um novo e caro hobby da internet
Transcrição
um novo e caro hobby da internet
UM NOVO E CARO HOBBY DA INTERNET Elizabeth Owen quase perdeu sua identidade. Usuária frequente do eBay, ela recebeu um e-mail que parecia vir do serviço de pagamentos do eBay, o PayPal, solicitando que atualizasse suas informações de crédito; caso contrário, seria barrada em futuras compras. Ela imediatamente começou a fornecer os dados. Mas, alguns instantes antes de transmiti-los, deteve-se. O escritório onde ela trabalha a Associação Nacional dos Administradores de Órgãos de Defesa do Consumidor, havia recebido várias queixas de golpes por e-mail. Mesmo com essa informação, ela quase se tornou uma vítima de um tipo especial de roubo de identidade, o chamado phishing. Em um ataque de phishing, são enviados e-mails que alegam ser de um banco, empresa de cartão de crédito, varejista ou outra empresa, e direcionam o destinatário a um site onde se solicita a inserção de informações vitais, tais como números de conta bancária, números da Previdência Social, detalhes do cartão de crédito ou senhas on-line. O site parece legítimo, mas na verdade é uma farsa. Os golpistas usam as informações obtidas por meio do phishing para esvaziar contas bancárias ou de cartão de crédito, ou ainda vender essas informações para que outros o façam. De acordo com o Grupo de Trabalho Antiphishing, o Citibank, o U.S. Bank e a Visa encabeçam a lista de marcas financeiras raptadas pelos golpistas. Os golpistas também estão aproveitando as fusões bancárias, como a ocorrida entre o Wachovia e o Sun Trust, para tentar convencer os clientes a fornecer seu número de conta, alegando que necessitam dessa informação para completar a transição para as novas contas pós-fusão. O phishing está crescendo em um ritmo explosivo. O Gartner Research relatou que, em maio de 2005,73 milhões de norte-americanos receberam e-mails de phishing, e 2,4 milhões tiveram sua identidade roubada durante os 12 meses antecedentes à pesquisa. A maioria das perdas geradas por esses golpes foi absorvida pelos bancos e empresas de cartão de crédito, mas um número significativo de pessoas desistiu de usar os serviços financeiros on-line por medo de ataques semelhantes. O que pode ser feito para combater o phishing e evitar a perda da confiança? Uma série de abordagens é possível. Primeiro, as empresas podem educar seus clientes a respeito dos golpes de phishing (também chamados phishing scams). O Citibank, uma unidade do Citigroup, alerta os visitantes de seu site sobre os perigos do phishing, além de emitir sinais de alerta para e-mails potencialmente fraudulentos. O Citibank assegura, ainda, que jamais envia e-mails aos clientes solicitando informações confidenciais. Os provedores de serviços de Internet (ISPs) e os sites em si começaram a usar produtos e serviços antiphishing. Alguns serviços eliminam o junk e-mail (literalmente, 'e-mail lixo'). Outros tentam extirpar os sites falsos da Web, emitindo listas negras de sites phishing para advertir os consumidores. Alguns monitoram os sites de serviços bancários on-line, para verificar se estão sendo espreitados por golpistas, ou até mesmo solicitam aos provedores de serviço de Internet que removam os sites infratores. O eBay integrou o software Web Caller-ID, da WholeSecurity Inc., uma empresa de Austin, Texas, ao item Account Guard (Proteção de Conta) de sua barra de ferramentas, a qual os usuários baixam do site para controlar suas atividades no eBay. O Account Guard exibe um ícone que fica verde quando os usuários entram nos endereços autênticos do eBay e do PayPal, mas fica vermelho quando sites suspeitos ou integrantes da lista negra são solicitados. Os bancos estão começando a revidar ataques de phishing requisitando dos clientes on-line autenticações de múltiplos níveis — além de seus nomes e senhas, algo mais, como uma foto pequena e exclusiva. O Bank of America agora solicita aos clientes de Internet que registrem seus computadores e vinculem uma imagem digital, como uma foto do seu gato, à sua conta. Quando um cliente acessa o site do banco, a imagem é exibida antes que ele insira sua senha; assim, ele tem certeza de que o site é legítimo. Entretanto, outros bancos hesitam em adotar tais medidas, por medo de tornar as transações bancárias por Internet difíceis demais. Vulnerabilidade dos sistemas e uso indevido Você pode imaginar o que aconteceria se tentasse conectar-se à Internet sem um firewall ou software antivírus? Em segundos o seu computador seria danificado, e você talvez levasse dias para reabilitá-lo. Se seu computador fosse usado para administrar sua empresa, enquanto ele estivesse fora do ar talvez você não conseguisse atender os clientes, nem fazer pedidos aos fornecedores. Talvez você precisasse contratar — a preço de ouro — especialistas em sistemas para fazê-lo funcionar outra vez. E no fim você talvez descobrisse que, nesse meio tempo, seu sistema de computador foi invadido por invasores, que roubaram ou destruíram dados valiosos, incluindo dados confidenciais de pagamento de seus clientes. Se grande quantidade de dados tivesse sido destruída ou divulgada, sua empresa talvez nunca mais conseguisse recuperar-se! Em resumo, se você opera uma empresa hoje, precisa ter a segurança e o controle como prioridades. O termo segurança abarca as políticas, procedimentos e medidas técnicas usados para impedir acesso não autorizado, alteração, roubo ou danos físicos a sistemas de informação. Os controles, por sua vez, consistem em todos os métodos, políticas e procedimentos organizacionais que garantem a segurança dos ativos da organização, a precisão e a confiabilidade de seus registros contábeis e a adesão operacional aos padrões administrativos. Por que os sistemas são vulneráveis Quando grandes quantidades de dados são armazenadas sob formato eletrônico, ficam vulneráveis a muito mais tipos de ameaças do que quando estão em formato manual. Sistemas de informação em diferentes localidades podem ser interconectados por meio de redes de telecomunicação. Logo, o potencial para acesso não autorizado, uso indevido ou fraude não fica limitado a um único lugar, mas pode ocorrer em qualquer ponto de acesso à rede. Elas podem originar-se de fatores técnicos, organizacionais e ambientais, agravados por decisões administrativas erradas. No ambiente de computação cliente/servidor existem vulnerabilidades em cada camada e nas comunicações entre as camadas. Os usuários da camada cliente podem causar danos ao introduzir erros ou ao acessar sistemas sem autorização. E possível acessar os dados enquanto eles estão fluindo pela rede, roubar dados valiosos durante a transmissão ou alterar mensagens sem autorização. A radiação também pode interromper a rede em vários pontos. Intrusos podem deflagrar ataques de recusa de serviço ou inserir softwares mal-intencionados para interromper a operação de sites. Aqueles capazes de penetrar os sistemas corporativos podem destruir ou alterar os dados corporativos armazenados em bancos de dados ou arquivos. Quando o hardware quebra, não está configurado apropriadamente ou é danificado por uso impróprio ou atividades criminosas, os sistemas não funcionam como deveriam. Já as causas de falha em softwares são erros de programação, instalação inadequada ou alterações não autorizadas. Além disso, quedas de energia, enchentes, incêndios ou outros desastres naturais podem prejudicar sistemas de computador. As parcerias com outras empresas, no âmbito nacional ou internacional, aumentam a vulnerabilidade do sistema, pois informações valiosas podem residir em redes e computadores fora do controle da organização. Sem salvaguardas sólidas, dados valiosos podem ser perdidos, destruídos ou podem cair em mãos erradas, revelando importantes segredos comerciais ou informações que violem a privacidade pessoal. Vulnerabilidades da Internet Grandes redes públicas, incluindo a Internet, são mais vulneráveis porque estão abertas a praticamente qualquer um; e, quando sofrem abusos, são tão grandes que as proporções do impacto podem ser imensas. Quando a Internet se torna parte da rede corporativa, os sistemas de informação da organização podem ficar vulneráveis a ações de estranhos. Computadores permanentemente conectados com a Internet via modem a cabo ou linha DSL estão mais sujeitos à invasão por estranhos, já que usam um endereço de Internet fixo, tornando-se, portanto, mais fáceis de identificar. (No serviço de discagem, para cada sessão é determinado um endereço de Internet temporário.) Um endereço de Internet fixo cria um alvo fixo para hackers. Caso não utilizem uma rede privada segura, os serviços de telefonia baseados na tecnologia de Internet podem ser mais vulneráveis que a rede de voz comutada. A maior parte do tráfego de voz sobre IP (VoIP) na Internet pública não está criptografada, de maneira que qualquer pessoa com uma rede pode ouvir as conversas. Hackers podem interceptar diálogos para obter dados de cartão de crédito e outras informações pessoais confidenciais, ou podem até mesmo interromper o serviço de voz entupindo os servidores que o comportam com tráfego falso. A vulnerabilidade também aumentou com o uso disseminado de e-mail e mensagens instantâneas. O e-mail pode conter anexos que servem como trampolim para softwares mal-intencionados ou acesso não autorizado a sistemas corporativos internos. Os funcionários podem usar mensagens de e-mail para transmitir segredos de negócio, dados financeiros ou informações confidenciais dos clientes a destinatários não autorizados. Os aplicativos de mensagem instantânea mais comuns não usam uma camada segura para mensagens de texto, por isso podem ser interceptados e lidos por estranhos durante a transmissão pela Internet pública. O recurso de mensagens instantâneas pela Internet pode, em alguns casos, ser usado como passagem secreta para uma rede até então segura. (Sistemas de mensagens instantâneas projetados para corporações, como o SameTime, da IBM, incluem atributos de segurança.) Desafios da segurança sem fio Redes sem fio que utilizam tecnologias baseadas em rádio são ainda mais vulneráveis à invasão, porque é fácil fazer a varredura das faixas de radiofreqüência. Tanto a rede Bluetooth quanto a Wi-Fi são suscetíveis a escutas. Embora o alcance das redes Wi-Fi seja de apenas algumas dezenas de metros, ele pode ser estendido a 400 metros por meio de antenas externas. As redes locais (LANs) que usam o padrão 802.11b (Wi-Fi) podem ser facilmente penetradas por estranhos munidos de laptops, cartões sem fio, antenas externas e softwares piratas gratuitos. Os hackers podem usar essas ferramentas para detectar redes desprotegidas, monitorar o tráfego da rede e, em alguns casos, obter acesso à Internet ou a redes corporativas. A tecnologia de transmissão Wi-Fi usa a transmissão de espectro espalhado, na qual um sinal é espalhado por uma ampla faixa de frequências, e uma versão específica da transmissão de espectro espalhado usada no padrão 802.11b foi projetada para que as estações encontrassem e ouvissem umas às outras com facilidade. Os identificadores de conjunto de serviços (service set identifiers — SSID) que identificam os pontos de acesso numa rede Wi-Fi são transmitidos várias vezes e podem ser captados muito facilmente por programas sniffers (farejadores) intrusos. Em muitos lugares, as redes sem fio não contam com proteções básicas contra o war driving, ação em que um espião dirige um carro entre edifícios ou estaciona do lado de fora e tenta interceptar o tráfego por redes sem fio. O padrão 802.11 especifica o SSID como uma espécie de senha para que o cartão de interface de rede (NIC) de rádio do usuário se conecte a uma rede sem fio específica. Para que a associação e a comunicação sejam liberadas, o NIC de rádio do usuário precisa ter o mesmo SSID que o ponto de acesso. A maioria dos pontos de acesso transmite o SSID muitas vezes por segundo. Um hacker pode usar uma ferramenta de análise de 802.11 para identificar o SSID. (O Windows XP tem recursos para detectar o SSID usado na rede e automaticamente configurar o NIC de rádio dentro do dispositivo do usuário.) Um intruso que se tenha associado ao ponto de acesso usando o SSID correto pode então obter um endereço de protocolo de Internet (IP) legítimo para acessar outros recursos na rede, pois muitas LANs sem fio atribuem automaticamente endereços de IP aos usuários assim que eles se tornam ativos. Isso permite que um intruso que tenha ilicitamente se associado a uma LAN sem fio use o sistema operacional Windows para identificar outros usuários conectados à rede e, inclusive, clicar nos dispositivos de outros usuários, localizar arquivos de documentos e mesmo abrir ou copiar esses arquivos. Esse é um problema grave que muitos usuários finais ignoram quando se conectam a pontos de acesso em aeroportos ou outros lugares públicos. Os invasores também podem usar as informações que colheram sobre endereços IP e SSIDs para estabelecer pontos de acesso ilícitos em um canal de rádio diferente, em lugares físicos próximos aos usuários; assim, forçam o NIC de rádio do usuário a se associar ao ponto de acesso ilícito. Uma vez tendo ocorrido essa associação, os hackers podem capturar nomes e senhas de usuários acima de qualquer suspeita. O padrão de segurança inicial desenvolvido para Wi-Fi, denominado Wired Equivalent Privacy (WEP) não é muito eficiente. O WEP vem embutido em todos os produtos de padrão 802.11, mas seu uso é opcional. Os usuários precisam ativá-los e muitos esquecem de fazê-lo, deixando muitos pontos de acesso desprotegidos. Software mal-intencionado: vírus, worms, cavalos de Tróia e spywares Programas de software mal-intencionados são designados malware e incluem uma variedade de ameaças, tais como vírus de computador, worms e cavalos de Tróia. Vírus de computador é um programa de software espúrio que se anexa a outros programas de software ou arquivos de dados a fim de ser executado, geralmente sem conhecimento nem permissão do usuário. A maioria dos vírus de computador transporta uma 'carga'. A carga pode ser relativamente benigna, como instruções para exibir uma mensagem ou imagem, ou pode ser altamente destrutiva — destruir programas ou dados, entupir a memória do computador, reformatar o disco rígido ou fazer com que programas funcionem de maneira imprópria. Normalmente, os vírus passam de computador para computador quando os humanos executam determinada ação, como enviar um e-mail com anexo ou copiar um arquivo infectado. Os ataques mais recentes têm vindo de worms, programas de computador independentes que copiam a si mesmos de um computador para outro por meio de uma rede. (Diferentemente dos vírus, eles podem funcionar sozinhos, sem se anexar a outros arquivos de programa, e dependem menos do comportamento humano para se disseminar. Isso explica por que os worms se espalham muito mais rapidamente que os vírus.) Os worms destroem dados e programas, assim como prejudicam e até interrompem o funcionamento de redes de computadores. Worms e vírus são muitas vezes disseminados pela Internet a partir de arquivos de software baixados, de arquivos anexados a transmissões de e-mail, de mensagens de e-mail danificadas ou de mensagens instantâneas. Os vírus também têm invadido sistemas de informação computadorizados a partir de discos ou máquinas 'infectados'. Atualmente, os worms transmitidos por e-mail são os mais problemáticos. Em maio de 2005, a IBM relatou que mais de 30 por cento dos e-mails continham alguma forma de malware. Agora os vírus e worms estão contaminando os dispositivos de computação sem fio. O worm Cabir, por exemplo, que apareceu pela primeira vez no início de 2005, tem como alvo dispositivos móveis que utilizam o popular sistema operacional móvel Symbian, espalhando-se por meio de redes sem fio Bluetooth. O Cabir fica continuamente procurando outros dispositivos Bluetooth e, com o tempo, esgota a bateria do dispositivo. Vírus de dispositivos móveis podem representar uma séria ameaça à computação empresarial, devido ao grande número desses dispositivos ligados a sistemas corporativos de informação. Ao longo da última década, worms e vírus causaram bilhões de dólares em prejuízo às redes corporativas, sistemas de e-mail e dados. Entre as empresas pesquisadas no 10º Levantamento Anual da Prevalência de Vírus dos Laboratórios ICSA, a recuperação após ataques de vírus e malware custou uma média de sete homens/dia e em média 130 mil dólares (ICSA Labs, 2005). Cavalo de Tróia é um software que parece benigno, mas depois faz algo diferente do esperado. O cavalo de Tróia em si não é um vírus, porque não se replica, mas é muitas vezes uma porta para que vírus ou outros códigos mal-intencionados entrem no sistema de computador. Exemplos de códigos mal-intencionados Nome Tipo ____ Descrição _______________ _ __________________ MyDoom.A Worm Surgiu em 26 de janeiro de 2004. Espalha-se como um anexo de email, afetando os sistemas que usam Microsoft Windows. Envia e-mails a endereços coletados nas máquinas infectadas, falsificando o endereço do remetente. É considerado o 'propagador de e-mails em massa de mais rápida disseminação já visto'. Sasser.ftp Worm Surgiu em maio de 2004. Dissemina-se pela Internet atacando aleatoriamente endereços de IR Faz com que o computador trave e se reinicie toda hora. Os computadores infectados buscam novas vítimas. Klez Worm de e-mail É transmitido por um e-mail composto por uma linha de assunto aleatória e um corpo de mensagem que lista todos os endereços do catálogo de endereços do Windows, do banco de dados do programa de mensagem instantâneas ICQ e de arquivos locais. Um arquivo do sistema do usuário é selecionado aleatoriamente e enviado junto com o worm. 0 Klez também tenta desativar o software antivírus e inserir outro vírus no sistema do usuário, o qual tenta infectar arquivos executáveis nesse computador e nos sistemas de arquivamento da rede. StartPage.FH Cavalo de Tróia Surgiu em 15 de junho de 2004. É transmitido por disquetes, CD-R0Ms, downloads de Internet e compartilhamento de arquivos peer-to-peer (P2P). Altera a home page do Internet Explorer para que exiba mensagens falsas, alertando os usuários de infecção por spyware. Tenta convencer os usuários a visitar um site no qual outros malwares podem ser instalados. Netsky.P Worm Surgiu em 21 de março de 2004. Dissemina-se por e-mail e pelo compartilhamento de arquivos P2R Apaga entradas pertencentes a vários outros worms, incluindo o MyDoom e o Bagle. É ativado quando a mensagem é vista no painel de pré-visualização do Microsoft Outlook. Sobig.F Worm Detectado pela primeira vez em 19 de agosto de 2003. Envia gigantescas quantidades de e-mails com dados falsos de remetente. A carga é ativada às sextas-feiras e aos sábados, quando ele descarrega um programa e o executa no computador infectado. Melissa Vírus de macro/ worm Surgiu em março de 1999. Foi o programa infeccioso de mais rápida disseminação já visto até então. Atacava o modelo global Normal.dot do Microsoft Word, garantindo a infecção de todos os novos documentos. Enviava arquivos Word infectados às primeiras 50 entradas do catálogo de endereços do Microsoft Outlook. Um exemplo de cavalo de Tróia dos tempos modernos é o programa DSNX-05, detectado no início de 2005. Liberado por uma mensagem de e-mail falsa que parecia vir da Microsoft, direcionava os destinatários a visitar um site parecido com o site do Microsoft Windows. O site, então, baixava e instalava códigos mal-intencionados no computador. Com esse cavalo de Tróia instalado, os hackers podiam acessar o computador remotamente sem ser detectados e usá-lo para seus próprios interesses. Alguns tipos de spyware (software espião) também atuam como softwares mal-intencionados. Esses programinhas instalam-se nos computadores para monitorar a atividade do internauta e usar as informações para fins de marketing. Alguns anunciantes da Web usam spyware para conhecer os hábitos de compra dos usuários e exibir anúncios sob medida para eles. Muitos usuários consideram esses spywares incômodos, e alguns condenam seu uso, alegando que eles infringem a privacidade dos usuários de computador. Outras formas de spyware, porém, são muito mais perversas. Os key loggers (literalmente, registradores de tecla) registram cada tecla pressionada em um computador para roubar números seriais de softwares, deflagrar ataques na Internet, obter acesso a contas de e-mail, descobrir senhas para sistemas de computador protegidos ou coletar informações pessoais como números de cartão de crédito. Outros programas espiões alteram as home pages do navegador Web, redirecionam pedidos de busca ou entopem a memória do computador a ponto de diminuir sua velocidade. Já foram documentadas aproximadamente mil formas de spyware. Hackers e Cibervandalismo Hacker é um indivíduo que pretende obter acesso não autorizado a um sistema de computador. Dentro da comunidade hacking, o termo cracker normalmente é usado para designar o hacker com intenções criminosas, embora na imprensa em geral os termos hacker e cracker sejam usados indiscriminadamente. Hackers e crackers obtêm acesso não autorizado após encontrar fragilidades nas proteções de segurança empregadas pelos sites e sistemas de computador, muitas vezes tirando proveito das várias características da Internet que a tornam um sistema aberto e fácil de usar. As atividades dos hackers deixaram de ser meras invasões de sistemas e se expandiram, a ponto de incluir roubo de mercadorias e informações, danos em sistemas, e cibervandalismo, isto é, a interrupção, alteração da aparência ou até mesmo a destruição de um site ou sistema de informação corporativo. Em maio de 2004, surgiu o worm Sasser, que afetou milhões de computadores pertencentes a indivíduos e empresas em todo o mundo. O Sasser tinha como alvo uma falha no sistema operacional Microsoft Windows. Ele interrompeu os check-ins de vôo da British Airways, as operações dos postos da Guarda Costeira britânica, de hospitais em Hong Kong, de agências de correio em Taiwan e do Banco Westpac, na Austrália. Ao redor do globo, o Sasser e suas variações causaram prejuízos estimados entre 14,8 bilhões de dólares e 18,6 bilhões de dólares. Spoofing e sniffing Na tentativa de ocultar sua verdadeira identidade, os hackers muitas vezes se disfarçam usando endereços de e-mail falsos ou fingindo ser outra pessoa. O spoofing (disfarce) também pode envolver o redirecionamento de um link para um endereço diferente do desejado, estando o site espúrio 'disfarçado' como o destino pretendido. Links formulados para levar a determinado site podem ser reescritos para enviar os usuários a um site totalmente diferente, conforme o interesse do hacker. Por exemplo, se os hackers redirecionam os clientes para um site falso parecidíssimo com o verdadeiro, podem então receber e processar pedidos, literalmente roubando o negócio ou pegando informações confidenciais do cliente. Oferecemos mais detalhes sobre outras formas de spoofing em nossa explanação sobre crimes de informática. Sniffer (farejador) é um tipo de programa espião que monitora as informações transmitidas por uma rede. Quando usados de maneira legítima, os sniffers podem ajudar a identificar pontos frágeis ou atividades criminosas na rede, mas quando usados para fins ilícitos podem ser danosos e muito difíceis de detectar. Os sniffers permitem que os hackers roubem informações de qualquer parte da rede, inclusive mensagens de e-mail, arquivos da empresa e relatórios confidenciais. CRIMES DE INFORMÁTICA E CIBERTERRORISMO A maioria das atividades de hacking é composta por atos criminosos, e as vulnerabilidades dos sistemas que acabamos de descrever fazem deles alvos para outros tipos de crimes de informática. O Departamento de Justiça dos Estados Unidos define crimes de informática como "quaisquer violações da legislação criminal que envolva um conhecimento de tecnologia da informática em sua perpetração, investigação ou instauração de processo". O computador pode ser alvo de um crime ou instrumento de um crime. Ninguém sabe a magnitude do problema dos crimes de informática — quantos sistemas são invadidos, quantas pessoas estão envolvidas nessa prática ou o prejuízo econômico total. De acordo com um único estudo do Centro de Pesquisa de Crimes de Informática dos Estados Unidos, as empresas norte-americanas perdem aproximadamente 14 bilhões de dólares anualmente com os cibercrimes. Muitas empresas relutam em registrar esse tipo de crime, porque pode haver funcionários envolvidos, ou porque a empresa teme que tornar pública a sua vulnerabilidade possa manchar sua reputação. Os tipos de crime de informática mais danosos do ponto de vista financeiro são os ataques DoS, a introdução de vírus, o roubo de serviços e a interrupção de sistemas de computador. Tradicionalmente, o pessoal interno — isto é, os funcionários — tem sido a fonte dos crimes de informática mais devastadores, porque eles têm o conhecimento, o acesso e, frequentemente, os motivos (relacionados ao trabalho) para cometer tais crimes. No entanto, a facilidade de uso e a acessibilidade da Internet têm criado novas oportunidades para crimes de informática e usos indevidos por parte do pessoal externo à organização. Roubo de identidade Com o crescimento do comércio eletrônico e da Internet, o roubo de identidade tem se tornado especialmente perturbador. Roubo de identidade é um crime em que um impostor obtém informações pessoais importantes, como número de identificação da Previdência Social, número da carteira de motorista ou número do cartão de crédito para se fazer passar por outra pessoa. As informações podem ser usadas para obter crédito, mercadorias ou serviços em nome da vítima, ou para dar ao ladrão falsas credenciais. De acordo com a Comissão Federal de Comércio dos Estados Unidos, a cada ano cerca de 3,2 milhões de consumidores norte-americanos são vítimas de roubo de identidade. A Internet facilitou a vida desses criminosos, porque tornou possível comprar bens on-line sem nenhuma interação pessoal, e ela tem inspirado novas táticas para roubar informações pessoais. Arquivos de cartão de crédito são um dos alvos principais dos hackers de sites. Além disso, os sites de e-commerce são fontes fabulosas de informações pessoais dos clientes — nome, endereço e número telefônico. Munidos dessas informações, os criminosos podem assumir novas identidades e estabelecer novas linhas de crédito para seus próprios fins. Uma prática cada vez mais popular é uma forma de spoofing chamada phishing, já descrita no caso de abertura deste capítulo. O phishing envolve montar sites falsos ou enviar mensagens de e-mail parecidas com as enviadas por empresas legítimas, a fim de pedir aos usuários dados pessoais confidenciais. As mensagens de e-mail instruem o destinatário a atualizar ou confirmar cadastros, fornecendo números da Previdência Social, informações bancárias ou de cartões de crédito e outros dados confidenciais, seja respondendo ao próprio e-mail, seja inserindo as informações no site falso. Os golpistas de phishing já fingiram ser o serviço de pagamento on-line PayPal; a provedora de serviços on-line American online (AOL); o Citibank; o Fleet Bank; a American Express; o Federal Deposit Insurance Corporation (órgão público norte-americano que garante os depósitos bancários, semelhante ao nosso Fundo Garantidor de Crédito); o Banco da Inglaterra e outros bancos no mundo todo. Segundo a empresa de segurança inglesa mi2g, o prejuízo econômico mundial causado pelos golpes de phishing ultrapassa 13,5 bilhões de dólares em perdas de produtividade e de clientes, interrupção de negócios e esforços para reparar os danos à reputação da marca. Computadores como alvos de crime Violar a confidencialidade de dados computadorizados protegidos Acessar um sistema de computador sem autorização Acessar intencionalmente um computador protegido para cometer fraude Acessar intencionalmente um computador protegido e infligir-lhe danos, de maneira negligente ou deliberada Transmitir intencionalmente um programa, código de programa ou comando que deliberadamente cause danos a um computador protegido Ameaçar causar danos a um computador protegido Computadores como instrumentos de crime Roubo de segredos comerciais Cópia não autorizada de software ou de material com propriedade intelectual registrada, como artigos, livros, músicas e vídeos. Esquemas para defraudação Usar e-mail para ameaças ou assédio Tentar intencionalmente interceptar comunicações eletrônicas Acessar ilegalmente comunicações eletrônicas armazenadas, inclusive e-mail e caixa postal de voz Possuir material de pedofilia armazenado em um computador ou transmiti-lo eletronicamente. Novas técnicas de phishing denominadas evil twins e pharming são ainda mais difíceis de detectar. Os evil twins (gêmeos do mal) são redes sem fio que fingem oferecer conexões Wi-Fi confiáveis à Internet, tais como aquelas encontradas em saguões de aeroportos, hotéis ou cafeterias. Com a rede falsa, que parece idêntica a uma rede pública legítima, os fraudadores tentam capturar senhas ou números de cartão de crédito dos incautos usuários que se conectam nela. O pharming, por sua vez, redireciona os usuários para uma página Web falsa, mesmo quando a pessoa digita o endereço correto da página Web no seu navegador. Isso é possível porque os praticantes do pharming conseguem acessar as informações sobre endereços Internet que os provedores de serviços de Internet armazenam para acelerar a navegação; caso esses ISPs usem softwares com brechas de segurança em seus servidores Web, os fraudadores conseguem 'hackear' e alterar esses endereços. Ciberterrorismo e guerra cibernética Existe uma crescente preocupação de que as vulnerabilidades da Internet e de outras redes poderiam ser exploradas por terroristas, serviços de inteligência estrangeiros ou outros grupos para criar perturbações e prejuízos disseminados. Alguns ciberataques podem visar o software que controla redes de energia elétrica, sistemas de controle de tráfego aéreo ou redes de grandes bancos e instituições financeiras. Hackers de uma série de países, inclusive a China, vêm testando e mapeando as redes norte-americanas, e acredita-se que pelo menos 20 países estejam desenvolvendo recursos de ataque e defesa para uma verdadeira guerra cibernética. Todos os anos, as redes militares e os órgãos públicos norte-americanos sofrem centenas de ataques de hackers. O governo norte-americano já tomou algumas medidas para lidar com essa ameaça potencial. O Departamento de Segurança Nacional criou uma Diretoria de Proteção à Infra-Estrutura e Análise de Informação para coordenar a cibersegurança. A Divisão Nacional de Cibersegurança da diretoria é responsável por proteger a infra-estrutura crítica. Ela analisa o ciberespaço, compartilha informações, emite alertas e colabora com as iniciativas nacionais de recuperação. O Departamento de Defesa norte-americano reuniu forças-tarefas para a defesa de redes de computadores e para a administração de ataques a redes. Além de tudo isso, o Congresso norte-americano aprovou a Lei de Desenvolvimento e Pesquisa em Cibersegurança para subvencionar universidades que estejam pesquisando maneiras de proteger os sistemas de computador. Ameaças internas: funcionários Quando pensamos em ameaças à segurança de uma empresa, tendemos a pensar em algo que se origina fora da organização. Na verdade, as maiores ameaças às empresas do ponto de vista financeiro não vêm de roubos, mas do desvio de dinheiro por parte dos próprios funcionários. Algumas das maiores interrupções de serviço, destruição de sites de e-commerce e desvio de informações pessoais e dados de crédito dos clientes partiram do pessoal interno — daqueles funcionários em que outrora se confiava. Os funcionários têm acesso a informações privilegiadas e, na presença de procedimentos de segurança internos frouxos, muitas vezes podem perambular por todos os sistemas da organização sem deixar vestígios. Pesquisas concluíram que a falta de conhecimento dos usuários é a maior causa isolada de falhas na segurança de redes. Muitos funcionários esquecem sua senha para acessar o sistema de computadores, ou permitem que colegas as utilizem, o que compromete o sistema todo. Intrusos mal-intencionados em busca de acesso ao sistema podem enganar os funcionários fingindo ser membros legítimos da empresa; assim, conseguem fazer com que eles revelem sua senha. Essa prática é denominada engenharia social. Os funcionários — tanto usuários finais quanto especialistas em sistemas de informação — também são uma grande fonte de erros introduzidos nos sistemas de informação. Os funcionários podem introduzir erros inserindo dados incorretos, ou deixando de seguir as regras para o processamento de dados e o uso do equipamento de informática. Especialistas em sistemas de informação também geram erros de software ao projetar e desenvolver novos softwares, ou ao fazer a manutenção dos programas existentes. Vulnerabilidade do software Erros de software também representam uma constante ameaça aos sistemas de informação, causando perdas indizíveis na produtividade. Segundo o Instituto Nacional de Padrões e Tecnologias (NIST) do Departamento de Comércio dos Estados Unidos, as falhas de software (incluindo vulnerabilidade a hackers e malware) custam à economia norte-americana 59,6 bilhões de dólares todos os anos . Os softwares comerciais muitas vezes contêm falhas que geram não apenas problemas de desempenho, mas também vulnerabilidades de segurança que abrem as redes a invasores. Essas vulnerabilidades permitem que malwares penetrem pelas barreiras antivírus. Grande quantidade de malwares já tentou explorar vulnerabilidades no sistema operacional Microsoft Windows e em outros produtos Microsoft, e os malwares que têm como alvo o sistema operacional Linux também estão proliferando. Para corrigir as falhas de software identificadas, os fornecedores criam softwares denominados patches (remendos) que consertam as falhas sem prejudicar o funcionamento do programa. Exemplo disso é o XP Service Pack 2 (SP2), lançado em 2004 pela Microsoft para oferecer proteção adicional de firewall contra vírus e invasores, atualizações de segurança automáticas e uma interface fácil de usar para administrar os aplicativos de segurança no computador do usuário. Cabe aos usuários do software localizar a vulnerabilidade, testar e aplicar todos os patches. Esse processo denomina-se gerenciamento de patch. Como a infra-estrutura de TI de uma empresa normalmente possui uma infinidade de aplicativos empresariais, instalações de sistemas operacionais e outros serviços de sistema, a manutenção de patches em todos os dispositivos e serviços usados pela empresa pode ser um procedimento dispendioso e demorado. Além disso, os malwares estão sendo criados tão rapidamente que as empresas têm tido muito pouco tempo para agir, entre o momento em que uma vulnerabilidade e um patch são anunciados e o momento em que o software mal-intencionado aparece para explorar aquela vulnerabilidade. Essa é uma das razões pelas quais o Sasser, o SQL Slammer, o SoBig.F e outros worms e vírus conseguiram infectar tantos sistemas de computador. Valor empresarial da segurança e do controle Como a segurança não está diretamente relacionada à receita de vendas, muitas empresas relutam em gastar muito com ela. No entanto, a proteção dos sistemas de informação é tão crucial para o funcionamento da empresa que merece um olhar mais atento. Quando os sistemas de computadores não funcionam como previsto, as empresas que dependem fundamentalmente da informática experimentam uma séria perda de negócios. Quanto mais tempo os sistemas ficarem fora do ar, mais sérias serão as consequências para a empresa. Algumas empresas que dependem de computadores para processar as suas transações críticas podem sofrer uma perda total de negócios, caso fiquem sem os recursos de informática por alguns dias ou mais. E, com tantos negócios hoje dependentes da Internet e dos sistemas em rede, as empresas estão mais vulneráveis do que nunca a interrupções ou falhas. As empresas têm ativos de informação valiosíssimos a proteger. Sistemas muitas vezes abrigam informações confidenciais sobre impostos, ativos financeiros, registros médicos e desempenho profissional das pessoas. Eles também podem conter informações sobre operações corporativas, incluindo segredos de negócio, planos de desenvolvimento de novos produtos e estratégias de marketing. Sistemas governamentais podem armazenar informações sobre armamentos, operações de inteligência e alvos militares. Esses ativos de informação têm um valor incalculável, e as repercussões podem ser devastadoras se eles forem perdidos, destruídos ou colocados em mãos erradas. Segundo um estudo recente, se uma grande empresa tem sua segurança comprometida, em dois dias a partir da falha ela perde aproximadamente 2,1 % de seu valor de mercado, o que se traduz em uma perda média de 1,65 bilhão de dólares no mercado de ações a cada incidente. Controle e segurança inadequados também podem criar sérios riscos legais. As empresas precisam proteger não apenas seus próprios ativos de informação, mas também os de clientes, funcionários e parceiros de negócios. Caso não consigam fazê-lo, podem ter de gastar muito em um litígio por exposição ou roubo de dados. Uma organização pode ser responsabilizada pelo risco e pelo dano desnecessários gerados caso não tenha tomado as medidas preventivas apropriadas para evitar a perda de informações confidenciais, corrupção de dados ou violação de privacidade. Uma sólida estrutura de controle e segurança que proteja os ativos de informação da empresa pode, portanto, gerar um alto retorno sobre o investimento. Requisitos legais e regulatórios para o gerenciamento de registros eletrônicos Nos últimos tempos, regulamentações do governo norte-americano vêm forçando as empresas a levar a segurança e o controle mais a sério, pois exigem a proteção dos dados contra uso indevido, exposição e acesso não autorizado. Com isso, as empresas enfrentam novas obrigações legais no que diz respeito à retenção de documentos e ao gerenciamento de registros eletrônicos, bem como à proteção da privacidade. O gerenciamento de registros eletrônicos (electronic records management — ERM) consiste em políticas, procedimentos e ferramentas para gerenciar a retenção, a distribuição e o armazenamento de registros eletrônicos. Se você trabalhar no setor de saúde, nos Estados Unidos, sua empresa deverá obedecer à Lei Americana de Responsabilidade e Portabilidade dos Seguros-Saúde (HIPAA), de 1996. Essa lei estabelece regras e procedimentos quanto à privacidade e à segurança médicas para simplificar a administração da saúde e automatizar a transferência de dados entre prestadores de serviço de saúde, beneficiários e operadores de planos de saúde. Para tanto, os membros do setor de saúde precisam reter informações dos pacientes por seis anos e garantir a confidencialidade desses registros. A lei especifica padrões de segurança, privacidade e transação eletrônica para os prestadores de serviços de saúde na administração das informações dos pacientes, prevendo penalidades para violações da privacidade médica, disclosure (transparência) de registros de pacientes por e-mail ou acesso não autorizado à rede. Se você trabalhar, nos Estados Unidos, em uma empresa que presta serviços financeiros, ela deverá cumprir a Lei Gramm-Leach-Bliley. A Lei de Modernização dos Serviços Financeiros, de 1999 — mais conhecida como Lei Gramm-Leach-Bliley (GLBA), em homenagem aos congressistas que a propuseram —, exige que as instituições financeiras assegurem a segurança e a confidencialidade dos dados do cliente. Os dados precisam ser armazenados em um meio seguro. Medidas especiais de segurança precisam ser tomadas para proteger tais dados, tanto no meio de armazenagem quanto durante a transmissão. Se você trabalhar em uma empresa com ações negociadas na bolsa norte-americana, deverá obedecer à Lei Sarbanes-Oxley. A Lei de Proteção ao Investidor e de Reforma Contábil das Empresas de Capital Aberto, promulgada em 2002 nos Estados Unidos e mais conhecida como Sarbanes-Oxley — em homenagem a seus formuladores, o senador Paul Sarbanes, de Maryland, e o deputado federal Michael Oxley, de Ohio — foi elaborada para proteger os investidores após os escândalos financeiros envolvendo a Enron, a WorldCom e outras empresas de capital aberto. Segundo essa lei, cabe às empresas e seus administradores salvaguardar a precisão e a integridade das informações financeiras utilizadas internamente e publicadas externamente. A Lei Sarbanes-Oxley diz respeito, fundamentalmente, à garantia de que existam controles internos para governar a criação e a documentação de informações nos demonstrativos financeiros. Como são usados sistemas de informação para gerar, armazenar e transportar tais dados, a legislação exige que as empresas levem em conta a segurança dos sistemas de informação e outros controles necessários para garantir a integridade, a confidencialidade e a precisão dos dados. Cada aplicativo de sistema que lida com dados de relatórios financeiros críticos exige controles para garantir a acurácia desses dados. Da mesma maneira, são essenciais controles para proteger a rede corporativa, evitar acesso não autorizado aos sistemas e dados e garantir a disponibilidade e integridade dos dados, na eventualidade de um desastre ou de uma interrupção qualquer nos serviços. Prova eletrônica e perícia forense computacional Segurança, controle e gerenciamento de registros eletrônicos se tornaram essenciais para lidar com ações legais. Hoje, grande parte das provas em casos envolvendo fraude acionária, desvio de dinheiro, roubo de segredos empresariais, crimes de informática e muitos casos civis encontra-se no formato digital. Além das informações impressas ou digitadas, as ações jurídicas atuais dependem cada vez mais de provas apresentadas na forma de dados armazenados em discos portáteis, CDs e discos rígidos, assim como em e-mails, mensagens instantâneas e transações de e-commerce pela Internet. Atualmente, o e-mail é o tipo mais comum de prova eletrônica. Em uma ação legal, uma empresa pode receber um pedido de produção de provas, tendo de dar acesso a informações que possam ser usadas como garantia. Como a empresa está obrigada por lei a apresentar esses dados, o custo pode ser enorme se ela tiver problemas para reuni-los, ou se eles tiverem sido corrompidos ou destruídos. Hoje em dia, os tribunais impõem severas penalidades financeiras e até mesmo criminais no caso de destruição indevida de documentos eletrônicos. Uma política de retenção de documentos eletrônicos eficiente assegura que documentos eletrônicos, e-mails e outros registros estejam bem organizados e acessíveis, e que nunca sejam detidos por tempo demais nem descartados cedo demais. Tal política também reflete uma preocupação em preservar provas potenciais para a perícia forense computacional. A perícia forense computacional é o procedimento científico de coleta, exame, autenticação, preservação e análise de dados mantidos em — ou recuperados por — meios de armazenamento digital, de tal maneira que as informações possam ser usadas como prova em juízo. Ela lida com os seguintes problemas: • recuperar dados de computadores sem prejudicar seu valor probatório; • armazenar e administrar com segurança os dados eletrônicos recuperados; • encontrar informações significativas num grande volume de dados eletrônicos; • apresentar as informações em juízo. As provas eletrônicas podem estar em um meio de armazenamento digital, na forma de arquivos de computador ou como dados ambientes, que não são visíveis para o usuário comum. Exemplo disso é um arquivo que tenha sido apagado no disco rígido do PC. Os dados que um usuário tenha apagado no meio de armazenamento digital podem ser recuperados por meio de várias técnicas. Os peritos forenses computacionais tentam recuperar esses dados ocultos para que possam ser apresentados como prova. A preocupação com as necessidades da perícia digital pode ser incorporada ao processo de planejamento de contingência da empresa. O CIO, os especialistas em segurança, a equipe de sistemas de informação e o conselho jurídico da empresa devem, todos juntos, trabalhar em prol de um plano que, caso surja uma necessidade legal, possa ser posto em marcha. Como estabelecer uma estrutura para segurança e controle Quando se fala em controle e segurança dos sistemas de informação, tecnologia não é a peça-chave. Tecnologia é o que dá a base, mas, na ausência de políticas de gerenciamento inteligentes, até as mais avançadas tecnologias são facilmente vencidas. Os especialistas acreditam, por exemplo, que mais de 90 por cento dos ciberataques bem sucedidos poderiam ter sido evitados pela tecnologia disponível na época. A falta de atenção humana, porém, permitiu que eles proliferassem. Para proteger os recursos de informação, são necessários uma política de segurança sólida e um conjunto de controles. A ISO 17799, um conjunto de padrões internacionais para segurança e controle, oferece diretrizes úteis. Ela especifica as melhores práticas em controle e segurança de sistemas de informação, incluindo política de segurança, planejamento para a continuidade dos negócios, segurança física, controle de acesso, obediência às normas (compliance) e criação de uma função de segurança dentro da organização. Avaliação de risco Antes que a sua empresa comprometa recursos com segurança, ela precisa saber quais ativos exigem proteção e em que medida eles são vulneráveis. Uma avaliação de risco ajuda a responder a essas questões e determina o conjunto de controles com melhor custo-benefício para proteger os ativos. Uma avaliação de risco determina o nível de risco para a empresa caso uma atividade ou um processo específico não sejam controlados adequadamente. Os administradores da empresa, em cooperação com os especialistas em sistemas de informação, podem determinar o valor dos ativos de informação, os pontos de vulnerabilidade, a frequência provável de um problema e seu prejuízo potencial. Por exemplo: se a probabilidade de um evento ocorrer não for maior que uma vez por ano, com um limite máximo de mil dólares de prejuízo para a organização, não seria viável gastar 20 mil dólares no projeto e manutenção de um controle para evitar esse evento. Entretanto, se aquele mesmo evento pudesse ocorrer, no mínimo, uma vez por dia, com um prejuízo potencial de mais de 300 mil dólares por ano, gastar 100 mil dólares em um controle seria inteiramente apropriado. Uma vez que você tenha identificado os principais riscos para seus sistemas, sua empresa precisará desenvolver uma política de segurança para proteger esses ativos. Política de segurança é uma declaração que estabelece uma hierarquia para os riscos de informação e identifica metas de segurança aceitáveis, assim como os mecanismos para atingi-las. A administração precisa estimar ainda quanto custará atingir esse nível de risco aceitável. Em empresas de maior porte, é possível encontrar uma função oficial de segurança corporativa, liderada por um chief security officer (CSO). A equipe de segurança orienta e treina os usuários, mantém a administração informada sobre ameaças e falhas na segurança e cuida das ferramentas escolhidas para a área. Cabe ao CSO trabalhar para que a política de segurança da empresa seja cumprida. A política de segurança dá origem a outras políticas, que determinam o uso aceitável dos recursos de informação da empresa e quais membros terão acesso a esses ativos. Uma política de uso aceitável (acceptable use policy — AUP) define os usos aceitáveis dos recursos de informação e do equipamento de informática da empresa, incluindo computadores de mesa e laptops, dispositivos sem fio, telefones e Internet. A política deve deixar clara a posição da empresa no que diz respeito à privacidade, à responsabilidade do usuário e ao uso pessoal do equipamento de informática e das redes. Uma boa política de uso aceitável define as ações aceitáveis e inaceitáveis para cada usuário, especificando as consequências do não-cumprimento às normas. As políticas de autorização, por sua vez, determinam diferentes níveis de acesso aos ativos de informação para diferentes níveis de usuários. Os sistemas de gerenciamento de autorização estabelecem onde e quando um usuário terá permissão para acessar determinadas partes de um site ou de um banco de dados corporativo. Tais sistemas permitem que cada usuário acesse somente as partes do sistema nas quais têm permissão de entrar, com base nas informações estabelecidas por um conjunto de regras de acesso. Um dos conjuntos consiste em todos os funcionários que executam funções burocráticas, tais como digitar os dados no sistema. Todos os indivíduos com esse perfil podem atualizar o sistema, mas não podem ler nem atualizar dados sensíveis como salários, históricos médicos ou dados de remuneração. O outro perfil se aplica a um gerente de divisão, que não pode atualizar o sistema, mas pode ler todos os campos dos dados referentes aos funcionários de sua divisão, incluindo histórico médico e salário. Esses perfis seriam estabelecidos e mantidos por um sistema de segurança de dados, baseado em regras de acesso fornecidas por grupos especiais dentro da empresa. Como assegurar a continuidade dos negócios À medida que sua receita e operações dependem cada vez mais de redes digitais, as empresas precisam tomar medidas adicionais para assegurar que seus sistemas e aplicativos estejam sempre disponíveis. Variados fatores podem causar interrupção no funcionamento de um site, incluindo ataques de recusa de serviço, falha da rede, tráfego pesado na Internet e exaustão de recursos do servidor. No fim, falhas de computador, interrupções e tempos ociosos resultam em clientes insatisfeitos, milhões em vendas perdidas e incapacidade de executar transações internas críticas. Downtime é o termo usado para designar os períodos em que um sistema não está operante. Instituições financeiras, companhias aéreas e outras empresas cujas aplicações críticas requerem processamento de transação on-line há muitos anos vêm usando sistemas de informação tolerantes a falhas, para garantir cem por cento de disponibilidade. No processamento de transação on-line, as transações registradas on-line são imediatamente processadas pelo computador. A cada instante ocorrem alterações nos bancos de dados, relatórios ou requisições. Os sistemas de computação tolerantes a falhas incluem componentes redundantes de hardware, software e fornecimento de energia elétrica, criando um ambiente que oferece serviço contínuo, ininterrupto. Computadores tolerantes a falhas contêm chips de memória, processadores e dispositivos de armazenagem de discos extras, que fazem o backup do sistema e o mantêm em funcionamento para evitar falhas. Podem usar rotinas especiais de software ou a lógica de auto verificação instaladas em seus circuitos para detectar falhas de hardware e, se for o caso, comutar automaticamente para o dispositivo de reserva (backup). Além disso, as peças desses computadores podem ser removidas e consertadas sem causar parada no sistema. Não se deve confundir tolerância a falhas com computação de alta disponibilidade. Embora ambas sejam projetadas para maximizar disponibilidade de aplicações e sistemas e ambas utilizem recursos de backup de hardware, a computação de alta disponibilidade ajuda empresas a se recuperar rapidamente após um desastre, enquanto a tolerância a falhas promete disponibilidade contínua e a total eliminação da necessidade de se recuperar. Ambientes de computação de alta disponibilidade são um requisito mínimo para empresas cujo processamento de comércio eletrônico é intenso ou que dependam de redes digitais para suas operações internas. A computação de alta disponibilidade requer servidores de reserva, distribuição do processamento entre múltiplos servidores, alta capacidade de armazenamento e bons planos de recuperação de desastres e de continuidade dos negócios. A plataforma de computação da empresa precisa ser extremamente robusta, com largura de banda, armazenamento e capacidade de processamento escaláveis. Os pesquisadores estão explorando maneiras de fazer os sistemas de computação recuperar-se ainda mais rapidamente após incidentes — uma abordagem denominada computação orientada a recuperação. Esse trabalho inclui o projeto de sistemas que se recuperem rapidamente, assim como a implantação de recursos e ferramentas que ajudem os operadores a descobrir as fontes de falhas em sistemas compostos por múltiplos componentes, podendo corrigir os erros mais facilmente . Plano de recuperação de desastres e plano de continuidade dos negócios Um plano da recuperação de desastres deve incluir estratégias para restaurar os serviços de computação e comunicação após eles terem sofrido uma interrupção causada por eventos como terremoto, inundação ou ataque terrorista. Os planos de recuperação de desastres concentram-se primordialmente em questões técnicas relacionadas à preservação do funcionamento dos sistemas, tais como os arquivos que devem ter backup e a manutenção de sistemas de computador reservas ou de serviços de recuperação de desastres. A MasterCard, por exemplo, possui um centro de informática duplicado em Kansas City, Missouri, que pode servir como reserva de emergência para seu centro de informática 'oficial', localizado em St. Louis. Em vez de construir sua própria infra-estrutura de reserva, muitas empresas contratam empresas especializadas em recuperação de desastres, como a Comdisco Disaster Recovery Services, de Rosemont, Illinois, e a SunGard, sediada em Wayne, Pensilvânia. Essas empresas oferecem hot sites, centros que abrigam computadores 'estepe' em vários pontos do território norte-americano, onde as empresas assinantes do serviço podem rodar os seus principais aplicativos em caso de emergência. O plano de continuidade dos negócios concentra-se em como a empresa pode restaurar suas operações após um desastre. O plano de continuidade dos negócios identifica os processos de negócio críticos e determina planos de ação para lidar com funções essenciais casos os sistemas saiam do ar. Os administradores do negócio e os especialistas em tecnologia da informação precisam trabalhar juntos nesses dois tipos de plano, para determinar quais sistemas e processos de negócio são mais importantes para a empresa. Eles precisam conduzir uma análise de impacto nos negócios, a fim de identificar os sistemas mais importantes da empresa e o impacto que uma suspensão em seu funcionamento teria nos negócios. A administração precisa determinar o período máximo que a empresa pode sobreviver sem seus sistemas e quais partes dela precisam ser restauradas primeiro. Outsourcing da segurança Muitas empresas, especialmente as pequenas, não possuem os recursos e o conhecimento técnico necessários para criar, por conta própria, um ambiente de computação seguro e de alta disponibilidade. Nesse caso, elas podem terceirizar muitas funções de segurança para provedores de serviços de segurança gerenciada (MSSPs), que monitoram as atividades da rede e realizam testes de vulnerabilidade e detecção de invasões. Counterpane, VeriSign e Symantec são provedores líderes de serviços MSSP O papel da auditoria no processo de controle Como a administração sabe que os controles de seus sistemas de informação são eficientes? Para responder a essa pergunta, ela deve realizar auditorias abrangentes e sistemáticas. Uma auditoria de sistemas identifica todos os controles que governam sistemas individuais de informação e avalia sua efetividade. Para cumprir esse objetivo, o auditor precisa compreender por completo as operações, instalações físicas, telecomunicações, sistemas de controle, objetivos de segurança de dados, estrutura organizacional, pessoal, procedimentos manuais e aplicações individuais da organização. O auditor geralmente entrevista indivíduos-chave que usam e operam um sistema de informação específico pertinente às suas atividades e procedimentos. São examinados, então, os controles de aplicação, os controles gerais de integridade e as disciplinas de controle. O auditor deve monitorar o fluxo de uma amostra de transações através do sistema e, caso necessário, realizar testes usando software de auditoria automatizada. Dessa forma, ele pode identificar as possíveis vulnerabilidades do sistema. As auditorias de segurança devem rever tecnologias, procedimentos, documentação, treinamento e recursos humanos. Uma auditoria completa pode até mesmo simular um ataque ou desastre para verificar como os recursos tecnológicos, a equipe de sistemas de informação e os funcionários da empresa reagem. A auditoria lista e classifica todos os pontos fracos do controle e estima a probabilidade de ocorrerem erros nesses pontos. Avalia então o impacto financeiro e organizacional de cada ameaça. Existe uma gama de ferramentas e tecnologias para ajudar as empresas a salvaguardar seus sistemas e dados. Entre elas estão ferramentas para autenticação, firewalls, sistemas de detecção de invasão, softwares antivírus e antispyware e criptografia. Controle de acesso Por controle de acesso entenda-se todo o conjunto de políticas e procedimentos que uma empresa usa para evitar acesso indevido a seus sistemas por pessoas não autorizadas dentro e fora da organização. Para obter acesso, o usuário precisa ser autorizado e autenticado. Autenticação refere-se à capacidade de saber que uma pessoa é quem declara ser. Um software de controle de acesso é elaborado para garantir que, por meio de algum tipo de autenticação, somente usuários autorizados usem os sistemas ou acessem os dados. A autenticação geralmente é estabelecida pelo uso de senhas conhecidas apenas por usuários autorizados. O usuário final usa uma senha para “logar-se” ao sistema de computador e também pode usar senhas para acessar sistemas ou arquivos específicos. Muitas vezes, porém, os usuários esquecem senhas, revelam-nas para outras pessoas ou escolhem senhas inadequadas, fáceis de adivinhar, e tudo isso compromete a segurança. Sistemas de senha excessivamente rigorosos tolhem a produtividade do funcionário. Quando os funcionários precisam alterar senhas complexas com muita freqüência, acabam utilizando atalhos, como escolher senhas fáceis de adivinhar ou escrever a senha em suas estações de trabalho, à vista de todos. Senhas também podem ser 'sniffed' ('farejadas') quando transmitidas por rede, ou roubadas por meio da engenharia social. O e-commerce vem causando uma proliferação de sites protegidos por senha. Se os usuários empregarem senhas para acessar múltiplos sistemas e as reutilizarem para mais de um sistema, um hacker que tenha conseguido acesso a uma das contas do usuário pode ter acesso a outras. Novas tecnologias de autenticação, como tokens, smart cards e autenticação biométrica, resolvem alguns desses problemas. Token é um dispositivo físico, parecido com um cartão de identificação, projetado para provar a identidade do usuário. Os tokens são pequenos dispositivos com visor ou que se encaixam em uma porta USB e exibem senhas que mudam a toda hora. Já um smart card é um dispositivo com tamanho aproximado de um cartão de crédito; ele contém um chip formatado com a permissão de acesso e outros dados. (Smart cards também são utilizados em sistemas de pagamento eletrônico.) Após interpretar os dados do smart card, o dispositivo leitor permite ou nega acesso. A autenticação biométrica fundamenta-se na medição de um traço físico ou comportamental que torna cada indivíduo único. Ela compara as características exclusivas de uma pessoa, tais como as impressões digitais, o rosto ou a imagem da retina, com um conjunto de perfis armazenados, determinando se existe alguma diferença entre elas e o perfil armazenado. Se os dois perfis 'baterem', o acesso será concedido. Essa tecnologia é cara, e as tecnologias de reconhecimento de impressões digitais e face estão apenas começando a ser usadas para aplicações de segurança. A seção "Tecnologia em destaque", a seguir, descreve como a Monsanto, a GM e outras empresas implantaram algumas dessas tecnologias para fornecer controle de acesso e gerenciamento de identidade. Essas empresas queriam substituir seus ineficientes sistemas baseados em senha que diminuíam a produtividade dos trabalhadores e não as deixavam ter controle suficiente sobre seus dados financeiros para atender aos padrões de segurança da Lei Sarbanes-Oxley. Ao ler este estudo de caso, procure identificar os problemas enfrentados por essas empresas; as soluções disponíveis à administração; em que medida a solução escolhida foi apropriada; e as questões humanas, organizacionais e tecnológicas que tiveram de ser abordadas durante o desenvolvimento da solução. Firewalls, sistemas de detecção de invasão e software antivírus À medida que mais e mais empresas expõem suas redes ao tráfego da Internet, os firewalls, sistemas de detecção de invasão e softwares antivírus se tornam essenciais. Firewalls Combinação de hardware e software que controla o fluxo de tráfego que entra ou sai da rede. Geralmente é instalado entre as redes internas da empresa e as redes externas, como a Internet, embora possa também ser usado para proteger parte de uma rede da empresa do resto da rede. O firewall age como um porteiro que examina as credenciais de cada usuário antes que ele possa acessar a rede. O firewall identifica nomes, endereços IP, aplicativos e outras características do tráfego de entrada. Em seguida, compara essas informações com as regras de acesso que foram programadas no sistema pelo administrador da rede. Impede, então, que comunicações não autorizadas entrem ou saiam da rede, permitindo que a organização imponha uma política de segurança ao fluxo de tráfego entre sua rede e a Internet. Em grandes organizações, o firewall muitas vezes reside em um computador reservado especialmente para ele, separado do resto da rede, de maneira que nenhuma solicitação possa entrar e acessar diretamente os recursos da rede privada. Os firewalls usam diferentes tecnologias de inspeção, incluindo a filtragem de pacotes èstáticos, a inspeção de pacotes SPI (stateful packet inspection), a Network Address Translation (Tradução de Endereços IP) e a filtragem de aplicação proxy. As técnicas a seguir são usadas em conjunto para fornecer a proteção de firewall. A filtragem de pacotes examina campos selecionados nos cabeçalhos dos pacotes de dados que fluem de lá para cá entre a rede confiável e a Internet, examinando isoladamente pacotes individuais. Essa tecnologia de filtragem pode deixar passar muitos tipos de ataque. A inspeção de pacotes SPI oferece mais segurança, na medida em que determina se os pacotes fazem parte de um diálogo corrente entre um emissor e um receptor. Ela monta tabelas de status para monitorar as informações de múltiplos pacotes. Os pacotes serão aceitos caso façam parte de um diálogo aprovado, ou caso estejam tentando estabelecer uma conexão legítima. A Network Address Translation (NAT) pode oferecer uma camada extra de proteção quando a filtragem de pacotes estáticos e a inspeção de pacotes SPI estiverem sendo usadas. A NAT pode ocultar os endereços IP do(s) computador(es) hospedeiro(s) interno(s) da organização, evitando assim que programas snijfer fora do firewall os descubram e usem essa informação para penetrar nos sistemas internos. A filtragem de aplicação proxy examina o conteúdo de aplicação dos pacotes. Um servidor proxy detém os pacotes de dados que se originam fora da organização, inspeciona tais pacotes e, em seguida, passa um proxy ('procurador', 'representante') para o outro lado do firewall. Quando um usuário externo à empresa quer comunicar-se com um usuário dentro da empresa, primeiramente 'conversa' com a aplicação proxy, e esta se comunica com o computador interno. Da mesma maneira, um usuário de computador interno à organização passa pelo proxy para 'conversar' com computadores fora da empresa. A fim de criar um bom firewall, alguém tem de escrever e manter as regras internas para identificar pessoas, aplicações ou endereços permitidos ou rejeitados, com os mínimos detalhes. Como podem inibir — embora não impeçam completamente — a invasão da rede por estranhos, os firewalls devem ser vistos como um dos elementos de um plano geral de segurança. Para lidar efetivamente com a segurança na Internet, às vezes são necessárias políticas e procedimentos corporativos, responsabilidades de usuários e treinamento em conscientização de segurança mais abrangentes. Sistemas de detecção de invasão Além de firewalls, fornecedores de segurança comercial agora oferecem ferramentas e serviços de detecção de intrusos que protegem a empresa contra o tráfego de rede suspeito. Sistemas de detecção de invasão são ferramentas de monitoração contínua instaladas nos pontos mais vulneráveis ('mais quentes') de redes corporativas, a fim de detectar e inibir invasores. O sistema emite um alarme quando encontra um evento suspeito ou anômalo. Um software de varredura procura padrões indicativos de métodos conhecidos de ataque, como senhas erradas, verifica se foram removidos ou modificados arquivos importantes e envia alarmes de vandalismo ou de erros de administração de sistema. O outro componente do sistema, um software de monitoração, examina os eventos em tempo real, atrás de ataques em curso à segurança. A ferramenta de detecção de invasão também pode ser customizada para isolar uma parte particularmente sensível de uma rede, caso ela receba tráfego não autorizado. Software antivírus e antispyware Planos de tecnologia defensiva, sejam residenciais ou empresariais, precisam incluir proteção antivírus para todos os computadores. O software antivírus é projetado para verificar sistemas de informação e drives, a fim de detectar a presença de vírus de computador. Muitas vezes o software pode eliminar o vírus da área infectada. Todavia, a maioria dos softwares antivírus somente é efetiva contra espécies que já eram conhecidas quando eles foram programados — por isso, para permanecer eficiente, o software antivírus deve ser continuamente atualizado. McAfee e Symantec estão entre os principais fornecedores de software antivírus. Os produtos de software elaborados especialmente para eliminar spywares, como o Ad-Aware SE Personal, o Spybot Search and Destroy e o Spy Sweeper, também são muito úteis. Segurança em redes sem fio Apesar de suas falhas, o protocolo WEP (Wired Equivalent Privacy) oferece alguma margem de segurança se os usuários de Wi-Fi se lembrarem de ativá-lo. As empresas podem aumentar a segurança do WEP utilizando-o em conjunto com a tecnologia de rede privada virtual (VPN), nos casos em que a rede sem fio tenha acesso aos dados corporativos internos. Os fornecedores de equipamento Wi-Fi vêm desenvolvendo padrões de segurança novos e mais sólidos. O grupo setorial denominado Wi-Fi Alliance lançou uma especificação de Acesso Protegido a Wi-Fi (Wi-Fi Protected Access — WPA) que funcionará com futuros produtos de LAN sem fio e poderá atualizar os equipamentos que usam o 802.11b. O WPA melhora a criptografia de dados, pois substitui as chaves criptográficas estáticas usadas no WEP por chaves mais longas, de 128 bits, que mudam continuamente, sendo dessa forma mais difíceis de serem quebradas. Para reforçar a autenticação do usuário, o WPA oferece um mecanismo baseado no Protocolo de Autenticação Extensível (Extensible Authentication Protocol — EAP) que funciona com servidores de autenticação central, os quais autenticam cada usuário antes que ele possa conectar-se à rede. Emprega também autenticação mútua, de maneira que o usuário sem fio não seja jogado em uma rede falsa, onde suas credenciais possam ser roubadas. Permite ainda verificar os pacotes de dados, para ter certeza de que fazem parte de uma sessão de rede corrente e não estão, em vez disso, sendo repetidos por hackers para enganar os usuários da rede. Criptografia e infra-estrutura de chave pública Muitas organizações usam a criptografia para proteger as informações digitais que elas armazenam, transferem fisicamente ou enviam pela Internet. Criptografia é o processo de transformar textos comuns ou dados em um texto cifrado, que não possa ser lido por ninguém a não ser o remetente e o destinatário desejado. Os dados são criptografados por meio de um código numérico secreto, denominado chave criptográfica, que transforma dados comuns em texto cifrado. Para ser lida, a mensagem deve ser decriptada pelo destinatário. Podemos citar dois métodos para criptografar o tráfego de rede: o SSL e o S-HTTP. O Secure Sockets Layer (SSL) e o seu sucessor, o Transport Layer Security (TLS), permitem que computadores clientes e servidores administrem as atividades de criptografia e decriptografia à medida que se comunicam entre si durante uma sessão Web segura. O Secure Hypertext Transfer Protocol (S-HTTP) é outro protocolo usado para criptografar os dados que fluem pela Internet, mas ele só consegue lidar com mensagens individuais, enquanto o SSL e o TLS são projetados para estabelecer uma conexão segura entre dois computadores. Embutida no software navegador do cliente da Internet e nos servidores, a função que gera sessões seguras é executada automaticamente, com pouca intervenção do usuário. O cliente e o servidor negociam qual chave e qual nível de segurança serão utilizados. Uma vez que se estabeleça uma sessão segura entre cliente e servidor, todas as mensagens dessa seção serão criptografadas. Existem ainda dois outros métodos de criptografia: a criptografia de chave simétrica e a criptografia de chave pública. Na criptografia de chave simétrica, para estabelecer uma sessão de Internet segura, o remetente e o destinatário criam uma única chave cripográfica, que é enviada ao destinatário; assim, este e o remetente compartilham a mesma chave. Quanto maior for o comprimento em bits dessa chave, mais segura ela será. Atualmente, uma chave típica tem 128 bits (um conjunto de 128 dígitos binários). O problema comum a todos os esquemas de criptografia simétrica é que a chave precisa ser compartilhada de algum modo entre remetente e destinatário, deixando-a exposta a invasores que podem interceptá-la e decripto- grafá-la. Uma forma mais segura de criptografia, denominada criptografia de chave pública, usa duas chaves: uma compartilhada (ou pública) e outra totalmente privada. As chaves são matematicamente relacionadas, de modo que os dados criptografados com uma chave somente podem ser decriptados pela outra. Para enviar e receber mensagens, as duas partes envolvidas na comunicação primeiramente criam pares separados de chaves públicas e privadas. A chave pública é mantida em um diretório, e a privada deve ser mantida em segredo. O remetente criptografa uma mensagem com a chave pública do destinatário. Ao receber a mensagem, o destinatário usa sua chave privada para decriptá-la. Assinaturas digitais e certificados digitais também auxiliam a autenticação. Assinatura digital é uma mensagem criptografada (o nome do remetente, por exemplo) que somente o remetente pode criar por meio de sua chave privada. A assinatura digital é usada para verificar as origens e o conteúdo de uma mensagem. Proporciona um meio de associar uma mensagem a seu remetente, executando função semelhante à de uma assinatura escrita. Certificados digitais são arquivos de dados usados para determinar a identidade de pessoas e ativos eletrônicos, a fim de proteger transações on-line (veja a Figura 7.8). Um certificado digital usa uma terceira parte fidedigna, conhecida como autoridade certificadora (certificate authority — CA), para validar a identidade de um usuário. Existem muitas CAs nos Estados Unidos e no mundo todo, tais como o Federal Reserve System, a Microsoft e a maior emissora de certificados, a Verisign. A CA verifica off-line a identidade do usuário e, em seguida, passa a informação para um servidor da CA, que gera um certificado digital criptografado contendo a identificação do proprietário e uma cópia de sua chave pública. O certificado autentica que a chave pública pertence ao proprietário designado. A CA disponibiliza publicamente a sua própria chave pública em meio impresso, ou às vezes na Internet. O destinatário da mensagem criptografada usa, então, a chave pública da CA para decodificar o certificado digital anexado à mensagem, verifica se ele foi emitido mesmo pela CA e por fim obtém a chave pública do remetente e a informação de identificação contida no certificado. Usando essa informação, o destinatário pode enviar uma resposta criptografada. O sistema de certificado digital capacitaria, por exemplo, um usuário de cartão de crédito e um comerciante a validar, antes de trocar seus dados, que seus certificados digitais foram emitidos por uma terceira parte autorizada e fidedigna.