Beruflich Dokumente
Kultur Dokumente
SEGURANA DE
DADOS
segurana de
dados
segurana de
dados
______________________________________________________________
S477s
SENAI
Sede
Servio Nacional de
Aprendizagem Industrial
Departamento Nacional
Lista de ilustraes
Figura 1 - Segurana........................................................................................................................................................16
Figura 2 - Exemplo de percepo de segurana....................................................................................................17
Figura 3 - Caractersticas bsicas da segurana da informao.......................................................................19
Figura 4 - Total de incidentes reportados 1999 a 2011....................................................................................25
Figura 5 - Sistema de gesto de segurana.............................................................................................................30
Figura 6 - Plan-Do-Check-Act.......................................................................................................................................33
Figura 7 - Gesto do risco...............................................................................................................................................38
Figura 8 - Ameaas...........................................................................................................................................................41
Figura 9 - Campanha no Brasil contra pirataria......................................................................................................52
Figura 10 - Kevin David Mitnick ..................................................................................................................................60
Figura 11 - E-mail falso enviado em nome do TSE................................................................................................64
Figura 12 - Atualizao do navegador Opera.........................................................................................................65
Figura 13 - Esquema de um firewall......................................................................................................................... 67
Figura 14 - Autenticao por impresso digital.....................................................................................................71
Figura 15 - Autenticao por biometria....................................................................................................................71
Figura 16 - Criptografia...................................................................................................................................................75
Figura 17 - Uso de criptografia no navegador........................................................................................................77
Figura 18 - Download do BlowFish.............................................................................................................................79
Figura 19 - Instalao BlowFish 1................................................................................................................................79
Figura 20 - Instalao BlowFish 2................................................................................................................................79
Figura 21 - Instalao BlowFish 3................................................................................................................................80
Figura 22 - Instalao BlowFish 4................................................................................................................................80
Figura 23 - Instalao BlowFish 5................................................................................................................................80
Figura 24 - Final da instalao......................................................................................................................................81
Figura 25 - Adiconando o arquivo Word no BlowFish.........................................................................................81
Figura 26 - Executando a cifragem com BlowFish................................................................................................82
Figura 27 - Passo 6............................................................................................................................................................82
Figura 28 - Informando a senha...................................................................................................................................82
Figura 29 - Final da criptografia...................................................................................................................................83
Figura 30 - Ver o arquivo.................................................................................................................................................83
Figura 31 - Digitando a senha criada.........................................................................................................................83
Figura 32 - Informao de descriptografia..............................................................................................................84
Figura 33 - Certificado digital.......................................................................................................................................84
Figura 34 - ICP Brasil.........................................................................................................................................................87
Figura 35 - Certificado digital.......................................................................................................................................87
Figura 36 - Ameaas.........................................................................................................................................................94
Figura 37 - Analogia poltica de backup..............................................................................................................97
Figura 38 - Equipe.............................................................................................................................................................99
Figura 39 - Backup automatizado............................................................................................................................. 103
Sumrio
1 Introduo.........................................................................................................................................................................13
2 Segurana da Informao............................................................................................................................................15
2.1 O que segurana?.....................................................................................................................................16
2.2 O que a segurana da informao......................................................................................................19
2.3 Caractersticas da segurana da informao......................................................................................21
2.4 A importncia da segurana da informao......................................................................................23
3 Normas e Legislao de Software.............................................................................................................................27
3.1 Normas sobre a segurana da informao.........................................................................................28
3.2 O que um sistema de gesto de segurana da informao......................................................29
3.3 Implantao de um sistema de gesto de segurana da informao norma ISO 27001.........................................................................................................................................31
3.4 Requisitos da norma ISO 27001..............................................................................................................34
3.5 A certificao NBR/ISO 27001..................................................................................................................36
3.6 O que so riscos?..........................................................................................................................................38
3.7 O que so ameaas?....................................................................................................................................40
3.8 O que so vulnerabilidades?....................................................................................................................42
3.9 O que anlise de riscos?..........................................................................................................................44
3.10 Tipos de licenas de softwares...............................................................................................................46
3.11 Direitos proprietrios e direitos de uso.............................................................................................48
3.12 Legislao brasileira em vigor...............................................................................................................51
4 Poltica de Segurana....................................................................................................................................................57
4.1 O que uma poltica de segurana.......................................................................................................58
4.2 Segurana em redes de computadores...............................................................................................59
4.3 Segurana em servidores..........................................................................................................................62
4.4 Segurana na internet................................................................................................................................64
4.5 Firewall..............................................................................................................................................................67
4.6 Controle de acesso.......................................................................................................................................69
4.7 Poltica de senhas.........................................................................................................................................72
4.8 O que criptografia.....................................................................................................................................74
4.9 Utilizao de criptografia..........................................................................................................................76
4.10 Prtica de utilizao de criptografia....................................................................................................78
4.11 Certificados digitais...................................................................................................................................84
4.12 Infraestrutura de chaves pblicas........................................................................................................86
4.13 Aplicao de poltica de segurana....................................................................................................88
4.14 Prtica com politica de seguranca.......................................................................................................90
5 Backup.................................................................................................................................................................................93
5.1 O que backup..............................................................................................................................................94
5.2 Tipos de backup............................................................................................................................................95
Introduo
1
Caro aluno, nesta unidade curricular voc conhecer os fundamentos de segurana de dados, os quais o auxiliaro na compreenso de conceitos, normas e procedimentos de proteo
de informao.
Aprender assuntos sobre Segurana da Informao, Normas e Legislao de Software, Poltica de Segurana e Backup, visando ao desenvolvimento de capacidades organizativas e metodolgicas para que voc alcance o mais alto nvel de excelncia no exerccio de sua atividade.
A seguir, so descritos na matriz curricular os mdulos e as unidades curriculares do curso,
assim como suas cargas horrias.
Quadro 1 - Habilitao Profissional Tcnica em Manuteno e Suporte em Informtica
Mdulos
Bsico
Especfico I
Unidades
curriculares
Carga
horria
140h
Eletroeletrnica Aplicada
120h
60h
160h
250h
160h
Segurana de Dados
50h
Sistemas Operacionais
120h
60h
Gerenciamento de Servios de TI
80h
Carga horria
do mdulo
320h
880h
Segurana da Informao
2
A proposta deste captulo apresentar conceitos bsicos sobre segurana, para contribuir
na proteo de algo que nos muito valioso, a informao. A Segurana de Dados ou Informao uma rea que evoluiu nos ltimos anos e nos proporciona o uso de excelente apoio
tecnolgico e jurdico.
Hoje, os computadores esto criticamente expostos a invases, sobretudo atravs da internet, e so visados por pessoas mal-intencionadas que querem se apropriar indevidamente de
informaes pessoais, bancrias e ou outros dados que sejam teis para seus propsitos. Como
bom profissional, voc deve aprender a proteger essas informaes.
Ao terminar este captulo voc estar apto a:
a) definir o que segurana;
b) descrever o que segurana da informao;
c) descrever as caractersticas da segurana da informao;
d) compreender e descrever a importncia da segurana da informao.
Voc, de maneira geral, aprender os conceitos apresentados e como aplic-los. Estude para
dominar esse conhecimento e ter sucesso no mercado profissional!
segurana de dados
ENTO, AGORA S
PRECISO FICAR
SENTADO
ESPERANDO A
RECOMPENSA DO
GOVERNO POR
ACHAR UMA
FALHA NA SUA
SEGURANA...
BOM, ACHO
QUE ELES TAMBM
ENCONTRARAM
UMA FALHA NA
MINHA SEGURANA...
SENHOR, PODEMOS
CONVERSAR UM
MINUTO?
16
Figura 1 - Segurana
Fonte: Adaptado de Vida de Suporte (2011)
2 Segurana da informao
17
18
segurana de dados
2 Segurana da informao
nib
po
D is
e
ad
ilid
n
Co
Integridade
nc
e
fid
ad
id
l
ia
19
20
segurana de dados
MECANISMOS DE SEGURANA
Mecanismos de segurana so projetados para detectar, prevenir ou se recuperar de ataques segurana. Podem ser dividos em:
a) Controles fsicos: barreiras que limitam o contato ou acesso direto informao ou infraestrutura que a suporta. Como exemplos temos: portas, trancas, blindagens, guardas, a restrio de acesso sala dos servidores, switches;
b) Controles lgicos: barreiras que impedem ou limitam o acesso informao, que est em ambiente controlado, geralmente eletrnico, e que, de
outro modo, ficaria exposta alterao no autorizada por elemento mal-intencionado. Um exemplo de controle lgico a utilizao de senhas para
acesso ao sistema de informao. Hoje, existe um elevado nmero de ferramentas e sistemas que pretendem fornecer segurana. Alguns exemplos
so os detectores de intruses, antivrus, firewall, filtros antispam, fuzzers,
analisadores de cdigo etc.
2 Segurana da informao
NVEIS DE SEGURANA
Definidos os mecanismos utilizados, ser preciso decidir o nvel de segurana
que se pretende garantir. Devem ser quantificados os custos associados a uma
possvel violao de segurana, assim como a implementao de mecanismos de
proteo para minimizar a probabilidade de ocorrncia de incidentes.
Os nveis de segurana devem ser estabelecidos considerando o custo-benefcio das medidas, no s em valor monetrio, mas tambm em convenincia.
Muitas vezes podemos pensar em um nvel altssimo, que ir nos garantir plena
segurana, mas os inconvenientes podero nos trazer problemas maiores ainda.
Um exemplo um sistema de segurana fsica em que todos os funcionrios necessitam ser revistados na sada do trabalho; isso pode ser interessante para uma
joalheria, mas para uma empresa de engenharia pode ser um problema.
Para definirmos os nveis de segurana, devemos considerar todos os tipos
de ameaas, desde as fsicas, como incndios, desabamentos, relmpagos, alagamento e acesso indevido de pessoas, at as lgicas, como as ocasionadas por
vrus, acessos remotos rede, backup desatualizado e violao de senhas, alm da
proteo de sistemas contra erros no intencionais, como remoo acidental de
importantes arquivos de sistema ou aplicaes.
Neste tpico, vimos o que segurana da informao. Aprendemos que a informao o sistema ativo mais valioso que temos, e que possui trs caractersticas bsicas: disponibilidade, integridade e confidencialidade. Vimos ainda que,
segundo a norma NBR 17799, a segurana da informao pode ser definida como
a proteo contra um grande nmero de ameaas s informaes, e tambm
conhecemos mecanismos projetados para detectar, prevenir ou se recuperar de
ataques segurana.
21
22
segurana de dados
2 Segurana da informao
23
24
segurana de dados
1 Denial of service
uma tentativa em tornar
os recursos de um sistema
indisponveis para seus
utilizadores.
2 Mitigar
Acalmar, atenuar, diminuir.
SAIBA
MAIS
Os incidentes de segurana da informao vm aumentando consideravelmente e assumem as formas mais variadas, como, por exemplo: infeco por vrus, acesso no autorizado, ataques denial of service1 contra redes e sistemas, furto
de informao proprietria, invaso de sistemas, fraudes internas e externas, uso
no autorizado de redes sem fio.
2 Segurana da informao
358343
222528
217840
197892
160080
142844
75722
68000
54607
3107 5997 12301
25092
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
a conjuno dessas condies que culmina, por exemplo, na parada generalizada de sistemas e redes corporativas ao redor do mundo, causada pela atuao
de worms que se propagam pela internet em questo de minutos. A tendncia
25
26
segurana de dados
CASOS E RELATOS
Entrando no mercado de Segurana da Informao
Em entrevista concedida em primeira mo para o IT Careers, Pedro Goyn,
presidente da True Access Consulting, avalia o mercado profissional de
TI com foco em segurana da informao. O executivo fala sobre os desafios, a capacitao profissional e d dicas para um plano de carreira na
rea de segurana da informao.
Tecnologia da informao sempre foi e ser uma rea muito especializada. O surgimento de novas tecnologias fora os profissionais dessa
rea, assim como as empresas, a buscar ciclos de reciclagem de forma
constante. Na rea de segurana no seria diferente e avalio ser ainda
mais complexa, dado o avano das tecnologias, assim como a habilidade
de pessoas que buscam a fraude.
2 Segurana da informao
Esse cenrio leva as empresas a trs grandes desafios: capacitao, reteno e reciclagem de profissionais. Isso muito difcil e no por acaso
que as empresas esto, cada vez mais, buscando solues que eliminem
ou transfiram a carga de responsabilidade da segurana para outras solues.
Goyn aponta que preciso buscar especializaes na rea de segurana
da informao, alm da graduao na rea de TI, e importante que ter
certificaes baseadas em normas como a ISO 27000. O conhecimento
da lngua inglesa tambm imprescindvel. Acima de tudo, o profissional
deve estar sempre renovando seus conhecimentos (NGELO, 2010).
RECAPITULANDO
Voc aprendeu os conceitos principais sobre Segurana da Informao. Estudou que sua funo proteger um conjunto de informaes confidenciais e importantes na vida de uma pessoa ou organizao; conheceu, definiu e listou as principais caractersticas: confidencialidade, disponibilidade,
integridade e autenticidade; e compreendeu que em sua futura profisso,
voc dever dominar aspectos da Segurana da Informao para tambm
garantir a segurana de sistemas operacionais.
27
3
A proposta deste captulo apresentar as normas que regem a segurana de dados, e a instalao e uso de softwares que auxiliam a prevenir problemas de segurana em uma empresa,
como, por exemplo, o uso de licenas no apropriado. Sero apresentadas normas, tcnicas e
procedimentos para que voc seja um profissional respeitado no mercado de trabalho.
Na rea de manuteno de computadores, voc deve ter informaes ao instalar softwares
e no cair no erro de deixar o sistema vulnervel a invases. Para isso, queremos prepar-lo,
visando promover sua integridade pessoal e profissional para que tenha sucesso.
Ao terminar o captulo voc deve estar apto a:
a) listar normas sobre a segurana da informao;
b) definir o que um Sistema de Gesto de Segurana da Informao;
c) listar como implantar um Sistema de Gesto de Segurana da Informao Norma ISO
27001;
d) listar os requisitos da norma ISO 27001;
e) reconhecer a certificao ISO 27001;
f) descrever o que so riscos;
g) discutir o que so ameaas e vulnerabilidades;
h) comparar e fazer a anlise de riscos;
i) listar os tipos de licenas de software;
j) definir o que so direitos do proprietrio e direito de uso;
k) listar a legislao brasileira em vigor.
Aprenderemos, de maneira geral, a entender e aplicar os conceitos apresentados. Dedique-se e tenha bons estudos! Voc alcanar seu maior objetivo: qualificao profissional.
28
segurana de dados
29
segurana de dados
Dreamstime (2012)
30
Segundo a ABNT NBR ISO/IEC 27001:2006, um Sistema de Gesto da Segurana da Informao SGSI parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar,
analisar, manter e melhorar a segurana da informao.
A adoo de um SGSI deve ser uma deciso estratgica para as empresas. A
especificao e a implementao do SGSI de uma organizao devem ser influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
empregados, tamanho e estrutura da organizao. esperado que a implementao seja escalada conforme as necessidades da organizao; por exemplo, uma
situao simples requer uma soluo de um SGSI simples, da a importncia de
uma caracterstica fundamental de um SGSI, o constante aprimoramento.
Um SGSI deve ser submentido a revises peridicas com a finalidade de avaliar
a necessidade de mudanas/melhorias, principalmente levando em conta a rapidez com que a rea de Tecnologia da Informao evolui.
Um SGSI tem como principais objetivos:
a) estabelecer;
b) implementar;
c) operar;
d) monitorar;
e) rever;
f) manter;
g) melhorar a segurana da informao.
SAIBA
MAIS
Quer se aprofundar no assunto? Leia Segurana da Informao, de Marcio Zapater e Rodrigo Suzuki, disponvel
em: <www.promon.com.br/portugues/noticias/download/
Seguranca_4Web.pdf>.
31
32
segurana de dados
Figura 6 - Plan-Do-Check-Act
Quadro 2 - Plan-Do-Check-Act
belecer)
Do (fazer implementar e
operar)
Check (checar monitorar
e analisar
criticamente)
melhorar)
Voc pode notar que, ao adotar o modelo PDCA proposto pela norma, possvel construir projetos em menor tempo sem deixar de atacar as prioridades no
combate aos mais diferentes tipos de riscos.
O nmero de organizaes certificadas aumenta a cada dia, e isso demonstra a
preocupao com suas prticas internas e das informaes de parceiros e clientes.
Atualmente, a norma ISO 27001 a principal referncia para todos os tipos de
organizaes (empreendimentos comerciais, agncias governamentais, organi-
33
34
segurana de dados
zaes sem fins lucrativos) que procuram tratar a questo da segurana da informao com base em um modelo reconhecido internacionalmente.
FIQUE
ALERTA
VOC
SABIA?
cia (no caso, utiliza a norma ISO 27002) e tambm tem uma lista de termos e definies utilizados.
Confira os demais requisitos:
4. Descrever a criao, implementao, monitoramento e melhoria do
SGSI: atravs deste que definimos os membros participantes do SGSI, os documentos necessrios e quais registros devemos manter.
5. Apresentar e definir as responsabilidades da direo no que se refere
atribuio das responsabilidades do SGSI, tais como provisionar treinamentos e recursos necessrios ao SGSI.
6. Tratar das auditorias internas e definir quais reas devem ser auditadas, a periodicidade das mesmas e quem podero ser os auditores responsveis: com relao a este ltimo ponto, importante salientar que o auditor no
deve avaliar processos de reas pelas quais responsvel. Aqui, verificamos se os
objetivos estabelecidos para o SGSI esto sendo alcanados.
7. Anlise crtica do SGSI: a direo verifica as aes efetuadas pelo SGSI, e
atua como um elemento de controle do mesmo.
8. Melhoria do SGSI: o SGSI, por meio do comit de segurana da informao,
que possui uma dinmica que leva em conta as auditorias internas e anlise crtica da direo, pode propor novas aes a fim de melhorar o sistema e deste modo
aperfeioar a segurana da informao.
Abaixo temos um quadro com os captulos da norma ISO 27001
Quadro 3 - Captulos da norma ISO 27001
Captulo
Nome
Descrio
Introduo
Apresentao da norma
Objetivo
Abrangncia da norma
Referencia normativa
Termos e definies
da Informao SGSI
Responsabilidades da direo
7
8
direo
Melhoria do SGSI
35
36
segurana de dados
37
segurana de dados
38
39
40
segurana de dados
especfico de segurana da informao. Ativos de informao, ameaas e vulnerabilidades, e ainda uma boa formao e conhecimentos na rea de segurana so
cruciais para uma boa avaliao.
Vimos, neste tpico, que importante compreender o conceito de riscos. Avali-los para depois pensar qual tcnica mais se encaixa na situao da empresas
muito importante.
SAIBA
MAIS
Figura 8 - Ameaas
41
42
segurana de dados
Vimos neste tpico que ameaa tudo aquilo que causa um prejuzo a um
sistema ou organizao, e que elas existem se houver vulnerabilidades. Tambm
aprendemos que existem vrios tipos de ameaas e que elas podem ser identificadas pelos elementos agente, motivo e resultado.
43
44
segurana de dados
ANLISE DE VULNERABILIDADES
Novas vulnerabilidades surgem em decorrncia de brechas em softwares, imperfeies na configurao de aplicativos e falha humana. A anlise de vulnerabilidades responsvel por garantir a deteco, remoo e controle das mesmas.
Seus principais objetivos so:
a) identificar e tratar falhas de softwares que possam comprometer seu desempenho, funcionalidade e segurana;
b) providenciar uma nova soluo de segurana como, por exemplo, o uso de
um antivrus, com possibilidade de update constante;
c) alterar as configuraes de softwares a fim de torn-los mais eficientes e menos suscetveis a ataques;
d) utilizar mecanismos para bloquear ataques automatizados (worms, bots
etc.);
e) implementar a melhoria constante do controle de segurana.
A anlise de vulnerabilidades torna a tomada de deciso em relao segurana mais fcil, pois rene informaes essenciais que indicam a melhor estratgia para se manter protegido de falhas, ataques e invases (MDULO..., 2011).
Vimos neste tpico que as vulnerabilidades so as principais causas da ocorrncia de incidentes de segurana, e que fazendo a anlise de segurana e seguindo seus principais objetivos podemos manter um sistema protegido.
45
46
segurana de dados
negcio, sendo que a aceitao de um determinado nvel pode, contudo, presumir a realizao de esforos no sentido de mitig-lo, reduzindo-o a um valor
considerado aceitvel para a organizao, dotando-a de um nvel de conforto
desejvel.
A avaliao das ameaas e das vulnerabilidades so classificadas em ALTA,
MDIA e BAIXA, geralmente feitas atravs de questionrios feitos aos funcionrios, inspees nos locais e revises de documentao. Feito isso, pode-se medir
o risco. Para cada recurso, as vulnerabilidades relevantes e suas correspondentes
ameaas so consideradas: se existe uma vulnerabilidade sem ameaa, ou ameaa sem vulnerabilidade, ento no h risco.
Voc aprendeu neste tpico que uma anlise de risco o processo pelo qual se
busca compreender a natureza do risco e determinar seu nvel; e que a avaliao
de riscos e seleo dos controles podem ser realizadas vrias vezes, de forma a
cobrir diferentes partes da organizao ou de sistemas de informao especficos.
FREEWARE
Tipo de distribuio para programas gratuitos, estas licenas no expiram e
pode-se utiliz-los livremente sem nunca precisar se preocupar em pagar nada.
Alguns programas so gratuitos apenas para pessoas fsicas ou uso no comercial. muito comum em sites de download de programas.
ADWARE
Tambm um tipo de distribuio para programas gratuitos, mas tem o inconveniente de trazer publicidade de diferentes formas, geralmente em formato
de banners que patrocinam os custos de desenvolvimento e manuteno do sof-
tware. Muitos adwares oferecem tambm verses pagas, sem propagandas, mas
a compra neste caso opcional.
SHAREWARE
Tipo de distribuio em que, aps um determinado tempo de uso ou nmero de utilizaes, o software em questo perde algumas ou a totalidade de suas
funcionalidades. Aps este perodo, utilizado geralmente para avaliao, voc
deve apag-lo ou registr-lo atravs da compra de uma licena de utilizao. Um
usurio registrado possui alguns benefcios, como suporte tcnico e atualizaes
gratuitas do programa. Seu preo costuma no ser muito alto em comparao
aos outros produtos proprietrios.
DEMO
Tipo de distribuio comum em jogos. Os demos de jogos apresentam apenas
algumas fases e servem para voc analisar se vale a pena compr-lo ou no. No
expiram nem podem ser registrados. Se voc quiser comprar o software, ter que
recorrer a uma loja.
TRIAL
Semelhante ao tipo demo, mas se aplica a programas. Voc pode test-lo em
sua totalidade, com todos os recursos e por quanto tempo quiser, mas geralmente no pode salvar ou exportar os trabalhos feitos. Se quiser compr-lo deve ir a
uma loja.
Alguns programas trial permitem que voc salve e exporte trabalhos por um
certo tempo.
47
48
segurana de dados
zado. Quando adquirimos um programa de computador, no nos tornamos proprietrios dele, estamos apenas recebendo uma licena de uso.
49
50
segurana de dados
A GARANTIA
comum os licenciantes imporem uma contraprestao pelo pagamento de
manuteno do software, composto por atualizaes, correes e novas verses,
cujo perodo inicia-se justamente na data da assinatura do contrato. Na prtica,
grande parte das empresas de software fornecem junto com a licena de uso um
perodo no qual novas verses com atualizaes e correes podem ser instaladas sem custo, desde que este perodo no tenha expirado.
CONTRATO DE SERVIO
O contrato especifica os termos e condies sob os quais o licenciante prestar servios ao licenciado em relao a produtos de software licenciados, onde o
licenciante concorda em prestar servios profissionais que deveriam estar descritos no prprio contrato, assinado pelas partes e mediante a contraprestao do
pagamento pelos mesmos.
Baseado em cronogramas de trabalho, o licenciante dever fornecer um oramento do custo dos servios, bem como os detalhes dos servios que sero
executados (MBITO JURDICO, 2011).
Voc poder aprender mais sobre a lei do software em: <http://www.planalto.
gov.br/ccivil_03/leis/L9609.htm>.
Neste tpico, voc aprendeu que existem diferentes tipos de software comercializados e que cada um protegido por um tipo de licena diferente, alm de
conhecer os contratos vigentes em relao ao uso e ao servio de licenciantes.
51
segurana de dados
52
CRIMES CIBERNTICOS
So crimes realizados atravs e com o auxlio de computadores, geralmente
usando a internet para este tipo de contraveno.
No existe ainda no Brasil legislao especfica para a internet. A que aplicada a mesma para os crimes cometidos no mundo real. A internet tida como
apenas mais um meio de cometer crimes.
A investigao no crime ciberntico no difere muito do crime tradicional. O
problema a dificuldade de encontrar as provas e o autor em um ambiente virtual. Para identific-lo, deve ser feito um rastreamento bem minucioso, sob o risco
de o crime ficar impune.
As denncias sobre os mais diversos tipos de crimes praticados na internet
podem ser feitas no site da SaferNet Brasil, instituio que possui convnios com
o Ministrio Pblico Federal, bem como com diversos outros rgos de investigao criminal. A SaferNet Brasil criou e mantm a Central Nacional de Denncias de Crimes Cibernticos (<www.denunciar.org.br>) que, desde 29/03/2006,
operada em parceria com o Ministrio Pblico Federal. Reconhecida e recomendada pelo poder pblico como nico hotline da Amrica Latina e Caribe, a central
oferece o servio gratuito de recebimento, processamento, encaminhamento e
acompanhamento on-line de denncias annimas sobre crime ou violao aos
Direitos Humanos praticado por meio da internet.
A Central Nacional de Denncias de Crimes Cibernticos recebe uma mdia
de 2.500 denncias por dia, envolvendo pginas suspeitas de conter evidncias
de crimes de pornografia infantil, racismo, intolerncia religiosa, apologia e/ou
incitao a crimes contra a vida, homofobia e maus-tratos contra animais (SAFER
NET BRASIL, 2011).
SPAM
o envio de mensagens indesejadas ou no solicitadas. O Projeto de Lei n
1.589/99 e o 2.358/00 tratam do assunto, dispondo que aqueles que praticarem
essa conduta devero informar o carter da mensagem, sob pena de multa (PL
2358).
Nos pases da Unio Europeia, deve haver registro especfico para esse tipo de
correspondncia. Nos Estados Unidos, aquele que proceder como spammer pode
ser condenado civil (multas de US$ 500 a US$ 25.000) e criminalmente.
Independentemente de normas especiais, no Brasil, aquele que enviar spam
poder ser responsabilizado nos termos das leis em vigor, desde que haja a efetiva demonstrao do prejuzo causado.
Voc aprendeu, neste tpico, que existem leis federais que tratam de assuntos
da Tecnologia da Informao e conheceu alguns crimes cibernticos, como a pirataria e o envio de spam.
CASOS E RELATOS
Cuidados com a informao
Confira as ideias de Jeferson Daddario, consultor de gesto de riscos, a
respeito dos cuidados que se deve ter com a informao:
Faa uma mapeamento de todas as informaes pblicas que esto disponveis. Verifique se no h nada que pode ser utilizado para prejudicar
a imagem, negcios e fornecer inconscientemente informaes privilegiadas a concorrentes.
Informaes trocadas com fornecedores, prestadores de servio, parceiros e outros pblicos podem estar alm do que realmente precisam. Ou
at mesmo violando leis e regulamentos. Faa uma verificao jurdica
quanto a aspectos de Direito Digital.
Verifique o que orientado aos colaboradores para o envio de e-mails.
Se permite o envio de fotos e imagens. Se h necessidade de que seja
monitorado e controlado. Se existem informaes financeiras, arquivos
em CAD, projetos, obras, oramentos, planilhas de custos, folha de pagamento, contbeis e fiscais que andam flutuando pelos e-mails e internet.
53
54
segurana de dados
Recapitulando
Voc aprendeu os conceitos principais das Normas e Legislao de Software. Com base nos estudos, conheceu que existem normas, como a
ISO/IEC 17799:2005, que formalizou o conceito da Segurana de Informao, e a srie ISO/IEC 27000, que serve para tratar de seus padres.
Tambm definiu e listou os tipos de software que temos, que cada um
tem um tipo de licena de uso e que devemos respeitar essas licenas ou
ento estaremos desrespeitando a lei.
Por fim, compreendeu que em sua futura profisso de extrema importncia estar bem informado sobre essas normas para no cometer erros e
perder sua credibilidade perante seus clientes.
Anotaes:
55
Poltica de Segurana
4
Este captulo tem como objetivo apresentar a Poltica de Segurana, pois esta fundamental
para qualquer organizao. Sem ela, no teramos como proteger as informaes, um dos bens
mais preciosos que temos.
Para ser um profissional bem-sucedido na rea de informtica, voc deve conhecer como
reduzir incidentes, reduzir os danos provocados caso ocorram incidentes e definir normas e
tcnicas para a preveno e para assegurar a proteo das informaes.
Ao terminar o captulo voc estar apto a:
a) definir o que uma poltica de segurana;
b) definir segurana em redes de computadores e servidores;
c) conceituar e reconhecer a segurana na internet;
d) definir o que firewall;
e) reconhecer controles de acesso;
f) utilizar poltica de senhas;
g) definir, discutir e usar criptografia;
h) definir certificados digitais;
i) definir infraestrutura de chaves pblicas.
Dedique-se aos seus estudos no entendimento da poltica de segurana para que, num futuro prximo, voc ganhe projeo no mercado!
58
segurana de dados
4 POLTICA DE SEGURANA
SAIBA
MAIS
Neste tpico, voc aprendeu o que so e para que servem as polticas de segurana da informao; viu como importante uma empresa formalizar esse documento; e compreendeu que a prtica de algo com segurana envolve toda a
empresa.
59
60
segurana de dados
3 Kernel
o ncleo do sistema
operacional. Sua funo
fazer o vnculo entre o
hardware e os softwares
executados pelo
computador.
Para protegermos essas informaes, precisamos de pessoal com conhecimento especializado e uma avaliao das reais condies de segurana existentes.
Alm disso, os profissionais de segurana em redes precisam ter, primeiramente,
um amplo conhecimento sobre o seu funcionamento e sobre as tecnologias que
as suportam.
As informaes trafegam em redes e tambm por componentes bastante
especficos que demandam bastante ateno, os links de comunicao. Essas
tecnologias so diversas: internet, linhas privadas, links de rdio, frame relay etc.
Cada uma delas traz, em geral, preocupaes particulares do ponto de vista da
segurana, mas sempre com os mesmos objetivos: garantir a confidencialidade, a
integridade e a autenticidade da comunicao.
Para que seja possvel entendermos as implicaes de segurana existentes
no uso de redes, no basta conhecermos os problemas mais comuns. necessrio
que o profissional saiba a finalidade das principais tecnologias disponveis, alm
de suas caractersticas relevantes para a segurana, como mecanismos nativos de
integridade e confidencialidade.
Um exemplo Kevin David Mitnick, hacker americano conhecido mundialmente. Foi preso em 1995 e liberto em 2000. Foi acusado de 25 tipos de fraudes
diferentes no sistema de telefonia e de roubo de software proprietrio. Por ter
grande conhecimento na rea, atualmente trabalha como gerente em uma grande empresa de segurana.
COMPONENTES BSICOS
As redes de computadores possuem um conjunto bsico de componentes
que as formam:
4 POLTICA DE SEGURANA
a) Hosts: nome genrico dado aos computadores que conectam a uma rede.
Exemplos: estaes de trabalho, servidores e mainframes. Do ponto de vista
da segurana, estes so os principais alvos dos ataques, j que dentro dos
hosts que as informaes mais crticas costumam ficar armazenadas;
b) Interfaces: componentes utilizados pelos hosts para se comunicar com a
rede. Devem usar o mesmo tipo de tecnologia da rede qual esto conectadas. So crticas, pois, por sua arquitetura de hardware e software, passam toda
a comunicao que tem como origem ou destino as mquinas de uma rede.
Ataques visando as interfaces de rede no so muito comuns, pois internamente a arquitetura de drivers dos sistemas operacionais costuma ser complicada, com poucos recursos para os desenvolvedores, demandando privilgios altos que nem sempre o atacante possui;
c) Dispositivos de rede: existem diversos dispositivos responsveis pela criao
da estrutura fsica da rede na qual os hosts se conectaro. Esses dispositivos interconectam os cabos entre si, criando uma mdia de comunicao para a rede.
Os tipos mais comuns so: hubs, switches, bridges, roteadores e access points.
Por serem mais simples, historicamente apresentam menos problemas de
segurana. Porm, como suas funes so crticas, problemas nesses dispositivos costumam trazer implicaes muito maiores, permitindo ao atacante
a interceptao de todo o trfego que passa pelo dispositivo comprometido;
d) Mdias: responsveis pelo armazenamento das informaes. So extremamente crticas, pois no costumam implementar segurana internamente,
salvo o uso de criptografia. Os ataques tendo mdias como alvo so menos
frequentes, pois demandam acesso fsico na maioria das vezes. As implicaes, porm, so enormes e a proteo de mdias costuma ser erroneamente
negligenciada, o que faz com que incidentes de vazamento de informaes
relacionadas a elas sejam frequentes;
e) Telefonia convencional: outro meio de comunicao extremamante importante por onde trafegam muitas informaes crticas a rede de telefonia convencional. Alm das implicaes relacionadas s conversas telefnicas, essa rede pode ainda ser utilizada como plataforma para a transmisso
de dados, burlando controles de segurana colocados na rede.
VOC
SABIA?
Somente se conecte a redes sem fio que exijam uma chave de segurana de
rede ou que tenham alguma outra forma de segurana, como um certificado. As
61
62
segurana de dados
4 POLTICA DE SEGURANA
d) Acesso mdia removvel: caso o usurio no necessite ou no tenha autorizao para o acesso fsico mquina, todas as permisses para utilizao
de CDs/DVDs/Blu-rays, disquetes, pen drives e outros dispositivos devem ser
impedidos;
e) Reinicializao do sistema: nos sistemas Unix, deve-se desabilitar o boot
atravs das teclas Ctrl+Alt+Del. Nos sistemas Windows, deve ser impedido
que um usurio reinicie a mquina sem estar autenticado no sistema;
f) Ocultar verso e outras informaes do sistema: manter ocultas informaes sobre verses de servios e aplicaes. A segurana por obscuridade
ajuda a proteger o ambiente no sentido de dificultar o levantamento de informaes por um atacante. Porm, no elimina a necessidade de atualizao e correo de falhas existentes;
g) Limitar a utilizao de recursos (memria, processador etc.) no servidor: um ponto importante para evitar ataques de negao de servio. O
nmero de acessos permitidos a servios e sistemas tambm deve ser controlado para evitar problemas como mltiplas autenticaes.
A segurana em servidores um processo fundamental na implementao de
controles de uma gesto de segurana. Esses sistemas costumam ser os mais visados por armazenarem uma grande quantidade de informaes, muitas delas crticas para uma organizao, alm de armazenarem as contas de usurios, sendo,
portanto, altamente necessrio proteg-los.
Garantir o sigilo das informaes, disponibilidade e integridade nesses ambientes obrigatrio rea de segurana. Alm desse controle, procedimentos
para verificao constante, como testes, devem ser aplicados de maneira a acompanhar quaisquer mudanas ou comportamentos inadequados nesses servidores, adotando assim contramedidas que preservem o ambiente e mantenham
protegidos os usurios e informaes armazenadas.
Um processo importante na manuteno de servidores a atualizao do sistema e demais aplicaes, j que basta apenas que um servio esteja desatualizado para comprometer a segurana do servidor. Assim, importante o acompanhamento e atualizao constante.
Atravs de listas de discusso, pginas de notcias e boletins possvel acompanhar as ltimas atualizaes disponibilizadas. O administrador deve sempre estar a
par dessas notcias, mantendo-se informado sobre tais atualizaes, quais as falhas
corrigidas, quais as novas funcionalidades adicionadas e eventuais problemas.
Neste tpico voc estudou sobre a segurana de servidores. Viu as principais
medidas de segurana que devemos adotar e aprendeu que garantir o sigilo das
informaes, disponibilidade e integridade nesses ambientes obrigatrio rea
de segurana.
63
64
segurana de dados
USO DO E-MAIL
Geralmente, os criminosos virtuais se utilizam da curiosidade para infectar
computadores. Em caso de dvidas sobre origem de e-mails, contate o remetente
e apague-o sem abri-lo.
No abra e-mail de origem ignorada e desconfie de mensagens que, mesmo
vindo de pessoas ou empresas conhecidas, contenham anexos ou links. Caso
voc necessite abrir algum arquivo anexo, tenha sempre o hbito de passar o
antivrus antes. Para isso, clique com o boto direito do mouse sobre o arquivo e
escolha a opo de varredura do arquivo com o antivrus.
4 POLTICA DE SEGURANA
65
66
segurana de dados
Tome cuidado com sites que pedem para voc instalar programas para continuar a navegar ou para usufruir de algum servio, e desconfie de ofertas de softwares milagrosos, capazes de dobrar a velocidade de seu computador ou de
melhorar a performance (ALECRIM, 2011).
4 POLTICA DE SEGURANA
Evite sempre acessar sua conta em computadores pblicos, como em lan houses, pois estes podem estar infectados e dessa forma armazenar os dados de acesso sua conta.
Por ltimo, nunca clique em links que se propem a direcion-lo ao site do seu
banco. Isso pode ser uma armadilha para direcion-lo a um site falso.
Voc aprendeu neste tpico medidas de segurana para navegar na internet.
Siga as orientaes e aproveite esse mar de informaes, mas lembre-se sempre
de acessar sites confiveis e conhecidos.
4.5 FIREWALL
Nos primrdios da internet, as primeiras iniciativas para proteger redes conectadas ao mundo externo passaram pela tentativa de implementar mecanismos
de controle de acesso nos roteadores. Essas tecnologias foram evoluindo gradativamente, tornando-se mais complexas e sofisticadas.
No incio, o termo firewall era atribudo a um conjunto de componentes responsveis por efetuar o controle de acesso entre duas redes com nveis de confiana distintos, como a internet e uma rede interna, por exemplo.
Basicamente, um firewall permite a criao de regras, definindo que tipos de
servios e trfegos so permitidos entre as redes conectadas. Alm disso, comum que ele tambm inclua funcionalidades de segurana ou conectividade
complementares, como a traduo de endereos ou a criao de VPNs (Virtual
Private Networks).
Firewall
Internet
67
68
segurana de dados
O firewall , basicamente, um dispositivo de controle de acesso, um dos principais elementos quando o assunto segurana em redes, e desempenha um
papel fundamental no s na proteo de hosts como tambm na segmentao
de permetros.
O firewall, do ingls parede corta-fogo, construda em volta de casas de madeira com o propsito de prevenir que incndios se propaguem rapidamente,
faz algo semelhante para a segurana em redes de computadores. Geralmente,
posicionado na juno de duas redes com nveis de confiana distintos, isto , redes cujos recursos e os usurios no podem, por diversas razes, confiar uns nos
outros. O exemplo mais comum a instalao do dispositivo entre a rede interna
das organizaes e a internet. Este uso to comum que se pode at dizer que firewall virou sinnimo de software para conectar uma empresa internet de forma
segura. Os profissionais de segurana devem fugir de simplificaes exageradas e
tentar compreender o potencial da tecnologia e a real aplicabilidade.
POLTICA DE SEGURANA
As principais funcionalidades de um firewall costumam ser implementadas
atravs de um conjunto de regras, frequentemente chamado de poltica de segurana em rede, que visa definir os servios permitidos e quem pode us-los. Essas
regras devem se basear em anlises de segurana detalhadas sobre riscos e benefcios associados ao uso de cada um dos servios demandados pelos usurios
internos. A deciso de liberar ou bloquear tais servios independe da existncia
ou no do firewall, ou seja, as regras devem ser pensadas antes do seu uso e no
o contrrio, como feito frequentemente.
comum que um firewall seja implementado e, posteriormente, servios que
deveriam estar bloqueados, devido aos riscos por eles trazidos, acabam sendo
liberados por presses polticas de usurios insatisfeitos.
Independentemente da soluo utilizada como firewall, seja proprietria ou
open source, comercial ou gratuita, o que esse dispositivo ir fazer analisar pacotes de dados que passam por ele e compar-los a um conjunto de regras para
saber qual a deciso tomar.
FIREWALL PESSOAL
Com a popularizao das conexes de banda larga que fornecem um link com
a internet, natural que cada vez mais usurios fiquem com suas mquinas conectadas em tempo integral, o que as tornam alvos em potencial para ataques.
Da uma razo importante para o uso de personal firewall, que utiliza tecnologia
4 POLTICA DE SEGURANA
IDENTIFICAO E AUTENTICAO
Quase todas as tecnologias de controle de acesso dependem de um elemento
bsico para que possam funcionar de maneira adequada, ou seja, usam mecanismos que permitem aos usurios informar aos sistemas quem elas so, alm de
mtodos para provar se eles so realmente quem dizem ser.
A identificao o processo atravs do qual o usurio diz ao sistema quem ele
, normalmente utilizando um elemento nico que permita ao sistema diferenciar os usurios. Esse elemento permite tambm responsabilizar os usurios, de
69
70
segurana de dados
forma individual, por suas aes dentro do sistema, j que registros das atividades
podem ser gerados utilizando esses identificadores.
Os elementos mais comuns usados para identificao so:
a) nome de usurio;
b) traos biomtricos;
c) cartes magnticos ou de proximidade.
Alm de identificar os usurios, o sistema deve possuir mecanismos para confirmar positivamente essa identificao. As principais tecnologias existentes so:
a) Conhecimento: baseada em algo que o usurio sabe, um segredo que
compartilhado entre o sistema e o componente que vai se identificar como
usurio. Senhas ou frases so os mtodos mais comuns de autenticao por
conhecimento e vem sendo usadas em sistemas praticamente desde o surgimento da informtica;
b) Posse: quando a autenticao baseada em posse, ela se vale de algum objeto, real ou virtual, que o elemento autenticado deve possuir. Os exemplos
mais comuns so os tokens (pequenos dispositivos de hardware, parecidos
com um pen drive), arquivos ou pequenos programas;
c) Caracterstica: este mtodo tem sido tambm largamente utilizado no
processo de autenticao, e consiste do emprego de dispositivos que sejam
capazes de analisar caractersticas fsicas dos usurios. Essas tecnologias recebem o nome de biometria e vm ocupando uma posio de destaque por
conta de sua facilidade de uso.
No mtodo de autenticao por caracterstica podemos citar:
a) Impresso digital: verifica a impresso digital de um dedo do usurio, fazendo com que a imagem seja transformada em um vetor matemtico, que
confrontado com um valor armazenado previamente;
b) Reconhecimento facial: compara imagens capturadas por cmeras com informaes semelhantes previamente armazenadas, sendo usada mais para
identificao do que autenticao. Tem grande potencial de crescimento financiado pela indstria antiterrorismo. Em um aeroporto, por exemplo, seria
possvel confrontar a imagem de um suspeito, capturada com uma cmera
de circuito fechado, com uma base de dados;
c) Retina: analisa o padro formado pelas veias internas do globo ocular; entretanto, seu mtodo considerado intrusivo e causa certo desconforto aos
usurios, e no caso de doenas oculares, como conjuntivite, sua preciso
pode ser afetada;
4 POLTICA DE SEGURANA
Dreamstime (2012)
d) ris: analisa o padro externo formado pela ris do globo ocular. Precisa, vem
sendo adotada por diversos bancos na sia como mtodo de autenticao
em caixas eletrnicos, alm de tambm ser comum para o controle de acesso fsico.
Dreamstime (2012)
SAIBA
MAIS
71
72
segurana de dados
4 Hash
a transformao de
uma grande quantidade
de informaes em uma
pequena quantidade de
informaes.
A PROTEO DA SENHA
a) Nunca anote as senhas de cabea para baixo, ao guard-las.
b) Nunca envie senhas por e-mail.
c) Nunca inclua senhas em um documento no criptografado.
d) Nunca diga sua senha a ningum.
e) Nunca revele sua senha por telefone.
f) Nunca escreva uma dica para sua senha.
g) Nunca revele ou insinue sua senha em um formulrio na internet.
h) Nunca utilize o Lembrar senha, recurso de programas de aplicao, tais
como Internet Explorer, gerenciador de e-mails ou qualquer outro programa.
4 POLTICA DE SEGURANA
i) Nunca use sua senha corporativa ou de rede em uma conta na internet que
no tenha um login seguro, onde o endereo do navegador web comea
com https:// em vez de http://.
j) Relate qualquer suspeita de que a sua senha tenha sido descoberta para o
departamento de segurana de TI.
k) Se algum pedir sua senha, nunca atenda e informe isto ao departamento
de segurana de TI.
l) No use siglas comuns como parte de sua senha.
m) No use palavras comuns ou palavras de trs para a frente em nenhuma
parte de sua senha.
n) No use nomes de pessoas ou lugares como parte de sua senha.
o) No use parte do seu nome de login em sua senha.
p) No use partes de nmeros facilmente lembrados como nmeros de telefone, de CPF ou endereos.
q) Tenha cuidado para no deixar algum ver voc digitar sua senha.
Ao definir a poltica de senhas, devemos lembrar que elaborar regras muito
difceis para definio de senhas pode diminuir a segurana. Se os usurios decidirem que as regras so impossveis ou muito difceis de cumprir, eles tendem
a anot-las ou fazer uma variante de uma senha antiga que um atacante, com
posse da senha antiga, pode adivinhar.
Os requisitos de senha a seguir devem ser definidos pelo departamento de
segurana de TI da corporao:
a) comprimento mnimo: 8 caracteres (recomendado);
b) comprimento mximo: 14 caracteres;
c) complexidade mnima: sem palavras de dicionrio includo. As senhas devem usar trs de quatro dos seguintes tipos:
a)minsculas;
b)maisculas;
c)nmeros;
d)caracteres especiais, como !@#$%^&*(){}[].
d) as senhas so case sensitive e o nome do usurio ou ID de login no case
sensitive;
e) histrico de senhas: exigir um nmero de senhas nicas antes que uma senha antiga possa ser reutilizada. Esse nmero deve ser inferior a 24;
73
74
segurana de dados
FIQUE
ALERTA
4 POLTICA DE SEGURANA
A HISTRIA DA CRIPTOGRAFIA
Para se entender o presente, necessrio estudar o passado, a fim de que se
compreendam os fundamentos que influenciaram a situao atual. O primeiro exemplo de criptografia documentado data de aproximadamente 1900 a.C,
quando um escriba egpcio registrou um texto usando um conjunto diferente de
hierglifos. Aps 1.300 anos, por volta de 600 a.C., escribas hebreus usaram um
sistema simples de substituio, que consistia em usar o alfabeto em ordem reversa, denominado Atbash. Utilizando o alfabeto portugus, o equivalente seria:
ABCDEFGHIJLMNOPQRSTUVXZ
Sendo transformado em:
ZXVUTSRQPONMLJIHGFEDCBA
E
NLKR
D
T
VFR
Y
DBG
R
V
HB J
O
TEXT
O
T
TEX
O
TEXT
O
T
X
TE
TEXTO
NORMAL
CIFRAGEM
TEXTO
CIFRADO
O
TEXT
O
T
TEX
O
TEXT
O
T
X
TE
DECIFRAGEM
TEXTO
NORMAL
Figura 16 - Criptografia
Fonte: Adaptado de VIANA, 2011
75
76
segurana de dados
NAVEGADORES
A maioria dos usurios provavelmente j usou a criptografia em um navegador da web. Quando visualizamos na barra de endereos os caracteres https://...,
significa que navegamos atravs de um protocolo seguro, criptografado, e mesmo que algum consiga interceptar nossa transmisso, no conseguir decifrar o
contedo.
Veja imagem abaixo, retirada do site do Banco do Brasil.
4 POLTICA DE SEGURANA
E-MAIL
O projeto original do correio eletrnico no se preocupava com a segurana.
Como evoluiu para um meio de comunicao de massa, os usurios comearam a
usar duas solues para graves problemas existentes com a segurana de e-mail:
a) Autenticao: servios de e-mail no verificam a identidade do remetente,
eles s informam o endereo de uma mensagem que afirma ser de fulano.
fcil mudar esse endereo e enviar mensagens atravs do nome de outros. A
maioria dos usurios atuais tem experimentado a frustrao de receber grandes quantidades de spam provenientes de endereos forjados, ou mesmo
descobriu que seus prprios endereos foram utilizados como uma fonte de
spam. Esta mesma vulnerabilidade permitiu que autores de vrus os disseminassem via e-mail, fazendo com que um anexo infectado parecesse ser de
uma fonte confivel. Tcnicas de criptografia modernas permitem que um
e-mail seja digitalmente assinado por um remetente. O destinatrio de tal
mensagem pode verificar a assinatura para determinar se uma mensagem
veio realmente da pessoa que afirma ser o remetente;
b) Transmisso segura: gerenciadores de e-mail, por padro, foram construdos para enviar mensagens em texto simples. Como consequncia, qualquer
pessoa que use um software de captura de pacotes chamado de packet sniffer, para bisbilhotar uma rede, pode facilmente ler mensagens que trafegam atravs dela. Quando voc envia uma mensagem via e-mail, deve pensar
como um carto postal legvel que pode ser manuseado por qualquer um, e
no como uma carta dentro de um envelope. Isso claramente apresenta problemas para quem deseja trocar informaes sigilosas. A criptografia oferece
uma soluo.
77
78
segurana de dados
4 POLTICA DE SEGURANA
ROTEIRO
a) Baixe o aplicativo BlowFish 2000 do site <www.gregorybraun.com/BlowFish.html>.
79
80
segurana de dados
4 POLTICA DE SEGURANA
81
82
segurana de dados
d) Execute o BlowFish.
Figura 27 - Passo 6
4 POLTICA DE SEGURANA
83
segurana de dados
Voc percebeu como fcil? Voc pode aprender mais sobre o BlowFish visitando o site <www.schneier.com/blowfish.html>.
Neste tpico, voc aprendeu a criptografar informaes usando o BlowFish.
Mas lembre-se de que existem diversas outras solues no mercado, tanto para
Windows como Linux.
CERTISIGN (2012)
84
Certificados digitais so geralmente emitidos para pessoas (fsicas ou jurdicas), mquinas e processos. Seu uso requer o estabelecimento do que se denomina Infraestrutura de Chaves Pblicas (ICP), como o recentemente estabelecido
pelo governo brasileiro, a ICP-Brasil.
4 POLTICA DE SEGURANA
ICPs como a ICP-Brasil pressupem a existncia de pelo menos uma AC, cujo
prprio certificado autoassinado. Ela prpria atesta sua identidade e a deteno
de seu par de chaves assimtricas, sendo ao mesmo tempo, para esse fim, emissor
e sujeito no ato de certificao.
Na prtica, da mesma forma que as secretarias de segurana pblica dos estados emitem um documento nico atestando a identidade das pessoas, as ACs
emitem para cada indivduo um nico atestado de propriedade de sua respectiva
chave pblica, o certificado digital, aps a comprovao de sua identidade. Esta
comprovao se d por meios especficos natureza e ao nvel de segurana do
certificado desejado, bem como a requisitos legais e regulatrios existentes, o
que pode variar de uma AC para outra.
Um certificado digital normalmente apresenta as seguintes informaes:
a) nome da pessoa ou entidade a ser associada chave pblica;
b) perodo de validade do certificado;
c) chave pblica;
d) nome e assinatura da entidade que assinou o certificado;
e) nmero de srie.
Um exemplo comum do uso de certificados digitais o servio bancrio fornecido via internet. Os bancos possuem certificado para autenticar-se perante o
cliente, assegurando que o acesso est realmente ocorrendo com o servidor do
banco. E o cliente, ao solicitar um servio, como, por exemplo, acesso ao saldo da
conta corrente, pode utilizar o seu certificado para autenticar-se perante o banco.
O certificado digital, diferentemente dos documentos utilizados para identificao pessoal, como CPF e RG, possui um perodo de validade. S possvel
assinar um documento enquanto o certificado vlido. possvel, no entanto,
conferir as assinaturas realizadas mesmo aps o certificado expirar.
O certificado digital pode ser revogado antes do perodo definido para expirar.
As solicitaes de revogao devem ser encaminhadas AC que o emitiu ou para
quem foi designada essa tarefa. As justificativas podem ser por diversos fatores,
como comprometimento da chave privada e alteraes de dados, entre outras.
A AC, ao receber e analisar o pedido, adiciona o nmero de srie do certificado
a um documento assinado chamado Lista de Certificados Revogados (LCR) e a
publica. As LCRs so publicadas de acordo com a periodicidade que cada AC definir. Essas listas so pblicas e podem ser consultadas a qualquer momento para
verificar se um certificado permanece vlido ou no.
Aps a revogao ou expirao do certificado, todas as assinaturas realizadas
com este tornam-se invlidas; entretanto, as assinaturas realizadas antes da revogao continuam vlidas se houver uma forma de garantir que esta operao
85
86
segurana de dados
5 Token
Dispositivos fsicos que
auxiliam o usurio quanto
segurana pessoal ao gerar
uma senha temporria de
proteo para as contas que
ele utiliza.
foi realizada durante o perodo de validade. Existem tcnicas para atribuir a indicao de tempo a um documento, chamadas carimbo de tempo. Eles adicionam
uma data e hora assinatura, permitindo determinar quando o documento foi
assinado.
O usurio pode solicitar a renovao do certificado para a AC aps a perda de
validade deste. Na solicitao, pode manter os dados do certificado e at mesmo
o par de chaves, se a chave privada no tiver sido comprometida. Mas, por que
no emitir os certificados sem data final de validade? Porque a cada renovao da
validade, renova-se tambm a relao de confiana entre seu titular e a AC.
Essa renovao pode ser necessria para a substituio da chave privada por
uma outra tecnologicamente mais avanada ou para atender a possveis mudanas ocorridas nos dados do usurio. Essas alteraes tm como objetivo tornar
mais robusta a segurana em relao s tcnicas de certificao e s informaes
contidas no certificado (ITI GOV, 2011).
SAIBA
MAIS
4 POLTICA DE SEGURANA
toridades de Registro (AR) e demais prestadores de servios de suporte em todos os nveis da cadeia de certificao, credenciando as respectivas empresas na
emisso de certificados no meio digital brasileiro (CERTSIGN, 2011).
A AC-Raiz tambm est encarregada de emitir a lista de certificados revogados e de fiscalizar e auditar as autoridades certificadoras, autoridades de registro
e demais prestadores de servio habilitados na ICP-Brasil. Alm disso, verifica se
ACs esto atuando em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor (ITI GOV, 2011).
87
88
segurana de dados
certificados existentes, intermediada pela AR, pois ela interage com os usurios e repassa suas solicitaes para que a AC possa process-las. Em alguns
casos, esta comunicao sequer se d por rede. Por exemplo, um arquivo
gerado e armazenado em algum tipo de dispositivo de armazenamento
removvel, como um CD, que levado fisicamente at uma sala cofre, isolada fisicamente, onde se encontra instalada a AC. Esta separao tem por
finalidade proteger a AC contra aes externas, reduzindo sua exposio ao
mnimo necessrio e se faz necessria, pois, caso a AC seja comprometida,
toda a infraestrutura estar em jogo;
f) diretrios/repositrios: tem por finalidade fornecer um local de fcil acesso para que terceiros possam acessar os certificados digitais emitidos pelas
ACs. Por exemplo, se Janana deseja enviar uma mensagem para Roberto, e
no possui seu certificado, ela no precisa solicitar a ele e esperar a resposta
para s ento enviar a mensagem, ela pode acessar o diretrio, pesquisar
pelo nome de Roberto e baixar seu certificado digital, sem depender dele.
Um outro elemento importante a Lista de Certificados Revogados (LCR),
que tem por finalidade identificar certificados cujo uso foi revogado antes de sua
expirao. Isto acontece caso algum certificado tenha sido comprometido durante seu perodo de validade, ou caso haja suspeita sobre isso. O roubo do arquivo
onde a chave privada estava armazenada um exemplo de situao onde o certificado deve ser revogado e todos devem saber que, a partir daquele momento,
ele no mais tem validade como comprovao da identidade de seu proprietrio.
As LCRs normalmente so publicadas em sites na web e contm uma relao com
os nmeros de srie dos certificados revogados.
Vimos nesse tpico que ICP um conjunto de tcnicas, prticas e procedimentos elaborado para suportar um sistema criptogrfico com base em certificados
digitais.
4 POLTICA DE SEGURANA
CASOS E RELATOS
Usurios e polticas de segurana
Ao assistir uma palestra sobre segurana, ministrada por um especialista
de uma empresa que comercializa antivrus, pude observar que, em linhas
gerais, grande parte dos argumentos utilizados por ele sustentava a tese
de que os usurios eram os principais responsveis pelos problemas de segurana da informao, uma vez que eles no seguiam as recomendaes
bsicas. Abriam e-mails que obviamente continham cdigo malicioso ou
levavam a sites fraudulentos, alm de tentarem o tempo todo burlar as medidas de segurana criadas justamente para proteg-los.
Em um dado momento, fugindo completamente do tema, o palestrante se
ps a reclamar das medidas de segurana que foram adotadas nos aeroportos norte-americanos aps os atentados de 11 de setembro. Sentia-se
impactado pelas medidas, as quais julgava exageradas e contraproducentes. O que antes estava sendo criticado pelo palestrante (as reclamaes e
atitudes dos usurios), agora estava sendo feito por ele mesmo, sendo ele
tambm um usurio de aeroportos americanos.
Esta gafe mostra que no so apenas os usurios que no gostam de medidas de segurana, ningum gosta delas. No geral, isso acontece porque
muitas delas se caracterizam por um esforo ou gasto de tempo que devemos ter para, em caso de problemas, no termos prejuzos maiores. No
entanto, quando esses problemas no ocorrem, podemos ficar com a sensao de que os recursos e o tempo foram desperdiados. Muito parecido
com um seguro de carro, ou casa.
Por isso, devemos sempre buscar adotar medidas eficazes que tragam pouco impacto para as tarefas dirias. Caso no seja possvel, h o trabalho de
conscientizao para explicar as medidas aos usurios e o porqu de suas
necessidades.
O estabelecimento da poltica de segurana da informao somente o
estgio inicial do processo de mudana de cultura na rea de segurana.
A preparao de polticas para o estabelecimento de um ambiente seguro
somente se efetiva por meio do comprometimento de todos os profissionais e colaboradores que utilizam as tecnologias.
Todos devem perceber que tm a sua parcela de contribuio para que o
objetivo final possa ser alcanado.
89
90
segurana de dados
VOC
SABIA?
4 POLTICA DE SEGURANA
RECAPITULANDO
Voc aprendeu que a Poltica de Segurana um conjunto de regras definidas pelos administradores de redes e a equipe gestora de uma organizao, com o objetivo de proteger e prevenir os recursos tecnolgicos e as
informaes.
Com base nesses estudos, viu que essa poltica deve ser implementada no
s como medida de proteo, mas tambm de preveno de invases
rede. Entendeu que deve ser um documento claro, que define responsabilidades por setores gestores, funcionrios e usurios , alm de definir
claramente as sanes aos que no a cumprirem.
E tambm compreendeu que, em sua futura profisso, de extrema importncia estar ciente de que necessrio seguir e administrar essas normas
para no deixar a organizao em risco.
91
Backup
5
Neste captulo, ser ressaltada a importncia de se fazer backup, para assegurar a proteo
das informaes valiosas para uma empresa ou para ns mesmos. Voc dominar normas, tcnicas e mecanismos para elabor-lo.
Para isso, voc deve conhecer mtodos de preveno a danos aos dados dos clientes, alm
de assegurar a proteo de informaes.
Ao concluir este captulo voc estar apto a:
a) definir o que backup;
b) definir tipos de backup;
c) definir, criar e implantar as polticas de backup;
d) definir a automatizao de backup;
e) listar mecanismos de backup;
f) listar as ferramentas de backup do Windows 7;
g) fazer testes de recuperao de backup;
h) verificar os logs de backup;
i) discutir e definir as mdias de armazenamento para backup;
j) descrever outros itens de segurana.
Dedique-se aos seus estudos no entendimento e utilizao de backups das informaes e,
no futuro, ter o respeito e a confiana de seus clientes.
segurana de dados
Dreamstime (2012)
94
Figura 36 - Ameaas
Por causa dessas ameaas, alm de vrus, ataques ou qualquer outra atividade
maliciosa, preciso realizar backups frequentes dos sistemas, incluindo os dados
essenciais para operao da empresa. Backup um componente vital para restaurao de desastres e para manuteno das funes de organizaes.
5 BACKUP
Apesar de ser uma medida de segurana antiga, muitas organizaes no possuem um sistema de backup, ou o fazem de maneira incorreta. Mont-lo requer
um pouco de cautela. importante, por exemplo, saber escolher o tipo de mdia
para se armazenarem as informaes, como fitas magnticas ou discos ticos.
Outro ponto importante de se lembrar que a maioria de falhas nas redes
corporativas fruto de erro humano. Isto significa que necessrio treinamento
dos envolvidos, para que estes possam agir de maneira correta em caso de emergncia (restaurao do backup).
Entre as falhas mais comuns, alm da falta de preparo dos envolvidos, est
o armazenamento dos disquetes ou outra mdia de armazenamento no prprio
local onde se localiza o computador, o que no caso de qualquer desastre, levar
perda total dos dados. O mais indicado a utilizao de dois conjuntos de backups: um disponvel localmente para o uso imediato e outro guardado em um
local diferente.
Neste tpico, vimos que o processo de backup importante para a recuperao de dados contra ameaas, para o bom funcionamento de organizaes.
Aprendemos que deve haver um plano de ao para montar um sistema de backup: as estratgias tanto de emergncia como da prpria rotina devem ser estudadas e padronizadas para que todos estejam preparados.
BACKUP DE CPIA
Copia todos os arquivos selecionados, mas no os marca como arquivos que
passaram por backup (ou seja, o atributo de arquivo no desmarcado). til
caso voc queira fazer backup de arquivos entre os backups normal e incremental,
pois no afeta essas outras operaes de backup.
95
96
segurana de dados
BACKUP DIRIO
Copia todos os arquivos selecionados que foram modificados no dia de execuo do backup dirio. Os arquivos no so marcados como arquivos que passaram por backup (o atributo de arquivo no desmarcado).
BACKUP DIFERENCIAL
Copia arquivos criados ou alterados desde o ltimo backup normal ou incremental. No marca os arquivos como arquivos que passaram por backup (o atributo de arquivo no desmarcado). Se voc estiver executando uma combinao dos backups normal e diferencial, a restaurao de arquivos e pastas exigir o
ltimo backup normal e o ltimo backup diferencial.
BACKUP INCREMENTAL
Copia somente os arquivos criados ou alterados desde o ltimo backup normal
ou incremental, e os marca como arquivos que passaram por backup (o atributo
de arquivo desmarcado). Se voc utilizar uma combinao dos backups normal
e incremental, precisar do ltimo conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.
5 BACKUP
Voc aprendeu que existem vrios tipos de backups, e que a combinao dos
backups normal e diferencial, apesar de ser mais demorada, facilita a restaurao
de dados por armazen-los apenas em alguns discos ou fitas.
Com isso ela permite obtermos dois resultados significativos: primeiro, define
os requisitos da organizao em termos de proteo e integridade da informao
e, segundo, proporciona a concretizao desses requisitos atravs da sua aplicao, baseada em procedimentos e ferramentas adequados.
O seu contedo deve abordar os prazos de manuteno dos diferentes tipos
de dados (o que implica, naturalmente, a existncia de procedimentos de classificao da informao), bem como descrever os procedimentos para o arquivamento e destruio de dados em equipamentos que sero descartados.
97
98
segurana de dados
5 BACKUP
Voc aprendeu que os princpios da confidencialidade, integridade e disponibilidade encontram-se intimamente ligados ao conceito de proteo da informao, onde a poltica de backup um elemento essencial.
Figura 38 - Equipe
99
100
segurana de dados
5 BACKUP
IMPLANTAO
Consiste na aplicao formal das regras descritas na poltica de backup. Deve
ser realizada de forma gradativa e aps o programa de divulgao e conscientizao dos funcionrios.
101
102
segurana de dados
de informao tornam-se mais complexos, o volume de dados armazenados segue a mesma tendncia, atingindo propores significativas.
Diante deste cenrio, as empresas deparam-se com a necessidade de proteo de um conjunto cada vez maior e mais complexo de informaes, disperso
atravs de vrios dispositivos e gerado por diferentes aplicaes. Felizmente, as
solues de backup atuais acompanharam esta evoluo e oferecem nveis de
desempenho e de proteo satisfatrios.
A soluo mais simples e comum para criar cpias de segurana consiste na
utilizao de unidades de backup, instaladas no prprio sistema ou autnomas,
que realizam automaticamente todas as tarefas necessrias cpia dos dados
para as fitas magnticas de armazenamento de dados.
Devido ao seu incomparvel grau de procura no mercado, estas solues h
muito deixaram de ser lineares, passando a oferecer uma ampla gama de possibilidades: desde as simples unidades individuais de fitas com capacidade para
algumas dezenas de gigabytes, at bibliotecas de tapes robotizadas, complexas e
autnomas, podendo armazenar vrios terabytes.
A oferta existente supre, certamente, as necessidades mais diversas, oferecendo a soluo para vrios nveis. Recentemente, comearam a verificar-se algumas
evolues tecnolgicas, dignas de referncia, e que se destacam pela capacidade
individual de cada unidade:
a) Super DLT (Digital Linear Tape): a nova gerao da plataforma DLT, a
qual pode ser considerada o padro do mercado devido ao tempo que vem
sendo usada. Baseando-se na experincia de vrios anos, adquirida no desenvolvimento deste tipo de produtos de cpia de segurana, os fabricantes
aumentaram a capacidade destas tapes que, atualmente, atingem 110 GB,
sem compresso. Sendo uma evoluo da DLT, a Super SDLT garante compatibilidade com as geraes anteriores;
b) LTO (Linear Tape Open technology): resultante de um consrcio de vrias
marcas, caracteriza-se pelo fato de ser um formato tecnolgico aberto que
visa permitir o desenvolvimento de solues nesta rea por parte de vrios
fabricantes que aderirem ao padro. Os produtos baseados na tecnologia
LTO so designados Ultrium, e encontram-se atualmente na segunda gerao de um total de quatro previstas. A capacidade dos suportes de segunda
gerao de 200 GB por tape (sem compresso), visando a meta de 800 GB
para a quarta.
Observe abaixo uma soluo de backup automatizada, onde um rob cuida do
processo de backup de uma biblioteca de fitas.
5 BACKUP
103
104
segurana de dados
5 BACKUP
O utilitrio de backup pode ser utilizado para criar uma cpia dos dados que
esto no disco rgido e arquiv-los em outro dispositivo de armazenamento. A
mdia de armazenamento de backup pode ser uma unidade lgica, como uma
unidade de disco rgido ou um dispositivo separado para armazenamento, como
um disco removvel ou uma biblioteca inteira de discos ou fitas organizados em
um pool de mdia e controlados por um alterador robtico. Se os dados originais
do disco rgido forem apagados ou substitudos acidentalmente ou se ficarem
inacessveis devido a um defeito do disco rgido, voc poder restaurar facilmente os dados usando a cpia arquivada.
O utilitrio de backup cria uma cpia do volume dos dados para criar uma cpia pontual e precisa do contedo da unidade de disco de rgido, incluindo arquivos abertos ou arquivos que estejam sendo usados pelo sistema. Os usurios
podem continuar a acessar o sistema enquanto o utilitrio de backup est em
execuo sem, com isso, correrem o risco de perder dados.
105
106
segurana de dados
VOC
SABIA?
O utilitrio de backup executa funes simples de gerenciamento de mdia, como, por exemplo, formatao.
Tarefas de gerenciamento mais complicadas, como a
montagem e desmontagem de uma fita ou de um disco,
so realizadas por um servio denominado armazenamento removvel.
5 BACKUP
Criando o backup
a) Para iniciar um backup, v em Iniciar\Painel de Controle\Sistema e Segurana\Backup e Restaurao.
b) A janela de boas-vindas ir abrir e ento teremos as opes:
a) criar uma imagem do sistema;
b) criar um disco de reparao do sistema;
c) ativar o agendamento;
d) restaurar backup.
c) Neste momento, o Assistente de Backup e Restaurao ir orient-lo durante o processo conforme o cenrio escolhido de forma muito didtica.
Obs.: Para que este passo se conclua, necessrio um entendimento mnimo
sobre: unidades de disco rgido, dispositivos com armazenamento removvel e locais de rede. Estas informaes so relevantes porque determinar
onde o backup ser salvo e/ou de onde o arquivo de restaurao do backup
realizado ser obtido. Como tambm as pastas e arquivos selecionados no
processo de backup e/ou restaurao do sistema.
timo, agora voc j sabe como realizar o procedimento de backup. Vamos
tentar restaurar o backup realizado para entender o processo. Mos obra!
Restaurando o backup
a) Para restaurar um backup realizado com o Assistente de Backup e Restaurao do Windows 7, v em Iniciar\Painel de Controle\Sistema e Segurana\
Backup e Restaurao). A tela de boas-vindas ir se abrir. A seguir, clique no
boto Restaurar meus arquivos e na tela seguinte clique em Pesquisar.
b) Nesta tela iremos localizar os arquivos de backup a serem restaurados. Portanto, deve-se digitar o nome do arquivo de backup efetuado e teclar ENTER.
Aps a pesquisa concluda, dever aparecer uma relao de arquivos de backup a restaurar.
c) Sugesto, restaure o backup em outra pasta ou disco, simulando a perda das
informaes inicialmente copiadas. Para evitar substituio de informaes
indesejadas e consequentemente a perda de informaes atuais.
d) A etapa da restaurao est configurada. Nesta tela podemos observar mais
opes sobre a restaurao que temos a possibilidade de fazer, no sendo
ela obrigatria para finalizao at este passo de uma restaurao de backup.
107
108
segurana de dados
Viu como foi fcil? Continue realizando os seus backups periodicamente e tomando o cuidado de armazenar as mdias fsicas ou lgicas em um local seguro.
SAIBA
MAIS
5 BACKUP
109
110
segurana de dados
5 BACKUP
PERIODICIDADE E RETENO
Devemos lembrar que a frequncia com que os backups so realizados, bem
como o tempo de reteno, deve ser determinado considerando a velocidade e
volatilidade da informao, ou seja, dependendo da frequncia com que os dados so alterados.
O perodo de reteno consiste no tempo do qual os dados gravados em backup no podem ser apagados, nem pelo sistema e nem por intervenes humanas convencionais. A nica forma para apagar seria explicitamente indicando que
a ferramenta o fizesse. Esta proteo tem por finalidade evitar erros de um operador. Depois de terminado o tempo de reteno, se diz que este backup expirou e,
dessa forma, o volume poder ser sobrescrito em um prximo trabalho de backup
(FARIA, 2010).
IDENTIFICAO DO BACKUP
Para todos os backups, deve existir registros das operaes envolvidas na realizao da cpia. Numa identificao devem constar as seguintes informaes:
a) nome do servidor;
b) quantidade total de mdias;
c) tipo de mdia;
d) localizao do servidor;
e) descrio do contedo;
f) perodo de reteno;
g) horrio;
h) tipo de backup;
i) restries.
RECOMENDAES IMPORTANTES
a) Manter os backups em local fsico diferente do local de armazenamento dos
dados originais.
b) Realizar com frequncia testes nas mdias que armazenam os backups, a fim
de assegurar que estes podem ser restaurados em caso de necessidade.
c) Assegurar que estas mdias estejam em segurana e que o acesso a elas seja
controlado.
111
112
segurana de dados
5 BACKUP
TIPOS DE MDIA
Alm da necessidade de determinar o tipo de backup que deve ser feito e
quando faz-lo, precisamos avaliar os tipos de mdia de armazenamento disponveis no mercado e selecionar a mais apropriada para cada necessidade.
Ao escolher uma mdia de armazenamento, precisamos levar em considerao
alguns fatores:
a) a quantidade e o tipo de dados para backup;
b) o perodo de tempo para backup;
c) o ambiente;
d) a distncia entre os sistemas em que est sendo feito backup e o dispositivo
de armazenamento;
e) o oramento de sua organizao.
Dentre as mdias atualmente disponveis podemos citar as seguintes:
a) Fita magntica: utilizada para backup de grandes volumes de dados. As
principais vantagens das unidades de fita so a grande capacidade de armazenamento, associada boa confiabilidade e custo relativamente baixo das
mdias. Sua desvantagem est no acesso aos dados, que necessariamente
sequencial, alm do alto custo das unidades de fita;
b) Discos pticos: se popularizaram com a utilizao dos CDs e DVDs. Dependendo da quantidade de informaes, uma boa opo, pois tem custo acessvel, razovel capacidade de armazenamento (4,3 Gb para os DVDs)
alm da alta durabilidade. Sua desvantagem est na velocidade de leitura e
gravao de dados;
c) Discos magnticos: mais conhecidos como discos rgidos (HDs), tm tido
seu uso aumentado recentemente, devido grande reduo dos custos, associado alta capacidade de armazenamento. uma alternativa relevante
para aqueles que necessitam de rapidez no processo de backup, pois sua
velocidade e confiabilidade so seus pontos fortes.
VOC
SABIA?
113
114
segurana de dados
A vantagem nesse caso que as mdias so baratas e voc pode simplesmente queimar uma nova a cada backup, armazenando todas as cpias antigas. Os
CDs e DVDs possuem boa longevidade e qualidade, e, se armazenadas em um
ambiente sem luz e com baixa umidade, duram cerca de 20 anos ou, em muitos
casos, at mais.
Neste tpico aprendemos que h diversas mdias de armazenamento, e que
devemos pesar o custo-benefcio e a segurana ao escolh-las.
MEDIDAS DE SEGURANA
Os procedimentos a ser seguidos para garantir a segurana no uso de chaves e
fechaduras devem ser semelhantes aos seguidos com o uso de senhas. Podemos
citar a documentao e controle sobre a emisso e uso, procedimentos peridicos de troca de combinao etc.
A segurana fsica um elemento fundamental da segurana da informao.
No possvel termos a segunda sem a primeira. O foco de atuao a proteo
dos ativos fsicos, incluindo a preocupao com todos os ativos humanos.
Dentre as diversas ameaas que podemos reconhecer, encontram-se tambm
problemas como falhas no fornecimento de servios bsicos, como energia eltrica e gua. Alm disso, os servios de suporte ao funcionamento da organizao,
como ar condicionado, por exemplo, devem ser sempre considerados (RAMOS;
BASTOS; LYRA, 2008).
5 BACKUP
Portanto, de forma complementar, a segurana fsica fundamental para qualquer iniciativa de proteo de sistemas por diversas razes. A principal se deve ao
fato de que a maioria dos controles lgicos implementados em sistemas pode ser
facilmente desativada caso uma pessoa mal-intencionada possua acesso fsico ao
equipamento. Uma outra razo relevante a de que vrias pesquisas apontam
que os maiores problemas de segurana sofridos pelas organizaes hoje so
ocasionados por pessoas internas como funcionrios e prestadores de servios.
CASOS E RELATOS
Falta de planejamento
A Comgs, a maior empresa de distribuio de gs natural canalizado do
Brasil, com mais de 1 milho de clientes, precisava agilizar seu sistema de
gerenciamento de dados e integrar as ferramentas de backup com base
nas melhores prticas implementadas no mercado. Preocupada com este
cenrio, a Comgs procurou a Brasoftware.
115
116
segurana de dados
Recapitulando
Voc aprendeu que backup o ato de fazer cpias de segurana da informao em algum tipo de mdia (CD-R, CD-RW, DVD-R, DVD-RW, fitas, pen
drives etc). Estudou e entendeu que sua funo armazenar informaes
confidenciais e valiosas para que, se necessrio, seja possvel recuper-las
com integridade caso haja necessidade.
Conheceu, definiu e listou os documentos dos quais devemos fazer o backup; definiu qual a periodicidade com que devemos faz-lo; e viu como
importante armazenar as cpias de backup num lugar externo ao local
de origem.
5 BACKUP
Por ltimo, testou nas aulas prticas seus conhecimentos e percebeu que
em sua futura profisso ter muita responsabilidade com seus clientes ao
realizar procedimentos de backup.
117
Ferrramentas de segurana
6
Asegurana da informaoest relacionada proteo de um conjunto de dados, no sentido de preservar o valor que tais informaes possuem para um indivduo ou uma organizao.
A segurana de uma determinada informao pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura que a cerca ou por pessoas mal intencionadas.
Pensando nisso, neste captulo voc conhecer algumas ferramentas que surgiram para auxiliar organizaes a assegurar suas informaes, tais como:
a) ferramentas de anlise de vulnerabilidade;
b) sistemas de deteco de invaso;
c) ferramentas de log e auditoria;
d) quesitos estratgicos, como disponibilidade e redundncia.
importante que um profissional que atuar na rea de tecnologia conhea diversas ferramentas de segurana, seja para proteger suas atividades ou para orientar o seu cliente na
escolha do melhor mtodo de proteo.
120
segurana de dados
FUNCIONAMENTO
A varredura automatizada de vulnerabilidades, basicamente realiza uma varredura de porta, identificando o sistema operacional e registrando em log todas
as portas de escuta. A ferramenta fornece relatrios detalhados sobre quais servios esto rodando em determinada porta e se eles esto vulnerveis ou no,
com base em um banco de dados interno atualizado com frequncia, que ajuda a
identificar exatamente os pontos de exposio associadas a esse servio.
Conhea alguns scanners de vulnerabilidade:
a) ISS Internet Scanner
Fornecedor: IBM; Plataforma:Windows NT; URL: <www.iss.net>.
Muito conhecida para varredura de vulnerabilidade, tem como ponto forte a interface para gerao de relatrios, alm de um conjunto abrangente
de verificaes de vulnerabilidades associada a uma inteface com o usurio
bem trabalhada. Fornece uma grande quantidade de informaes sobre
cada verificao de vulnerabilidade, armazenadas em um banco de dados.
b) Nessus project
Fornecedor: open source; Plataforma: Unix; URL: <www.nessus.org/products/nessus>.
tima ferramenta de varredura de vulnerabilidades com o cdigo fonte
aberto. Emprega um modelo de plug-in extensvel que permite que a comunidade de segurana adicione mdulos de varredura vontade. Isso fornece
a ferramenta um diferencial no desenvolvimento, pois qualquer verificao
que ele no tenha pode ser criada por qualquer pessoa com algum tempo e
capacidade de codificao.
c) OSSIM (Open Source Security Information Management)
Fornecedor: Alien Vault; Plataforma: open source; URL: <www.alienvault.
com/>.
6 Ferrramentas de segurana
121
122
segurana de dados
6 Ferrramentas de segurana
IDS
Internet
Ateno: muitas pessoas no familiarizadas com o campo de sistema de deteco de invaso, confundem a tecnologia com dispositivos de controle de acesso,
como firewall. Os sistemas de deteco de invaso, em sua forma atual, no servem como um mtodo de controle de acesso. Embora vrios deles possam ser
configurados para interagir com firewall, esse no o seu principal propsito.
Voc aprendeu neste tpico que existem vrios tipos de sistema de deteco
de invaso, aos quais devemos sempre encarar como um tipo de alarme contra
roubo e no como um bloqueio ou tranca.
123
124
segurana de dados
6 Ferrramentas de segurana
6.4 DISPONIBILIDADE
Atualmente, diversas organizaes funcionam baseadas na disponibilidade
dos seus dados e na infraestrutura da informao, como, por exemplo, as lojas
virtuais. Neste cenrio, a disponibilidade dos dados um quesito estratgico, pois
sua falta pode inviabilizar negcios e a capacidade de existncia da organizao.
Nesse ambiente, surge uma caracterstica importante para estas empresas
altamente dependentes da disponibilidade dos seus dados: os sistemas de alta
disponibilidade.
A disponibilidade de um sistema informatizado indicada pela funo A(t),
que calcula a probabilidade de que um sistema esteja em pleno funcionamento
em um determinado instante de tempo t. Essa disponibilidade pode ser classificada em trs classes, de acordo com a faixa de valores desta probabilidade (CONECTIVA, 2003):
DISPONIBILIDADE BSICA
Encontrada em mquinas comuns, sem nenhum mecanismo especial, em software ou hardware, que vise atenuar eventuais falhas de disponibilidade. Costumamos dizer que mquinas nesta classe tem uma disponibilidade de 99 a 99,9%,
o que equivale dizer que em um ano de operao, estas mquinas podem permanecer indisponveis por um periodo compreendido entre 9 horas a 4 dias. Estes
dados so empricos e no consideram possveis paradas planejadas, porm so
aceitas como senso comum na literatura da rea (CONECTIVA, 2003).
125
126
segurana de dados
ALTA DISPONIBILIDADE
Adicionando-se mecanismos especializados de deteco, recuperao e mascaramento de falhas, podemos aumentar a disponibilidade do sistema, vindo
este a se enquadrar na classe de alta disponibilidade. Nesta classe, as mquinas
devem apresentar uma disponibilidade compreendida entre 99,99 e 99,999%,
podendo ficar indisponveis somente por um perodo compreendido entre 5 minutos a uma hora, durante um ano de operao. Aqui se encaixam grande parte
das aplicaes comerciais de alta disponibilidade, como as centrais telefnicas
(CONECTIVA, 2003).
DISPONIBILIDADE CONTNUA
Com a adio subsequente de noves, se obtm uma disponibilidade cada vez
mais prxima de 100%, diminuindo o tempo de indisponibilidade de forma que
este venha a ser desprezvel ou mesmo inexistente. Aproxima-se ento da disponibilidade contnua, onde todas as paradas planejadas e no planejadas so
tratadas, e o sistema permanece sempre disponvel (CONECTIVA, 2003).
Sistemas que contam com alta disponibilidade so informatizados, resistentes
a falhas de software, hardware e energia, cujo objetivo manter os servios disponveis o mximo de tempo possvel (WIKIPDIA, 2011). Este objetivo atingido
atravs de redundncia ou replicao de hardware e reconfigurao de software.
6.5 REDUNDNCIA
Voc sabe o que significa a palavra redundncia? Vamos aprender neste tpico o que e quando acontece uma redundncia no sistema de informaes.
Redundncia descreve a capacidade de um sistema em superar a falha de
um de seus componentes atravs do uso de recursos redundantes. Um sistema
redundante possui um segundo dispositivo que est imediatamente disponvel
para uso quando da falha do dispositivo primrio.
Para conseguirmos uma maior disponibilidade, a redundncia surge como a
melhor maneira de conseguir alcan-la. Tal como guardamos cpias das chaves
das portas de nossa casa, para o caso de perdermos a original, existem mecanismos, de complexidade varivel, que permitem criar cpias da informao contida
nos diversos sistemas informatizados.
A redundncia pode ser obtida de vrias formas, quer atravs de cpias manuais de dados, quer atravs de sistemas automatizados de proteo da informao. Na sua expresso mais complexa, estes mecanismos de proteo podem
6 Ferrramentas de segurana
assumir a duplicao total da infraestrutura da informao existente, numa localizao remota, com transferncia automatizada de dados entre locais. Este tipo
de soluo, normalmente adotada para estruturas extremamente crticas e sem
qualquer tolerncia de downtime (tempo de parada), implica um investimento
inicial alto e custos de manuteno que podem ser igualmente elevados.
Por esse motivo, as solues mais comuns passam pela criao de clusters de
mquinas e pela implementao de solues de RAID (Redundant Array of Inexpensive Disks) com paridade, em que a informao compartilhada em vrios discos, sendo que a indisponibilidade de um deles no implica a indisponibilidade
dos dados nele contidos (WIKIPDIA, 2011).
Em qualquer dos casos, a soluo adotada deve levar em conta o valor da informao a proteger. No caso de contedos estticos, pouco atualizados e de valor referencial, basta talvez a criao e manuteno de cpias de segurana. No
caso de bases de dados dinmicas, com atualizaes e consultas muito frequentes, talvez se justifique equacionar a criao de um cluster, ou de um sistema de
armazenamento centralizado, com duplicao.
Ao nvel da infraestrutura de suporte aos dados, existe a possibilidade de criar
solues redundantes a praticamente todos os nveis. Para alm dos clusters de
mquinas, j referidos, os prprios equipamentos ativos da rede de dados (roteador, switch, hub etc.) podem ser duplicados, criando estruturas redundantes.
Roteador
primrio
Servidor
Internet
Switch
Usurios
Roteador
secundrio
No exemplo visto acima, caso ocorra uma falha no roteador primrio, imediatamente o roteador secundrio entrar em atividade de forma a no interromper
comunicao da rede local com o ambiente externo (internet).
Um exemplo prtico da aplicao de redundncia est nos sistemas embarcados de aviao, quando impe que avies comerciais possuam dois computadores de bordo, dois sistemas para controle dos trens de aterrissagem etc. Se
um sistema falhar, o outro sistema deve ser to eficiente e operacional como o
primeiro, pronto para entrar em operao, testado, treinado e suficiente.
127
128
segurana de dados
Voc aprendeu que, com a finalidade de buscar maior disponibilidade, a redundncia surge como uma boa maneira de conseguir alcan-la. Voc tambm
viu, neste tpico, que a redundncia uma caracterstica que deve ser sempre
considerada para qualquer sistema, e, no caso de sistemas que operam em atividades crticas, imprescindvel.
CASOS E RELATOS
Melhorando processos
Lucia da auditores S/A foi contratada para analisar os procedimentos sendo desenvolvidos na empresa Girsan. Ao analisar a estrutura da empresa
Girsan, Lucia notou que todos os dias o administrador da rede verificava
as dezenas de mquinas da empresa procurando por potenciais vulnerabilidades, conforme politica de seguranca da empresa. Este processo
alm de cansativo se mostrava lento e sujeito a erros. A empresa de auditoria recomendou a adoo de uma ferramenta de automao.
A empresa adotou o OSSIM e tem gostado muito dos resultados, por ter,
alm das facilidades de verificao de vulnerabilidades, a possibilidade
de gerar relatorios conforme o ITIL e ISO 27000 empregados na Girsan.
Recapitulando
Voc aprendeu que existem ferramentas que auxiliam na segurana de
dados e informaes que diariamente esto expostas a fatores e pessoas
mal intencionadas.
Dentre essas ferramentas vimos que possvel fazer uma varredura automatizada, gerando relatrios detalhados sobre possveis vulnerabilidades do sistema, bem como detectar invasores no autorizados.
Outra ferramenta importante para assegurar informaes em uma rede
criar estratgias que dificultem o registro de logs, precavendo o acesso
de crackers.
6 Ferrramentas de segurana
Anotaes:
129
REFERNCIAS
ABNT. Tecnologia da informao: Tcnicas de segurana Diretrizes para implantao de um
Sistema de Gesto da Segurana da Informao. Disponvel em: <www.abnt.org.br/>. Acesso em:
28 set. 2011.
ALECRIM, E. Dicas de segurana na internet. Disponvel em: <www.infowester.com/
dicaseguranca.php>. Acesso em: 4 out. 2011.
MBITO JURDICO. Software & Direito: Dos contratos Licena de uso e servios. Disponvel em:
<www.ambito-juridico.com.br/site/index.php?n_link=revista_artigos_leitura&artigo_id=1914>.
Acesso em: 10 out. 2011.
NGELO, Fernanda. Em falta no mercado, profissionais de Segurana da Informao tem
salrio inflado. 2010. Disponvel em: <http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/
start.htm?infoid=24025&sid=71>. Acesso em: 29 mar. 2012.
APEX SQL LOG. Disponvel em: <www.superdownloads.com.br/download/87/apex-sql-log/>.
Acesso em: 9 mar. 2012.
BRASOFTWARE. Brasoftware otimiza ambiente de Backup da Comgs. 2012. Disponvel
em: <http://www.s2publicom.com.br/imprensa/ReleaseTextoS2Publicom.aspx?press_release_
id=26702#.T476vnmDiFU>. Acesso em: 13 abr. 2012.
CERTSIGN. Certificao Digital. Disponvel em: <icp-brasil.certisign.com.br/>. Acesso em: 9 out.
2011.
CERTTUM. Cpias de segurana Procedimentos. Disponvel em: <www.certtum.com.br/geracaode-conhecimento/0/copias-de-seguranca-procedimentos/14>. Acesso em: 8 mar. 2012.
CGI.BR. Cartilha de segurana para internet: Conceitos de segurana Criptografia. Verso 3,
2006. Disponvel em: <cartilha.cert.br/conceitos/sec8.html>. Acesso em: 30 nov. 2011.
CONECTIVA. Alta Disponibilidade. In: Guia do Servidor Conectiva Linux. 2003. Disponvel em:
<conectiva.com/doc/livros/online/9.0/servidor/ha.html>. Acesso em: 8 nov. 2011.
CUNHA NETO, R. et al. Sistema de deteco de intrusos hbrido para botnets utilizando
algoritmo de otimizao de enxame de partculas. So Lus: Universidade Federal do Maranho
(UFMA). Disponvel em: <www.die.ufpi.br/ercemapi2011/artigos/ST2_09.pdf>. Acesso em: 9 mar.
2012.
DADDARIO, Jeferson. Enfrentando a crise e reduzindo custos com uma administrao
adequada de TI e Gesto de Riscos. 2009. Disponvel em: <http://www.daddario.com.br/
enfrentando-a-crise-e-reduzindo-custos-com-uma-administracao-adequada-de-ti-e-gestao-deriscos/>. Acesso em: 29 mar. de 2012.
FARIA, H. O que reteno (ou retention)?. 2010. Disponvel em: <www.bacula.com.
br/?p=246>. Acesso em: 26 nov. 2011.
SCHNEIER, B. Beyond Fear: Thinking sensibly about security in an uncertain world. New York:
Copernicus Books, 2003.
SMOLA, M. Gesto da segurana da informao: Uma viso executiva. Rio de Janeiro: Campus,
2003.
SHIPLEY, G. et al. Segurana mxima. 3. ed. Rio de Janeiro: Campus, 2001.
SISTEMAS IDS. Disponvel em: <www.mknod.com.br/?q=ids>. Acesso em: 9 mar. 2012.
TAVARES, P. et al. Segurana dos sistemas de informao: Gesto estratgica da segurana
empresarial. Lisboa: Centro Atlntico, 2003.
TOTAL DE INCIDENTES REPORTADOS AO CERT.BR. Disponvel em: <www.cert.br/stats/
incidentes/>. Acesso em: 12 ago. 2011.
VAUGHAN, E. Risk Management. New Baskerville: John Wiley & Sons, 1997.
VIANA, R. Blog Matemtica. Disponvel em: <1.bp.blogspot.com/-hsHn189mPAY/Td69fGRER4I/
AAAAAAAAAgM/gcvn3p392UM/s320/01.jpg>. Acesso em: 7 out. 2011.
VIDA DE SUPORTE. Plula vermelha: Imagem. Disponvel em: <vidadesuporte.com.br/wp-content/
uploads/2011/09/Suporte_282.jpg>. Acesso em: 22 set. 2011.
WIKIPDIA. Identificao por radiofrequncia. Disponvel em: <pt.wikipedia.org/wiki/
Identifica%C3%A7%C3%A3o_por_radiofrequ%C3%AAncia>. Acesso em: 30 out. 2011.
______. Lei de Moore. Disponvel em: <pt.wikipedia.org/wiki/Lei_de_Moore>. Acesso em: 7 out.
2011.
______. Cifra de Csar. Disponvel em: <pt.wikipedia.org/wiki/Cifra_de_C%C3%A9sar>. Acesso
em: 7 out. 2011.
______. Licena comercial. Disponvel em: <pt.wikipedia.org/wiki/Licen%C3%A7a_comercial>.
Acesso em: 10 out. 2011.
______. RAID. Disponvel em: <pt.wikipedia.org/wiki/RAID>. Acesso em: 26 nov. 2011.
______. Segurana da Informao. Disponvel em: <pt.wikipedia.org/wiki/Seguran%C3%A7a_da_
informa%C3%A7%C3%A3o>. Acesso em: 6 ago. 2011.
______. Sistema de alta disponibilidade. Disponvel em: <pt.wikipedia.org/wiki/Sistema_de_
alta_disponibilidade>. Acesso em: 8 nov. 2011.
YROSS. Certificao digital. Disponvel em: <yross.wordpress.com/2010/07/14/certificadodigital/>. Acesso em: 6 mar. 2012.
ZAPATER, M.; SUZUKI, R. Segurana da informao: Um diferencial determinante na
competitividade das corporaes. So Paulo: PROMON, 2005. Disponvel em: <www.promon.com.
br/portugues/noticias/download/Seguranca_4Web.pdf>. Acesso em: 11 ago. 2011.
MINICURRCULO Do autor
Rafael Ddimo Santos, graduado em Cincia da Computao pela PUC-GO, especialista em Banco
de Dados pela UFG. Trabalha atualmente no Tribunal Regional Eleitoral de Gois exercendo a funo de Analista de Sistemas.
ndice
D
Denial of service 24
H
Hash 72
K
Kernel 62
M
Mitigar 25
P
Planejamento 115
T
Token 70, 86
FabriCO
Bruno Lorenzzoni
Camilla Lckmann
Jaqueline Tartari
Loureno Tristo
Wania Maria de Almeida Pereira
Design Educacional
Carmen Garcez
Reviso Ortogrfica, Gramatical e Normativa
Bruno Lorenzzoni
Denis Pacher
Thiago Rocha
Victor Amrico Cardoso
Ilustraes
Denis Pacher
Thiago Rocha
Tratamento de Imagens
Carmen Garcez
Normalizao
Mariana Bugo
Thiago Rocha
Denis Pacher
Diagramao
i-Comunicao
Projeto Grfico