SEGURANA DA INFORMAO

PROF. DARIO ALMUDI NETO

UNOESTE UNIVERSIDADE DO OESTE PAULISTA PRESIDENTE PRUDENTE - 2010

Sumrio
APRESENTAO............................................................................................................................. 6 UNIDADE 1. - Conceitos e Princpios da Segurana da Informao .............................................. 8 Objetivos da aprendizagem....................................................................................................... 8 Introduo ao estudo .................................................................................................................... 8 1. A importncia da informao ................................................................................................ 8 1.2. Tipos de Informao ......................................................................................................... 10 1.2.1 Ciclo de Vida da Informao....................................................................................... 11 1.3. O que um sistema de informao ................................................................................. 12 1.4. A Importncia do Sistema de Informao na Organizao Empresarial .......................... 13 1.5. O que segurana da informao ................................................................................... 14 1.6. Princpio da Confidencialidade ......................................................................................... 16 1.7. Princpio da Disponibilidade ............................................................................................. 17 1.8. Princpio da Integridade ................................................................................................... 17 Questes para reflexo ........................................................................................................... 18 Para concluir o estudo da unidade.......................................................................................... 18 Resumo.................................................................................................................................... 19 Atividades de aprendizagem ................................................................................................... 19 UNIDADE 2. - Principais Vulnerabilidades dos Sistemas Computacionais .................................. 20 Objetivos da aprendizagem..................................................................................................... 20 Introduo ao estudo .............................................................................................................. 20 2.1. Entendendo as Vulnerabilidades...................................................................................... 21 2.2. Descobrindo o inimigo ..................................................................................................... 23 2.3. Ameaas e Ataques .......................................................................................................... 25 2.3.1. Ameaas .................................................................................................................... 26 2.3.2. Ataques ..................................................................................................................... 27 2.3.3. Ataques tipo DoS e DDoS .......................................................................................... 28 2.3.3.1. Como funciona o DDoS .......................................................................................... 28 2.3.3.2. Caractersticas do DDoS ......................................................................................... 29 2.3.3.3. Como surgiu o DDoS ............................................................................................... 29 2.3.3.4. Como o trfego de DDoS pode ser detectado pelo NIDS....................................... 29 2.3.3.5. Como evitar um ataque DoS .................................................................................. 29

2.3.3.6. Tipos de Ataques de DoS ........................................................................................ 29 2.3.3.7. Exemplos de Ataques DoS ...................................................................................... 30 2.3.4. Metodologia dos ataques.......................................................................................... 31 2.3.4.1. Footprinting Coletando informaes do alvo...................................................... 31 2.3.4.2. Varredura ............................................................................................................... 32 2.3.4.3. Enumerao ........................................................................................................... 33 2.4. Ferramentas utilizadas por hackers ................................................................................. 33 2.4.1. Trojans ....................................................................................................................... 33 2.4.2. Password Crackers .................................................................................................... 34 2.4.3. Scanners .................................................................................................................... 34 2.4.4. Sniffers....................................................................................................................... 34 2.4.5. Exploits ...................................................................................................................... 34 2.4.6 BufferOveflows........................................................................................................... 35 2.5. Vulnerabilidades das Redes ............................................................................................. 35 2.5.1. Malwares ................................................................................................................... 35 2.5.1.1. Vrus........................................................................................................................ 36 2.5.1.2. Trojans ou Cavalo de Tria ..................................................................................... 36 2.5.1.3. Worm...................................................................................................................... 37 2.5.1.4. Vrus de Macro ....................................................................................................... 37 2.5.1.5. Vrus de Boot: ......................................................................................................... 38 2.5.1.6. Spywares ................................................................................................................ 38 2.6. Cookies ............................................................................................................................. 38 2.7. Spam ................................................................................................................................. 39 2.8. Backdoor: ......................................................................................................................... 39 2.9. Adware: ............................................................................................................................ 40 Questes para reflexo ........................................................................................................... 41 Para concluir o estudo da unidade.......................................................................................... 41 Resumo.................................................................................................................................... 41 Atividades de aprendizagem ................................................................................................... 41 UNIDADE 3. - Engenharia Social .................................................................................................. 43 Objetivos da aprendizagem..................................................................................................... 43 Introduo ao estudo .............................................................................................................. 43 3. O que Engenharia Social ....................................................................................................... 43 3.1. Planejando como um Engenheiro Social .......................................................................... 45

3.2. Qual o perfil de um Engenheiro Social ............................................................................. 45 3.3. Algumas tcnicas utilizadas .............................................................................................. 46 Questes para reflexo ........................................................................................................... 48 Para concluir o estudo da unidade.......................................................................................... 48 Resumo.................................................................................................................................... 48 Atividades de aprendizagem ................................................................................................... 49 UNIDADE 4. - Polticas de Segurana .......................................................................................... 50 Objetivos da aprendizagem..................................................................................................... 50 Introduo ao estudo .............................................................................................................. 50 4.1. Definindo o que uma Poltica de Segurana de Informaes ....................................... 51 4.2. Dificuldades para criao de uma Poltica de Segurana ................................................. 52 4.3. Construindo uma Poltica de Segurana .......................................................................... 53 4.4. Contedo da Poltica de Segurana.................................................................................. 55 4.4.1. O que estamos protegendo? ..................................................................................... 55 4.4.2. Quem deve ser envolvido na formulao da poltica? .............................................. 56 4.4.3. Mtodos de proteo ................................................................................................ 57 4.4.4. Responsabilidades ..................................................................................................... 57 4.4.5. Como os funcionrios devero ou no usar a rede. ................................................. 58 4.4.6. Plano de Contingncia ............................................................................................... 59 4.4.7. Penalidades ............................................................................................................... 59 Questes para reflexo ........................................................................................................... 60 Para concluir o estudo da unidade.......................................................................................... 60 Resumo.................................................................................................................................... 61 Atividades de aprendizagem ................................................................................................... 61 UNIDADE 5. - Auditoria em Informtica e Legislao ................................................................. 63 Objetivos da aprendizagem..................................................................................................... 63 Introduo ao estudo .............................................................................................................. 63 5.1. A Auditoria nas Organizaes .......................................................................................... 64 5.2. O Setor da Auditoria dentro da organizao.................................................................... 65 5.4. O papel do Auditor ........................................................................................................... 65 5.5. Importncia da Auditoria e suas fases ............................................................................. 66 5.5.1. Pr-Auditoria ............................................................................................................. 67 5.5.2. Auditoria .................................................................................................................... 67 5.5.3. Ps-Auditoria ............................................................................................................. 68

5.6. Inter-Relao entre auditoria e segurana em informtica ............................................. 68 Questes para reflexo ........................................................................................................... 72 Para concluir o estudo da unidade.......................................................................................... 72 Resumo.................................................................................................................................... 72 Atividades de aprendizagem ................................................................................................... 72 Referncias Bibliogrficas ........................................................................................................... 73

APRESENTAO Quando pensamos no termo informao passamos a tratar do maior contedo abstrato que o ser humano gera em seu cotidiano. As propores que estamos falando so realmente gigantescas e administrar este segmento torna-se uma tarefa muito difcil. A simples troca de informao em uma conversa formal do dia-a-dia pode definir ou direcionar tomadas de decises certas ou erradas, at mesmo provocar alta ou queda da bolsa de valores de grandes pases economicamente estveis, se verdade que eles ainda existem. Podemos observar que neste momento, ao realizar uma observao sobre os pases economicamente estveis coloco uma dvida em questo: Ser que eles existem realmente?. Esta informao de alguma forma gera insegurana e dvida sobre a economia mundial, temos absoluta certeza que no o objetivo de nosso estudo o fator econmico, e apenas demonstrei como podemos facilmente manter uma linha de raciocnio, ou poderemos desviar nossa ateno e percorrermos outro caminho, seguindo uma nova informao que nos desviou a ateno do assunto primeiro. Este universo da informao que nos cerca foi impulsionado com o advento da internet e ao mesmo tempo colocado em risco. Sabemos que devido ao grande volume de informaes que trafegam na rede, este veculo de comunicao passou a ser alvo de fraudes, roubos, espionagem e no podemos esquecer a fofoca, que tem prejudicado e denegrido a imagem de muitas pessoas, fazendo-me lembrar aqui do famoso caiu na net. A pergunta : como me defender?, ou melhor, como me proteger?. Estas questes sero esclarecidas durante o nosso estudo, procurando demonstrar as tcnicas que so utilizadas para os ataques, buscando compreender as maneiras de como poderemos nos proteger. Seria muita ambio da nossa parte garantir que aps este estudo estaremos totalmente seguros quanto as nossas informaes, pois sabemos que o nico computador verdadeiramente seguro aquele que est desligado da tomada. Organizaremos nosso estudo iniciando com os princpios bsicos da segurana da informao, vamos explorar as principais vulnerabilidades dos sistemas computacionais, entendendo quais so elas e como poderemos nos proteger, faremos uma abordagem sobre a engenharia social, que uma das grandes ferramentas utilizadas para explorar as vulnerabilidades, na seqncia trataremos sobre as polticas de segurana e auditoria em informtica, fazendo o fechamento com um tpico sobre a legislao pertinente ao assunto.

Espero que atravs deste estudo possamos tornar a nossa troca de informao mais responsvel e segura, bem como administrarmos melhor a informao em nossos ambientes de trabalho. Bom estudo a todos!

UNIDADE 1. - Conceitos e Princpios da Segurana da Informao

Objetivos da aprendizagem Esta unidade tem a finalidade de: Apresentar os aspectos bsicos da segurana da informao; Conceituar termos utilizados; Falar da importncia da Informao; Apresentar Sistemas de Informao.

Introduo ao estudo Voc deve estar se perguntando sobre este grande universo da informao. Como primeiro aspecto sobre a informao podemos afirmar que: A informao pela sua preciosidade deve ser cuidadosamente trabalhada. Objetivando este percurso vamos buscar compreender um pouco mais de sua essncia e formas de como realizar este feito. Primar pela segurana da informao conhecendo os caminhos de como proteger melhor este patrimnio. Estes so alguns dos objetivos que vamos buscar nesta unidade de estudo.

Seo 1 Conceitos Bsicos da Informao Nessa seo, voc vai conhecer um pouco mais sobre o termo Informao. Como ela esta presente em nosso cotidiano e a forma como trabalhamos com ela no meio digital. Entender as diferentes maneiras como a informao encontrada e manipulada neste ambiente, compreendendo sobre o seu ciclo de vida para que possamos cuidar bem deste patrimnio de muitas empresas.

1. A importncia da informao Introduzimos nossa unidade apresentando algumas definies sobre informao coletada de alguns autores. Na NBR ISO IEC 17799, norma brasileira que trata sobre os padres que devem ser adotados para segurana da informao, tem a seguinte definio de informao:

A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais interconectado (NBR ISSO 17799, 2005). O conceito de informao no usado apenas na tecnologia de comunicaes e de controle, mas onde quer que a funo de sistemas complexos ou a interao entre vrios sistemas implique em processos formais. A palavra informao originaria do latim, do verbo informare, que significa dar forma ou aparncia, colocar em forma, criar, mas tambm representar, construir uma idia ou uma noo (ZEMAN, 1970). No cotidiano, o conceito de informao est diretamente ligado ao significado e utilizado como sinnimo de mensagem, notcia, fatos e idias, em sua forma original ou no, que so captadas e passadas adiante como um conhecimento ou saber. O simples prazer do saber conduz o homem a manter-se informado sobre aspectos polticos, sociais e econmicos, pois a informao tem um valor muito significativo e pode representar grande poder para quem a possui. Desta forma afirmamos que a informao contm valor, pois est integrada com os processos, pessoas e tecnologias (MACHADO, 2003). Vivemos em uma sociedade que se baseia em informaes e que exibe uma crescente propenso para coletar e armazenar informaes, e o uso efetivo da informao permite que uma organizao aumente a eficincia de suas operaes (KATZAM, 1977). Sabemos tambm que a informao quase sempre sofrer algum tipo de alterao pelo seu emissor, e isso pode ocorrer de forma consciente ou inconsciente. Algumas vezes, essa interferncia planejada, com a finalidade de direcionar o comportamento das pessoas que se servem da informao, e isso ocorre de acordo com interesses de uma classe dominante, seja ela qual for. Diante da viso destes autores temos a idia da relevncia da informao dentro do setor empresarial. Na sociedade da informao, a informao o principal patrimnio da empresa e est sob constante risco (DIAS, 2000). A informao representa a inteligncia competitiva dos negcios sendo reconhecido como ativo crtico para a continuidade operacional e sade da empresa (SMOLA, 2003). A informao e o conhecimento sero os diferenciais das empresas e dos profissionais que pretendem destacar-se no mercado e manter a sua competitividade (REZENDE E ABREU, 2000). O controle da informao um fator de sucesso crtico para os negcios e sempre teve fundamental importncia para as corporaes do ponto de vista estratgico e empresarial (SYNNAT, 1987; FELICIANO NETO, FURLAN E HIGO, 1988).

Sabemos que a informao tem um custo e no basta tax-la pelo seu simples contedo, mas precisam ser analisados e avaliados todas as etapas que esto envolvidas no processo que so posteriores a sua criao. Ao mencionarmos o servio de recuperao da informao, tero custo todos os processos de aquisio e de organizao do sistema que o contemplam, alm do meio pelo qual a informao ser transportada, bem como o custo das telecomunicaes. Uma informao pode ter seu nvel de importncia alterado ou rebaixado, dependendo do nvel de confidencialidade, integridade e disponibilidade que a informao tiver no momento. Por exemplo, a informao sobre um novo produto de uma empresa que ainda ser lanado comercialmente. Esta informao no momento anterior ao lanamento considerada confidencial, mas no momento em que este produto divulgado publicamente, esta informao passa a ser pblica.

1.2. Tipos de Informao A informao pode ser apresentada de diversas formas. Podendo ser escrita em papel ou impressa, transmitida pelo correio ou por sistemas eletrnicos, falada em conversas ou apresentada em filmes, transmitida por gestos e smbolos.

PARA SABER MAIS Muitas vezes utiliza-se dados e informao como sinnimos, mas ateno, so coisas diferentes. Dados representam um conjunto de fatos que no foram associados ou manipulados, e para que eles tenha algum valor significativo devem passar por um processo de avaliao. Os dados podero ser convertidos em informaes e apresentarem alguma relevncia, mas na sua forma primria muitas vezes no expressam sentido algum.

Poderamos enumerar uma infinidade de formas sob qual a informao se apresenta, seja ela falada ou escrita, atravs de smbolos ou sinais, com formato digital ou analgico. Sabemos que independente da forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. Entretanto vou apresentar aqui uma classificao no muito abrangente, mas que nos auxilie no processo de identificao da informao em suas formas.

Informao como mensagem: a forma mais comum de encontrarmos a informao, pois a informao trabalhada no cotidiano. Para este processo de propagao da informao basta ter um emissor e um receptor que a comunicao estabelecida. Desta forma entendemos que mensagem a informao materializada e quanto maior a quantidade de informao contida na mensagem recebida, maior o seu grau de preciso. Informao como padro: A informao estabelecida atravs de sinais, signos, smbolos, ou pelas suas combinaes e transformaes. Muitas vezes este padro criado um sistema fechado e s pode ser interpretado por um grupo especfico. Informao como estmulo: a informao tratada de maneira mais subjetiva afim de estimular algo e obter um retorno satizfatrio ou no. Para exemplificar esta situao e tornar mais fcil o entendimento podemos citar o perodo de reproduo dos animais onde muitos machos estimulam suas fmeas. Informao como registros: Os registros compoem um aspecto muito especfico do tipo de informao. Os registros so informaes geradas a partir de atividades que devem ser armazenadas com a finalidade posterior de manipulao destas informaes.

1.2.1 Ciclo de Vida da Informao Com a finalidade de facilitar o gerenciamento da informao existe um ciclo que determina os caminhos que a informao percorre. Consideramos quatro momentos para que o ciclo de vida da informao esteja completo: Manuseio Inicializao do ciclo, neste ponto a informao gerada. Armazenamento Momento em que a informao guardada, seja ela depositada em uma base de dados, em papel ou sob qualquer outra forma. Transporte A informao encaminhada por correio, e-mail, fax, entre outros. Esta parte consiste no envio da informao atravs de um meio existente Descarte a parte final do ciclo. O momento em que a informao descartada ou depositada de forma definitiva com a finalidade de no ser mais utilizada.

Seo 2 Sistemas de Informao Nessa seo, voc aprender que a informao deve ser trabalhada por processos que podem aproveitar o mximo de seu potencial. Manipular a informao de forma que

ela se torne algo representativo e com valor agregado muito importante para o sucesso das negociaes das empresas.

1.3. O que um sistema de informao Para OBrien (2004) SI um conjunto organizado de pessoas, hardware, software, procedimentos, redes de comunicaes e dados, que coleta, transforma e dissemina informaes em uma organizao. Para Matsuda (2007), Sistemas de Informao so processos administrativos que envolvem processos menores que interagem entre si. O sistema dividido em subsistemas que podem ser: produo/servio, venda, distribuio, materiais, financeiro, recursos humanos e outros, dependendo do tipo de empresa. O departamento de informtica da empresa cruza esses subsistemas, o que leva a uma abordagem sistemtica integrativa, envolvendo questes de planejamento estratgico da empresa.

PARA SABER MAIS Sistemas de Informao um conjunto de recursos, que coleta, processa, armazena, analisa e dissemina as informaes produzidas pelos departamentos da estrutura organizacional no apoio s decises gerenciais e operacionais.

Os sistemas de informao so partes integrantes das empresas e instituies. Na verdade, algumas empresas no existiriam sem seu sistema de informao, e muitas empresas tornaram-se realidade a partir deste fundamento. A empresa precisa organizar e estruturar seus dados, que so fatos ou descries de eventos, atividades e transaes capturadas, registradas, armazenadas e classificadas, sendo que se no estiverem organizadas no apresentam valor algum.

PARA SABER MAIS. Sistema de Informao (SI) no deve ser entendido como sinnimo de Tecnologia da Informao (TI), que o conjunto de recursos tecnolgicos facilitadores das atividades e processos organizacionais necessrios para o tratamento das informaes.

Para melhor atenderem as necessidades dos componentes de entrada, processamento e sada, os Sistemas de Informao, na sua execuo, trabalham com trs elementos de grande valor que devem ser diferenciados. Para Turban, Rainer e Potter (2003) ao estudar um SI, essencial saber a diferena entre os trs elementos utilizados pelos SI, que so: Dados so fatos, ou descries bsicas de eventos, atividades e transaes que so capturados, registrados, armazenados e classificados, porm, no so organizados. Informao conjunto de fatos, ou seja, dados organizados com significado para o usurio final. Conhecimento conjunto de informaes organizadas e processadas prontas para transmitir discernimento, experincias e habilidades que podem ser aplicadas a um problema ou deciso gerencial.

LINK Neste site voc pode conferir a explicao do sistema de informao do Governo Federal para Gesto de Projetos. http://sigproj.mec.gov.br

1.4. A Importncia do Sistema de Informao na Organizao Empresarial Os Sistemas de Informao tem sua importncia dentro da organizao quando as informaes so trabalhadas de forma correta, proporcionando resultados positivos e eficazes em todo o ambiente organizacional, e aumentando a capacidade de realizao de negcios atravs dos recursos disponveis, sendo os mesmos utilizados com eficincia.

PARA SABER MAIS Um sistema informtico sem procedimentos e sem interao com o Homem NO um Sistema de Informao.

Os Sistemas de Informao quando sintonizados e integrados com as necessidades das escolhas nos processos decisrios, torna-se um elemento fundamental para atender

cada um dos envolvidos no processo, podendo interagir e apoiar, auxiliando a tomada de deciso. Para OBrien (2004) os papis vitais dos SI na estrutura organizacional proporcionam a essncia do planejamento, a vantagem competitiva e o controle na tomada de decises, nos nveis estratgico, ttico e operacional, se o contedo for adequado e confivel. Portanto, quando os SI desenvolvem os principais papis realizam conquistas de vantagens estratgicas, gerenciais e operacionais, mas isso requer inovao, dinamismo e investimentos, para conquistar vantagem competitiva no mercado e principalmente apoio do ambiente empresarial. As informaes devem conter caractersticas de quantidade, qualidade e oportunidade, adquiridas somente pelos Sistemas de Informao, que tero maior confiabilidade e valor, dependendo de sua qualidade de integrao, para que atenda as necessidades, conforme os requisitos do ambiente organizacional.

Seo 3 Segurana da Informao Vamos entender nesta seo porque importante proteger a informao. Os riscos que somos expostos quando trabalhamos com a manipulao de dados so muito significativos. Aprenderemos sobre os princpios que garantem a veracidade da informao para que ela possa ser um elemento de valor em nosso trabalho.

1.5. O que segurana da informao A civilizao humana sempre buscou a proteo das informaes dos conhecimentos adquiridos. Na antiga civilizao egpcia, somente as castas superiores da sociedade tinham acesso aos manuscritos da poca, principalmente ao que eles escreviam. A escrita por meio de hierglifos do Egito antigo representa uma das vrias formas utilizadas pelos antigos para protegerem a informao e perpetuarem o seu conhecimento. (GONALVEZ, 2003). As redes de computadores, e conseqentemente a Internet mudaram as formas como se usam sistemas de informao. As possibilidades e oportunidades de utilizao so muito mais amplas que em sistemas fechados, assim como os riscos privacidade e integridade da informao. Portanto, muito importante que mecanismos de segurana de sistemas de informao sejam projetados de maneira a prevenir acessos no autorizados aos recursos e dados destes sistemas (LAUREANO, 2004).

A segurana da informao a proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao noautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento (NBR 17799, 2003; DIAS, 2000; WADLOW, 2000; KRAUSE e TIPTON, 1999). Segurana a base para dar s empresas a possibilidade e a liberdade necessria para a criao de novas oportunidades de negcio. evidente que os negcios esto cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade que conforme (NBR 17999, 2003; KRAUSE e TIPTON, 1999; ALBUQUER QUE e RIBEIRO, 2002), so os princpios bsicos para garantir a segurana da informao das informaes: Confidencialidade, Disponibilidade e Integridade.

PARA SABER MAIS Segurana da informao: proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaa a seu desenvolvimento.

Os critrios de classificao definem qual o tratamento de segurana que uma informao receber, ou seja, quanto ser preciso investir em segurana para garantir a confidencialidade, integridade e disponibilidade da informao, objetivando sempre priorizar recursos.

LINK Um site muito interessante sobre segurana que vale a pena ser conferido. http://www.linhadefensiva.org/

1.6. Princpio da Confidencialidade Este princpio busca garantir que a informao poder ser acessada somente por pessoas devidamente autorizadas. a proteo para impedir que pessoas no autorizadas tenham acesso ao sistema de informao. Por meio deste princpio desejase garantir a identificao e autenticao dos envolvidos. Recursos como Assinatura Digital e Certificao Digital podem ser usados como meios de garantir a identificao do usurio. Podemos definir trs nveis de classificao quanto a confidencialidade: Confidencial - toda informao considerada de alto risco para a empresa, pois sua revelao no autorizada pode trazer graves prejuzos. Geralmente estas informaes so acessadas pela alta administrao da empresa (presidncia, diretoria, superintendncia); Restrita toda informao considerada de mdio e baixo risco para a empresa, pois sua revelao no autorizada pode trazer prejuzos a uma determinada rea da empresa. Geralmente estas informaes so acessadas pelas reas envolvidas na gerao e uso destas informaes, pelos gestores da rea e pela alta administrao; Pblica toda informao considerada de nenhum risco para a empresa e sua revelao no autorizada no traz nenhum prejuzo. Estas informaes so acessadas por todos os funcionrios e pessoas externas empresa. Segundo a Norma NBR 17799, para identificar os requisitos para os acordos de confidencialidade ou de no divulgao, convm que sejam considerados os seguintes elementos: a) uma definio da informao a ser protegida (por exemplo, informao confidencial); b) tempo de durao esperado de um acordo, incluindo situaes onde a confidencialidade tenha que ser mantida indefinidamente; c) aes requeridas quando um acordo est encerrado; d) responsabilidades e aes dos signatrios para evitar a divulgao no autorizada da informao; e) proprietrio da informao, segredos comerciais e de propriedade intelectual, e como isto se relaciona com a proteo da informao confidencial; f) uso permitido da informao confidencial e os direitos do signatrio para usar a informao; g) direito de auditar e monitorar as atividades que envolvem as informaes confidenciais; h) processo para notificao e relato de divulgao no autorizada ou violao das informaes confidenciais;

i) termos para a informao ser retornada ou destruda quando da suspenso do acordo; e j) aes esperadas a serem tomadas no caso de uma violao deste acordo. Com base nos requisitos de segurana da informao da organizao, outros elementos podem ser necessrios em um acordo de confidencialidade ou de no divulgao.

1.7. Princpio da Disponibilidade A informao ou sistema de computador deve estar disponvel no momento em que a mesma for necessria. Este princpio procura garantir que pessoas autorizadas obtenham acesso informao e aos recursos correspondentes, sempre que necessrio. A disponibilidade se refere ao sistema estar sempre pronto a responder requisies de usurios legtimos. Podem-se definir dois nveis de classificao quanto disponibilidade: Vital - toda informao de alto risco para a empresa. Esta informao precisa estar sempre disponvel; No Vital - toda informao que em caso de indisponibilidade no representa nenhum risco para a empresa.

1.8. Princpio da Integridade A integridade procura proteger a informao para que ela no seja modificada sem a autorizao do proprietrio da informao. Estas mudanas incluem troca na escrita, modificao do contedo, troca do status, excluso e criao de informaes. Integridade significa garantir que se o dado esta l ento ele no foi corrompido, encontra-se ntegro. Isto significa que aos dados originais nada foi acrescentado, retirado ou modificado. Dentro do princpio da integridade podemos classificar a informao levando em considerao a gravidade do impacto ou dos prejuzos que a modificao no autorizada da informao trar. Podem-se definir dois nveis de classificao quanto integridade: Crtica toda informao de alto risco para a empresa. Esta informao no pode ser alterada sem prvia autorizao;

 No Crtica toda informao que, se alterada sem prvia autorizao, no representa nenhum risco para a empresa.

LINK Recomendo a vocs assistirem o filme A Rede (The Net): Angela Bennett (Sandra Bullock) uma especialista em corrigir sistemas de informtica, que se v repentinamente envolvida em uma trama pelo fato de ter recebido um disquete que revela graves segredos. Para destru-la um esquema criado, com a finalidade de mudar seu nome e passado. Logo ela conhecida na polcia como prostituta, viciada e ladra, sendo que provar quem de verdade fica cada vez mais difcil. Este filme apresenta uma boa idia sobre a questo de segurana, vale a pena conferir. A REDE. Ttulo Original: The Net. Direo de Irwin Winkler. EUA: Columbia Home Video, 1995. 1 DVD

Questes para reflexo O que a Norma ISO 17799? Qual o seu objetivo? Voc realmente consegue selecionar bem as informaes do seu dia-a-dia? Procure lembrar se sua empresa ou mesmo em sua casa j aconteceram incidentes devido falta de comunicao ou uma comunicao mal feita.

Para concluir o estudo da unidade Agora j temos uma boa bagagem para aprofundarmos mais nossos estudos. Aprendemos sobre o universo da informao e percebemos como ela nos cerca de todos os lados. Ns no vivemos sem nos comunicarmos, por isso a informao faz parte do nosso cotidiano. Somos inseridos muitas vezes como emissores e receptores simultneos e precisamos estar sempre atentos para filtrarmos essas informaes e selecionarmos o que bom e ruim. Somos agentes do universo da informao e ela deve sempre estar disposio quando necessitarmos (Princpio da Disponibilidade). Vamos avanar agora para enriquecer mais ainda nosso saber com novas informaes.

Resumo Nesta unidade apresentamos definies sobre informao fundamentadas em autores conceituados. Abordamos sobre o ciclo de vida da informao e aspectos gerais de Sistema de Informao. Foi apresentado tambm a importncia da Segurana da Informao e os seus princpios que devem ser assegurados. O objetivo desta unidade foi introduzir vocs no universo da informao, de uma forma simples e direta.

Atividades de aprendizagem O que Informao? Cite algumas formas que podemos encontrar a informao. Quais so os quatro momentos do ciclo de vida da informao? O que um Sistema de Informao? Conceitue Segurana da Informao. Quais so os trs pilares da Segurana da Informao? Conceitue cada um deles.

UNIDADE 2. - Principais Vulnerabilidades dos Sistemas Computacionais

Objetivos da aprendizagem Esta unidade tem a finalidade de: Compreender o que so vulnerabilidades; Mostrar as principais vulnerabilidades dos sistemas computacionais; Verificar os inimigos que se oportunizam das falhas; Entender o que so ameaas e ataques; Explicar os mtodos de ataques utilizados.

Introduo ao estudo Tudo certo at aqui pessoal? Vamos entrar agora em um tema muito interessante que trata sobre as vulnerabilidades, ou seja, os pontos fracos que existem nos sistemas computacionais. Faremos uma explicao detalhada destes aspectos, pois eles so importantes para que possamos compreender as formas que temos para nos defender de intrusos. Um princpio bsico nos diz que quando grandes volumes de dados so acumulados sob formato eletrnico, ficam suscetveis a muito mais tipos de ameaas do que quando esto em formato manual. Os avanos nas telecomunicaes e nos sistemas de informao aumentaram essas vulnerabilidades, e devido a esses avanos o volume de movimentao das informaes tornou-se muito maior. Abuso ou fraude no fica limitado a um nico lugar, pois os Sistemas de informao em diferentes localidades podem ser interconectados por meio de redes de telecomunicaes. Logo, o acesso no autorizado pode ocorrer em qualquer ponto da rede. Muitas oportunidades para invaso e manipulao so criadas devido a estruturas complexas de hardware, software, pessoais e organizacionais que so implementadas em redes de telecomunicao. Redes sem fio utilizando tecnologias baseadas em rdio so mais vulnerveis invaso, devido facilidade de fazer a busca das faixas de radiofreqncia. A Internet tambm apresenta muitos problemas porque foi projetada para acesso fcil por pessoas com sistemas de informaes diferentes. Percebemos quantas oportunidades de entradas temos, tornando assim muito frgil os aspectos de segurana. Vamos ver como podemos garantir um ambiente um pouco mais seguro.

Seo 1 Vulnerabilidades As vulnerabilidades so os grandes problemas que vamos encontrar relacionados a segurana da informao. Nesta seo vamos entender como elas ocorrem e quais suas principais conseqncias. Vamos entender tambm quem so as pessoas que esto explorando estas vulnerabilidades e quais seus objetivos.

2.1. Entendendo as Vulnerabilidades No ambiente da segurana podemos considerar vulnerabilidades como falhas ou fraquezas que, se exploradas, permitem a perda ou o vazamento de alguma informao. As vulnerabilidades podem ser encontradas no modo de agir das pessoas, nos equipamentos, ou nos sistemas ou softwares. muito importante identificarmos as vulnerabilidades que podem favorecer a ocorrncia de incidentes de segurana, pois elas auxiliam na identificao de medidas preventivas. Vulnerabilidades so o que no faltam na grande quantidade de servios disponveis na Internet, principalmente quando pensamos no nmero de usurios que esto conectados a rede, o qual praticamente impossvel de se mensurar, e tambm pelo fato desta rede ser a maior compradora e vendedora do mundo. Analisando a dimenso que a internet alcana, verificamos realmente seu potencial como maior estrutura de comunicao e prestadora de servios do mundo. Os riscos no podem ser determinados sem o conhecimento de at que ponto onde um sistema vulnervel, ao das ameaas. Em um processo de anlise de segurana, devem-se identificar os processos crticos vulnerveis e saber se os riscos a ele associados so aceitveis ou no. O nvel de vulnerabilidade decai medida que so implementados controles e medidas de proteo adequadas, diminuindo tambm os riscos para o negcio. Pode-se dizer que os riscos esto ligados ao nvel de vulnerabilidade que o ambiente possui, pois para se determinar os riscos, as vulnerabilidades precisam ser identificadas (MOREIRA, 2001). Outro aspecto interessante a semelhana das vulnerabilidades do mundo virtual com vulnerabilidades do mundo real, podemos citar como exemplo: Pornografia, jogos de azar e assdio sexual. Estas fraquezas aliciam as pessoas e trabalham de forma sutil na conduta do ser humano. No ambiente virtual temos ameaas especficas como os vrus, worms, trojans e o hacker de computador.

PARA SABER MAIS As principais vulnerabilidades encontradas costumam ser relativas a erros, acidentes ou desconhecimento dos usurios que, impensadamente alteram configuraes de equipamentos, divulgam contas e senhas de acesso, deixam sesses abertas na sua ausncia, utilizam senhas frgeis facilmente descobertas ou mesmo contaminam seus arquivos e programas com vrus de computadores.

No podemos esquecer que o hacker de computador a ameaa mais comentada na rede. A prpria curiosidade torna este indivduo um ser misterioso, e acima de tudo, deve ser levado em considerao os problemas que um hacker mal intencionado (cracker) pode causar. Podemos apontar algumas conseqncias: a) b) c) d) e) f) g) Voc poder sofrer modificaes na sua senha e sua conta poder ser furtada; Poder ter seus dados e informaes secretas divulgados; Podero ser instaladas escutas telefnicas grampeando sua linha; A rede de comunicao poder ser bombardeada e perder a funcionalidade; Sua imagem pode ser afetada com fraudes; Podero ocorrer roubos nas suas finanas; Operaes diversas podero ser realizadas em seu nome.

Muitas vulnerabilidades surgem a partir de aspectos tcnicos que muitas vezes podem ser de grande complexidade. O trabalho do hacker investigar detalhadamente estes fatores para descobrir como quebrar sua segurana. de grande interesse de nossa parte proteger a rede de nossa empresa e por isso temos que conhecer muito bem os aspectos tcnicos, compreendendo as vulnerabilidades mesmo que ainda complexas e de difcil entendimento. O principal meio de divulgao de vulnerabilidades a prpria internet. Estes so os principais elementos que podero estar divulgando as informaes: a) Hackers; b) Crackers; c) Fabricantes de software ou hardware. Uma forma de estar sempre informado sobre as vulnerabilidades assinando listas de discusso, principalmente aquelas que possuem atualizaes dirias Duas listas de discusso muito significativas so:: a) BUGTRAQ (pertence SecurityFocus).

b) BOS-BR (Brasileira, pertence Securenet) Alguns Sites sobre segurana: a) b) c) d) http://www.securityfocus.com http://ciac.llnl.gov http://www.securenet.com.br http://packetstorm.securify.com

Consultem o portal Lockabit da COPPE/UFRJ. apresentada uma grande lista de discusso sobre vulnerabilidades

LINK Lockabit da COPPE/UFRJ: http://www.lockabit.coppe.ufrj.br/

importante verificar tambm continuamente os sites dos fabricantes dos softwares que sua empresa utiliza, normalmente eles possuem uma seo dedicada a segurana.

PARA SABER MAIS Um problema grave a quantidade de informaes existente na Internet abordando falhas de segurana e tcnicas de invaso. Muitos manuais e ferramentas esto disponveis, distribudas por grupos de hackers e at por organizaes dedicadas a segurana.

2.2. Descobrindo o inimigo Problemas de segurana tm sua origem em pessoas maliciosas que procuram tirar vantagem, principalmente financeira, entretanto existem aqueles que tambm querem apenas vingana ou poder. Devemos pensar entre as situaes possveis qual ser o nosso grande adversrio. claro que depende muito da situao na qual estamos inseridos ou contra quem temos inimizades. Vamos verificar a tabela a seguir para sabermos um pouco mais sobre os adversrios:

Adversrios Estudante

Objetivos Muitas vezes inofensivo, realiza suas tarefas apenas por diverso ou simples curiosidade. Na maioria das vezes apenas vasculha emails e quebra algumas senhas. Hacker e Cracker O papel do hacker testar a segurana dos sistemas, enquanto o cracker tem a finalidade de roubar e causar algum tipo de prejuzo. Homens de Sua principal ao descobrir a estratgia de seu negcios concorrente para poder super-lo. Ex-empregado Este pode ser um elemento muito perigoso, pois geralmente age por vingana Espio O servio de espionagem ganhou novo impulso com a tecnologia sendo inovada a cada dia, roubar informaes tornou-se uma tarefa mais simples devido aos avanos tecnolgicos. Terrorista Dependendo da inteno deste elemento poderemos ter um simples roubo de informaes ou mesmo grandes tragdias com vtimas. Defendem aspectos sociais e polticos

Todos os dias surgem notcias sobre piratas digitais na televiso e na Internet. Um pirata invadiu o computador de um sistema de comrcio eletrnico, roubou os nmeros de carto, comprou Viagra e mandou entregar na casa do Bill Gates. Outro conseguiu derrubar sites famosos como YAHOO, CNN, AMAZON e ZDNET. Mais recentemente um grupo estrangeiro conseguiu tirar mais de 650 sites do ar em um minuto (ASSUNO, 2002). No devemos subestimar o poder do inimigo, sendo que uma pessoa quando esta motivada a uma ao utilizar de meios ilcitos para alcanar seu objetivo. O poder de persuaso poder ser a principal arma utilizada na inteno de realizar a tarefa.

Seo 2 Conhecendo as ferramentas de ataque Vamos agora aprender sobre as ameaas reais a segurana da informao. Entender como se planeja um ataque e quais os recursos que podero ser utilizados para realizar esta ao.

2.3. Ameaas e Ataques Ameaas so condies ou agentes que causam problemas que comprometem as informaes e seus ativos atravs da explorao de vulnerabilidades, ocasionando perdas de confidencialidade, integridade e disponibilidade e, conseqentemente, causando grandes impactos aos negcios de uma organizao. As razes dos problemas de segurana: a) b) c) d) Fragilidade nas configuraes dos servios; Falhas de programao no desenvolvimento de sistemas; Demora dos fabricantes nas solues das vulnerabilidades; Poucos treinamentos na rea de segurana;

As vulnerabilidades ocorrem devido a alguns aspectos de fragilidade na configurao dos servios: Configurao default do sistema deixa muito a desejar em segurana; Instalao de um sistema com as configuraes padro apenas; Instalao e/ou habilitao de servios de forma indiscriminada.

Outro aspecto a ser considerado so as falhas de fabricao de software, vulnerabilidades que sempre existiro. A culpa colocada nos fabricantes, por que seus sistemas possuem vulnerabilidade e falhas, quando no deveriam ter. Acontece que bugs so to naturais em softwares quanto doenas so em ns, seres humanos. A importncia da atualizao do software para ajudar a corrigir os erros e falhas nos sistemas. Outro fator a demora dos fabricantes nas solues das vulnerabilidades. Os programas desenvolvidos devem ter uma rea especfica para suporte e atualizao, o que denominamos controle de qualidade do produto. Devemos sempre verificar se este setor existe na empresa desenvolvedora do produto que desejamos adquirir, pois esta a garantia de segurana do software contra vulnerabilidades que possam vir a ocorrer. Sabemos tambm que os treinamentos em segurana ainda no so o foco de muitas empresas, pois demandam investimentos e tempo em algo que no esta em primeiro lugar na escala de lucro dentro do planejamento. De nada adianta temos os melhores profissionais na administrao, os melhores produtos, se colocamos em risco toda a estrutura empresarial devido a falta de proteo das informaes. Investimento em segurana e oportunizar tempo para treinamento neste setor devem ser uma prioridade dentro das empresas.

2.3.1. Ameaas A ameaa pode ser definida como qualquer ao, acontecimento ou entidade que possa agir sobre um ativo, processo ou pessoa, atravs de uma vulnerabilidade e conseqentemente gerando um determinado impacto. As ameaas apenas existem se houverem vulnerabilidades, sozinhas pouco fazem (SMOLA, 2003). Utilizamos o termo threat para definir ameaa. E temos vrios tipos de threat (SHIREY, 2000): Ameaa Inteligente: Circunstncia onde um adversrio tem a potencialidade tcnica e operacional para detectar e explorar uma vulnerabilidade de um sistema; Ameaa Potencial da Violao de Segurana: Existe quando houver uma circunstncia, potencialidade, ao ou evento que poderia romper a segurana e causar o dano; Ameaa de Anlise: Uma anlise da probabilidade das ocorrncias e das conseqncias de aes prejudiciais a um sistema;

Srias conseqncias poder ocorrer devido a incidncias de ameaas, elas incluem principalmente: divulgao, usurpao, decepo e rompimento; Conforme descrito em (SMOLA, 2003), podemos classificar as ameaas quanto a sua intencionalidade e dividi-las em grupos: Naturais Ameaas decorrentes de fenmenos da natureza, como incndios naturais, enchentes, terremotos, tempestades, poluio, etc. Involuntrias Ameaas inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc. Voluntrias Ameaas propositais causadas por agentes humanos como hackers, invasores, espies, ladres, criadores e disseminadores de vrus de computador, incendirios.

Existe um grande nmero de ameaas, citamos algumas delas eu so mais comuns. Elas podem se originar de fatores tcnicos, organizacionais e ambientais, agravados por ms decises administrativas (LAUDON e LAUDON, 2004). Falha de hardware ou software; Falta de atualizao dos produtos; Aes pessoais; Invaso pelo terminal de acesso; Roubo de dados, servios, equipamentos; Incndio;

Problemas eltricos; Erros de usurios; Mudanas no programa; Problemas de telecomunicao.

2.3.2. Ataques Quando atacamos, estamos atentando contra alguma coisa ou algum. No ambiente virtual realizar um ataque o ato de tentar manipular a segurana da informao de forma a quebrar seus princpios. Em ingls, utilizado o termo attack para definir ataque. E existem vrios tipos de ataques. Ataque pode ser definido como um assalto ao sistema de segurana que deriva de uma ameaa inteligente, isto , um ato inteligente que seja uma tentativa deliberada (especial no sentido de um mtodo ou tcnica) para invadir servios de segurana e violar as polticas do sistema (SHIREY, 2000).

PARA SABER MAIS O ataque um evento que pode arriscar a segurana de um sistema ou uma rede. Um ataque pode ser bem sucedido ou no. Um ataque bem sucedido caracteriza uma invaso. Um ataque tambm pode caracterizar uma ao que tenha um efeito negativo, Ex: DoS.

Quando um ataque realizado no temos a plena garantia que ele ter xito, pois dependendo da vulnerabilidade do sistema que saberemos qual nvel de sucesso ser alcanado. Com a finalidade de conhecermos os recursos de segurana precisamos enumerar as formas que podem ser utilizadas para atacar um sistema: Interceptao: acesso ao sistema por pessoas ou meios no autorizados. Interrupo: interrompe o fluxo de mensagens na rede Modificao: o ato de modificar a mensagem violando sua integridade. Personificao: violao da autenticidade da mensagem. Quando no possvel garantir quem enviou a mensagem.

SAIBA MAIS Um ataque pode ser ativo, tendo por resultado a alterao dos dados, passivo, tendo por resultado a liberao dos dados, ou destrutivo visando negao do acesso aos dados ou servios (WADLOW, 2000).

2.3.3. Ataques tipo DoS e DDoS A internet comunica-se atravs da transmisso dos pacotes de dados. Quando a mquina recebe uma quantidade superior de pacotes com a qual ela tem a possibilidade de trabalhar, a mquina automaticamente ir se recusar a receber novos pacotes, sendo que ela possui uma grande quantidade de dados para manipular e, portanto, ficar indisponvel. Chamamos este tipo de evento de DoS (Denial of Service, ou negao de servio). Portanto, quando uma mquina bombardeada no pode mais servir os usurios legtimos, aps o 'flood' de dados recebidos, ocorre negao de servio. O DoS tambm tem sido usado para avaliar a capacidade de sua rede. Profissionais de segurana utilizam este recurso como ferramenta para medir o desempenho. Entretanto, crackers utilizam este recurso inundando suas redes do mundo todo e tm trazido muitos problemas a muitos servios da internet. O poder de ataque desses recursos aumenta quando eles so originrios de vrias mquinas para um alvo, ou seja, o envio de pacotes de dados parte de diversos pontos. Chamamos este ataque de Distributed DoS (DDoS).

2.3.3.1. Como funciona o DDoS A estrutura deste ataque realizada atravs de diferentes hosts que disparam seus programas atacando seu alvo. Estes computadores so denominados de Zumbis, que so acionados a partir de um comando de um computador central, ento esses Zumbis comeam a remeter o mximo de pacotes ao alvo destino. Este ataque pode ser entendido em trs etapas, sendo que na primeira est o cracker que aciona o dispositivo, na etapa seguinte mquinas intermedirias e na ltima etapa as mquinas s quais iro enviar diretamente os pacotes ao destino. O Flood na mquina da vtima pode ser causado usando o comando ping do UNIX. Mas este sistema precisa ser acionado para que ele inicie o ataque. Este disparo pode ser realizado usando um telnet ou um SSH para se conectar a cada host e acion-lo. Atualmente existem ferramentas que automatizam este processo e disparam os hosts simultaneamente.

2.3.3.2. Caractersticas do DDoS Para que o ataque tenha maior sucesso necessrio que as pistas deixadas pelo invasor sejam apagadas. Desta forma foram desenvolvidas ferramentas para os rastros do ataque desapaream. Com a finalidade de despistar, esses programas falsificam o endereo da origem do pacote, aproveitando-se de uma deficincia no protocolo da internet.

2.3.3.3. Como surgiu o DDoS Acredita-se que o uso de DoS surgiu em salas de bate-papo do IRC (Internet Relay Chat). Pessoas que queriam dominar o canal e usavam esse ataque para sobrecarregar a mquina dos outros usurios.

2.3.3.4. Como o trfego de DDoS pode ser detectado pelo NIDS Existem dois tipos de trfego originados por DDoS: o trfego de controle (entre cliente e servidor) e o trfego flood (entre servidor DDoS e a vtima). Para habilitar uma deteco eficiente deve-se procurar por sinais gerais (assinaturas), ou pelo volume de trfego, que causam suspeita por serem intensos.

2.3.3.5. Como evitar um ataque DoS No existe uma soluo eficiente para bloquear um ataque DoS/DDoS. A tentativa minimizar seu impacto, para que isso seja possvel temos que primeiramente identificar um ataque de DoS de forma correta e depois criar alternativas para desviar o fluxo de pacotes, que pode ser feito atravs de um firewall ou algum tipo de alterao de endereamento IP ou DNS.

2.3.3.6. Tipos de Ataques de DoS O primeiro ataque que veremos um ataque que consome a Largura de Banda que a quantidade em bits/s que a rede suporta. So apresentadas duas formas para executar este ataque: 1. Quem ataca tem uma largura de banda maior que a da vtima.

2. Um conjunto de computadores utilizado para realizar o ataque vtima ampliando seu poder para consumir a largura da banda. Outra forma de ataque tentar esgotar os recursos do sistema para travar os processos que esto em execuo no computador. A tentativa aqui lotar os discos, consumir memria, estourar pilhas para afetar o sistema operacional. Encontramos tambm ataques a Servidores de Nomes de Domnios (DNS) e a Roteadores. Neste ataque um servidor de nomes (servidor DNS) comprometido de tal forma que as requisies de acesso a um site feitas pelos usurios deste servidor sero redirecionadas a outro endereo, sob controle dos atacantes. Desta forma, o atacante pode conduzir todo trfego para a mquina dele, ou para uma rede que no existe, o que denominamos de buraco negro.

2.3.3.7. Exemplos de Ataques DoS SMURF Este ataque um dos mais temidos. Ataques 'smurf' exploram erros de configurao em roteadores que permitem a passagem de pacotes ICMP ou UDP. Um ataque 'smurf' utilizando um dado nmero de redes 'amplificadoras' consegue consumir grandes quantidades de banda tanto destas redes quanto da rede da vtima impossibilitando o trfego de pacotes nestas redes. Quando os pacotes chegam na rede auxiliar eles so multiplicados e a vtima ser inundada com quantos pacotes forem ecoados na rede.

SYN FLOOD Este ataque determinado pelo envio de uma grande quantidade de pacotes de abertura de conexo, atravs de um endereo de origem falsificado (IP Spoofing), atacando um determinado servidor. Quando o servidor recebe os pacotes eles so colocados em uma entrada na fila de conexes em andamento, depois envia um pacote de resposta e aguarda uma confirmao da mquina cliente. Sendo o endereo de origem dos pacotes falso, a confirmao de resposta nunca chega ao servidor. Desta forma a fila de conexes no servidor fica lotada e todos os pedidos de abertura de conexo so jogados fora e conseqentemente o servio paralisado. A paralisao persiste at o tempo para o servidor identificar a demora e remover a conexo em andamento da lista.

2.3.4. Metodologia dos ataques

2.3.4.1. Footprinting Coletando informaes do alvo. Esta tcnica utilizada pelos invasores com a finalidade de obter informaes do alvo. O footprinting um dos trs instrumentos que se utiliza com a finalidade de um prataque. A varredura e a enumerao so os outros dois que atuam em conjunto. Com o footprinting o invasor poder abstrair desde alguns dados pessoais da vtima at o perfil de redes. Existem vrias ferramentas utilizadas no levantamento de informaes, o prprio google um exemplo. Uma ferramenta bem fcil o Nslookup, ou seja, a ferramenta utilizada para consulta de nomes de domnio nos servidores. Existem tcnicas diferentes de footprinting, com o objetivo de descobrir informaes utilizando-se dos recursos ao qual o atacante pode ter acesso. Listamos a seguir algumas das informaes que podero ser obtidas atravs dos seguintes recursos: 1. Utilizando a internet o atacante poder identificar: Nome de domnio, Blocos de rede, Endereos IP, Servios TCP e UDP executados em cada sistema identificado, Arquitetura do sistema, Mecanismos de controle de acesso, Firewalls, Sistemas de deteco de intruso (IDS), Enumerao de sistemas (nome de usurios e de grupos, Tabelas de roteamento, informaes de SNMP); 2. Utilizando uma intranet o atacante poder identificar: Protocolos de rede em uso, Nomes de domnio interno, Blocos de rede, Endereos IP, Servios TCP e UDP executados em cada sistema identificado, Arquitetura do sistema, Sistemas de deteco de intruso (IDS), Enumerao de sistemas (nome de usurios e de grupos, tabelas de roteamento, informaes de SNMP); 3. Utilizando acesso remoto: Nmeros de telefone analgicos e digitais, Tipo de sistema remoto, Mecanismos de autenticao. O roteiro do footprinting: Inicialmente deve ser determinada qual a amplitude do objetivo, para saber quais informaes sero necessrias e como procurar por tais informaes. Se desejarmos saber onde procurar, primeiro temos que responder se o objetivo est restrito a uma empresa, uma empresa com suas filiais ou somente a matriz, onde esta localizada e outras informaes que possam determinar fsica e geograficamente a empresa.

 A busca de informaes de domnio pblico o prximo passo para o levantamento das informaes. Podem ser realizadas buscas procurando muitas informaes em locais como: sites da organizao; levantamento de informaes na Internet, buscas na USENET, listas de nmeros de telefones, listas de endereos, servidores relacionados organizao procurando nomes e lista de emails dos funcionrios entre outras informaes. Outras fontes pesquisadas so as informaes relativas as redes que podem ser obtidas atravs de consultas na Faperj, no Internic, servidores de Whois. No registro BR pode ser obtido quem registrou o domnio, contato administrativo, quando o registro foi criado, os servidores de domnio e outros domnios relacionados. Por ltimo poder ser determinada a topologia da rede usando ferramentas como o traceroute, e tambm a identificao dos firewalls. Outras ferramentas como o VisualRoute, cheops, scotty podero ser utilizadas tambm.

2.3.4.2. Varredura Varredura (ou scanning) o recurso utilizado para descobrir todas as aberturas que o ambiente oferece. O objetivo descobrir todos os sistemas disponveis e ativos a partir da internet utilizando-se de ferramentas e tcnicas, como, por exemplo, varreduras de ping, varreduras de porta e ferramentas de descoberta automatizadas. importante lembrar que um sistema (um endereo IP) descoberto utilizando o footprinting anterior no significa que esta mquina est ligada, ou mesmo se ela existe, por isso a varredura necessria, ela que vai determinar os seus alvos. Vamos citar alguns mtodos de varredura: Varredura de Portas Clssicas: TCP connect, TCP syn (conexo semi-aberta), varredura baseadas na RFC 793 (no Microsoftware), TCP rvore de natal, TCP null (varreduras nulas), Microsoftware e RFC 793, UDP, ACK, TCP window, TCP f in/ack ( fim de conexo). Varreduras de ping de rede: fping, gping, hping, nmap sP, Pinger, Ping Sweep etc. Varreduras para sistemas UNIX/Windows: nmap, strobe, udp_scan, Netcat Varreduras para sistemas Windows: PortPro, PortScan, Stealth Consultas ICMP: icmpquery, icmpush Deteco de Sistema Operacional: nmap O, queso Pacotes completos: scotty, cheops e ferramentas de gerncia.

2.3.4.3. Enumerao O processo de enumerao semelhante ao que se utiliza para escrever um texto. Antes de iniciar a escrita voc deve listar o contedo de seu documento. Utilizando este princpio voc dever preparar a lista de informaes enumeradas. A investigao poder iniciar atravs dos recursos de compartilhamento de rede, pesquisa de usurios e grupos, determinar os aplicativos e suas verses. Alguns comandos e programas conhecidos podem facilitar o seu trabalho. No Windows NT voc poder utilizar: o net view. Ex: net view /domain ou net view /domain: lab123. Usar o NTRK (Windows NT Resource Kit). Outra alternative o Legion, NAT. Ferramentas para SNMP especficas do NTRK (Ex. snmputil) e tambm a enumerao de banners, usando telnet para portas especficas Segue tambm a lista de comandos par o Unix: showmount e. rpcinfo p. finger l @vitima.com.br. rusers, rwho, etc. Poder utilizar o Netcat e o SamSpade.

2.4. Ferramentas utilizadas por hackers Vamos listar alguns grupos de ferramentas que so utilizadas para verificao de segurana: Malwares; Dispositivos Destrutivos; Ferramentas de DoS/DDoS; Emails bomba; List Linking;

2.4.1. Trojans So cdigos no autorizados dentro de um programa legtimo. O programa (trojan) muitas vezes tem o seu nome alterado para o nome de um programa executvel conhecido ou at mesmo de um arquivo. Muitas vezes os trojans no so destrutivos, eles de alguma forma apenas coletam informaes do sistema/usurio e transferem para o atacante;

2.4.2. Password Crackers So ferramentas utilizadas para quebra de senhas. o processo de recuperao de senhas a partir de dados que tenham sido armazenados ou transmitidos por um sistema de computador. Uma abordagem comum tentar repetidamente adivinhar a senha. O objetivo da quebra de senha poderia ser a de ajudar o usurio a recuperar uma senha esquecida, tentar ganhar acesso no autorizado a um sistema, ou como medida preventiva utilizado por administradores de sistema para verificar as senhas que so facilmente atacadas. Exemplos de programas: John the Ripper, Cracker, L0phtcrack, NTcrack, Zipcrack, Netcrack, PGPcrack.

2.4.3. Scanners Ferramentas para varredura de redes. So programas utilizados para encontrar vulnerabilidades nos sistemas, ou seja, so programas que procuram por falhas de segurana que podem possibilitar ataques e tambm invases. Existem tambm, para uma atuao mais especfica, os Port Scanner que so programas que vasculham um computador buscando portas de comunicao abertas. Estes programas ficam analisando, de forma seqencial, as portas de um computador, atravs do envio de vrios pacotes seguidos para esse computador com nmeros de portas diferentes, com a finalidade de receber a resposta de uma delas e, com isso, constatar a presena de portas abertas. Exemplos de programas: Nessus, Nmap, NSS, Strobe, SATAN, SAINT, Internet Security Scanner - SafeSuite (ISS), Cybercop (NAI), Network ToolBox, Stealth

2.4.4. Sniffers Ferramentas utilizadas para anlise de protocolos e de captura de pacotes na rede. Atravs da captura de pacotes que trafegam pela rede, um invasor eu esteja ouvindo a rede atravs de um programa sniffer pode capturar senhas e pacotes de informaes que desejar. Exemplos: Sniffer (NAI para Windows), LinSniff (para Linux), SunSniff (para Sun), Snoop (Sun), Tcpdump, Snort.

2.4.5. Exploits Um exploit um programa utilizado para explorar uma vulnerabilidade de outro programa. So na maioria das vezes, programas prontos que os Hackers constroem para os que esto aprendendo a ser Hacker. Existem exploits para explorar vulnerabilidades especficas de sotwares especficos, e mais, de verses especficas. Ou

seja, voc vai encontrar, por exemplo, um exploit para o Servidor de DNS (bind) verso 4.2 , verso para RedHat, Slackware, etc. s vezes os exploits suportam vrias verses, mas isso no comum.

2.4.6 BufferOveflows Alguns tipos de ataques que exploram vulnerabilidades na construo de hardware e software para, inclusive, rodar um cdigo executvel remotamente na mquina alvo. Um computador pode no autorizar a execuo de servios se algum sistema operacional ou software tiver falha com o processo de alocao de memria e com o tamanho dos buffers usados. Os exploits so os responsveis por provocarem o estouro dos buffers. Quando colocamos em um programa dados de forma incorreta ou uma quantidade muito grande de dados, se o programa no estiver bem escrito, ele poder travar, ou mesmo apresentar erros gigantescos. Quando programa apresenta este tipo de comportamento muito provvel que ele esteja vulnervel a um buffer overflow. Um buffer overflow ocorre quando inserimos uma quantidade de dados no programa bem maior do que ele pode receber (estourando seu buffer) desta forma ele passar a executar comandos que no esto programados. Assim, voc capaz de colocar instrues nos prprios dados que est inserindo, fazendo o computador execut-las. uma tarefa bastante complexa descobrir falhas deste tipo e escrever um exploit, somente hackers com conhecimento muito avanado possuem tal habilidade. Para proteger seus sistemas contra o uso destas tcnicas voc deve ficar atento aos ltimos exploits lanados nos sites de hackers e nos as atualizaes de segurana nos fabricantes.

2.5. Vulnerabilidades das Redes

2.5.1. Malwares O palavra malware proveniente do ingls e significa malicious software; ou seja, programa malicioso, que um software com a finalidade de se infiltrar em um sistema de computador de forma ilcita, com o objetivo de provocar algum tipo de dano ou mesmo roubar informaes. Vrus de computador, worms, cavalos de tria e spywares so considerados malware. Programas que apresentem falhas, intencionais ou no, tambm podem ser considerados um malware

Tratando-se de pragas virtuais, estes programas maliciosos tm dado muita dor de cabea s empresas desde a inveno da internet. Analise comigo: a primeira coisa a pensar, neste caso, como obter uma maneira segura de entrar na rede sem correr os riscos que todos correm, no verdade? Quisera o usurio comum, ter a certeza de que bastasse um antivrus (atualizado) para sanar seu problema.

2.5.1.1. Vrus Vrus , antes de qualquer outra coisa, um programa de computador. Estes programas so criados com a finalidade de causar prejuzo ou simplesmente danificar computadores e programas. Os vrus so desenvolvidos em linguagens de programao (Visual Basic, C, Delphi). Existem muitas maneiras de se contaminar por um vrus, sendo a maioria delas via web: Atravs de e-mail; Atravs de qualquer mdia removvel (diskete, cd, dvd, pendrive); Atravs de arquivos recebidos e executados em programas P2P e IRC; Atravs de algum download efetuado proveniente de um site duvidoso; Recebimento de qualquer arquivo de um conhecido seu, por programas tipo ICQ, MSN;

Os vrus se propagam facilmente infestando todo o computador da vtima.

2.5.1.2. Trojans ou Cavalo de Tria So programas que criam canais de comunicao para que invasores entrem num sistema. Envia-se um falso presente para a vtima (geralmente por e-mail), que ingenuamente aceita e o executa. Quando um programa desses acionado em um computador, ele manda pacotes de informao por meio de uma porta de comunicao qualquer ao seu dono (pessoa que o enviou vtima). Alm de abrir as portas do computador da vtima o Trojan comea a fazer seu ataque se enviando por e-mail para outras pessoas, como se fosse o usurio. a forma usada para sua propagao para outros computadores. Para que o invasor descubra quem possui o trojan instalado em seu computador, ele faz uma varredura de endereos na Internet. Quem estiver contaminado pelo cavalode-tria responder varredura. Desta forma ele poder se utilizar da vulnerabilidade encontrada para realizar suas tarefas de invaso ou furto.

2.5.1.3. Worm So trojans ou vrus que fazem cpias do seu prprio cdigo e as enviam para outros computadores, seja por e-mail ou via programas de bate-papo, dentre outras formas de propagao pela rede. Estes programas se aproveitam das falhas do sistema para se propagar, e se replicar. Os Worms no contaminam arquivos. Atualmente est cada vez mais difcil classificar um programa malicioso em uma destas categorias, pois os "vrus" modernos esto usando cada vez mais tcnicas mistas de contaminao. Eles so cada vez mais comuns e perigosos porque o seu poder de propagao muito grande. No raro encontrar programas que usam tcnicas de worms para entrar no sistema, alterar as configuraes de segurana e infectar seu computador como se fosse um vrus de macro.

PARA SABER MAIS Os worms so uma das pragas mais perigosas atualmente, eles unem o conceito de vrus e trojan utilizando a internet para se propagarem automaticamente.

2.5.1.4. Vrus de Macro Utiliza-se da linguagem VBScript, podendo ser executado em qualquer computador que possua aplicativos baseados nessa linguagem (por exemplo, Word). Vrus de Macro nada mais que um programa escrito em VBA. No momento que abrimos um documento do Word contaminado, esta macro ativada, podendo apagar documentos importantes, por exemplo. S para entendermos o que uma macro: Macro uma aplicao feita em Visual Basic que interpretada pelo pacote OFFICE da Microsoft, que pode ser utilizada para fazer pequenos programas para trabalhar no Office.

2.5.1.5. Vrus de Boot: Este tipo de vrus ataca o setor de boot e o sistema operacional. Normalmente se instalam no MBR do hard disk, destruindo seu contedo ou apenas permanecendo l, para que sejam carregados na inicializao do sistema operacional.

2.5.1.6. Spywares Spywares tm o objetivo de coletar informaes do usurio sem a sua permisso e envi-las para anunciantes ou empresas. Eles coletam informaes como hbitos de navegao na web, teclas pressionadas, senhas, endereos de e-mails, etc. O objetivo poder enviar ao usurio material direcionado em funo de conhecer seus hbitos de navegao. uma forma que os distribuidores de softwares gratuitos encontram para obter lucro. Os spywares so simplesmente uma verdadeira praga e podem ser adquiridos atravs da navegao na internet. Eles no so vrus, pois no prejudicam o sistema, apenas ficam escondidos e tem como objetivos propsitos comerciais. Algumas medidas de segurana devem ser tomadas para sua proteo: tomar cuidado com sites suspeitos e no confiveis, no realizar o download de qualquer freeware e o usar programas Anti-Spywares, como por exemplo: Spybot Search & Destroy, ADAware e Spy-Sweeper. Estes programas varrem todo o computador em busca das pragas e removem todas elas.

2.6. Cookies Cookies nada mais so do que bits de informao, pequenos arquivos em formato txt, que no pesam quase nada e so captados pelo browser e armazenados no HD. O contedo da informao pode ser qualquer dado que o usurio eventualmente tenha fornecido on-line, como por exemplo o preenchimento de algum cadastro. Com os cookies, o web site pode lembrar qual a sua identidade e quais suas preferncias. Exemplo: em um computador de uso domstico, para comodidade do internauta, a presena dos cookies preenche automaticamente o login e a senha do usurio para que ele s precise dar um clique em ok para entrar na sua conta de e-mail. Isso no aconselhvel no caso de empresas (para evitar que voc seja bisbilhotado). Caso os cookies sejam apagados (painel de controle opes de internet guia geral excluir cookies), o usurio ser obrigado a digitar o login e a senha toda vez que quiser acessar sua conta.

Os cookies podem ser teis tambm para dizer ao webmaster quantas visitas o seu site recebeu, qual a freqncia com que os internautas acessam sua pgina, do que eles gostam e quais pginas eles visitam. Esses tipos de dados servem para que as pginas se tornem mais eficientes e mais proveitosas de acordo com o perfil do visitante. Uma observao importante que os Cookies no podem transportar vrus, pois estes s podem ser transportados por arquivos executveis (terminao .exe) e por isso no podem carregar nenhum programa malicioso junto consigo. Contudo, os browsers acabam revelando alguma informao sobre o usurio mesmo sem os cookies, como: seu IP (endereo na internet), verso do sistema operacional, tipo de navegador em uso, etc. Apesar de ser possvel tambm nos livrarmos dessa situao, acabamos deixando de se beneficiar em certos aspectos na rede. Voc no teria que reconfigurar pginas personalizadas a cada visita, por exemplo.

2.7. Spam Quando se trata de e-mail, spam nada mais do que qualquer tipo de mensagem que contenha: propaganda, ofertas e anncios sendo que a pessoa que elaborou tudo isso (spammer) no se identificou. Mas como assim? Ao receber um spam, repare no endereo do remetente: fulano@bol.com.br, naorespondaesseemail@yahoo.com.br, euofertas_noperca@hotmail.com, ou qualquer coisa parecida onde se o usurio resolver responder o e-mail, caso consiga enviar, no receber resposta pois os e-mails foram feitos somente para aquele momento da ocasio. Existe tambm o spam familiar que lhe enviado como resposta automtica de algo que foi comprado pela internet tem por objetivos confirmar o nmero do pedido, endereo de destino, notificar sobre algum problema, etc. Embora no exista no Brasil nenhuma lei que proba o envio de spams, estes podem destruir completamente uma relao comercial. Opes vlidas de segurana so encontradas na conta de e-mail, atravs do lixo eletrnico que filtra mensagens que provavelmente seja spams. Caso o provedor se engane em alguma mensagem basta que o usurio selecione a mesma e marque-a como no sendo lixo eletrnico para que as prximas mensagens do respectivo remetente no sejam enviadas para a pasta do lixo eletrnico.

2.8. Backdoor: Porta dos fundos uma vulnerabilidade, normalmente implantada de forma intencional pelo desenvolvedor do sistema, que permite a invaso do sistema por

quem conhece a falha (o programador, normalmente). Acredita-se que sistemas comerciais famosos, como o Windows, possuam Backdoors para que a Microsoft possa obter informaes do micro sem que o usurio invadido saiba.

2.9. Adware: So programas que, instalados no computador do usurio, realizam constantemente a abertura de janelas de anncios de propaganda. Muitas vezes confunde-se estes programas com vrus, mas eles no atuam como tal, tem a finalidade apenas de bombardear publicidade.

SAIBA MAIS Kevin Mitnick considerado pelos EUA como o maior cracker americano. Esteve preso e hoje atua em prol da segurana de dados pessoais e auxilia na proteo de rgos governamentais.

LINK Recomendo a vocs assistirem o filme A Senha: Swordfish: Gabriel Shear (John Travolta) um perigoso espio que est a fim de roubar alguns bilhes de dlares do governo. Para isso ele precisa da ajuda de um hacker, algum cujo talento faa os sistemas de segurana mais fechados parecerem brinquedinhos de criana, e procura Stanley Jobson (Hugh Jackman). Stanley um dos maiores hackers do mundo, acabou de sair da priso por hackear o FBI e est quebrado. Ele aceita participar do plano, principalmente por lhe prometerem que, se colaborar, poder ter a guarda de sua filha novamente. Mas logo Stanley percebe que a operao no exatamente o que parece e que est envolvido num plano bem mais sinistro do que um roubo high-tec. Este filme apresenta uma boa idia sobre a questo de segurana, vale a pena conferir.

A SENHA: Swordfish. Ttulo Original: Swordfish. Direo de Dominic Sena. EUA: Warner Bros, 2001. 1 DVD

Questes para reflexo Quando voc encontra uma falha em um programa, qual sua atitude diante deste problema? Voc possui as devidas protees em seu sistema? Elas so sempre atualizadas? Entre os ataques que explicamos, qual deles chamou mais sua ateno e porque?

Para concluir o estudo da unidade Diariamente surgem novos tipos de malwares, por isso importante estarmos atentos e acompanharmos as atualizaes sempre que possvel. Definitivamente sabemos que no estamos seguros, devemos encontrar as formas mais eficientes para garantirmos a proteo de nossas informaes.

Resumo Nesta unidade aprendemos sobre as principais vulnerabilidades computacionais. Procuramos esclarecer um pouco sobre cada uma das ferramentas utilizadas para realizao de ataques e invases. Percebemos tambm as principais diferenas entre elas e as finalidades que atendem. As explicaes sobre as ferramentas foram apresentas de forma apenas a esclarecer para que servem e no com o objetivo de instruir sua utilizao.

Atividades de aprendizagem 1) O que uma vulnerabilidade? 2) Quais as conseqncias de uma pessoa mal intencionada invadir seu computador. O que ela pode causar? 3) Cita algumas maneiras de buscar informaes para sua segurana computacional. 4) Que tipo de inimigo podemos encontrar no ambiente virtual? 5) Cites algumas causas dos problemas de segurana. 6) O que so ameaas e cite os tipos que podemos encontrar? 7) Quanto a sua intencionalidade, como classificamos as ameaas? 8) O que um ataque dentro do ambiente virtual? 9) Quais as formas possveis de ataque?

10) Explique como funciona o ataque DoS e a diferena para o ataque DDoS. 11) Cite exemplos de ataque DoS e explique-os. 12) O que a tcnica de footprinting? 13) Cite as ferramentas utilizadas pelos hackers e explique cada uma delas de forma resumida. 14) Quais as vulnerabilidades das redes?

UNIDADE 3. - Engenharia Social

Objetivos da aprendizagem Esta unidade tem a finalidade de: Introduzir o tema sobre engenharia social; Mostrar como um engenheiro social faz seu planejamento; Apresentar o perfil de um engenheiro social; Demonstrar algumas tcnicas utilizadas pelo Engenheiro Social.

Introduo ao estudo Os Administradores de Sistemas e Analistas de Segurana tem a preocupao de manter a rede e os sistemas em pleno funcionamento. Muitos recursos so disponibilizados no mercado para alcanar estes objetivos. Grandes investimentos so realizados na rea de segurana, entretanto o elemento humano sempre esquecido na planilha de investimentos. Muitos piratas virtuais com conhecimento medocre em programao conseguem ultrapassar a maioria das defesas utilizando uma tcnica denominada como Engenharia Social.

Seo 1 Princpios da Engenharia Social Nessa seo, vamos aprender sobre a Engenharia Social e como esta ferramenta pode ser perigosa em mos de pessoas mal intencionadas. Entender o perfil do Engenheiro Social ser importante para percebermos quando estamos sendo alvo de um possvel ataque.

3. O que Engenharia Social Existe algum mtodo rpido e eficiente para se descobrir uma determinada senha? No sabe? E se voc simplesmente perguntar? Pode parecer um absurdo, mais realmente este o mtodo mais simples, mais usado e talvez o mais eficiente de se obter informaes. muito simples, basta chegar e perguntar. Pode at no ser a senha, mas ele vai contar o tipo de sistema, o tipo de computador, e o que mais ele vir pela frente. Tudo vai depender de quo bom o "Engenheiro Social" e quantos conhecimentos sobre a empresa ele possui. Quando algum com uma boa lbia

perguntar a um funcionrio despreparado existem grandes possibilidades de se conseguir extrair as informaes desejadas. SAIBA MAIS Esta foi uma resposta dada por Kevin Mitnick na sua entrevista para revista poca. POCA - Em sua passagem pelo Brasil voc vai falar sobre 'engenharia social'. O que isso? Mitnick- uma tcnica usada por hackers para manipular e persuadir os funcionrios nas empresas. Em vez de ficar se descabelando para encontrar uma falha no sistema, o hacker pode, por exemplo, largar um disquete no cho do banheiro com o logotipo da empresa e uma etiqueta bem sugestiva: 'Informaes Confidenciais. Histrico Salarial 2003'. bem provvel que quem o encontre o insira na mquina por curiosidade. O disquete pode ter sido preparado por um hacker para rodar na mquina da vtima e instalar um tipo de programa chamado Cavalo de Tria, que d acesso remoto rede da empresa. VICRIA, Luciana. Hacker Regenerado. Revista poca, So Paulo, ano 2, n. 278. 15 set. 2003.

Denominamos esta tcnica de engenharia social, que utiliza recursos persuasivos para obter informaes importantes ou sigilosas das organizaes. Muitas destas tcnicas so apelativas, aproveitando-se dos sentimentos humanos (confiana, pena). Geralmente a pessoa com tal objetivo pode se passar por outra pessoa, assumir outra personalidade, fingindo que um profissional de determinada rea, etc. Existem casos de que um engenheiro social fingiu ser um tcnico de suporte de um provedor e telefonou para um cliente solicitando a senha para fazer alguns ajustes no servio disponibilizado. Podem imaginar o que aconteceu? O usurio s foi verificar posteriormente em seu extrato a quantidade gigantesca de horas utilizadas.

PARA SABER MAIS Basicamente, a engenharia social a arte de fazer com que outras pessoas concordem com voc e atendam aos seus pedidos ou desejos, mesmo que voc no tenha autoridade para tal. Popularmente, pode-se dizer que engenharia social simplesmente a arte de se contar uma boa mentira.

3.1. Planejando como um Engenheiro Social O engenheiro social precisa de um bom planejamento para preparar o seu ataque, pois muitas vezes eles precisam combinar a arte da manipulao e tecnologia que ser aplicada. O trabalho de coleta de informaes pode ser iniciado pela prpria internet, levantando dados sobre o alvo do ataque. De posse destes dados o ataque pode ser iniciado atravs de um simples telefone, no qual o atacante se faz passar por uma pessoa que trabalha na empresa, como por exemplo um vigilante, copeira, responsvel pela manuteno de equipamentos ou at mesmo por algum que possua um cargo alto dentro da empresa. O sucesso de um ataque depende diretamente da habilidade do atacante. Se o atacante souber persuadir e tiver habilidade suficiente para enganar, certamente o ataque ter xito. Em uma engenharia social o conhecimento da cultura de uma empresa, de sua estrutura corporativa, seus vrios escritrios e departamentos, os nomes dos responsveis diretos pelos departamentos fazem parte da bagagem essencial de truques de um engenheiro social bem-sucedido.

3.2. Qual o perfil de um Engenheiro Social Podemos encontrar engenheiros sociais com o mais variado perfil, desde de inofensivos a srdidos, de ingnuos a mal-intencionados, de tolos a inteligentes. Geralmente o disfarce a melhor arma do engenheiro social, procurando sempre adaptar-se a situao que pretende atingir. Podemos cham-lo de camaleo virtual, pois seu temperamento e comportamento procuram se adaptar com a real situao vivida. SAIBA MAIS Esta foi uma resposta dada por Kevin Mitnick na sua entrevista para revista poca POCA - Qual era sua motivao? Mitnick - O desafio intelectual, a busca pelo conhecimento e a aventura de estar num lugar onde no deveria estar. Comecei aos 17 anos e s parei quando fui preso. Mas eu no era o hacker temido como pintam por a, um fora-da-lei que cria e espalha vrus. Eu era simplesmente um jovem curioso que buscava desafios em sistemas de segurana. Eu procurava brechas, e no informaes. Jamais invadi um sistema para obter vantagens financeiras e at hoje no vi uma prova legal contra mim .

VICRIA, Luciana. Hacker Regenerado. Revista poca, So Paulo, ano 2, n. 278. 15 set. 2003.

No podemos resumir a engenharia social na pessoa do engenheiro, pois muitas tcnicas so aplicadas utilizando outros recursos que veremos mais adiante.

Seo 2 Tcnicas da Engenharia Social Vamos compreender um pouco sobre as tcnicas utilizadas pela Engenharia Social, levando em considerao que impossvel detectar todas elas, pois elas so desenvolvidas e aplicadas conforme o objetivo do Engenheiro Social.

3.3. Algumas tcnicas utilizadas Na maioria das empresas sabemos que os cargos do alto escalo so ocupados por empresrios com pouco conhecimento da parte tcnica. Muitas vezes, mesmo sem a necessidade, estes empresrios conhecem as senhas de acesso aos servidores. Pelo pouco conhecimento que possuem so vtimas facilmente de invases atravs de algum tipo de tcnica. Mesmo com novas ferramentas para hackers aparecendo toda semana na Internet, explorar a ingenuidade humana permanecer sendo um dos meios mais eficientes de dominar a segurana das redes. Uma tcnica bastante utilizada atualmente a de se passar por grandes bancos ou provedores de Internet chamando os usurios para preencherem formulrios online. Outra tcnica utilizada tambm poderia ser subornar, mas dependendo da situao, isso pode custar muito caro ao engenheiro social Como percebemos so infinitas possibilidade e tcnicas dependendo da situao em que o engenheiro social se encontra ou na qual a engenharia social deve ser aplicada. Vamos enumerar alguns mtodos aplicados: 1. O mtodo mais simples o pedido direto, onde se solicita ao indivduo alvo que se execute uma determinada tarefa; 2. Criar uma situao onde o indivduo apenas uma parte dela. Lembre-se que quanto menos voc faltar com a verdade melhor. Pois mentira tem perna curta; 3. Oportunizar-se de quando um funcionrio est insatisfeito, sai da empresa ou, ainda pior, despedido;

4. Convencer o usurio a realizar a instalao de determinado programa motivando-o com situaes constrangedoras ou promessas falsas; 5. Utilizar-se da pornografia, jogos de azar e outros recursos viciantes da internet; 6. Utilizar-se da imagem de outra pessoa ou personalidade para tirar vantagem; 7. Chantagear com ameaas e exposio da imagem da pessoa ou de um familiar; 8. Oportunizar-se do sentimento de culpa das pessoas para tirar vantagem desta fraqueza; 9. Solicitar algo como se fosse um grande favor prestado a algum; Estas so apenas algumas das tcnicas aplicadas na engenharia social, lembramos que no planejamento onde se define o que ser utilizado e qual a maneira mais adequada para aplicar as tcnicas.

SAIBA MAIS Esta foi uma resposta dada por Kevin Mitnick na sua entrevista para revista poca POCA - Voc pode citar outro mtodo comum de persuaso? Mitnick - O velho e bom amigo telefone. Algum liga para voc dizendo que trabalha no departamento de tecnologia e que est verificando um problema na rede. Faz uma srie de perguntas, pede para voc digitar alguns comandos e cria um buraco na segurana. Parece tolice, mas 50% das invases no se valem apenas da tecnologia, mas principalmente da fragilidade humana. A dica para os funcionrios checar a identidade de quem ligou e, para as empresas, adotar polticas de segurana e treinamento intensivo. O mais importante demonstrar que todo mundo vulnervel e pode ser manipulado, principalmente os que se julgam mais inteligentes. Eu j fui 'hackeado', achei engraado na hora, mas depois parei para pensar e vi que tinha algo errado. Em meu livro, A Arte de Enganar, citei alguns exemplos, mas h sempre novas tcnicas de persuaso. VICRIA, Luciana. Hacker Regenerado. Revista poca, So Paulo, ano 2, n. 278. 15 set. 2003.

LINK

Recomendo o filme Prenda-me se for capaz. Ele mostra a verdadeira atuao de um Engenheiro Social. Sinopse: Frank Abagnale Jr. (Leonardo DiCaprio) j foi mdico,

advogado e co-piloto, tudo isso com apenas 18 anos. Mestre na arte do disfarce, ele aproveita suas habilidades para viver a vida como quer e praticar golpes milionrios, que fazem com que se torne o ladro de banco mais bem-sucedido da histria dos Estados Unidos com apenas 17 anos. Mas em seu encalo est o agente do FBI Carl Hanratty (Tom Hanks), que usa todos os meios que tem ao seu dispor para encontr-lo e captur-lo. Direo de Steven Spielberg. PRENDA-ME se for Capaz. Ttulo Original: Catch Me If You Can. Direo de Steven Spielberg. EUA: DreamWorks SKG, 2002. 1 DVD.

Questes para reflexo A empresa XXYY possui uma grande rede de computadores e movimenta mais de dois milhes de dlares por ano. Voc esta sendo convidado a pensar como um Engenheiro Social e planejar uma aproximao desta empresa e verificar as possveis vulnerabilidades. Como voc iniciaria esta tarefa? Sugesto: procure inicialmente construir virtualmente esta empresa com suas caractersticas e particularidades, e depois elabore seu plano.

Para concluir o estudo da unidade Lembramos que no temos a pretenso aqui de demonstrar truques ou mesmo aprimorar tcnicas da engenharia social. Nosso desejo apenas que voc consiga perceber um pouco mais sobre esta verdadeira arte e possa ter a percepo um pouco mais aguada para no cair em armadilhas. Ns apresentamos um universo da engenharia social voltado mais ao ambiente tecnolgico, ou seja, a pretenso de usar as tcnicas de persuaso para invadir ambientes computacionais, entretanto no podemos ficar alheio que o maior nmero de estratgias aplicadas atravs da engenharia social ocorre no mundo do trfico, de seqestros e roubos.

Resumo Observamos em nosso estudo a Engenharia Social por meio de dois pontos de vista: O Engenheiro Social utilizando-se de tcnicas computacionais e utilizando mtodos persuasivos.

Consideramos tambm a figura do Engenheiro Social um elemento sagaz e geralmente bem apresentvel, moldando suas caractersticas conforme seus objetivos. Lembramos que a forma mais simples de conseguir uma informao simplesmente pedir sobre ela. Esta a tcnica mais utilizada pelos Engenheiros Sociais. E finalmente informamos e alertamos sobre os perigos eminentes que corremos quando somos alvo da Engenharia Social.

Atividades de aprendizagem O que a Engenharia Social? Cite alguns objetivos a serem alcanados atravs da Engenharia Social? Como voc define o perfil de um Engenheiro Social? Comente algumas tcnicas de Engenharia Social.

UNIDADE 4. - Polticas de Segurana

Objetivos da aprendizagem Esta unidade tem a finalidade de: Definir o que uma Poltica de Segurana; Demonstrar como deve estar estruturada uma Poltica de Segurana; Explicar o processo e falar sobre os envolvidos na construo desta poltica; Esclarecer o papel de cada um dos envolvidos na Poltica de Segurana; Falar sobre as conseqncias e penalidades estabelecidas dentro da Poltica de Segurana.

Introduo ao estudo Caros alunos, que a verdade seja dita, as empresas ainda esto muito aqum da realidade sobre segurana. Quando perguntamos a um executivo quais so os objetivos das equipes de segurana que protegem sua empresa, certamente voc receber uma resposta semelhante a esta: so eles que nos mantm seguros l. Alguns empresrios podero avanar um pouco mais, argumentando sobre a segurana fsica, ou seja, controle da visitao, verificao das portas trancadas, proteo pessoal. No esperem obter respostas argumentando sobre a segurana das informaes da empresa, muito menos sobre o setor computacional. Se conseguir um pouco de sucesso, provavelmente voc ouvir manter os hackers fora de nossa rede. Este cenrio deve ser mudado, e ns somos convidados aqui a sermos instrumentos para melhorarmos as polticas de segurana dentro das empresas. Quando perguntamos aos profissionais de segurana o que poderemos fazer para proteger nossa rede, eles respondero, sem hesitar, devemos escrever uma boa poltica de segurana.

Seo 1 Fundamentos de uma Poltica de Segurana Vamos estudar sobre como estruturada uma Poltica de Segurana da Informao, verificar sobre os riscos eminentes e os elementos que devem estar presentes para que a segurana seja bem implementada. Definir quem so as pessoas que estaro envolvidas nesta atividade tambm ser abordado nesta seo.

4.1. Definindo o que uma Poltica de Segurana de Informaes Vamos entender o que uma poltica de segurana segundo alguns autores. A Poltica de Segurana apenas a formalizao dos anseios da empresa quanto proteo das informaes (ABREU, 2002). A poltica de segurana um mecanismo preventivo de proteo dos dados e processos importantes de uma organizao que define um padro de segurana a ser seguido pelo corpo tcnico e gerencial e pelos usurios, internos ou externos. Pode ser usada para definir as interfaces entre usurios, fornecedores e parceiros e para medir a qualidade e a segurana dos sistemas atuais (DIAS, 2000). Para Smola (2003) a elaborao e implementao da poltica de segurana so importantes e necessrias. Todos os nveis da estrutura organizacional devem participar desse processo permanente. Para essa elaborao a organizao necessita formar um grupo ou comit, mas, necessariamente, no precisa criar um departamento, isso depende da estrutura da organizao e do negcio. Uma poltica de segurana deve: a) b) c) d) e) f) Apresentar a descrio do que esta sendo protegido e porque esta sendo protegido; Definir o custo do projeto e a ordem de prioridade do que proteger primeiro; Acordar de forma clara com todos os setores da empresa a relao de valor da segurana; Dar autoridade ao departamento de Segurana quando for preciso dizer NO, mediante motivos vlidos; Proporcionar ao departamento de segurana a autoridade necessria para sustentar o no; Dar credibilidade ao departamento de segurana para que ele no tenha um desempenho ftil.

A poltica de segurana, deve ir alm dos aspectos relacionados com sistemas de informao ou recursos computacionais, ela deve estar integrada com as polticas institucionais da empresa, metas de negcio e ao planejamento estratgico da empresa. A prxima figura mostra o relacionamento da poltica de segurana de informaes com a estratgia da organizao, o plano estratgico de informtica e os diversos projetos relacionados (DIAS, 2000). Olhando de uma maneira mais prtica definimos Poltica de Segurana como uma srie de normas internas padronizadas pela empresa que devem ser seguidas risca para

que todas as possveis ameaas sejam minimizadas e combatidas eficientemente pela equipe de segurana.

PARA SABER MAIS Poltica de segurana uma medida que busca criar os padres de segurana que devem orientar todos os envolvidos no uso e na gesto dos ativos. uma forma de administrar um conjunto de normas com a finalidade de guiar as pessoas na realizao de seu trabalho. o primeiro passo para aumentar a segurana das pessoas e dos sistemas, pois est orientada para educar por meio de manuais de instruo e procedimentos operacionais.

4.2. Dificuldades para criao de uma Poltica de Segurana Sabendo da grande importncia de uma Poltica de Segurana para uma empresa, perguntamos por que muitas delas no possuem esta soluo elaborada? Segundo Graa (2000), uma Poltica de Segurana se diferencia bastante dependo do tipo de corporao, organizaes, empresas, instituies que a adotam e, de um modo geral, o que mais influncia na elaborao de uma poltica de segurana o tipo de negcio realizado, o tipo de informao utilizada e o fluxo desta informao pela organizao. Deste modo, de vital importncia antes do incio de qualquer estudo para a elaborao e implementao, uma anlise das expectativas e conceitos esperados pela corporao. Para Fontes (2000), uma Poltica de Segurana para ter sucesso deve ser verdadeira, ter recursos financeiros para implementao, deve ser curta, vlida para todos os colaboradores, sejam eles funcionrios ou subcontratados, deve ser simples, ter o apoio da alta direo, deve-se fazer uma anlise dos riscos, implementar medidas de proteo, analisar as possveis ameaas, estabelecer responsabilidades, ter critrios de senhas, ter uma definio de auditorias internas peridicas, e saber objetivamente a resposta para questes do tipo: o que deve ser feito quando algum tpico for violado? Muitas vezes os aspectos financeiros, a dificuldade de implementar recursos, ou ainda que o pessoal esteja subordinado a eles, inclusive o setor da gerncia, constroem um pano de fundo negativo, dificultando o desenvolvimento e implantao de uma boa Poltica de Segurana dentro de uma organizao.

4.3. Construindo uma Poltica de Segurana O principal objetivo de uma poltica de segurana deixar transparente aos usurios, equipe e gerentes, os seus compromissos para a proteo da tecnologia e do acesso informao. Outra finalidade oferecer um ponto inicial a partir do qual se possa adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Uma poltica de segurana a expresso formal das regras pelas quais fornecido acesso aos recursos tecnolgicos da empresa. A poltica de segurana deve especificar os mecanismos atravs dos quais estes requisitos podem ser alcanados. Portanto, uma tentativa de utilizar um conjunto de ferramentas de segurana na ausncia de pelo menos uma poltica de segurana implcita no faz sentido. Algumas caractersticas de uma boa poltica de segurana so: 1. Sua implementao deve ser atravs de procedimentos de administrao, construo das regras de uso aceitveis, ou outros mtodos adequados. 2. A construo de uma boa poltica de segurana deve constatar a presena de ferramentas de segurana que tornem possvel sua aplicao. 3. Ela deve definir claramente as reas de responsabilidade para os usurios, administradores e gerentes. Segundo GONALVES (2002), os componentes de uma boa poltica de segurana incluem: 1. Lista de compra de tecnologia de segurana que especifiquem os requisitos ou as caractersticas que os produtos devem possuir. 2. Controle razovel da privacidade relacionada a aspectos como logs de atividades, monitorao de correio eletrnico, e acesso aos arquivos dos usurios. 3. Definir os direitos e os privilgios para proteger a organizao de danos, atravs da especificao da conduta dos usurios notificando por mensagens esclarecedoras o uso autorizado ou no dos recursos. 4. Deixar de forma clara ao usurio o que fazer e a quem contatar se for detectada uma possvel intromisso. 5. Utilizar de recursos para gerao e aplicao de senhas efetivamente seguras. 6. Informar ao usurio aspectos como redundncia e recuperao, bem como especificar horrios de operao e de manuteno. Incluindo informaes para contato para relatar falhas do sistema e da rede. 7. Informar como o pessoal da segurana realizar a manuteno e acessar os recursos de monitoramento e segurana. Um tpico importante a ser tratado aqui como a manuteno remota permitida e como tal acesso controlado.

8. Uma poltica de relatrio de violaes que avise qual tipo de violao deve ser relatada e quem deve ser comunicado sobre os fatos. Uma atmosfera de no ameaa e a possibilidade de denncias annimas ir resultar uma grande probabilidade que uma violao seja relatada. Segundo Luz (1999), apresentamos as caracterizas que uma Poltica de Segurana deve conter: Efetuar uma anlise dos riscos procurando medidas de proteo, como tambm, observando o custo-benefcio de todo o projeto. Revisar todo o processo continuamente e melhor-lo sempre que for encontrada alguma fraqueza. Ser implementvel por meio de procedimentos de administrao, publicao das regras de uso aceitveis, ou outros mtodos apropriados. Ser exigida com ferramentas de segurana, onde apropriado, e com sanes onde a preveno efetiva no seja tecnicamente possvel; Definir claramente as reas de responsabilidade para os usurios, administradores e gerentes. Definir claramente quais usurios tero privilgios para acessos e execuo de rotinas na rede e nos sistemas informatizados. Definir claramente quais as atividades e privilgios dos administradores dos sistemas, tendo como segurana, a gravao e a contabilizao dos acessos aos dados, gravados em arquivos de logs (arquivo contendo informaes relacionadas a uma execuo de rotina o u de software, onde so registrados todos os detalhes quanto data de incio e trmino, como tambm problemas que possam ter acontecido durante o processamento), referente a todas as atividades executadas por estes profissionais. Informar aos usurios, equipe e gerentes, as suas obrigaes para a proteo da tecnologia e do acesso informao. Especificar os mecanismos por meio dos quais seus requisitos podem ser alcanados. Oferecer um ponto de referncia a partir do qual se possa adquirir, configurar e efetuar auditorias dos sistemas computacionais e redes, para que sejam adequados aos requisitos propostos. Expressar o que os usurios devem e no devem fazer em relao aos diversos componentes do sistema, incluindo o tipo de trfego permitido nas redes. Ser to explcita quanto possvel para evitar ambigidades ou maus entendimentos.

Findada a poltica de segurana ela deve ser comunicada aos usurios, pessoal e gerentes da empresa. muito importante que seja criado um documento que os

usurios assinem, dizendo que leram, entenderam e concordaram com a poltica estabelecida. Finalmente sua poltica deve passar por revises peridicas para verificar se ela est atendendo com sucesso as necessidades de segurana que foram estabelecidas.

4.4. Contedo da Poltica de Segurana Segundo a ISO 17799, convm que o documento da poltica de segurana contenha declaraes relativas a: Uma definio de segurana da informao, suas metas globais, escopo e importncia como mecanismo que habilita compartilhamento da informao; Uma declarao do comprometimento da direo, apoiando as metas e princpios da segurana da informao, alinhada com os objetivos e estratgias do negcio; Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de anlise/avaliao e gerenciamento de risco; Breve explanao das polticas, princpios, normas e requisitos de conformidade de segurana da informao especficos para a organizao; Definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; Referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao ou regras de segurana que os usurios devem seguir; Vamos analisar alguns aspectos sobre o que deve ser includo em uma poltica de segurana:

4.4.1. O que estamos protegendo? Voc deve ter bem claro o que esta defendendo; muito importante tambm que voc saiba do ataque quando estiver sendo atacado.

Uma descrio detalhada dos nveis de segurana da sua empresa vai auxiliar muito no processo. Por exemplo, voc pode identificar as mquinas da sua rede utilizando a seguinte conveno: Vermelho Informaes confidenciais; Amarelo informaes sensveis ou servios importantes.

Verde permite acesso s mquinas vermelhas ou amarelas, sem executar funes de alta prioridade. Branco Sem acesso aos sistemas vermelho, amarelo ou verde, somente servio elementar. Preto Acessvel externamente. No permite acesso aos outros sistemas.

Utilizando estas informaes voc ter uma forma convencionada para descrever cada mquina existente na rede e o nvel de segurana a ser atribudo a ela.

4.4.2. Quem deve ser envolvido na formulao da poltica? Segundo Gonalves (2002), para que uma poltica de segurana se torne funcional, ela deve ter a aceitao e o suporte de todos os setores dentro de uma organizao. muito importante que a gerncia corporativa suporte de forma completa o processo da poltica de segurana, caso contrrio haver pouca chance que ela tenha o impacto desejado. A seguinte lista de indivduos deveria estar envolvida na criao e reviso dos documentos da poltica de segurana: O administrador de segurana do site; O pessoal tcnico de tecnologia da informao; Os Administradores de grandes grupos de usurios dentro da organizao; A equipe de reao a incidentes de segurana; Os representantes de grupos de usurios afetados pela poltica de segurana; O Conselho Legal da empresa.

A idia trazer a representatividade dos membros, gerentes com poder sobre o oramento e poltica, pessoal tcnico que saiba o que pode e o que no pode ser realizado, e o conselho legal que conhea as decorrncias legais das vrias polticas. Em algumas organizaes, pode ser apropriado incluir pessoal de auditoria. Envolver este grupo importante se a poltica resultante dever alcanar a maior aceitabilidade possvel.

PARA SABER MAIS O comprometimento da alta direo fundamental e extremamente necessrio para que o envolvimento dos funcionrios ou usurios finais seja atingido. Ressalta-se que esse envolvimento depende diretamente da forma como a poltica comunicada e compartilhada no ambiente organizacional. Convm que a direo estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao

atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao.

Seo 2 Mtodos de Proteo em uma Poltica de Segurana Nessa seo, vamos verificar a metodologia para a proteo e a atribuio das responsabilidades em uma Poltica de Segurana. Vamos destacar como os funcionrios de uma organizao devero utilizar sua rede depois de estabelecida as normas de segurana.

4.4.3. Mtodos de proteo Descrever as prioridades para a proteo da rede. Por exemplo, as prioridades organizacionais podero ser as seguintes: a) b) c) d) e) Sade e segurana humana; Conformidade com a legislao aplicvel local, estadual e federal; Preservao dos interesses da empresa; Preservao dos interesses dos parceiros da empresa; Disseminao gratuita e aberta de informaes no-sensveis.

SAIBA MAIS A monitorao por computador tem sido criticada como uma invaso de privacidade dos funcionrios porque em muitos casos, eles no sabem que esto sendo monitorados ou no sabem como a informao est sendo utilizada. (OBRIEN, 2004).

4.4.4. Responsabilidades Descrever as responsabilidades (e, em alguns casos, os privilgios) de cada classe de usurios do sistema. Funcionrios em Geral Conhecimento dessa poltica; Todas as aes de acordo com essa poltica; Informar segurana qualquer violao conhecida a essa poltica;

Informar segurana qualquer suspeita de problemas com essa poltica.

Administrador de Sistema / Operaes Todas as informaes sobre os usurios sero tratadas como confidenciais; No ser permitido acesso no-autorizado a informaes confidenciais; Assegurar todas as aes consistentes com o cdigo de conduta de um administrador de sistemas.

Administrador de Segurana Mais alto nvel de conduta tica; Assegurar todas as aes consistentes com o cdigo de conduta de um responsvel pela segurana;

Contratado Acesso a mquinas especificamente autorizadas na forma especificamente autorizada; Solicitar autorizao prvia por escrito para qualquer ao que possa ser interpretada como uma questo de segurana.

Convidado Nenhum acesso a recursos de computao, a menos que haja notificao prvia por escrito segurana. Uso adequado

4.4.5. Como os funcionrios devero ou no usar a rede. Funcionrios em Geral Uso pessoal mnimo durante o horrio comercial normal; Nenhuma utilizao da rede para atividades comerciais externas; Acesso a recursos de Internet consistentes com as polticas de RH.

Administrador de Sistemas / Operaes Acesso responsvel a informaes sensveis ou pessoais na rede; Todo acesso especial justificado por operaes comerciais.

Administrador de Segurana

Acesso responsvel a informaes sensveis ou pessoais na rede; Todo acesso especial justificado por operaes comerciais ou segurana; Uso de ferramentas de segurana apenas para objetivos comerciais legtimos.

Contratado Nenhum acesso pessoal a qualquer tempo; Uso mnimo da rede e apenas por motivos especficos relativos a determinados contratos.

Convidado Nenhum uso da rede a qualquer tempo.

4.4.6. Plano de Contingncia Precisamos saber o que fazer quando ocorrerem os problemas, que roteiro seguir para encontrar a soluo adequada. O plano de contingncia apresenta a relao de medidas a serem tomadas quando surgirem os problemas.

4.4.7. Penalidades Descrever quais as penalidades de acordo com o nvel do descumprimento de um item da poltica de segurana. Crtica Sria Recomendao para demisso; Recomendao para desconto de salrio Recomendao para demisso; Recomendao para abertura de ao legal

Limitada Recomendao para desconto de salrio Repreenso formal por escrito Suspenso no-remunerada

SAIBA MAIS A organizao precisa dispor de um processo disciplinar aplicvel a pessoas que tenham violado polticas ou procedimentos de segurana. A expectativa de punio essencial para ajudar a inibir comportamentos que podem acarretar desrespeito s normas de segurana. (BEAL, 2004).

LINK Para completar nossa srie de filmes recomendo aqui que vocs assistam o filme Firewall - Segurana em Risco, estrelado por Harrison Ford e produzido pela Warner Bros. Bom filme a todos! Firewall - Segurana em Risco. Ttulo Original: Firewall. Direo de Richard Loncraine. EUA: Warner Bros, 2006. 1 DVD.

Questes para reflexo Analise o comportamento relacionado segurana em cada um dos Pases exemplificando as situaes com fatos do cotidiano. Na Alemanha: tudo proibido, exceto aquilo que permitido. Na Frana: tudo permitido, exceto aquilo que proibido. Em Cuba: tudo proibido, inclusive aquilo que permitido. No Brasil: tudo permitido, inclusive aquilo que proibido.

Para concluir o estudo da unidade A Poltica de Segurana um conjunto reduzido de regras que definem, em linhas gerais, o que considerado pela Empresa como aceitvel ou inaceitvel, contendo ainda referncias s medidas que sero impostas aos infratores. Esta Poltica dever referenciar todas as outras polticas existentes na Empresa que contenham regras de segurana, bem como fazer aluso s Normas de segurana, descritas adiante. A Poltica de Segurana deve ser do conhecimento de todos os colaboradores da Empresa, possivelmente atravs da edio de um folheto, que dever ser fornecido aos colaboradores no decurso do seu processo de admisso.

As metodologias para uma boa Poltica de Segurana devem ser adotadas considerando as normas, processos e aspectos tcnicos e no tcnicos da segurana dos sistemas. Entretanto, muitas instituies tm ignorado o valor real das suas informaes, a preocupao em manter a metodologia de segurana e at mesmo de investimento, por considerarem estas despesas sem retorno sobre investimento. Esta viso no contribui com eficcia para a gesto da informao, que considerado o maior ativo das organizaes.

Resumo Uma boa Poltica de Segurana da Informao deve ser constituda de regras claras, aplicveis e sintonizada com a cultura e o ambiente tecnolgico da organizao. Para atender as principais necessidades da organizao, uma boa poltica deve: Usar uma linguagem simples, com poucos termos tcnicos; Ser de fcil compreenso e aplicabilidade; Ser clara e concisa; Estar de acordo com a realidade prtica da organizao; Ser revisada com periodicidade;

Esta Poltica deve proteger as informaes confidenciais e motivar as pessoas que as utilizam, mediante a conscientizao e envolvimento de todos. Todo funcionrio deve ser treinado adequadamente para as questes de segurana. Nenhum pr-requisito tcnico necessrio, visto que o treinamento abordar o contexto comportamental do usurio, e no os aspectos tcnicos, os quais sero delegados a equipe especializada. Principais Benefcios de uma Poltica de Segurana: Maior padronizao das informaes e processos; Alinhamento dos objetivos da empresa com as leis e obrigaes contratuais; Definio dos responsveis pelos ativos da empresa; Definio das penalidades pela no aderncia Poltica de Segurana; Aumento da conscientizao da empresa; Aderncia aos padres de gesto de segurana.

Atividades de aprendizagem O que uma Poltica de Segurana? Quais propsitos uma Poltica de Segurana deve atender?

 Quais os componentes de uma boa poltica de segurana? O que deve estar presente em um documento elaborado para estabelecer uma Poltica de Segurana? Quem deve estar envolvido na elaborao de uma Poltica de Segurana. Quais as responsabilidades das pessoas de uma empresa quando adotamos uma Poltica de Segurana? Quais os principais benefcios que uma Poltica de Segurana deve apresentar?

UNIDADE 5. - Auditoria em Informtica e Legislao

Objetivos da aprendizagem Esta unidade tem a finalidade de: Apresentar as funcionalidades de uma auditoria; Listas as etapas da auditoria; Explicar a metodologia do trabalho do auditor; Mostrar qual o perfil de um auditor; Apresentar a legislao Brasileira relacionada a Segurana.

Introduo ao estudo As empresas tm adotado o uso de computadores nos mais variados setores, isto vem fazendo com que as empresas se tomem providncias para aumentar o controle sobre os departamentos de processamento de dados, j que estes controlam informaes vitais empresa. Na maioria das vezes este controle vem sendo implantado por um processo de Auditoria, que visa descobrir as irregularidades nos departamentos ou nos centros de processamento da empresa. O Processo de Auditoria identifica tambm os pontos de maior fragilidade para que estes possam ser corrigidos. Anteriormente a base da investigao era realizada somente no setor de finanas da empresa, desta forma as empresas no viam razo em manter um departamento somente com auditores, terceirizando este servio a outras prestadoras. Atualmente com o grande numero de comutadores, j necessrio manter um departamento de auditoria interna. Vamos analisar um pouco mais sobre o processo de auditoria e como ele realmente pode contribuir com uma organizao.

Seo 1 Fundamentos sobre Auditoria de Sistemas Nessa seo, vamos aprender os critrios de uma auditoria, o que deve estar envolvido para que a mesma seja realizada, o comportamento do auditor e dos setores auditados. Vamos verificar tambm as etapas ps-auditoria e como dever ser os procedimentos adotados.

5.1. A Auditoria nas Organizaes A realizao da auditoria iniciou nos Estados Unidos e na Europa na dcada de 80. Uma das razes em realizar uma auditoria ocorre devido evoluo constante das tcnicas para burlar os sistemas, ocasionando grandes prejuzos as organizaes. Este fato crescente alertou para que as empresas tomassem as devidas providncias e auditassem seus departamentos com a finalidade de encontrar praticas ilcitas intencionais ou at mesmo erros operacionais sem nenhuma inteno. A Auditoria no setor da Tecnologia da Informao deve estender-se a todas as reas de um departamento de processamento de dados: Coordenao de Problemas Coordenao de Mudanas Sistemas em Processamento Batch (em srie) Recuperao de desastre Capacidade dos Sistemas Desempenho dos Sistemas Desenvolvimento de Sistemas Sistemas em Processamento On-Line (linha por linha) Sistemas Financeiros Rede de Telecomunicaes Segurana de informao Centro de computao Microcomputador Distribuio dos Custos

A Auditoria em Informtica , portanto, o conjunto de procedimentos, mtodos e tarefas que detectam as fragilidades e avaliam o desempenho do Sistema de Informao da Organizao. Com o processo de auditoria busca-se alcanar: Maior coordenao e organizao; Imagem eficiente e satisfao dos usurios; Segurana e confiabilidade; Credibilidade comercial; Qualidade nos apontamentos do Sistema de Informao; Meios fsicos e tecnologias de informao adequadas; Continuidade do negcio;

5.2. O Setor da Auditoria dentro da organizao Este setor deve ser um setor independente dentro da empresa. Ele no deve sofrer influncias na sua atuao. O setor de auditoria deve reportar-se diretamente a gerncia da empresa, mantendo sempre este canal de comunicao. O planejamento sigiloso sobre como a auditoria vai acontecer outro aspecto importante a ser observado. Somente as pessoas que organizam o processo devem ter conhecimento sobre as atividades. Este planejamento deve ocorrer para que as datas sejam definidas, mas tudo em sigilo, principalmente para que no haja ajustes de ultima hora resultando em relatrios que fogem da realidade da empresa.

5.3. Perfil do Profissional Auditor em Informtica O auditor o responsvel por realizar a investigao nos setores da empresa. O Auditor pode ser uma pessoa nomeada pelo alto escalo da empresa ou ainda um servio terceirizado que realizar a atividade da auditoria. O auditor deve ser um profissional de grande conhecimento da rea de informtica. Deve ter objetividade, discrio, raciocnio lgico e principalmente um sentimento real de independncia, ou seja, em seus relatrios sejam eles intermedirios ou finais, devem possuir personalidade para descrever com clareza os fatos auditados, principalmente os que esto sendo realizados de forma errada.

5.4. O papel do Auditor Segundo PINHEIRO (2005), na investigao o Auditor dever revisar os seguintes itens, verificando se: O proprietrio (aquele que tem permisso para acessar um certo conjunto de informaes), periodicamente faz uma reviso em todos os dados que ele possui acesso para verificar se houver perdas, alteraes, ou outras problemas de qualquer natureza. O Centro de Computao deve ser avisado sobre os resultados obtidos atravs da reviso tanto quando eles forem favorveis (os dados esto corretos) ou quando for encontrado alguma irregularidade. Todos os proprietrios esto identificados, ou seja, os que possuem acesso a um conjunto de informaes especficas; Os inventrios so realizados conforme requerido, padronizados e periodicamente;

Os dados possuem a proteo necessria para garantir sua integridade, protegendo-os contra acessos e alteraes indevidas; As documentaes necessrias devem ser avaliadas pelas reas competentes, garantindo que estas demonstrem o que realmente ocorre dentro da rea a que se est referindo as documentaes; Quando ocorrem desastres desde um erro de digitao at a perda total dos dados de um banco de dados, existe um plano de recuperao em caso de desastre que so testados conforme requerido. Por exemplo, existem os sistemas de backup e recovery, isto , os dados mais importantes devem possuir cpias evitando transtorno em caso de acontecimentos inesperados, verificando sempre se essas cpias esto seguras evitando problemas; Os programas crticos, ou seja, os programas de sobrevivncia da empresa mais importantes, so seguros o suficiente que qualquer tentativa de fraude no consiga alterar o sistema; Um terminal tem acesso somente as informaes inerente queles que iro manipul-lo, ou seja, um terminal no setor de Finanas s prover informaes ligadas a este setor e seus processos, no ter acesso s informaes relacionadas ao setor de Recurso Humanos. Por sua vez, estes terminais podem possuir senhas prprias, podendo ser acessado somente pelos envolvidos a este setor que estejam autorizados a possurem tais informaes, estando protegido assim, contra acessos no autorizados, ou utilizado outros mtodos, pois depende de que rea encara como segurana da informao; As senhas devem possuir suas trocas automticas garantidas, pois muito arriscado para uma empresa, principalmente empresas de grande porte, manter uma mesma senha por um grande perodo; O processo de auto-avaliao desta rea foi feito e concludo com sucesso; Todos os usurios esto autorizados para o uso do computador, isto , qualquer pessoa no autorizada a manipular dados dentro do sistema possa obter informaes sem influenciar o sistema. Ex.: alteraes.

5.5. Importncia da Auditoria e suas fases O servio de auditoria proporciona a avaliao dos controles internos do ambiente de Tecnologia da Informao. Com a auditoria ser feito um levantamento exaustivo das infra-estruturas tecnolgicas, os processos, as interfaces, os sistemas de controles e segurana. Podem ser detectadas falhas de segurana, falhas nos procedimentos de cpias de dados, falhas nos processos de desenvolvimento entre outros, erros em interface e acessos indevidos de usurios do sistema. Este processo composto de: Pr-Auditoria, Auditoria e Ps-Auditoria.

5.5.1. Pr-Auditoria No perodo da pr-auditoria enviado ao departamento a ser auditado uma notificao formal. Conforme o porte da empresa se estabelece o prazo para realizao do trabalho, importante que ele seja feito com antecedncia mnima de uma semana, especificando quais sero as reas a ser auditadas, com seus respectivos planos de trabalho. Nesta fase sero feitas as primeiras reunies da gerncia com os auditores buscando esclarecer o plano de trabalho que ser aplicado no setor auditado. O Setor da Auditoria deve preparar todo material que ser utilizado, definindo as reas que sero auditadas e instruindo os auditores sobre a tcnica que ser adotada, deve tambm preparar o documento de anncio e envi-lo ao setor auditado. Ao receber a comunicao sobre a auditoria o setor a ser auditado deve preparar todo material necessrio ao processo de auditoria para facilitar o trabalho do Grupo Auditor, comunicar o pessoal do setor do procedimento e como ele ser realizado, deliberar quais so as informaes necessrias ao processo e fazer uma verificao no setor final para averiguar se tudo esta preparado. Concludo esta etapa passaremos para o processo da auditoria.

5.5.2. Auditoria Fechando a fase da pr-auditoria, o responsvel nomeado que encaminha os trabalhos far as solicitaes por escrito e com data de retorno ao representante do setor auditado. Conforme as datas estabelecidas (na pr-auditoria) sero realizadas reunies onde os apontamentos sero apresentados e ser feito um relatrio destes fatos e entregue ao representante do setor auditado para que ele encaminhe por meio de outro relatrio as razes dos problemas apontados. Aps os apontamentos verificar-se- se as justificativas so ou no aceitas pelos auditores. Quando as justificativas so rejeitadas elas vo compor um relatrio denominado Sumrio Executivo, que ser entregue diretoria da organizao. Este relatrio apresentar os resultados coletados dos setores que esto sendo auditados, apresentando um panorama geral da realidade da empresa.

5.5.3. Ps-Auditoria Realizada todas as verificaes necessrias no setor auditado, bem como a apresentao dos apontamentos a diretoria da empresa, o grupo auditor emite um relatrio final detalhando as suas atividades. Este relatrio conter: O objetivo da Auditoria, As reas que foram auditadas, As irregularidades identificadas; As medidas corretivas recomendadas; Avaliao geral do setor auditado.

Este relatrio encaminhado a todos os setores da empresa, desde a presidncia at o representante do setor auditado. O Setor Auditado deve apresentar as solues para os desvios que foram encontrados pela auditoria. Aps a soluo dos problemas deve ser encaminhado um relatrio para a direo da empresa com as medidas que foram tomadas e como os problemas foram solucionados. O Setor que foi auditado deve zelar para que os erros no se repitam e a eficcia do setor seja mantida.

5.6. Inter-Relao entre auditoria e segurana em informtica A segurana e a auditoria esto diretamente ligadas, ou seja, uma depende da outra para que se obtenham resultados satisfatrios em uma organizao. Quando o objetivo da auditoria a deteco de invases do sistema, a melhoria do sistema ou mesmo a preveno pela deteco de tentativas de quebra de segurana, imprescindvel que a trilha de auditoria seja periodicamente revista. Nada adiantar registrar todos os eventos se ningum observar o resultado final para verificar se existe algum ponto fraco ou se ocorreu alguma invaso. Caso o objetivo da auditoria seja apenas o atendimento a questes legais ou a responsabilizao em caso de quebra de segurana, aconselhvel um processo simples de reviso e apenas quando ocorrer um fato que gere essa necessidade. O registro e a visualizao da trilha de auditoria so cobertos no Common Criteria por trs atributos de segurana (PINHEIRO, 2005): Gerao de dados para auditoria; Seleo de dados para auditoria; Reviso de dados da auditoria.

Seo 2 A Legislao Brasileira voltada a Segurana das Informaes Nessa seo, faremos uma breve exposio da legislao nacional que ampara e define sobre a segurana da informao em vrios aspectos.

Legislao Brasileira e Instituies Padronizadoras A segurana de informaes, em funo de sua grande importncia para a sociedade modera, deu origem a diversos grupos de pesquisa, cujos trabalhos muitas vezes so traduzidos em padres de segurana. No final dos anos 80, levantaram-se questes como a pornografia e a xenofobia online, ao mesmo tempo em que se propagaram as atividades de violao de redes e sistemas de informao. Existem projetos legislativos que visam tratar do assunto sob o aspecto legal, protegendo os direitos da sociedade em relao a suas informaes e prevendo sanes legais aos infratores. A Internet talvez hoje um dos mais poderosos e perigosos veculos de atos difamatrios. Pelo seu carter global e pela rapidez com que a informao difundida, a difamao via Internet pode causar danos maiores e mais dificilmente reparveis do que atravs dos meios tradicionais. Para implantar segurana de informaes, recomendvel, portanto, que a instituio pesquise e sempre se mantenha atualizada quanto legislao aplicvel e aos padres de segurana estabelecida por organismos nacionais e internacionais. Em geral, os padres de segurana so utilizados no mbito internacional, enquanto as leis e normas so normalmente estabelecidas em carter nacional, podendo haver, entretanto, similaridade entre as legislaes de pases diferentes. A legislao a respeito da informtica muito recente. Esta uma das tpicas questes em que a lei anda atrs da evoluo da tecnologia e do uso que feito pelo homem, bem como das novas ferramentas e instrumentos que so colocados sua disposio. Desta forma a nossa legislao, com relao segurana de informaes, no est to consolidada como a legislao americana, porm j existem alguns meios legais que tratam sobre assuntos relativos informtica, direitos autorais e sigilo de informaes: Projeto de lei do Senador Renan Calheiros, de 2000 define e tipifica os delitos informticos; LINK Para acompanhar o projeto acima consulte: http://www.senado.gov.br procurando por PROJETO DE LEI DO SENADO, N 76 de 2000

Projeto de lei n 84, de 1999 dispe sobre os crimes cometidos na rea de informtica e suas penalidades; LINK Para acompanhar o projeto acima consulte: http://www.camara.gov.br procurando por PROJETO DE LEI DA CAMARA, N 84 de 1999 Lei n 9.609, de 19 de fevereiro de 1998 dispe sobre a proteo da propriedade intelectual de programa de computador e sua comercializao no pas; LINK Para ver a lei acima consulte: http://www.planalto.gov.br/ccivil_03/LEIS/L9609.htm Lei n 9.610, de 19 de fevereiro de 1998 altera, atualiza e consolida a legislao sobre direitos autorais; LINK Para ver a lei acima consulte: http://www.planalto.gov.br/ccivil_03/Leis/L9610.htm Lei n 9.296, de 24 de julho de 1996 regulamenta o inciso XII, parte final, do artigo 5, da Constituio Federal. O disposto nessa lei aplica-se a interceptao do fluxo de comunicaes em sistemas de informtica e telemtica; LINK Para ver a lei acima consulte: http://www.planalto.gov.br/ccivil_03/LEIS/L9296.htm Projeto de Lei do Senado n 234, de 1996 dispe sobre crime contra a inviolabilidade de comunicao de dados de computador; LINK Para acompanhar o projeto acima consulte: http://www.senado.gov.br procurando por PROJETO DE LEI DO SENADO, N 234 de 1996

Projeto de Lei da Cmara dos Deputados n 1.713, de 1996 dispe sobre o acesso, a responsabilidade e os crimes cometidos nas redes integradas de computadores; LINK Para acompanhar o projeto acima consulte: http://www.camara.gov.br procurando por PROJETO DE LEI DA CAMARA, N 1713 de 1996 Decreto n 96.036, de 12 de maio de 1988 regulamenta a Lei n 7.646, de 18 de dezembro de 1987, revogada pela Lei n 9.609, de 19 de fevereiro de 1998; LINK Para ver a o decreto acima consulte: http://www.conarq.arquivonacional.gov.br Decreto n 79.099, de 06 de janeiro de 1977 aprova o regulamento para salvaguarda de assuntos sigilosos. LINK Para ver o decreto acima consulte: http://www.conarq.arquivonacional.gov.br Para consolidarmos este assunto sobre as questes da legislao, vamos estudar sobre alguns aspectos que afetam diretamente as questes sociais e da sade dentro do mbito da legislao para segurana da informao. O texto a seguir conduz a um estudo mais aprimorado tratando a respeito deste assunto.
APROFUNDANDO O CONHECIMENTO

LAUDON, Kenneth C. e LAUDON, Jane P. Sistemas de Informao Gerenciais. 7. Ed. Pearson Prentice Hall; So Paulo, 2007.
Inserir pginas de 380 a 394 do livro, iniciando em: Direitos sobre a informao: Privacidade e Liberdade na era da Internet e ir at de RESUMO

Chegamos a reta final do nosso estudo, mas queremos intensificar que no para por aqui, agora continuar aprimorando nosso conhecimento porque a tecnologia esta em constante evoluo. A busca incessante do saber esta sempre aliada a solues que possam colaborar a cada dia com o bem estar da nossa sociedade.

Questes para reflexo Voc j teve a oportunidade de acompanhar um processo de auditoria em seu local de trabalho? Se isso foi possvel faa um relato sobre como ele ocorreu, caso no tenha presenciado nenhum verifique atravs de uma consulta na internet relatrios que foram produzidos por empresas auditadas e faa uma anlise. Faa uma busca por Relatrios de Auditoria que surgiro vrios.

Para concluir o estudo da unidade Percebemos que a auditoria neste segmento essencialmente operacional, no qual os auditores verificam os sistemas de informao, o setor computacional, a seguranas das informaes e o controle interno da entidade auditada, indicando seus pontos fortes e/ou deficincias. Em alguns pases conhecida como auditoria de informtica computacional ou de sistemas. tambm conhecida como auditoria de TI.

Resumo Aprendemos nesta ultima unidade sobre o processo de auditoria de informtica dentro de uma organizao, verificando todas as etapas e os componentes necessrios para que ela seja efetuada de forma correta. Observamos tambm que no um processo simples e com ampla aceitao pelos setores dentro da organizao, pois verificam as falhas e acabam muitas vezes expondo pessoas. Entendemos que a auditoria um processo importante e que deve ser aplicado nas organizaes para que tenham confiabilidade em seus processos e integridade nas suas informaes.

Atividades de aprendizagem O que voc entende por auditoria para rea de segurana da informao? Qual o contedo de uma auditoria bem elaborada? O que se deseja obter com o processo de auditoria Qual o perfil do auditor e cite alguns pontos que ele deve abordar no processo de auditoria. Quais as etapas da auditoria e faa um breve resumo de cada uma delas. Por que a legislao nacional importante para segurana da informao?

Referncias Bibliogrficas

A REDE. Ttulo Original: The Net. Direo de Irwin Winkler. EUA: Columbia Home Video, 1995. 1 DVD. A SENHA: Swordfish. Ttulo Original: Swordfish. Direo de Dominic Sena. EUA: Warner Bros, 2001. 1 DVD. ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. Segurana no Desenvolvimento de Software Como desenvolver sistemas seguros e avaliar a segurana de aplicaes desenvolvidas com base na ISO 15.408. Editora Campus. Rio de Janeiro, 2002. ASSUNO, Marcos Flvio Arajo. Guia do Hacker Brasileiro. Ebook, 2002. BEAL, Adriana. Gesto estratgica da informao: como transformar a informao e a tecnologia da informao em fatores de crescimento e de alto desempenho nas organizaes. So Paulo: Atlas, 2004. BERTHOLDO, Leandro Mrcio. Implementando segurana e controle em redes de computadores. 1997. Dissertao (Mestrado em Cincia da Computao) Universidade Federal do Rio Grande do Sul., Porto Alegre, 1997. Disponvel em: <http://www.lume.ufrgs.br/handle/10183/9009>. Acesso em: 23 nov. 2009. DIAS, Cludia. Segurana e Auditoria da Tecnologia da Informao. Axcel Books. Rio de Janeiro, 2000. FELICIANO NETO, Accio; FURLAN, Jos Davi e HIGO, Wilson. Engenharia da Informao Metodologia, Tcnicas e Ferramentas. Editora McGraw-Hill. So Paulo, 1988. Firewall - Segurana em Risco. Ttulo Original: Firewall. Direo de Richard Loncraine. EUA: Warner Bros, 2006. 1 DVD. FONTES, Edison. Os Dez Mandamentos. Revista Network Computing Brasil , So Paulo: it.midia, ano 2, n. 18, p. 18, Agosto 2000. GRAA, Antonio. Sem Segurana No Tem Negcio. Revista Network Computing Brasil, So Paulo: it.midia, ano 2, n. 16, p. 47, Junho 2000. GONALVES, Lus Rodrigues de Oliveira. Pequeno histrico sobre o surgimento das normas de segurana. Disponvel em: <http://www.modulo.com.br/ >. Acesso em: 23 out. 2009. GONALVES, Jlio Crsar. O gerenciamento da informao e sua segurana contra ataques de vrus de computador recebidos por meio de correio eletrnico. Dissertao de Mestrado em Administrao - Departamento de Economia, Contabilidade, Administrao e Secretariado, Universidade de Taubat. Taubat, 2002. Disponvel em:

http://www.ppga.com.br/mestrado/2002/goncalves_julio_cesar.pdf. Acesso em: 12 dez. 2009. HOGLUND, Greg e HOGLUND, Gary. Como quebrar cdigos. So Paulo: Pearson, 2006. KATZAM JR, Harry. Segurana de em Computao. Editora LTC. Rio de Janeiro, 1977. KRAUSE, Micki e TIPTON, Harold F. Handbook of Information Security Management. Auerbach Publications, 1999. LAUDON, Kenneth C. e LAUDON, Jane P. Sistemas de Informao Gerenciais. Prentice Hall; So Paulo, 2004. LAUDON, Kenneth C. e LAUDON, Jane P. Sistemas de Informao Gerenciais. 7. ed. Pearson Prentice Hall; So Paulo, 2007. LAUREANO, Marcos Aurelio Pchek. Uma Abordagem Para a Proteo de Detectores de Intruso Baseadas em Mquinas Virtuais. Dissertao de Mestrado apresentado ao Programa de Ps-Graduao em Informtica Aplicada da Pontifcia Universidade Catlica do Paran, 2004. LESSA, Guilherme Gonalves. Gesto de Segurana da Informao: Implementao da Norma BS7799-2:2002 em uma Instituio Financeira. Dissertao. (Mestrado) Universidade Federal do Rio Grande do Sul, Escola de Administrao, Programa de PsGraduao em Administrao, 2006. Disponvel em: http://www.lume.ufrgs.br/handle/10183/8470. Acesso em 23/11/09. LUZ, Giovani A ., REIS, Gutierres B. Proposta de Poltica de Segurana e de Arquiteturas de Firewall para a Universidade de Taubat. Monografia de Graduao no Curso de Bacharelado em Computao, Departamento de Informtica da Universidade de Taubat UNITAU. Taubat: UNITAU, 1999. MACHADO, Ana Maria Nogueira. Informao e controle bibliogrfico: um olhar sobre a ciberntica. -So Paulo: Editora UNESP, 2003. MATSUDA. Teoria dos sistemas. Disponvel em: <http://sites.mpc.com.br/gberaldo/Teoria%20dos%20sistemas.pdf>. Acesso em: 22 out. 2009. MOREIRA, Stringasci Nilton. Segurana Mnima: uma viso coorporativa da segurana de informaes. Rio de Janeiro: Axcel Books, 2001. NBR ISO/IEC 17799 Tecnologia da Informao. Cdigo de Prtica para Gesto da Segurana da Informao. Associao Brasileira de Normas Tcnicas. Rio de Janeiro, 2003.

NEMETH, Evi. Manual Completo do Linux, Guia do Administrador. 2 Ed. So Paulo: Pearson, 2007. OBRIEN, J. A. Sistemas de informao e as decises gerenciais na era da internet. Traduo de Cid Knipel Moreira. So Paulo: Saraiva, 2004. PINHEIRO, Jos Maurcio S. Curso de Tecnologia em Redes de Computadores Auditoria e Anlise de Segurana da Informao. Centro Universitrio Geraldo de Biasi, 2005 Disponvel em: http://www.projetoderedes.com.br/ aulas/ ugb_auditoria_e_analise/ ugb_auditoria_e_analise_de_seguranca_aula_04 .pdf. Acesso em: 13 dez. 2009. PRENDA-ME se for Capaz. Ttulo Original: Catch Me If You Can. Direo de Steven Spielberg. EUA: DreamWorks SKG, 2002. 1 DVD. REZENDE, Denis Alcides e ABREU, Aline Frana. Tecnologia da Informao Aplicada a Sistemas de Informao Empresariais. Editora Atlas. So Paulo, 2000. SMOLA, Marcos. Gesto da Segurana da Informao Uma viso Executiva. Editora Campus. Rio de Janeiro, 2003. SHIREY, R. RFC 2828 Internet Security Glossary. The Internet Society, 2000. SYNNATT, William R. The Information Weapon Winning Customers and Markets with Tecnhonology. Editora John Wiley & Sons, 1987. TALLINGS, William. Criptografia e segurana de redes: princpios e prticas. 4ed. So Paulo: Pearson, 2008. TURBAN, Efrain; RAINER, K. R.; POTTER, Jr., R. E. Administrao de tecnologia da informao. Traduo de Tereza Cristina Felix de Souza. Rio de Janeiro: Elsevier, 2003. VICRIA, Luciana. Hacker Regenerado. Revista poca, So Paulo, ano 2, n. 278. 15 set. 2003. WADLOW, Thomas. Segurana de Redes. Editora Campus. Rio de Janeiro, 2000. ZEMAN, J. Significado filosfico da noo de informao. In: O CONCEITO de informao na cincia contempornea. Rio de Janeiro: Paz e Terra, 1970. p.154-179.