Conceitos Gerais de Segurança

1. Ataques

Um ataque é qualquer ato cometido contra os recursos de um sistema de informação ( redes, servidores, estações, equipamentos, dados armazenados, etc.) visando a obtenção, alteração ou destruição de dados sem autorização prévia, ou com intenções de prejudicar, de modo parcial ou total, o funcionamento deste sistema. Já é considerado um ataque o simples acesso não autorizado a dados ou informações armazenadas em um computador ou em uma rede de computadores, mesmo que nenhum dano tenha sido causado.

A lei brasileira prevê detenção de um mês até 6 anos de prisão, além de multa, de acordo com o delito.

2. Sistema seguro

Um computador, um sistema ou uma rede de computadores é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade.

• Confidencialidade: diz que os recursos estão disponíveis apenas para aqueles devidamente autorizados;

• Integridade: diz que os recursos não podem ser destruídos ou corrompidos (principalmente com relação às informações) e o sistema tem um desempenho correto.

• Disponibilidade: diz que os recursos ou serviços do sistema estão disponíveis sempre que forem requisitados.

Alguns exemplos de violações a cada um desses requisitos são:

Confidencialidade: alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua Declaração de Imposto de Renda;

	Integridade: alguém obtém acesso não autorizado ao seu computador e altera informações da sua Declaração de Imposto de Renda, momentos antes de você enviá-la à Receita Federal;

Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua Declaração de Imposto de Renda à Receita Federal.

3. Motivos dos ataques

Os motivos para a invasão a um computador ou uma rede de computadores de uma empresa são inúmeros. Alguns destes motivos podem ser:

• exibicionismo, curiosidade, diversão;

• utilizar seu computador em alguma atividade ilícita, para esconder sua real identidade e localização;

• utilizar seu computador para lançar ataques contra outros computadores;

• utilizar seu disco rígido como repositório de dados;

• vandalismo (meramente destruir informações ou paralisar a rede);

• disseminar boatos, mensagens alarmantes e falsas (hoax);

• ler e enviar e-mails em seu nome;

• propagar vírus de computador;

• furtar números de cartões de crédito e senhas bancárias;

• furtar senhas de acesso a servidores e provedores, para acessar a Internet se fazendo passar por você;

• furtar dados dos computadores, como por exemplo informações do seu Imposto de Renda, informações secretas da empresa;

• motivos políticos e ideológicos;

• guerra comercial, sabotagem;

• vingança (ex-funcionários, desafetos, etc);

• terrorismo;

• guerra virtual.

4. Quem são os invasores ?

Os indivíduos que invadem as redes sem permissão são chamados de hackers . Os invasores podem ser pessoas de dentro da empresa (insiders) ou de fora (outsiders). Normalmente são indivíduos com grande conhecimento em tecnologias de redes e programação de computadores. Existem algumas variações sobre a denominação dos invasores de redes, o termo hacker pode variar: hacker do bem e hacker do mal (cracker), há ainda o termo script kids para hackers que atacam sites e alteram as páginas Web (também chamados de defacers).

5. Cookies

Cookies são pequenas informações armazenadas em nosso browser enquanto navegamos pela Internet. Estes cookies são armazenados pelos sites visitados com a finalidade de colher informações sobre o nosso comportamento na rede. Estes cookies são utilizados pelos sites de diversas formas, tais como:

• guardar a sua identificação e senha quando você vai de uma página para outra;

• manter listas de compras ou listas de produtos preferidos em sites de comércio eletrônico;

• personalizar sites pessoais ou de notícias, quando você escolhe o que quer que seja mostrado nas páginas;

• manter a lista das páginas vistas em um site, para estatística ou para retirar as páginas que você não tem interesse dos links.

6. Engenharia Social

O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Exemplos: 

Exemplo utilizando telefone: algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor.

Nesta ligação ele diz que sua conexão com a Internet está apresentando algum problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso à Internet e, portanto, relacionando tais atividades ao seu nome.

	Exemplo utilizando e-mail: você recebe uma mensagem de e-mail, dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.

7. Vulnerabilidade

Vulnerabilidade é definida como uma falha no projeto ou implementação de um software ou sistema operacional, que quando explorada por um atacante resulta na violação da segurança de um computador.

Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede.

Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável.

8. Segurança Física da rede

A segurança física da rede trata dos aspectos de proteção e recuperação de dados em casos de contingência de naturezas diversas como: inundações, terremotos, incêndios, acessos não autorizados de pessoas aos ambientes dos equipamentos, falta de energia elétrica, etc.

Prevê também a garantia do acesso às informações pelos usuários em casos de interrupções críticas com a manutenção das bases de dados e das linhas de comunicação. Isto implica em dispositivos de armazenamento redundantes e linhas de backup.

9. Segurança Lógica

A segurança lógica da rede diz respeito às ações para prevenir o acesso não autorizado de qualquer indivíduo aos recursos da rede, utilizando as diversas capacidades fornecidas pelas ferramentas de segurança de rede baseadas em software e seguindo as características dos protocolos de comunicação.

Em outras palavras, a segurança lógica guarda as fronteiras da rede de comunicação e seus recursos, evitando o acesso não permitido de forma local ou remota às informações armazenadas na rede.

10. Segurança em profundidade

Segurança em profundidade significa criar mecanismos de segurança em diversos níveis ou instâncias diferentes, aplicando-se desde os conceitos mais simples e elementares até os mais sofisticados em diversos setores da rede. Desse modo um invasor deverá vencer diversos obstáculos seqüênciais até atingir seu objetivo final.

11. Incidente de segurança

Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.

São exemplos de incidentes de segurança:

• tentativas de ganhar acesso não autorizado a sistemas ou dados;

• ataques de negação de serviço;

• uso ou acesso não autorizado a um sistema;

• modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;

• desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.

12. Políticas de Segurança

A política de segurança é um conjunto de princípios que norteiam a utilização de todos os recursos do sistema de informação. Atribuem direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham.

Uma política de segurança também deve prever o que pode ou não ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política de segurança é considerado um incidente de segurança.

Nas políticas de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem as recomendações.

13. Política de Uso Aceitável (AUP)

A política de uso aceitável (AUP, de Acceptable Use Policy) é um documento que define como os recursos computacionais de uma organização podem ser utilizados. Também é ela quem define os direitos e responsabilidades dos usuários.

Os provedores de acesso à Internet normalmente deixam suas políticas de uso aceitável disponíveis em suas páginas. Empresas costumam dar conhecimento da política de uso aceitável no momento da contratação ou quando o funcionário começa a utilizar os recursos computacionais da empresa.

14. Continuidade dos Negócios

A proteção dos negócios das empresas não depende somente da tecnologia, mas de conceitos, hábitos e da cultura das pessoas envolvidas com a segurança da informação.

As empresas já sabem da importância da segurança nas suas redes, pois é vital para a continuidade dos negócios em casos de incidentes contra o sistema.

Um grande exemplo de caso é o episódio do dia 11 de setembro nos EUA mexeu com o mercado de segurança da informação. A visão usual indicava apenas firewall, IDS e antivírus. Hoje, ataques de hackers ou insiders são preocupações das empresas, mas questões de infra-estrutura e planos de recuperação de informações, após desastres, tornaram-se estratégicos. O foco atual é manter o bom andamento dos negócios, proteger pessoas e ativos, não dependendo das circunstâncias envolvidas.

O Gartner Group - instituto especializado no setor - conclui que, após os ataques, as questões de segurança se tornaram prioridades, o que ampliou o mercado desses softwares de US$ 1,9 bilhão, em 2001, para US$ 3,3 bilhões, em 2005, nos EUA. Atualmente outros institutos de pesquisa indicam que nos EUA os gastos com segurança já atingem 10% do orçamento com TI.

No mercado de trabalho, alguns resultados são visíveis: a profissionalização das empresas de segurança da informação, o desenvolvimento de profissionais especializados e a conscientização dos usuários são cada vez mais comuns, abrindo oportunidades para os profissionais da área.

Na Era da Informação, a segurança da própria informação, tecnologia, recursos humanos e processos são pré-requisitos para se expandir no mercado.

Um Plano de Continuidade dos Negócios deve existir em casos de eventual emergência, e será ativado para estabelecer um conjunto distinto de ações com o objetivo de garantir que as atividades críticas continuem em operação durante o período de contingência e conseguir que os negócios retornem à sua normalidade tão rapidamente quanto possível.