8,75 bilhes de dlares. Em 2001, os EUA sofrem o maior ataque terrorista de sua histria: os atentados de 11 de setembro. Durante a manh desse dia, dois avies comerciais sequestrados colidiram contra as torres do World Trade Center, na cidade de Manhattan Nova York, destruindo completamente esses edifcios. Alm da tragdia humana, vrias empresas instaladas nesses prdios simplesmente deixaram de existir, tornando esse evento o pior dia para a Segurana da Informao. Em outubro lanado o Microsoft Windows XP, o primeiro sistema opracional construdo sob nova arquitetura e kernel, o qual conta com as seguintes caractersticas: nova interface grca mais fcil e intuitiva, maior estabilidade, menor tempo de inicializao e desligamento, dispensa de reinicializao do sistema para conexo e desconexo de novos dispositivos, assistncia remota e suporte para DVD e redes sem os.
Kernel: a camada do sistema operacional mais prxima do hardware, sendo responsvel pela troca de informaes entre ambos.
e-Tec Brasil
22
Essas caractersticas tornaram o Windows XP o sistema operacional mais popular do mundo, com um pico de 85% de participao do mercado em 2006. Ainda em 2001, o Brasil se torna a primeira nao do mundo a ter uma infraestrutura de chaves pblicas prevista em sua legislao. Surgem os worms Sircam, CODE RED, NINDA e Klez, todos com alta capacidade de disseminao e contaminao de arquivos. Em 2002, o algoritmo Rijndael, criado pelos belgas Vincent Rijmen e Joan Daemen, escolhido pelo governo dos EUA como o novo padro criptogrco, substituindo o obsoleto DES. Tem como principais caractersticas: facilidade de implementao em hardware e software, alto grau de segurana e desempenho, resistncia a ataques conhecidos e pouco consumo de memria. O Rijndael foi rebatizado com o nome de Advanced Encryption Standard (AES). Ainda em 2002 publicada a Sarbanes-Oxley Act, lei criada com o objetivo de garantir a criao de mecanismos de auditoria, segurana e controles conveis nas empresas. Tais mecanismos buscam evitar a fuga de investimentos nanceiros dos EUA, aps os escndalos envolvendo a Enron Corporation. No ano de 2003, um vrus de computador chamado SQL-Slammer torna-se o mais rpido do mundo, infectando mais de setenta mil servidores SQL no mundo todo, paralisando por vrias horas os servios de internet. Cresce o nmero de fraudes no Brasil e em outros pases do mundo. Surge o primeiro servio de telefonia da internet o Skype. Em agosto, aproveitando-se de uma falha de segurana no servio Distributed Component Object Model (DCOM), o vrus Blaster disseminou-se por quase meio milho de computadores. O autor do Blaster, Jeffrey Lee Parsons, de apenas 18 anos, foi condenado a trs anos de servio comunitrio.
AES. http://pt.wikipedia.org/wiki/ AES Lei Sarbanes-Oxley. http://pt.wikipedia.org/wiki/ Sarbanes-Oxley Enron Corporation. http://pt.wikipedia.org/wiki/ Enron Skype. http://pt.wikipedia.org/wiki/ Skype DCOM. http://pt.wikipedia.org/wiki/ DCOM
23
e-Tec Brasil
Em 2004 nascem as primeiras redes sociais virtuais, como o MySpace, Orkut e Facebook.
Redes Sociais Virtuais. http://pt.wikipedia.org/wiki/ Redes_Sociais_Virtuais Gadget. http://pt.wikipedia.org/wiki/ Gadget Blu-ray. http://pt.wikipedia.org/wiki/ Disco_Blu-ray A histria secreta do Concker. http://info.abril.com.br/noticias/ seguranca/a-historia-secreta-doconcker-14092009-14.shl
Em 2005 lanado o Ubuntu, uma distribuio Linux voltada para computadores pessoais e dedicada ao usurio pouco experiente. Nasce o Youtube, stio da internet voltado ao compartilhamento de vdeos. Os gadgets tornam-se cada vez mais populares. No ano de 2008, os discos Blu-ray comeam a substituir os DVDs na indstria cinematogrca. Surge o vrus Concker, ativo at os dias de hoje. considerado o vrus que mais se disseminou na internet, tirando o primeiro lugar do SQL Slammer.
No decorrer da histria da humanidade, a Segurana da Informao tem se mostrado um elemento cada vez mais importante para as pessoas e para os negcios das empresas. Nas residncias, os computadores esto repletos de documentos, planilhas, correspondncias eletrnicas, fotograas, vdeos, declaraes de Imposto de Renda e at mesmo listas de amigos. Nas empresas, a situao no diferente. Servidores armazenam transaes eletrnicas, planos, estratgias de negcios, segredos industriais, informaes scais e previdencirias, contratos etc. A onipresena da tecnologia da informao uma realidade irreversvel. A humanidade est cercada e a cada instante cria e consome um volume cada vez maior de informaes. E mant-las conveis custa dinheiro. Anal, tudo tem valor. Este o principal papel da SI no mundo moderno: garantir que os recursos nanceiros investidos na criao, conservao, uso, transmisso e descarte das informaes sejam resguardados.
e-Tec Brasil
24
Resumo
Na dcada de 1950, os computadores estavam localizados em instalaes militares e se apresentavam na forma de mainframes, ocupando salas inteiras e exigindo um grande nmero de especialistas para sua operao e manuteno. A dcada de 1960 caracterizou-se pela expanso rpida da computao para ns militares e assistiu ao incio da computao comercial. Os computadores caram menores e menos caros. A dcada de 1970 caracterizou-se pelo incio da normatizao da SI, pela expanso da computao comercial, pelo surgimento dos primeiros padres criptogrcos e da criptograa de chave pblica. Os computadores continuavam diminuindo e cando mais baratos. A dcada de 1980 caracterizou-se principalmente pelo incio da computao pessoal, pela expanso do uso de computadores nos escritrios, pela expanso das redes privadas de dados, pela conexo dessas redes internet, pelo surgimento dos vrus de computador. A dcada de 1990 caracterizou-se pela conexo dos computadores pessoais domsticos internet, pelo surgimento da WEB e dos navegadores, pela consolidao da interface grca nos computadores pessoais, pelo incio da discusso sobre privacidade on-line, pela propagao de vrus de computador em escala mundial. A dcada de 2000 caracterizou-se pela mudana no objetivo do vrus de computador (antes queriam destruir os dados, hoje querem roub-los), pela expanso no uso de softwares livres, proliferao do cibercrime, ataques DOS e DDOS, SPAM, Spywares.
Atividades de aprendizagem
1. Pesquise na internet e construa um grco relacionando quantidade de malwares e o ano de seu surgimento. Poste um arquivo com o grco no AVEA. 2. A evoluo na tecnologia vem trazendo mais segurana informao ou vem expondo a informao a novos tipos de vulnerabilidades? Justique. Poste o arquivo com sua resposta e justicativas no AVEA.
25
e-Tec Brasil
A Segurana em TI como trancar sua casa ou seu carro no vai impedir os bandidos, mas se a tranca for boa o bastante, eles podem preferir buscar um alvo mais fcil. Paul Herbka
Objetivos
Identicar os conceitos bsicos da Segurana da Informao. Entender e diferenciar os princpios norteadores da SI. Conhecer o ciclo da SI.
2.2 Dado
Os dados so a menor unidade componente da informao. Assim, a construo de qualquer sistema de informao est estruturalmente fundamentada em dados. Podem ser exemplos de dados: fatos, imagens, gravaes etc. Isoladamente, os dados no possuem valor.
2.3 Informao
A informao um conjunto de dados, ao qual se atribui valor, utilidade ou interpretao, que pode representar um grande diferencial para os seus detentores. Atualmente, pode-se dizer que a informao o ativo mais valioso de uma empresa, integrando o patrimnio desta.
27
e-Tec Brasil
Toda informao possui um ciclo de vida composto de trs fases, conforme indicado pela Figura 2.1.
Aquisio e Gerao
Na Origem, os dados e informaes so adquiridos atravs de pesquisa, processos tcnicos, reexes, dedues matemticas, experimentao ou observao da natureza. Tambm so adquiridos como resultado das inter-relaes entre os processos da segunda fase: o Aproveitamento. O Aproveitamento responde pela explorao econmica da informao ou dos produtos gerados a partir dela. Um de seus processos mais importantes a Preservao, que objetiva manter a informao bem guardada e disponvel para seus detentores. A terceira fase a Destinao, que acontece quando a informao no pode ou no precisa mais car sob a tutela exclusiva de seu detentor. A Destinao acontece em trs casos: no primeiro, os direitos de autor caducaram e o detentor no pode mais explor-la de modo exclusivo (patentes, por exemplo). Desse modo, a informao deve ser disponibilizada ao pblico. No segundo caso, a informao perdeu utilidade para o detentor, porm ainda pode ser valiosa para terceiros mal-intencionados. Por m, h o caso em que a informao deve ser transferida de um lugar para outro, por diversas razes. Como exemplo, pode-se citar a necessidade do detentor em expandir a estrutura de armazenamento de suas informaes, atravs da troca de um disco rgido por outro maior. Acontece que a informao no simplesmente movida do disco rgido antigo para o disco rgido novo, ela apenas copiada.
e-Tec Brasil
28
Desse modo, se a informao contida no disco rgido antigo no for apropriadamente descartada, ela pode ser obtida novamente, expondo o detentor.
Pesquise na internet sobre Gesto do Ciclo de Vida da Informao, para conhecer mais sobre o assunto. Switch. http://pt.wikipedia.org/wiki/ Switch
2.5 Vulnerabilidades
As vulnerabilidades so fatores internos capazes de expor as informaes de um sistema ao furto, roubo, perda, corrupo ou uso indevido. So pontos fracos que devem ser identicados e eliminados do ambiente empresarial. As vulnerabilidades podem ser classicadas de vrios modos. A seguir, enumeramos uma dessas classicaes.
29
e-Tec Brasil
Memrias SSD. http://pt.wikipedia.org/wiki/SSD Brasileiros so presos por utilizar ilegalmente satlite americano. http://www.geek.com.br/ blogs/832697632/posts/9852brasileiros-sao-presos-porutilizar-ilegalmente-sateliteamericano Satlites bolinha. http://www.py2adn.com/artigos/ Satelite-Bolinha.pdf
So aquelas relacionadas aos aspectos da comunicao de dados, abrangendo os meios fsicos de transmisso (cabeamento, ondas de rdio, micro-ondas, etc.) e os meios onde estes esto assentados (postes, tubulaes, etc.). So exemplos desse tipo de vulnerabilidade: proximidade a orestas (quedas de rvores sobre o cabeamento), trfego intenso de veculos (postes derrubados por acidentes de trnsito), trfego de caminhes (podem romper o cabeamento que atravessa a via), obras de saneamento bsico (podem destruir o cabeamento subterrneo), grampeamento da transmisso (para furtar ou alterar informaes), utilizao indevida de canais de transmisso (rdios piratas), ratos (podem roer o cabeamento), entre outros.
e-Tec Brasil
30
Mltiplas Vulnerabilidades no Cisco IOS. http://www.rnp.br/cais/ alertas/2008/secunia-sa31990. html Vulnerabilidade de DOS em dispositivos wireless IEEE 802.11. http://www.rnp.br/cais/ alertas/2004/AusCERTAA-200402.htm Vulnerabilidades em implementao do NTP. http://www.rnp.br/cais/ alertas/2009/uscert-vu853097. html Erro de programao inofensivo vira ameaa segurana. http://tecnologia.terra.com. br/interna/0,,OI1790208EI4805,00.html Veja os 10 casos mais curiosos de perda e recuperao de dados. http://tecnologia.terra.com. br/interna/0,,OI1284657EI4799,00.html Descoberta rede de espionagem chinesa que agia em 103 pases. http://noticias.terra.com.br/ mundo/interna/0,,OI3666205EI10495,00.html
2.6 Ameaas
As ameaas so fatores externos capazes de explorar uma ou mais vulnerabilidades, permitindo furto, roubo, perda, corrupo ou uso indevido dos ativos de informao. So exemplos de ameaas a invaso de sistemas de informao, as fraudes, o vandalismo contra equipamentos ou meios de transmisso, os atentados terroristas, as catstrofes naturais, a espionagem industrial ou internacional, o vrus de computador, os Spywares, o recebimento de spam, entre outros.
31
e-Tec Brasil
No possvel se proteger contra todas as ameaas, pois elas sempre existiro e sempre estaro por perto. Uma das funes da Segurana da Informao impedir que as ameaas se concretizem, garantindo a continuidade das atividades da empresa. As ameaas podem ser classicadas de vrios modos. A seguir, enumeramos uma dessas classicaes.
2.6.4 Riscos
Os riscos so a probabilidade de uma ameaa se concretizar, provocando danos aos ativos de informao. A Figura 2.2 mostra como medir o valor do risco, atravs da seguinte expresso: Risco = vulnerabilidade x ameaa.
e-Tec Brasil
32
Alto Risco
Alto nvel de vulnerabilidade
Mdio Risco
Por exemplo, se uma empresa no conta com proteo contra inundaes, ela est vulnervel. Entretanto, se ela est instalada numa regio que no sofre alagamento, ou est na proximidade de um rio que no costuma transbordar, ento no h ameaa e o risco mnimo. H ainda a questo da probabilidade de um evento acontecer. Por exemplo, a chance de um meteoro atingir o prdio de sua empresa mnima; porm, se acontecer, o risco de extino do negcio altssimo. Outro exemplo, a chance de se apagar acidentalmente um arquivo alta; porm, em um ambiente munido de um sistema cpias de segurana, o risco de esse arquivo se perder denitivamente mnimo. importante perceber que os custos para minorar as vulnerabilidades e para controlar ameaas devem ser mais baixos que se sujeitar ao risco. Por exemplo, ser vantagem investir mais alguns milhes de reais para construir um edifcio prova de terremotos aqui no Brasil? Com certeza, no. Anal, nosso pas no sofre com esse tipo de problema. por esse motivo que uma anlise de custo/benefcio valiosa.
33
e-Tec Brasil
2.7 Impactos
Os impactos so os danos causados pela concretizao dos riscos. Signica que o ativo de informao foi perdido, furtado, corrompido ou usado indevidamente. O valor do impacto medido pela seguinte expresso: Impacto = risco x valor do ativo de informao A Figura 2.3 mostra esse relacionamento.
Quanto maior o valor do ativo, maior ser o valor do impacto. Quanto menor o grau do risco, menor ser o valor do impacto. Por exemplo, no atentado ao World Trade Center, nos Estados Unidos da Amrica, no dia 11 de setembro de 2001, muitas empresas simplesmente deixaram de existir por causa da destruio completa de seus ativos de informao. O risco de aquele atentado ocorrer e ter sucesso era considerado mnimo, porm, aconteceu e o impacto foi gigantesco. Por isso, muito importante identicar as vulnerabilidades e as ameaas, calcular os riscos, avaliar os ativos de informao e estar preparado para minimizar os impactos. A Figura 2.4 consolida os relacionamentos entre esses conceitos.
e-Tec Brasil
34
ba
Ameaas
ixa
alt
baixo
Ativos de informao
alto
valor
Impactos
pro
Riscos
alt
ba
o
nv el cr tic o
Vulnerabilidades
bil ida
de
ba
ixo
35
e-Tec Brasil
estejam ocultas ou que faam parte de produtos e solues que a empresa pretende adquirir.
2.9 Princpios da SI
So conceitos gerais que orientam a atividade de segurana contra furto, roubo, perda, corrupo ou uso indevido da informao. So cinco princpios: a condencialidade, a integridade, a disponibilidade, a autenticidade e a irretratabilidade. Nenhum deles deve ser aplicado de modo isolado, pois um complementa o outro.
2.9.1 Condencialidade
um princpio de natureza restritiva. Estabelece que somente pessoas previamente autorizadas tenham conhecimento do contedo da informao. Alm disso, estabelece os casos em que a divulgao da existncia da informao proibida. A condencialidade deve ser aplicada tanto a informaes armazenadas como a informaes em transmisso. Tambm se aplica tica, pois alguns prossionais so obrigados a manter sigilo dos dados de seus clientes, tais como advogados, psiclogos, mdicos e jornalistas. As principais ferramentas utilizadas pela condencialidade so a esteganograa e a criptograa. A primeira dedica-se a esconder a existncia da informao e a segunda dedica-se a proteger seu signicado. A perda de condencialidade pode gerar grandes prejuzos. Por exemplo, se os dados do carto de crdito vazarem, seu proprietrio estar exposto a um grande nmero de fraudes, compras e emprstimos indevidos, etc. importante lembrar que no existe mecanismo 100% condencial, durante 100% do tempo. Termos associados condencialidade: sigilo, segredo.
e-Tec Brasil
36
2.9.2 Integridade
um princpio de natureza conservativa. Estabelece que a informao s pode sofrer redues, acrscimos ou atualizaes por pessoas previamente autorizadas, o que mantm suas caractersticas originais e respeita seu ciclo de vida. O princpio da integridade essencial para o xito de qualquer comunicao. O emissor deve possuir absoluta conana que a informao transmitida exatamente a mesma que chegou s mos do receptor e vice-versa. A perda de integridade pode gerar informaes incorretas, que no correspondam mais sua nalidade, impedindo sua utilizao. A integridade abrange ainda os sistemas que armazenam ou transmitem a informao, tais como arquivos de congurao de elementos ativos de rede, trocas indevidas de senhas de usurio, invaso de sistemas etc. As principais ferramentas utilizadas na integridade so os algoritmos Hash, que geram uma espcie de assinatura da informao, indicando imediatamente quaisquer alteraes. Termos associados integridade: conana, conservao, originalidade.
2.9.3 Disponibilidade
um princpio de natureza permissiva. Estabelece que a informao deve estar sempre acessvel s pessoas previamente autorizadas, no momento em que necessitam utiliz-la. Sua ecincia atrelada aos princpios anteriores, pois no momento em que a informao est disponvel necessrio que sejam garantidas a condencialidade e a integridade do material acessado. A disponibilidade est completamente vinculada a um ambiente de tecnologia da informao bem estruturado e a um corpo prossional bem treinado. A perda de disponibilidade impede, ou pelo menos limita, a capacidade dos usurios em acessar determinada informao. As principais ferramentas utilizadas na disponibilidade so o controle de acesso (esquemas login/senha, smartcards, biometria) e as cpias de segurana (backup). Termos associados disponibilidade: acessvel.
37
e-Tec Brasil
2.9.4 Autenticidade
um princpio de natureza identicativa. Estabelece que as informaes, transaes e comunicaes devem ter uma origem comprovada, autores e/ ou operadores identicados, e no terem sido alvo de alteraes imprevistas. fortemente ligada ao princpio da integridade. A autenticidade comprovada de trs modos:
Token. http://pt.wikipedia.org/ wiki/Token_(chave_ eletr%C3%B4nica Assinatura digital. http://pt.wikipedia.org/wiki/ Assinatura_digital Selo de tempo. http://pt.wikipedia.org/wiki/ Selo_cronol%C3%B3gico
a) algo que o usurio sabe, tais como senhas de acesso; b) algo que o usurio tem, tais como tokens ou cartes de acesso; c) algo que o usurio , tais como impresses digitais. As principais ferramentas utilizadas na autenticidade so as assinaturas digitais e os selos de tempo (timestamp). Termos associados autenticidade: verdadeiro, original, identidade, genuno.
2.9.5 Irretratabilidade
um princpio de natureza contratual. Estabelece que pessoas identicadas e autenticadas em um sistema de informaes no possam repudiar terem criado ou alterado dados contidos em informaes, transaes ou comunicaes. Pode ser de trs tipos: a) irretratabilidade de origem: protege o receptor, autenticando a identidade do emissor dos dados; b) irretratabilidade de entrega: protege o emissor, autenticando a identidade do receptor dos dados; c) irretratabilidade de transmisso: protege o emissor e o receptor, autenticando o registro de recebimento dos dados pelo receptor. As principais ferramentas utilizadas na irretratabilidade so as assinaturas digitais e os selos de tempo (timestamp). Termos associados irretratabilidade: no repdio.
e-Tec Brasil
38
39
e-Tec Brasil
Resumo
As informaes so construdas com dados e tm um ciclo de vida com trs fases origem, aproveitamento e destinao. Vulnerabilidades so pontos fracos e podem ter natureza ambiental, infraestrutural, de armazenamento, de transmisso, de hardware, de software e humanas. Ameaas so tudo o que pode explorar um ponto fraco. Podem ser naturais, intencionais e no intencionais. O risco o grau de exposio ameaa. Os impactos so os prejuzos potenciais, a probabilidade de algum risco se concretizar. As medidas de segurana buscam minimizar esses problemas. Podem ser preventivas, prospectivas e corretivas. Os princpios da SI so condencialidade, integridade, disponibilidade, autenticidade e irretratabilidade, considerando que cada um sempre complementa os demais. O ciclo de SI segue uma srie de atividades encadeadas, em que o resultado de um passo o valor de entrada do passo. Esse processo permite a melhora contnua na salvaguarda das informaes.
Atividades de aprendizagem
1. Pesquise na internet e apresente pelo menos dois exemplos de cada um dos tipos de medidas de segurana. 2. Responda: O que mais valioso para uma empresa, as informaes ou os equipamentos que as contm? Justique. Poste os arquivos com suas respostas e justicativas no AVEA.
e-Tec Brasil
40
Objetivos
Identicar os principais problemas enfrentados pela Segurana da Informao. Reconhecer esses problemas como ameaas aos ativos de informao.
3.1 Danos
Danos so quaisquer prejuzos sofridos pela informao ou por seus detentores, podendo ser de trs tipos.
3.1.1.3 Substituio
A informao antiga substituda por outra mais nova, em geral incorreta ou imprecisa.
41
e-Tec Brasil
Mdica britnica perde mais de R$ 1 milho com golpe virtual. http://g1.globo.com/ Noticias/Tecnologia/0,,M RP1094096-6174,00.html
3.2 Malwares
Malwares o termo que designa um grupo de programas de computador desenvolvidos com trs nalidades: a) provocar a perda ou corrupo das informaes contidas no computador; b) usar indevidamente informaes pessoais do usurio; c) controlar remotamente o computador do usurio. O termo malware foi criado da contrao do termo em ingls malicious software e signica cdigo malicioso ou software malicioso. As principais espcies de malwares so: a) vrus de computador; b) cavalos de troia; c) spywares; d) ransomware; e) worms. Os malwares se aproveitam de falhas existentes nos softwares comerciais, da curiosidade e da falta de cuidado do usurio, disseminando-se pelos sistemas de informtica das seguintes maneiras:
e-Tec Brasil
42
a) infeco de programas; b) infeco de boot; c) infeco de macro; d) infeco de autorun; e) infeco por phishing; f) infeco combinada. A Figura 3.1 mostra uma rvore de deciso usada para classicar os malwares.
Malware. http://pt.wikipedia.org/wiki/ Malware
Incio
no
No um malware.
no
um cavalo de troia.
no
um worm.
Sim um vrus.
Fim
43
e-Tec Brasil
3.3.1 Classicao
Os vrus de computador compartilham outra caracterstica com os vrus da natureza: a necessidade de um hospedeiro para se multiplicarem. Um hospedeiro um recurso ou um servio associado aos computadores. Alm disso, uma infeco por vrus no acontece sem a ao do usurio do sistema. Os vrus se classicam de acordo com os meios de infeco e propagao descritos a seguir.
e-Tec Brasil
44
01110101101000111001010 10001010010110101010001 01010101010001010101010 11111010101010100101010 10111010001100110101011 00011101010100111110101 11010101011101010101000 10101010111010101001010 10000101010000101110101 01001010101010101010011 10101010111111010101110 10010101010101010101011 11111111111111110001010 01111101010101000111001 01010001010001010101010 01010111001010101010101
Programa
Y
Cdigo do vrus
Toda vez que o usurio abrir o programa infectado, o sistema operacional ir carregar o programa na memria principal (RAM) e iniciar a execuo. Ao iniciar a leitura dos bytes do programa, o sistema operacional far o salto determinado pelo ponteiro X, executar o cdigo do vrus, far o salto determinado pelo ponteiro Y e s ento o programa original ser executado. Quando o computador est contaminado por vrios tipos de infectores de arquivos, a execuo ca mais complexa, pois cada vrus ir incorporar seu prprio cdigo ao nal do programa, acrescentando mais e mais ponteiros at o sistema entrar em colapso. Atualmente, a disseminao de vrus de computador atravs de infectores de programas no muito eciente. Por isso, esta tcnica tem sido usada apenas para dicultar a remoo de malwares de computador.
45
e-Tec Brasil
O MBR uma rea muito importante, pois lido sempre que o computador iniciado ou reiniciado. Um vrus de boot se propaga sempre que um disquete inserido na unidade de disco exvel de um computador infectado. Se essa mdia for usada para o boot em outro computador, ou o computador for iniciado inadvertidamente com o disquete na unidade, um novo sistema se infecta, reiniciando o ciclo. A Figura 3.3 mostra uma infeco por vrus de boot. Normalmente, a MBR apontaria para o incio do sistema operacional a ser carregado na memria do computador. O vrus altera a MBR, fazendo-a apontar para o cdigo do vrus (ponteiro X), que se encontra no disco rgido. Aps o vrus ser carregado na memria principal (RAM), o ponteiro Y indica o incio do sistema operacional, que carregado normalmente.
MBR Cdigo do vrus
Y
Sistema Operacional
Dados
As infeces de boot eram muito comuns na era pr-internet, quando a troca de arquivos acontecia principalmente por meio de disquetes, apesar de, em tese, vrus de boot tambm poderem ser escritos para infectar CDs ou DVDs, no momento de sua gravao. Atualmente, a facilidade de deteco desses malwares por programas antivrus associados caracterstica de uma nica gravao dessas mdias compactas tornou pouco eciente a disseminao atravs de infectores de boot.
e-Tec Brasil
46
Qual a diferena entre reproduo automtica e execuo automtica? http:// windows.microsoft.com/pt-PT/ windows-vista/Whats-thedifference-between-AutoPlayand-autorun
47
e-Tec Brasil
A contaminao acontece quando o usurio conecta um pen drive em um sistema infectado. O vrus que se encontra na memria principal (RAM) do computador acrescenta um arquivo chamado autorun.inf, responsvel por chamar a execuo de um programa. Este programa carrega o cdigo malicioso do vrus. Algumas vezes, este programa gravado no diretrio-raiz do pen drive; outras, numa pasta chamada Recycler ou Recycled. A contaminao se efetiva assim que o pen drive conectado em outro computador. A Figura 3.4 mostra o contedo de um pen drive contaminado por uma infeco de autorun. Essa contaminao indicada pelo fato de o sistema operacional Microsoft Windows XP, cuja janela mostrada na gura, no criar a pasta Lixeira (Recycler) em dispositivos removveis.
Ainda que o Microsoft Windows XP criasse a pasta Lixeira (Recycler), ela jamais estaria com o atributo R, que signica que a pasta somente leitura. Uma pasta com esse atributo no poderia receber os arquivos que so excludos pelo usurio.
Microsoft acaba com AutoPlay no Windows. http://info.abril.com.br/ noticias/seguranca/microsoftacaba-com-autoplay-nowindows-15092009-4.shl
Em 25 de agosto de 2009, a Microsoft Corporation decidiu extinguir a funcionalidade de execuo automtica em seus sistemas operacionais para conter a disseminao de vrus de computador.
e-Tec Brasil
48
49
e-Tec Brasil
Por exemplo, uma infeco que chega por um pen drive pode furtar a senha do Orkut do usurio e comear a mandar recados contendo links para pginas falsas de um banco e induzindo seus contatos a fornecer seus dados pessoais, levando um grande nmero de pessoas a se tornarem vtimas de golpes nanceiros.
Backdoor Signica porta dos fundos. So canais de acesso remoto a sistema operacional, via internet. Quando so abertas, permitem a um atacante ter controle completo da mquina do usurio
e-Tec Brasil
50
f) instalar keyloggers e screenloggers; g) invadir a privacidade do usurio, ativando webcam ou microfone sem o usurio saber; h) imprimir documentos na impressora do usurio, acabando com a tinta e estragando papis; i) instalar rootkits programas que ajudam a manter um ataque bem-sucedido, escondendo as evidncias de sua instalao no computador; j) programar o envio de spams para milhares de contas de e-mail. Em geral, os cavalos de troia tm as seguintes caractersticas: a) no infectam outros programas; b) no disseminam cpias de si mesmos; c) so compostos de um nico arquivo; d) so explicitamente executados pelo usurio ou cam residentes na memria principal (RAM); e) necessitam que os computadores invadidos estejam conectados internet.
Assista ao lme Troia, do diretor Wolfgang Petersen, lanado em 2004, para conhecer a origem do termo cavalo de troia Keyloggers So programas de computador que trabalham capturando e armazenando os caracteres digitados em um teclado com a nalidade de descobrir senhas de acesso do usurio. Alguns desses programas so capazes de enviar os dados capturados para servidores na internet sob controle de criminosos. Screenloggers So programas de computador similares aos keyloggers, porm, ao invs de capturarem o que digitado, trabalham coletando e armazenando pequenas imagens copiadas da tela do computador nas reas dos cliques do mouse.
3.5 Spywares
Os spywares (softwares espies) so a terceira das espcies de malwares. So programas criados com a inteno de coletar informaes do usurio, tais como o tipo de websites que visita, produtos que costuma comprar, assuntos que lhe interessam, horrios de acesso, tipo de e-mails que recebe etc., e envi-las para uma entidade externa. E o mais importante: sempre sem o consentimento ou o conhecimento do usurio espionado. Existem dois tipos bsicos de spyware: a) coletor de informaes bancrias: especializado em capturar nmeros de conta, senhas de acesso, dados de cartes de crdito etc. Seu maior perigo a exposio do usurio a fraudes nanceiras; b) coletor de informaes comportamentais: especializado em capturar o tipo de stio na internet que o usurio visita, produtos que ele costuma comprar, assuntos que lhe interessam, horrios de acesso, tipo de e-mails que envia e recebe, tipo de pagamento mais usado (carto de crdito, de dbito ou boleto bancrio).
51
e-Tec Brasil
importante saber que nem toda coleta de informaes do usurio ilegal. Algumas empresas disponibilizam servios na internet (webmails, blogs, fotoblogs, editores de texto, redes sociais, etc.) a qualquer pessoa, desde que essa pessoa aceite os termos de prestao de servio ou as polticas de privacidade. Nesses documentos constam clusulas pelas quais o usurio autoriza expressamente a atividade de coleta de suas informaes. Normalmente, os spywares so instalados quando o usurio vtima de phishing. Aps a contaminao, esses programas cam recolhendo informaes do usurio e assim que o computador conectado internet, essas informaes so enviadas para sistemas especializados em condensar, processar e tirar proveito dessas informaes comercialmente teis.
Resumo
Danos so prejuzos sofridos pela informao. Podem ser lgicos, fsicos ou pessoais. Malwares so programas de computador desenvolvidos para destruir, corromper ou usar indevidamente informaes. Permitem controlar remotamente um computador. Os principais tipos vistos nesta aula so os vrus, cavalos de troia e spywares. Os vrus de computador necessitam de um hospedeiro e da ao do usurio do sistema para se multiplicarem. Os cavalos de troia aparentam ser legtimos, porm executam funes prejudiciais ao sistema secretamente. Os spywares coletam informaes comportamentais do usurio e as envia para uma entidade externa, sem o consentimento ou o conhecimento da vtima.
Atividades de aprendizagem
1. Sabendo que existem trs tipos de danos lgicos, descreva dois exemplos de situaes que podem resultar em cada um deles. 2. Pesquise na internet e confeccione um texto descrevendo como o conceito de adware corrompeu-se no conceito de spyware. Poste os arquivos com suas respostas e justicativas no AVEA.
e-Tec Brasil
52
Objetivos
Identicar os principais problemas enfrentados pela Segurana da Informao. Reconhecer esses problemas como ameaas aos ativos de informao.
4.1 Ransomwares
Os ransomwares so a quarta espcie de malware. Seu funcionamento implica no sequestro dos dados do usurio ou mesmo no bloqueio de acesso ao computador. No primeiro caso, o ransomware criptografa o todo ou uma parte do disco rgido do usurio, impedindo o seu acesso. No segundo, muda as senhas de login do sistema operacional. Aps o sequestro, informa vtima que seus dados apenas sero liberados se a pagar um resgate por eles. Os ransomwares so ferramentas de extorso. Aps o pagamento, o usurio recebe uma senha que permite recuperar seus dados.
Piratas virtuais anunciam sequestro de dados e exigem US$ 10 milhes nos EUA. http://www1.folha.uol. com.br/folha/informatica/ ult124u561249.shtml Falso antivrus cobra US$ 50 para liberar arquivos sequestrados. http://g1.globo.com/ Noticias/Tecnologia/0,,M RP1087313-6174,00.html
4.2 Worms
Os worms (vermes) so a quinta espcie de malwares, considerada a mais perigosa. Suas principais caractersticas so: a) alta velocidade de propagao de suas cpias; b) aproveitar-se de falhas de desenvolvimento em sistemas operacionais, em softwares aplicativos e em protocolos de transmisso de dados;
53
e-Tec Brasil
c) no contaminar programas;
Worms. http://pt.wikipedia.org/wiki/ Worm
d) no exigir interveno do usurio para se propagar, disseminando-se automaticamente; e) fazer uso de tcnicas combinadas de infeco para aumentar sua capacidade de propagao. Sua notvel capacidade de disseminao tem provocado a sobrecarga de vrios servidores de e-mail ao redor do mundo, bem como a diminuio da banda disponvel para conexes de dados.
4.3 Spam
Link sugerido para a origem do termo spam: http://www.youtube.com/ watch?v=3kjdrl6qjwY
O spam a atividade de enviar mensagens eletrnicas (e-mails) massivamente para usurios que no consentiram e nem solicitaram seu recebimento.
e-Tec Brasil
54
e) expe o usurio a contedo imprprio ou ofensivo, pois o emissor de spam no faz nenhuma discriminao de seus destinatrios. Assim, possvel, por exemplo, que um jovem menor de idade receba convites para gastar sua mesada em cassinos on-line; f) expe a fraudes, pois o spam comumente utilizado como veculo disseminador de esquemas que tentam induzir o usurio a erro ou instalar programas maliciosos em seu computador phishing. Os spams podem conter links para pginas clonadas de bancos, nas quais o usurio pode informar os dados de sua conta e senha de acesso. O spam causa ainda um stimo problema: a lentido na rede de dados ou na internet, tendo em vista que ocupa parte da banda disponvel para conexes de dados. O spam no est restrito s correspondncias eletrnicas, podendo se manifestar nos recados do Orkut, em fruns de discusso e mesmo atravs de janelas pop-up em pginas da internet.
12% dos usurios respondem a spams. http://br.tecnologia.yahoo. com/article/20072009/7/ tecnologia-12-dos-usuariosmail-respondem.html Spam responde por 97% das mensagens de e-mail, diz Microsoft. http://g1.globo.com/ Noticias/Tecnologia/0,,M RP1077797-6174,00.html Spam. http://www.linhadefensiva. org/2005/11/spam/ inerao de dados. M http://pt.wikipedia.org/wiki/ Data_mining
55
e-Tec Brasil
Dmitry Samosseiko What is it & why should you care. http://www.sophos.com/ Hackers rake in fortune selling fake antivrus software. http://www.smh.com.au/news/ technology/security/hackersrake-in-fortune-selling-fakeantivirus-software/2008/11/05/ 1225560902070.html
Um computador invadido se presta ainda para mascarar a origem e a identidade do invasor, permitir o armazenamento clandestino de dados, disseminao de spam, contaminao e invaso de outros computadores, etc. Com os dados bancrios furtados das vtimas, os criminosos podem fazer transferncias de valores entre contas, pagamento de faturas de terceiros, compras em lojas on-line, etc.
Resumo
Malwares so programas de computador desenvolvidos para destruir, corromper ou usar indevidamente informaes. Permitem controlar remotamente um computador. Os principais tipos vistos nesta aula so os ransomwares e worms. Os ransomwares sequestram os dados do usurio ou bloqueiam o acesso ao computador. Os worms (vermes) so espcie mais perigosa de malwares, propagam-se rpida e automaticamente, aproveitando-se de falhas em softwares e sem contaminar programas. Os spams so mensagens eletrnicas (e-mails) enviadas massivamente para milhares de usurios que nunca autorizaram seu recebimento. No nal de tudo, a maioria dos malwares e o spam existem apenas para ganhar dinheiro ou tirar dinheiro dos outros, desonestamente.
Atividades de aprendizagem
1. Tendo em mente os conceitos de ransomwares, worms e spam, responda: Como indivduos mal-intencionados ganham dinheiro com cada um deles? 2. Pesquise na internet e confeccione um texto descrevendo o que so, como funcionam e como os web bugs se relacionam com o spam. Poste os arquivos com suas respostas e justicativas no AVEA.
e-Tec Brasil
56
Objetivos
Conhecer os conceitos bsicos sobre o tema softwares de Segurana da Informao. Proceder a estudos de caso em cada um dos tipos de ferramentas apresentadas.
5.1 Introduo
Os softwares de SI so as ferramentas que permitem ao usurio aplicar os princpios da Segurana da Informao em seu dia a dia e no dia a dia da empresa. Nesta aula so abordados os principais tipos de ferramentas, seus conceitos bsicos e um estudo de caso para cada uma delas. Entretanto, no sero abordadas todas as funcionalidades disponveis, mas somente as funcionalidades principais. Os softwares foram escolhidos por estarem licenciados sob a forma de freewares, estarem disponveis para download, serem atualizados com frequncia e estarem entre os preferidos nas vrias listas de sugestes pesquisadas.
57
e-Tec Brasil
anotar essas senhas em papel, nem dentro de arquivos no computador, pois estariam vulnerveis a pessoas mal-intencionadas ou a bisbilhoteiros. Outro erro comum utilizar a mesma senha de acesso em vrios servios on-line. Basta que o atacante descubra uma delas para que todas as demais sejam expostas. Os gerenciadores de senha armazenam de modo seguro a lista de senhas de servio e a respectiva lista de nomes de usurio. O usurio deve apenas lembrar uma senha-mestre, que permite acesso s senhas criptografadas pelo gerenciador.
Criptograa a cincia que trata das tcnicas de transformao atravs das quais a informao pode ser protegida de pessoas no autorizadas.
Abrir-se- uma janela do Windows Explorer solicitando que o usurio indique o nome e a localizao de seu banco de dados de senha (Figura 5.2). Aps denidos, necessrio clicar no boto Salvar.
e-Tec Brasil
58
Em seguida, surgir uma janela solicitando que o usurio dena a Safe Combination, ou seja, a senha-mestre (Figura 5.3). Essa a nica senha que o usurio jamais pode perder.
O usurio tem opo de utilizar o teclado virtual para digitar a senha-mestre. O teclado virtual torna-se disponvel ao se clicar no cone do teclado azul da Figura 5.3. Abaixo mostrado o teclado virtual do Password Safe (Figura 5.4).
59
e-Tec Brasil
Caso o programa considere que a senha-mestre digitada muito fraca, o usurio tem duas opes: continuar assim mesmo, clicando no boto Sim, ou tentando uma nova senha, aps clicar no boto No (Figura 5.5).
Para abrir um banco de dados de senhas existente, basta clicar no boto ... (Figura 5.1) e indicar o local e o nome do arquivo, na janela do Windows Explorer. Por padro, sempre exibido o nome do ltimo arquivo utilizado. Os arquivos do Password Safe tm extenso .psafe3.
aberta uma nova janela (Figura 5.7) onde o usurio deve informar os dados da entrada, tais como grupo, nome da entrada, nome de usurio, senha, link do stio e observaes.
e-Tec Brasil
60
Uma vez inseridos os dados, basta clicar no boto Ok e a entrada ser adicionada ao banco de dados de senhas (Figura 5.8). Esse procedimento deve ser repetido para cada uma das senhas de servio que o usurio possui. O Password Safe admite centenas de entradas em um banco de dados de senha.
Para excluir uma entrada, basta selecion-la e pressionar a tecla Delete. A Figura 5.9 mostra como cam os caracteres do arquivo criptografado Particular.psafe3.
61
e-Tec Brasil
Em seguida, deve ser denido o tipo do backup. Neste estudo, ser trabalhada a opo Sincronizao (Figura 5.11).
e-Tec Brasil
62
Aps clicar no boto Ok, o SyncBackup solicita um nome para o perl (Figura 5.12).
O programa ento passa s conguraes do perl. mandatrio que o usurio indique a pasta de origem (que contm os dados) e a pasta de destino (que receber o backup). Na opo Sub-dirs recomendado que se escolha a opo Incluir todos os subdiretrios e seus arquivos (e usar o ltro de diretrio), pois a mais completa. Na guia Simples apresentada uma congurao padro, sem muitos detalhes (Figura 5.13). Em geral, essas conguraes bastam para a maioria dos usurios.
63
e-Tec Brasil
A Figura 5.14 mostra a guia Avanado, onde se denem a prioridades de sobrescrio de arquivos. A sobrescrio do arquivo pode estar relacionada origem/destino, condio de mais velho/mais novo, condio de maior/menor, inexistncia do arquivo na origem e inexistncia do arquivo no destino. ideal que, em um backup, os arquivos mais novos sobrescrevam os mais velhos, que se um arquivo est somente na origem, seja copiado para o destino e que se um arquivo est somente no destino, seja excludo.
A Figura 5.15 mostra a guia Copiar/Excluir, onde so denidas questes de desempenho (opo No usar o Windows shell para copiar ou excluir arquivos) e questes de integridade (opo Vericar se cpia ok).
e-Tec Brasil
64
A Figura 5.16 mostra a guia Filtro, onde so denidos quais arquivos e quais pastas sero includos ou no no backup. interessante que se excluam pastas do sistema operacional, pouco relacionadas com os arquivos de um backup. Deve-se excluir arquivos temporrios tambm, pois isso ajuda a reduzir espao em disco, necessrio para armazenar o backup.
A Figura 5.17 mostra a guia Compresso, onde so denidas as opes de compactao dos arquivos de backup. O Syncbackup permite congurar se deve ser gerado um nico arquivo compactado ou se cada arquivo deve ser compactado separadamente. Permite, ainda, denir uma senha de proteo e o nvel de compresso. A compresso de dados tem algumas limitaes, pois no permite mais que 65.535 arquivos em um arquivo compactado e nem que seu tamanho seja superior a quatro gigabytes.
65
e-Tec Brasil
A Figura 5.18 mostra a guia FTP, onde so denidas as opes do protocolo de transferncia de arquivos, tais como nome do servidor, nome de usurio, senha de acesso e dados de conexo com a internet.
A Figura 5.19 mostra a guia Rede, onde so denidas as opes de envio dos arquivos de backup para pastas de uma Intranet, tais como local da pasta, nome de usurio e senha.
Terminadas as conguraes, a janela principal do SyncBackup mostra uma lista com os pers criados pelo usurio (Figura 5.20). A partir dessa janela possvel excluir, modicar ou executar um perl criado.
e-Tec Brasil
66
67
e-Tec Brasil
O TrueCrypt trabalha com os seguintes algoritmos criptogrcos: AES-256, Serpent e Twosh, todos reconhecidamente seguros pela comunidade cientca. A seguir, so mostradas as principais funcionalidades da verso 6.2 do TrueCrypt.
Na janela Assistente para a Criao de Volume (Figura 5.22), escolha a opo Create an encrypted le container e clique no boto Avanar.
e-Tec Brasil
68
Na janela Tipo de Volume (Figura 5.23), escolha a opo Volume TrueCrypt padro e clique no boto Avanar.
Na janela do Windows Explorer (Figura 5.25), selecione o caminho e escreva o nome do arquivo e clique no boto Salvar.
69
e-Tec Brasil
Na janela Localizao do Disco (Figura 5.26), aparecer o caminho completo do arquivo escolhido. Clique no boto Avanar.
Na janela Opes de Criptograa (Figura 5.27), escolha o algoritmo de criptograa e o algoritmo de hash a serem utilizados. Clique no boto Avanar.
Na janela Tamanho do disco (Figura 5.28), dena o tamanho do volume que conter os arquivos criptografados. importante planejar o tamanho desse arquivo para evitar criar um arquivo muito pequeno (insuciente) ou grande demais (desperdcio). Clique no boto Avanar.
e-Tec Brasil
70
O passo seguinte um dos mais importantes, pois a segurana dos arquivos a serem contidos no volume criptografado depende do tamanho e da qualidade da senha. Quanto maior a senha, melhor. Quanto mais misturar letras maisculas, minsculas, smbolos e dgitos numricos melhor. Quanto mais o usurio for capaz de lembrar a senha, melhor. Na janela Senha do Volume (Figura 5.29), dena a senha de criptograa do volume. Clique no boto Avanar.
Caso a senha escolhida seja muito curta, o aplicativo vai informar a existncia de uma vulnerabilidade ao usurio e se ele quer correr o risco mesmo assim (Figura 5.30).
71
e-Tec Brasil
Aps aceitar o risco, ou ter digitado uma nova senha, o usurio ser conduzido janela Formatao do Disco (Figura 5.31), onde informar o sistema de arquivos e o tamanho do cluster. Aps os ajustes, clique no boto Formatar.
O aplicativo informa se a formatao foi bem-sucedida ou no (Figura 5.32) e fornece a opo de criar mais um volume ou de sair do assistente (Figura 5.33).
O volume criado aparecer no Windows Explorer como um arquivo comum, sem extenso. Para que se possa utiliz-lo, necessrio montar a unidade de disco.
e-Tec Brasil
72
Na janela do Windows Explorer, selecione o arquivo onde quer montar o volume (Figura 5.35). Clique em Abrir.
O caminho completo para o arquivo mostrado no campo Disco, da janela principal do TrueCrypt (Figura 5.36). Clique no boto Montar.
73
e-Tec Brasil
Ser solicitada a senha usada na criao do volume (Figura 5.37). Aps a digitao, clique no boto Ok.
Se a senha foi digitada corretamente, o volume ser montado com a letra escolhida e listado na janela principal do TrueCrypt (Figura 5.38).
A Figura 5.39 mostra a janela e o contedo da unidade T:\. Todos os arquivos que forem movidos para esta pasta sero automaticamente encriptados. Esses
e-Tec Brasil
74
arquivos estaro acessveis aos usurios enquanto a unidade T:\ estiver montada.
Os volumes TrueCrypt, aps montados, so vistos pelo sistema operacional como unidades comuns de disco (Figura 5.40).
Para desmontar a unidade T:\ e impedir o acesso ao seu contedo, basta apenas fechar todos os aplicativos que estejam utilizando arquivos da unidade T:\ e, na janela principal do TrueCrypt (Figura 5.38), selecionar a unidade de disco que se quer desmontar e clicar no boto Desmontar.
75
e-Tec Brasil
Resumo
Os gerenciadores de senha protegem com criptograa a innidade de senhas de acesso advindas da atual revoluo digital. Os gerenciadores de backup automatizam a criao e atualizao de cpias de segurana. Podem ser utilizados de forma preventiva ou corretiva. As ferramentas de criptograa permitem ao usurio trabalhar com criptograa de dados, garantindo a condencialidade das informaes.
Atividades de aprendizagem
1. Pesquise na internet e descreva duas tcnicas que permitem gerar boas senhas. 2. Pesquise na internet qual soluo apresenta maior segurana: um volume TrueCrypt padro ou um volume TrueCrypt oculto? Justique. Poste os arquivos com suas respostas e justicativas no AVEA.
e-Tec Brasil
76
Objetivos
Conhecer os conceitos bsicos sobre o tema softwares de Segurana da Informao. Realizar estudos de caso em cada um dos tipos de ferramentas apresentadas.
77
e-Tec Brasil
dos de encriptao prvia do disco rgido, degaussing e destruio fsica da mdia, nessa ordem, podem garantir que dado algum possa ser recuperado.
Degaussing a aplicao de um forte campo magntico capaz de remover as marcaes que denem o valor zero e o valor um existentes em um disco rgido. Essa tcnica oferece mais segurana que a sobrescrio usada nas ferramentas de descarte seguro de dados, pois aumenta a garantia de que no haver remanncia de dados suciente para reconstruir as informaes de um disco rgido.
Para criar uma nova tarefa, basta clicar no menu File e em seguida na opo New Task (Figura 6.2).
Na guia Data da janela que se abriu, deve-se escolher quais dados ou reas sero sobrescritos, tais como espao livre de uma unidade de armazenamento, o contedo de uma pasta ou um determinado arquivo (Figura 6.3).
e-Tec Brasil
78
No campo Every da guia Schedule, deve-se indicar a se a tarefa ser executada diariamente, ou em determinado dia da semana ou a cada reinicializao do computador (Figura 6.4).
79
e-Tec Brasil
No campo At da guia Schedule, deve-se indicar a hora em que a tarefa deve ser executada (Figura 6.5).
Na guia Files deve-se escolher o algoritmo de limpeza dentre as seis opes disponveis. Em princpio, quanto mais passos o algoritmo tiver, mais segura e mais lenta ser a limpeza (Figura 6.6).
Para salvar as opes da tarefa, basta clicar no boto Ok. A tarefa criada passa a ser mostrada na janela principal do Eraser (Figura 6.7).
e-Tec Brasil
80
81
e-Tec Brasil
e-Tec Brasil
82
Em seguida, abrir-se- uma janela de conrmao, onde o usurio pode iniciar imediatamente, atravs do boto Yes, ajustar as opes de limpeza, atravs do boto Options ou cancelar a limpeza, atravs do boto No (Figura 6.13).
Aps clicar no boto Options, o usurio dever escolher o algoritmo de limpeza que julgue adequado (Figura 6.14).
83
e-Tec Brasil
Aps clicar no boto Yes, iniciada a limpeza do espao no usado do disco rgido (Figura 6.15). Essa limpeza bastante demorada e consome muito do processamento e do acesso ao disco do computador. recomendado que a limpeza de espao no usado seja feita apenas quando o usurio no estiver utilizando o computador.
e-Tec Brasil
84
85
e-Tec Brasil
c) proteo de rede: responsvel pela proteo do sistema contra a invaso por worms; d) proteo de e-mail: responsvel por vericar o trfego entre o servidor e o cliente de e-mail, recusando o envio ou o recebimento de mensagens que possuam vrus de computador; e) proteo de internet: responsvel por vericar o trfego de dados entre os servidores da internet e o navegador do usurio, vericando pginas e o download de arquivos; f) outlook/exchange: responsvel por vericar o trfego entre o servidor de e-mail e os programas Microsoft Outlook e Microsoft Exchange, recusando o envio ou o recebimento de mensagens que possuam vrus de computador; g) mensagens instantneas: responsvel por vericar os arquivos que so enviados ou recebidos atravs de programas de mensagens instantneas, tais como Windows Live Messenger e Pidgin. A Figura 6.17 mostra a janela de congurao dos mdulos da proteo residente do Avast.
e-Tec Brasil
86
87
e-Tec Brasil
Iniciar o antivrus Avast. Aps vericar se h vrus na memria principal do computador, a janela principal do Avast abrir-se- (Figura 6.19).
A varredura exige algumas informaes antes de comear, tais como o local e a profundidade da varredura (Figura 6.20).
Para iniciar a varredura, basta clicar com o mouse no boto Iniciar, na janela principal do Avast (Figura 6.21).
e-Tec Brasil
88
Abrir-se- a janela com as opes dessa varredura (Figura 6.23), tais como o local (discos locais ou uma pasta especca) e o que fazer caso vrus sejam encontrados (excluir, mover para quarentena, reparar o arquivo infectado etc.).
89
e-Tec Brasil
Denidas as opes de varredura, basta clicar no boto Agendar. O Avast ir perguntar se a varredura deve ser feita imediatamente (reiniciando o computador) ou se deve aguardar o prximo boot da mquina.
Resumo
As ferramentas para o descarte seguro de dados dicultam a recuperao de arquivos excludos de unidades de armazenamento magntico. As ferramentas antivrus previnem, detectam e removem vrus de computador. Os mais modernos permitem a varredura contra cavalos de troia, worms e spywares, alm dos vrus.
Atividades de aprendizagem
1. Pesquise na internet e cite cinco caractersticas de um antivrus corporativo, classique-as em vantagem ou desvantagem e justique. 2. Pesquise na internet e apresente duas solues (produtos) para o descarte de mdias fsicas, sendo uma para CDs, DVDs ou pen drives e outra para discos rgidos. Poste os arquivos com suas respostas e justicativas no AVEA.
e-Tec Brasil
90
Objetivos
Conhecer os conceitos bsicos sobre o tema softwares de Segurana da Informao. Realizar estudos de caso em cada um dos tipos de ferramentas apresentadas.
91
e-Tec Brasil
O problema que alguns stios de internet foram o navegador a gravar cookies contendo um identicador chamado GUID, que podem denunciar quais os stios visitados, quais os tipos desses stios, se foi feita alguma compra etc., acabando com a privacidade do usurio.
7.1.1.1 Atualizao
Para atualizar o banco de dados de spywares do Spybot S&D, necessrio clicar no boto Search for Updates, na janela principal (Figura 7.1).
Em seguida, o Spybot S&D vai localizar, baixar e instalar as atualizaes de seu banco de dados (Figura 7.2). A partir de agora, o Spybot S&D est pronto para a varredura.
e-Tec Brasil
92
7.1.1.2 Varredura
Aps clicar no boto Examinar, na janela principal (Figura 7.1), iniciado processo de varredura do computador contra spywares (Figura 7.3).
O tempo de varredura do sistema depende do tamanho do disco rgido e da quantidade de arquivos armazenados. Ao trmino desse procedimento o Spybot S&D mostra uma lista com os problemas encontrados (Figura 7.4). Para eliminar os spywares e cookies de rastreamento necessrio clicar no boto Corrigir os problemas selecionados.
93
e-Tec Brasil
Em seguida, ser solicitada conrmao do usurio. Para remover os problemas encontrados, basta clicar no boto Sim (Figura 7.5).
Aps a conrmao, o Spybot S&D mostra a lista com os problemas corrigidos (Figura 7.6). recomendado que essas varreduras sejam realizadas pelo menos uma vez por semana.
e-Tec Brasil
94
7.2 Firewalls
Os rewalls so dispositivos desenvolvidos com a nalidade de aplicar polticas de segurana ao trfego de dados entre um computador e uma rede ou entre redes, bloqueando qualquer transmisso no autorizada de informaes. Alm disso, tambm protegem contra invases e ataques de malwares, monitorando as portas do protocolo TCP/IP. Os rewalls podem ser classicados em: a) rewall pessoal: aquele desenvolvido com o intuito de proteger o trfego de dados entre um computador pessoal e a internet. Em geral, oferece poucas opes de congurao, podendo ser gratuito ou pago; b) rewall corporativo: aquele desenvolvido com o intuito de proteger o trfego de dados entre uma rede de dados empresarial e a internet. Oferece muitas opes de congurao, necessitando de prossionais qualicados para oper-lo. Pode ser software livre ou software comercial proprietrio. A Figura 7.7 esquematiza um rewall corporativo; c) rewall em software: so programas de computador que executam atividades comuns a rewalls. Podem ser instalados na mquina do usurio ou na borda externa de uma rede de dados. Tm a desvantagem de consumir recursos de processamento e memria do computador onde est instalado; d) rewall em hardware: so equipamentos dedicados a executar atividades comuns a rewalls. Podem ser instalados na mquina do usurio ou na borda externa de uma rede de dados. Tm desempenho superior, porm so mais caros que as solues em software, alm de necessitar de alimentao eltrica.
TCP/IP. http://pt.wikipedia.org/wiki/ TCP/IP Firewall. http://pt.wikipedia.org/wiki/ Firewall
95
e-Tec Brasil
c) Comodo Defense+: responde pela preveno do computador contra invases, furto de dados, ataques de buffer overow, etc. A seguir, so mostradas as principais funcionalidades do Comodo Firewall.
7.2.1.1 Apresentao
A janela principal do Comodo Firewall traz um sumrio com informaes sobre as atividades executadas pelos componentes do programa. Informa a banda consumida pelos principais aplicativos, se todos os servios esto operantes, quantas atividades suspeitas foram bloqueadas, etc. (Figura 7.8).
e-Tec Brasil
96
Abrir-se- uma nova janela. necessrio clicar no boto Selecionar e na opo Explorar (Figura 7.9).
Abrir-se- uma janela do Windows Explorer. necessrio informar o local, o nome do aplicativo e clicar no boto Abrir (Figura 7.10).
Aps o caminho do aplicativo aparecer na janela Denir um novo aplicativo convel, basta clicar no boto Aplicar para salvar a incluso (Figura 7.11).
97
e-Tec Brasil
Abrir-se- uma nova janela. necessrio clicar no boto Selecionar e na opo Explorar (Figura 7.12).
Abrir-se- uma janela do Windows Explorer. necessrio informar o local, o nome do aplicativo e clicar no boto Abrir (Figura 7.13).
Aps o caminho do aplicativo aparecer na janela Denir um novo aplicativo bloqueado, basta clicar no boto Aplicar para salvar a incluso (Figura 7.14).
e-Tec Brasil
98
Resumo
As ferramentas antispyware so especializadas na deteco, preveno e remoo de spywares do computador. Os rewalls so dispositivos que vigiam o trfego de dados entre computadores, autorizando ou bloqueando a passagem de informaes.
Atividades de aprendizagem
1. Pesquise na internet e apresente dois produtos antispyware, destacando suas vantagens e desvantagens em relao ao Spybot S&D. 2. Pesquise na internet e apresente quatro produtos diferentes, em que cada um implementa um rewall pessoal em software, um rewall pessoal em hardware, um rewall corporativo em software e um rewall corporativo em hardware. Poste os arquivos com suas respostas e justicativas no AVEA.
99
e-Tec Brasil
Ns, os prossionais de segurana, somos muito parecidos com mdicos cardiologistas. Nossos pacientes sabem que a falta de exerccio, dieta rica em gorduras e que o tabagismo so pssimos para a sade. Mas eles vo continuar fumando e comendo frituras deitados em seus sofs at que tenham um infarto. Ento, eles querem uma plula mgica que os tornem saudveis de uma s vez, sem esforo. E a propsito, costumam alegar a todos que sua condio no sua culpa culpa da gentica, ou das empresas de cigarro, ou do McDonalds. E nos culpam por no termos cuidado melhor deles. Isso soa familiar? Gene Spafford
Objetivo
Perceber que o fator humano o elemento mais importante da Segurana da Informao.
8.1 Introduo
A humanidade passa por um momento muito peculiar em sua histria, comumente chamado Revoluo Digital. Em nenhum momento de nossa passagem por este lindo planeta produzimos e consumimos tanta informao. A cada dia, mais e mais pessoas juntam-se a essa revoluo, acelerando enormemente essa produo e esse consumo. A cada dia, a informao torna-se mais valiosa e a segurana da informao, cada vez mais necessria. As pessoas so os principais atores da Segurana da Informao; logo, tm profunda responsabilidade neste momento revolucionrio. Os itens a seguir procuram alertar para cuidados que devem ser tomados, apresentando recomendaes e dicas sobre o que pode acontecer caso as pessoas no sejam cuidadosas.
101
e-Tec Brasil
O usurio deve dedicar especial ateno s informaes que mantm sob sua guarda. Por exemplo, um dia o usurio vai precisar de um disco rgido maior. E provavelmente vender o disco antigo para ajudar na nova aquisio. Se alguns cuidados no forem tomados, problema na certa. Recomendaes: a) utilizar uma ferramenta de criptograa de disco. Desse modo, os dados contidos no disco rgido antigo j estariam protegidos, no sendo necessria mais nenhuma interveno; b) utilizar uma ferramenta para fazer o descarte seguro dos dados, escolhendo adequadamente o nmero de passos e o algoritmo mais eciente. claro que essas recomendaes atendem o usurio com um nvel normal de paranoia. Para casos mais severos, possvel combinar as tcnicas mostradas nas aulas anteriores: criptograa de disco + descarte seguro + degaussing + destruio fsica e qumica (cido). bvio que, nesse caso, o disco antigo no poderia ser dado como entrada para o disco novo.
e-Tec Brasil
102
Procure conhecer o livro Segredos e Mentiras, de Bruce Schneier, que trata do elo mais fraco da Segurana da Informao: as pessoas.
103
e-Tec Brasil
Para evitar problemas, so recomendados alguns cuidados: a) no gravar informaes privadas, ntimas ou sigilosas em mdias removveis; b) se for imperativo o transporte desse tipo de informaes nessas mdias, necessrio que se dispense o mesmo tratamento dado aos discos rgidos: criptograa em todos os dados. Assim, em caso de extravio s se perde o hardware e no as noites de sono.
Governo britnico perde dados de 25 milhes de pessoas. http://g1.globo.com/Noticias/ Tecnologia/0,,MUL1870736174,00.html
e-Tec Brasil
104
importante ter cuidado com os anexos em e-mails. Arquivos com extenses *.bat, *.cmd, *.com, *.dll, *.exe, *.pif, *.scr, *.url, *.vbe, *.vbs e *.ws so potencialmente perigosos. recomendado que, ao receber um link ou um arquivo anexado a um e-mail, perguntar ao remetente, se conhecido, se ele realmente mandou aquele objeto. D um pouquinho mais de trabalho, mas compensa. As pessoas tm de ser mais atentas com esse tipo de golpe. Anal, os tribunais de justia, Receita Federal ou bancos no enviam e-mails contendo links, nem arquivos anexos. No Brasil, o e-mail no tem valor jurdico para intimao. Porm, alguns usurios se apavoram e saem distribuindo informaes condenciais sem pensar nas possveis consequncias.
105
e-Tec Brasil
Estudo relaciona alta de crimes on-line com ex-funcionrios de empresas de TI. http://g1.globo.com/ Noticias/Tecnologia/0,,M RP1229453-6174,00.html
Resumo
As pessoas so os principais atores da Segurana da Informao. Sua responsabilidade est em preservar a informao e os meios que a contm. Para isso, devem estar preocupadas em instalar softwares de segurana, cuidar para que os sistemas estejam sempre atualizados, fazer uma varredura semanal contra malwares, escolher boas senhas e troc-las de tempos em tempos, cuidar de suas mdias removveis, para que no se extraviem nem sejam descartadas com dados desprotegidos, cuidar de seu e-mail, pensar antes de clicar em um link, fazer backup, manter-se atualizado e sempre estudando, e ser tico.
Atividades de aprendizagem
1. Pesquise na internet e elabore um texto descrevendo o conceito, a nalidade e os tipos de tcnicas usadas pela Engenharia Social. 2. Pesquise na internet e elabore um texto descrevendo os tipos de backup existentes, suas vantagens e desvantagens. Poste os arquivos com suas respostas e justicativas no AVEA.
e-Tec Brasil
106
Referncias
BROCHI, Adinei. Satlite Bolinha: informaes sobre os satlites militares SatCom. Disponvel em: < http://www.py2adn.com/artigos/Satelite-Bolinha.pdf>. Acesso em: 15 jun. 2009. BURNETT, Steve; PAINE, Stephen. Criptograa e segurana: o guia ocial RSA. Rio de Janeiro: Editora Campus, 2002. CERT.BR Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil. Cartilha de segurana para internet. Verso 3.1. Disponvel em: <http://cartilha.cert. br/>. Acesso em: 15 jun. 2009. CERT.ORG Coordination Center. About. Disponvel em: <http://www.cert.org/meet_ cert/>. Acesso em: 15 jun. 2009. COMPUTER ECONOMICS. Malicious code attacks had $13.2 billion economic impact in 2001. Disponvel em: <http://www.computereconomics.com/article. cfm?id=133>. Acesso em: 15 jun. 2009. CURTIN, Matthew. Projeto DESCHALL. Disponvel em: <http://www.interhack.net/ projects/deschall/>. Acesso em: 15 jun. 2009. DAS BERGEEK. Brasileiros so presos por utilizar ilegalmente satlite americano. Geek, 2009. Disponvel em: <http://www.geek.com.br/blogs/832697632/ posts/9852-brasileiros-sao-presos-por-utilizar-ilegalmente-satelite-americano>. Acesso em: 15 jun. 2009. DVILA, Mrcio Henrique C. Phishing Scam: a fraude inunda o correio eletrnico. Disponvel em: <http://www.mhavila.com.br/topicos/seguranca/scam.html>. Acesso em: 17 set. 2009. ELETRONIC FRONTIER FOUNDATION. DES Cracker machine. Disponvel em:<http:// w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_des_faq. html>. Acesso em: 15 ago. 2009. PAT. 11 de setembro. Disponvel em: <http://www.softsis.com.br/epate/11-desetembro>. Acesso em: 15 jun. 2009. FERNANDES, Natlia Castro. Twosh. Disponvel em: <http://www.gta.ufrj.br/~natalia/ SSH/twosh.html>. Acesso em: 15 jun. 2009. FUNARO, Vnia Martins et al. Diretrizes para apresentao de dissertaes e teses da USP: documento eletrnico e impresso. 2.ed. So Paulo: USP, 2009. G1. Estudo relaciona alta de crimes on-line com ex-funcionrios de empresas deTI.Disponvel em:<http://g1.globo.com/Noticias/Tecnologia/0,,MRP1229453-6174,00. html>. Acesso em: 10 ago. 2009.
107
e-Tec Brasil
__. Falso antivrus cobra US$ 50 para liberar arquivos sequestrados. Disponvel em: <http://g1.globo.com/Noticias/Tecnologia/0,,MRP1087313-6174,00.html>. Acesso em: 10 ago. 2009. __. Governo britnico perde dados de 25 milhes de pessoas. Disponvel em: <http://g1.globo.com/Noticias/Tecnologia/0,,MUL187073-6174,00.html>. Acesso em: 15 jun. 2009. __. Mdica britnica perde mais de R$ 1 milho com golpe virtual. Disponvel em: < http://g1.globo.com/Noticias/Tecnologia/0,,MRP1094096-6174,00.html>. Acesso em: 15 jun. 2009. __. Spam responde por 97% das mensagens de e-mail, diz Microsoft. Disponvel em: < http://g1.globo.com/Noticias/Tecnologia/0,,MRP1077797-6174,00.html>. Acesso em: 15 jun. 2009. INFO ONLINE. A histria secreta do Concker. Disponvel em: <http://info.abril.com. br/noticias/seguranca/a-historia-secreta-do-concker-14092009-14.shl>. Acesso em: 20 set. 2009. __________. Cracker perde pendrive para aplicar golpe. Disponvel em: <http:// info.abril.com.br/aberto/infonews/042007/26042007-19.shl>. Acesso em: 20 set. 2009. __________. Microsoft acaba com AutoPlay no Windows. Disponvel em: <http:// info.abril.com.br/noticias/seguranca/microsoft-acaba-com-autoplay-nowindows-15092009-4.shl>. Acesso em: 20 set. 2009. __________. Piratas virtuais anunciam sequestro de dados e exigem US$ 10 milhes nos EUA. Disponvel em: <http://www1.folha.uol.com.br/folha/informatica/ ult124u561249.shtml>. Acesso em: 20 set. 2009. MCAFEE. Security insights fatos relevantes: Medindo riscos para analisar a vulnerabilidade. 2003. Disponvel em: <http://www.mcafee.com/br/enterprise/security_ insights/measuring_risk_gauge_vulnerability.html>. Acesso em: 15 jun. 2009. MICROSOFT. Estratgias de gerenciamento de riscos de malware. 2006. Disponvel em: < http://technet.microsoft.com/pt-br/library/cc875818.aspx>. Acesso em: 21 dez. 2009. _________. Qual a diferena entre reproduo automtica e execuo automtica? Disponvel em: < http://windows.microsoft.com/pt-PT/windows-vista/ Whats-the-difference-between-AutoPlay-and-autorun>. Acesso em: 30 jun. 2009. _________. The Antivirus Defense-in-Depth Guide. 2004. Disponvel em: < http:// download.microsoft.com/download/a/d/c/adc58511-8285-465b-87fb-d19fe6d461c1/ Antivirus_Defense-in-Depth_Guide.pdf>. Acesso em: 21 dez. 2009. MDULO EDUCATION CENTER. Curso bsico em segurana da informao - 1st Step. Rio de Janeiro. 2003. 1 CD-ROM.
e-Tec Brasil
108
MOSES, Asher. Hackers rake in fortune selling fake anti-virus software. Sydney Morning Herald. Disponvel em: <http://www.smh.com.au/news/technology/security/ hackers-rake-in-fortune-selling-fake-antivirus-software/2008/11/05/1225560902070. html>. Acesso em: 20 jun. 2009. REDE NACIONAL DE ENSINO E PESQUISA. Mltiplas vulnerabilidades no Cisco IOS. Disponvel em: <http://www.rnp.br/cais/alertas/2008/secunia-sa31990.html>. Acesso em: 15 jun. 2009. __________________________________. Vulnerabilidade de DoS em dispositivos wireless IEEE 802.11. Disponvel em: <http://www.rnp.br/cais/ alertas/2004/AusCERT-AA-200402.html>. Acesso em: 15 jun. 2009. __________________________________. Vulnerabilidades em implementao do NTP. Disponvel em: < http://www.rnp.br/cais/alertas/2009/uscert-vu853097.html>. Acesso em: 15 jun. 2009. ROHR, Altieres. Spam. Linha Defensiva, 2005. Disponvel em: <http://www. linhadefensiva.org/2005/11/spam/>. Acesso em: 15 jun. 2009. ______________. Resqucios em memria RAM permitem quebra de criptograa de discos rgidos. Linha Defensiva, 2008. Disponvel em: < http://www.linhadefensiva. org/2008/02/criptograa-hd-analise-ram/>. Acesso em: 15 jun. 2009. SAMOSSEIKO, Dmitry. What is it & why should you care. Disponvel em: < http:// www.sophos.com/sophos/docs/eng/marketing_material/samosseiko-vb2009-paper.pdf >. Acesso em: 10 out. 2009. SECRETARIA DA RECEITA FEDERAL DO BRASIL. Linha do tempo. Disponvel em: <http:// www.receita.fazenda.gov.br/10anos/linhatempo/default.htm>. Acesso em: 20 out. 2009. SCHNEIER, Bruce. Secrets and lies: digital security in a networked world. London: Wiley. 2004. SINGH, Simon. O Livro dos cdigos. Rio de Janeiro:Editora Record,2001. TERRA NOTCIAS. Descoberta rede de espionagem chinesa que agia em 103 pases. Disponvel em: <http://noticias.terra.com.br/mundo/interna/0,,OI3666205EI10495,00.html>. Acesso em: 20 ago. 2009. TERRA TECNOLOGIA. Erro de programao inofensivo vira ameaa segurana. Disponvel em: <http://tecnologia.terra.com.br/interna/0,,OI1790208-EI4805,00.html>. Acesso em: 15 jun. 2009. ________________. HDs usados facilitam roubo de identidade. Disponvel em: <http://tecnologia.terra.com.br/interna/0,,OI1947225-EI4799,00.html>. Acesso em: 15 jun. 2009.
109
e-Tec Brasil
________________. HDs usados podem conter informaes privadas. Disponvel em: < http://tecnologia.terra.com.br/interna/0,,OI1430371-EI4801,00.html>. Acesso em: 15 jun. 2009. ________________. Veja os 10 casos mais curiosos de perda e recuperao de dados. Disponvel em: < http://tecnologia.terra.com.br/interna/0,,OI1284657-EI4799,00. html>. Acesso em: 15 jun. 2009. TKOTZ, Viktoria. Esteganograa. Aldeia Numaboa. Disponvel em: <http://www. numaboa.com.br/criptograa/esteganograa>. Acesso em: 15 jun. 2009. TREND MICRO DEVICES INC. PC-cillin virus immune system users manual. 1994. WIKIPDIA. AES. Disponvel em: <http://pt.wikipedia.org/wiki/AES>. Acesso em: 15 jun. 2009. _________. ARPANET. Disponvel em: <http://pt.wikipedia.org/wiki/Arpanet>. Acesso em: 15 jun. 2009. _________. Assinatura digital. Disponvel em: <http://pt.wikipedia.org/wiki/ Assinatura_digital>. Acesso em: 15 jun. 2009. _________. Ataques de 11 de setembro. Disponvel em: <http://pt.wikipedia.org/ wiki/Ataques_de_11_de_Setembro_de_2001>. Acesso em: 15 jun. 2009. _________. Banda larga. Disponvel em: <http://pt.wikipedia.org/wiki/Banda_larga>. Acesso em: 15 jun. 2009. _________. Boot. Disponvel em: <http://pt.wikipedia.org/wiki/Boot>. Acesso em: 15 jun. 2009. _________. Buffer overow. Disponvel em: <http://pt.wikipedia.org/wiki/Buffer_ overow>. Acesso em: 15 jun. 2009. _________. Cmaras negras. Disponvel em: <http://en.wikipedia.org/wiki/Cabinet_ noir>. Acesso em: 15 jun. 2009. _________. Cifra de Vigenre. Disponvel em: <http://pt.wikipedia.org/wiki/Cifra_de_ Vigen%C3%A8re>. Acesso em: 15 jun. 2009. _________. Compact disc. Disponvel em: <http://pt.wikipedia.org/wiki/CD>. Acesso em: 15 jun. 2009. _________. Cookie. Disponvel em: <http://pt.wikipedia.org/wiki/Cookie>. Acesso em: 15 jun. 2009. _________. Cpia de segurana. Disponvel em: <http://pt.wikipedia.org/wiki/ C%C3%B3pia_de_seguran%C3%A7a>. Acesso em: 15 jun. 2009.
e-Tec Brasil
110
_________. Criptograa de chave privada. Disponvel em: <http://pt.wikipedia.org/ wiki/Criptograa_Sim%C3%A9trica>. Acesso em: 15 jun. 2009. _________. Criptograa de chave pblica. Disponvel em: <http://pt.wikipedia.org/ wiki/Criptograa_de_chave_pblica>. Acesso em: 15 jun. 2009. _________. Data Encryption Standard. Disponvel em: <http://pt.wikipedia.org/wiki/ Data_Encryption_Standard>. Acesso em: 15 jun. 2009. _________. DCOM. Disponvel em: <http://pt.wikipedia.org/wiki/DCOM>. Acesso em: 15 jun. 2009. _________. DES-Triplo. Disponvel em: <http://pt.wikipedia.org/wiki/3DES>. Acesso em: 15 jun. 2009. _________. Disco Blu-ray. Disponvel em: <http://pt.wikipedia.org/wiki/Disco_Bluray>. Acesso em: 15 jun. 2009. _________. DVD. Disponvel em: <http://pt.wikipedia.org/wiki/DVD>. Acesso em: 15 jun. 2009. _________. ENIAC. Disponvel em: <http://pt.wikipedia.org/wiki/Eniac>. Acesso em: 15 jun. 2009. _________. Enigma_(mquina). Disponvel em: <http://pt.wikipedia.org/wiki/ Enigma_%28m%C3%A1quina%29>. Acesso em: 15 jun. 2009. _________. Enron Corporation. Disponvel em: <http://pt.wikipedia.org/wiki/Enron>. Acesso em: 15 jun. 2009. _________. Escrita cuneiforme. Disponvel em: <http://pt.wikipedia.org/wiki/ Cuneiforme>. Acesso em: 15 jun. 2009. _________. FAT32. Disponvel em: <http://pt.wikipedia.org/wiki/FAT32>. Acesso em: 15 jun. 2009. _________. Firewall. Disponvel em: <http://pt.wikipedia.org/wiki/Firewall>. Acesso em: 15 jun. 2009. _________. Freeware. Disponvel em: <http://pt.wikipedia.org/wiki/Software_ gratuito>. Acesso em: 15 jun. 2009. _________. FTP. Disponvel em: <http://pt.wikipedia.org/wiki/Ftp>. Acesso em: 15 jun. 2009. _________. Gadget. Disponvel em: <http://pt.wikipedia.org/wiki/Gadget>. Acesso em: 15 jun. 2009.
111
e-Tec Brasil
_________. Guerra Fria. Disponvel em: <http://pt.wikipedia.org/wiki/Guerra_fria>. Acesso em: 15 jun. 2009. _________. GUID. Disponvel em: <http://pt.wikipedia.org/wiki/GUID>. Acesso em: 15 jun. 2009. _________. Hash. Disponvel em: <http://pt.wikipedia.org/wiki/Hash >. Acesso em: 15 jun. 2009. _________. IBM System 360. Disponvel em: <http://pt.wikipedia.org/wiki/IBM_ System/360>. Acesso em: 15 jun. 2009. _________. ISSA. Disponvel em: <http://pt.wikipedia.org/wiki/ISSA >. Acesso em: 15 jun. 2009. _________. Lei Sarbanes-Oxley. Disponvel em: <http://pt.wikipedia.org/wiki/ Sarbanes-Oxley>. Acesso em: 15 jun. 2009. _________. Linux. Disponvel em: <http://pt.wikipedia.org/wiki/GNU/Linux>. Acesso em: 15 jun. 2009. _________. Mac OS X. Disponvel em: <http://pt.wikipedia.org/wiki/Mac_OS_X>. Acesso em: 15 jun. 2009. _________. Malware. Disponvel em: <http://pt.wikipedia.org/wiki/Malware>. Acesso em: 15 jun. 2009. _________. Memrias SSD. Disponvel em: <http://pt.wikipedia.org/wiki/SSD>. Acesso em: 15 jun. 2009. _________. Minerao de dados. Disponvel em: <http://pt.wikipedia.org/wiki/Data_ mining>. Acesso em: 15 jun. 2009. _________. MS-DOS. Disponvel em: <http://pt.wikipedia.org/wiki/MS-DOS>. Acesso em: 15 jun. 2009. _________. Multics. Disponvel em: <http://pt.wikipedia.org/wiki/Multics>. Acesso em: 15 jun. 2009. _________. Navegador. Disponvel em: <http://pt.wikipedia.org/wiki/Navegador >. Acesso em: 15 jun. 2009. _________. Partio. Disponvel em: Parti%C3%A7%C3%A3o>. Acesso em: 15 jun. 2009. <http://pt.wikipedia.org/wiki/
_________. Peer-to-peer. Disponvel em: <http://pt.wikipedia.org/wiki/P2P >. Acesso em: 15 jun. 2009.
e-Tec Brasil
112
_________. Redes sociais virtuais. Disponvel em: <http://pt.wikipedia.org/wiki/ Redes_Sociais_Virtuais>. Acesso em: 15 jun. 2009. _________. Revoluo digital. Disponvel em: <http://pt.wikipedia.org/wiki/ Revolu%C3%A7%C3%A3o_digital>. Acesso em: 15 jun. 2009. _________. RSA. Disponvel em: <http://pt.wikipedia.org/wiki/rsa>. Acesso em: 15 jun. 2009. _________. Selo de tempo. Disponvel em: <http://pt.wikipedia.org/wiki/Selo_ cronol%C3%B3gico>. Acesso em: 15 jun. 2009. _________. Serpent. Disponvel em: <http://en.wikipedia.org/wiki/Serpent_(cipher)>. Acesso em: 15 jun. 2009. _________. Skype. Disponvel em: <http://pt.wikipedia.org/wiki/Skype>. Acesso em: 15 jun. 2009. _________. Software livre. Disponvel em: <http://pt.wikipedia.org/wiki/Software_ livre>. Acesso em: 15 jun. 2009. _________. Solid State Drive - SSD. Disponvel em: <http://pt.wikipedia.org/wiki/ SSD>. Acesso em: 15 jun. 2009. _________. Sputinik. Disponvel em: <http://pt.wikipedia.org/wiki/Sputnik>. Acesso em: 15 jun. 2009. _________. Spyware. Disponvel em: <http://pt.wikipedia.org/wiki/Spyware>. Acesso em: 15 jun. 2009. _________. Switch. Disponvel em: <http://pt.wikipedia.org/wiki/Switch>. Acesso em: 15 jun. 2009. _________. TCP/IP. Disponvel em: <http://pt.wikipedia.org/wiki/TCP/IP>. Acesso em: 15 jun. 2009. _________. Token. Disponvel em: <http://pt.wikipedia.org/wiki/Token_(chave_ eletr%C3%B4nica)>. Acesso em: 15 jun. 2009. _________. Ultra DMA. Disponvel em: <http://pt.wikipedia.org/wiki/ATA>. Acesso em: 15 jun. 2009. _________. USB. Disponvel em: <http://pt.wikipedia.org/wiki/Usb>. Acesso em: 15 jun. 2009. _________. VBA. Disponvel em: <http://pt.wikipedia.org/wiki/Visual_Basic_for_ Applications>. Acesso em: 15 jun. 2009.
113
e-Tec Brasil
_________. Worms. Disponvel em: <http://pt.wikipedia.org/wiki/Worm>. Acesso em: 15 jun. 2009. _________. WWW. Disponvel em: <http://pt.wikipedia.org/wiki/Www>. Acesso em: 15 jun. 2009. YAHOO BRASIL. 12% dos usurios de e-mail respondem a spams, diz estudo. Disponvel em: <http://br.tecnologia.yahoo.com/article/20072009/7/tecnologia-12-dosusuarios-mail-respondem.html>. Acesso em: 30 jun. 2009. ____________. Central de informaes sobre privacidade. Disponvel em: <http:// info.yahoo.com/privacy/br/all/>. Acesso em: 30 jun. 2009. ZIMMERMANN, Philip. Por que voc precisa do PGP? Disponvel em: < http://www. dca.fee.unicamp.br/pgp/why_PGP.shtml>. Acesso em: 30 jun. 2009.
e-Tec Brasil
114
Currculo do professor-autor
Jorge Procpio da Costa Novo possui graduao em Tecnologia em Processamento de Dados pelo Instituto Manauara de Ensino Superior (1998), graduao em Direito (1999) e especializao em Informtica para Aplicaes Empresariais (2001), ambas pela Universidade Federal do Amazonas. Tem experincia na rea de Cincia da Computao, com nfase em Segurana da Informao, atuando principalmente nos seguintes temas: criptograa, segurana da informao, direito eletrnico e projetos de redes de dados. Atualmente um dos administradores de Rede de Dados da Universidade do Estado do Amazonas (UEA).
115
e-Tec Brasil
ISBN: