um novo e caro hobby da internet

UM NOVO E CARO HOBBY DA INTERNET
Elizabeth Owen quase perdeu sua identidade. Usuária frequente do eBay, ela recebeu um e-mail
que parecia vir do serviço de pagamentos do eBay, o PayPal, solicitando que atualizasse suas
informações de crédito; caso contrário, seria barrada em futuras compras. Ela imediatamente
começou a fornecer os dados. Mas, alguns instantes antes de transmiti-los, deteve-se. O
escritório onde ela trabalha a Associação Nacional dos Administradores de Órgãos de Defesa do
Consumidor, havia recebido várias queixas de golpes por e-mail. Mesmo com essa informação,
ela quase se tornou uma vítima de um tipo especial de roubo de identidade, o chamado phishing.
Em um ataque de phishing, são enviados e-mails que alegam ser de um banco, empresa de
cartão de crédito, varejista ou outra empresa, e direcionam o destinatário a um site onde se
solicita a inserção de informações vitais, tais como números de conta bancária, números da
Previdência Social, detalhes do cartão de crédito ou senhas on-line. O site parece legítimo, mas
na verdade é uma farsa. Os golpistas usam as informações obtidas por meio do phishing para
esvaziar contas bancárias ou de cartão de crédito, ou ainda vender essas informações para que
outros o façam.
De acordo com o Grupo de Trabalho Antiphishing, o Citibank, o U.S. Bank e a Visa encabeçam a
lista de marcas financeiras raptadas pelos golpistas. Os golpistas também estão aproveitando as
fusões bancárias, como a ocorrida entre o Wachovia e o Sun Trust, para tentar convencer os
clientes a fornecer seu número de conta, alegando que necessitam dessa informação para
completar a transição para as novas contas pós-fusão.
O phishing está crescendo em um ritmo explosivo. O Gartner Research relatou que, em maio de
2005,73 milhões de norte-americanos receberam e-mails de phishing, e 2,4 milhões tiveram sua
identidade roubada durante os 12 meses antecedentes à pesquisa. A maioria das perdas
geradas por esses golpes foi absorvida pelos bancos e empresas de cartão de crédito, mas um
número significativo de pessoas desistiu de usar os serviços financeiros on-line por medo de
ataques semelhantes.
O que pode ser feito para combater o phishing e evitar a perda da confiança? Uma série de
abordagens é possível. Primeiro, as empresas podem educar seus clientes a respeito dos golpes
de phishing (também chamados phishing scams). O Citibank, uma unidade do Citigroup, alerta
os visitantes de seu site sobre os perigos do phishing, além de emitir sinais de alerta para e-mails
potencialmente fraudulentos. O Citibank assegura, ainda, que jamais envia e-mails aos clientes
solicitando informações confidenciais.
Os provedores de serviços de Internet (ISPs) e os sites em si começaram a usar produtos e
serviços antiphishing. Alguns serviços eliminam o junk e-mail (literalmente, 'e-mail lixo'). Outros
tentam extirpar os sites falsos da Web, emitindo listas negras de sites phishing para advertir os
consumidores. Alguns monitoram os sites de serviços bancários on-line, para verificar se estão
sendo espreitados por golpistas, ou até mesmo solicitam aos provedores de serviço de Internet
que removam os sites infratores.
O eBay integrou o software Web Caller-ID, da WholeSecurity Inc., uma empresa de Austin,
Texas, ao item Account Guard (Proteção de Conta) de sua barra de ferramentas, a qual os
usuários baixam do site para controlar suas atividades no eBay. O Account Guard exibe um
ícone que fica verde quando os usuários entram nos endereços autênticos do eBay e do PayPal,
mas fica vermelho quando sites suspeitos ou integrantes da lista negra são solicitados.
Os bancos estão começando a revidar ataques de phishing requisitando dos clientes on-line
autenticações de múltiplos níveis — além de seus nomes e senhas, algo mais, como uma foto
pequena e exclusiva. O Bank of America agora solicita aos clientes de Internet que registrem
seus computadores e vinculem uma imagem digital, como uma foto do seu gato, à sua conta.
Quando um cliente acessa o site do banco, a imagem é exibida antes que ele insira sua senha;
assim, ele tem certeza de que o site é legítimo. Entretanto, outros bancos hesitam em adotar tais
medidas, por medo de tornar as transações bancárias por Internet difíceis demais.
Vulnerabilidade dos sistemas e uso indevido
Você pode imaginar o que aconteceria se tentasse conectar-se à Internet sem um firewall ou
software antivírus? Em segundos o seu computador seria danificado, e você talvez levasse dias
para reabilitá-lo. Se seu computador fosse usado para administrar sua empresa, enquanto ele
estivesse fora do ar talvez você não conseguisse atender os clientes, nem fazer pedidos aos
fornecedores. Talvez você precisasse contratar — a preço de ouro — especialistas em sistemas
para fazê-lo funcionar outra vez. E no fim você talvez descobrisse que, nesse meio tempo, seu
sistema de computador foi invadido por invasores, que roubaram ou destruíram dados valiosos,
incluindo dados confidenciais de pagamento de seus clientes. Se grande quantidade de dados
tivesse sido destruída ou divulgada, sua empresa talvez nunca mais conseguisse recuperar-se!
Em resumo, se você opera uma empresa hoje, precisa ter a segurança e o controle como
prioridades. O termo segurança abarca as políticas, procedimentos e medidas técnicas usados
para impedir acesso não autorizado, alteração, roubo ou danos físicos a sistemas de informação.
Os controles, por sua vez, consistem em todos os métodos, políticas e procedimentos
organizacionais que garantem a segurança dos ativos da organização, a precisão e a confiabilidade de seus registros contábeis e a adesão operacional aos padrões administrativos.
Por que os sistemas são vulneráveis
Quando grandes quantidades de dados são armazenadas sob formato eletrônico, ficam
vulneráveis a muito mais tipos de ameaças do que quando estão em formato manual. Sistemas
de informação em diferentes localidades podem ser interconectados por meio de redes de
telecomunicação. Logo, o potencial para acesso não autorizado, uso indevido ou fraude não fica
limitado a um único lugar, mas pode ocorrer em qualquer ponto de acesso à rede.
Elas podem originar-se de fatores técnicos, organizacionais e ambientais, agravados por
decisões administrativas erradas. No ambiente de computação cliente/servidor existem
vulnerabilidades em cada camada e nas comunicações entre as camadas. Os usuários da
camada cliente podem causar danos ao introduzir erros ou ao acessar sistemas sem
autorização. E possível acessar os dados enquanto eles estão fluindo pela rede, roubar dados
valiosos durante a transmissão ou alterar mensagens sem autorização. A radiação também pode
interromper a rede em vários pontos. Intrusos podem deflagrar ataques de recusa de serviço ou
inserir softwares mal-intencionados para interromper a operação de sites. Aqueles capazes de
penetrar os sistemas corporativos podem destruir ou alterar os dados corporativos armazenados
em bancos de dados ou arquivos. Quando o hardware quebra, não está configurado
apropriadamente ou é danificado por uso impróprio ou atividades criminosas, os sistemas não
funcionam como deveriam. Já as causas de falha em softwares são erros de programação,
instalação inadequada ou alterações não autorizadas. Além disso, quedas de energia,
enchentes, incêndios ou outros desastres naturais podem prejudicar sistemas de computador.
As parcerias com outras empresas, no âmbito nacional ou internacional, aumentam a
vulnerabilidade do sistema, pois informações valiosas podem residir em redes e computadores
fora do controle da organização. Sem salvaguardas sólidas, dados valiosos podem ser perdidos,
destruídos ou podem cair em mãos erradas, revelando importantes segredos comerciais ou
informações que violem a privacidade pessoal.
Vulnerabilidades da Internet
Grandes redes públicas, incluindo a Internet, são mais vulneráveis porque estão abertas a
praticamente qualquer um; e, quando sofrem abusos, são tão grandes que as proporções do
impacto podem ser imensas. Quando a Internet se torna parte da rede corporativa, os sistemas
de informação da organização podem ficar vulneráveis a ações de estranhos.
Computadores permanentemente conectados com a Internet via modem a cabo ou linha DSL
estão mais sujeitos à invasão por estranhos, já que usam um endereço de Internet fixo,
tornando-se, portanto, mais fáceis de identificar. (No serviço de discagem, para cada sessão é
determinado um endereço de Internet temporário.) Um endereço de Internet fixo cria um alvo
fixo para hackers.
Caso não utilizem uma rede privada segura, os serviços de telefonia baseados na tecnologia de
Internet podem ser mais vulneráveis que a rede de voz comutada. A maior parte do tráfego de
voz sobre IP (VoIP) na Internet pública não está criptografada, de maneira que qualquer pessoa
com uma rede pode ouvir as conversas. Hackers podem interceptar diálogos para obter dados
de cartão de crédito e outras informações pessoais confidenciais, ou podem até mesmo
interromper o serviço de voz entupindo os servidores que o comportam com tráfego falso.
A vulnerabilidade também aumentou com o uso disseminado de e-mail e mensagens
instantâneas. O e-mail pode conter anexos que servem como trampolim para softwares
mal-intencionados ou acesso não autorizado a sistemas corporativos internos. Os funcionários
podem usar mensagens de e-mail para transmitir segredos de negócio, dados financeiros ou
informações confidenciais dos clientes a destinatários não autorizados. Os aplicativos de
mensagem instantânea mais comuns não usam uma camada segura para mensagens de texto,
por isso podem ser interceptados e lidos por estranhos durante a transmissão pela Internet
pública. O recurso de mensagens instantâneas pela Internet pode, em alguns casos, ser usado
como passagem secreta para uma rede até então segura. (Sistemas de mensagens
instantâneas projetados para corporações, como o SameTime, da IBM, incluem atributos de
segurança.)
Desafios da segurança sem fio
Redes sem fio que utilizam tecnologias baseadas em rádio são ainda mais vulneráveis à
invasão, porque é fácil fazer a varredura das faixas de radiofreqüência. Tanto a rede Bluetooth
quanto a Wi-Fi são suscetíveis a escutas.
Embora o alcance das redes Wi-Fi seja de apenas algumas dezenas de metros, ele pode ser
estendido a 400 metros por meio de antenas externas. As redes locais (LANs) que usam o
padrão 802.11b (Wi-Fi) podem ser facilmente penetradas por estranhos munidos de laptops,
cartões sem fio, antenas externas e softwares piratas gratuitos. Os hackers podem usar essas
ferramentas para detectar redes desprotegidas, monitorar o tráfego da rede e, em alguns casos,
obter acesso à Internet ou a redes corporativas.
A tecnologia de transmissão Wi-Fi usa a transmissão de espectro espalhado, na qual um sinal é
espalhado por uma ampla faixa de frequências, e uma versão específica da transmissão de
espectro espalhado usada no padrão 802.11b foi projetada para que as estações encontrassem
e ouvissem umas às outras com facilidade. Os identificadores de conjunto de serviços (service
set identifiers — SSID) que identificam os pontos de acesso numa rede Wi-Fi são transmitidos
várias vezes e podem ser captados muito facilmente por programas sniffers (farejadores)
intrusos. Em muitos lugares, as redes sem fio não contam com proteções básicas contra o war
driving, ação em que um espião dirige um carro entre edifícios ou estaciona do lado de fora e
tenta interceptar o tráfego por redes sem fio.
O padrão 802.11 especifica o SSID como uma espécie de senha para que o cartão de interface
de rede (NIC) de rádio do usuário se conecte a uma rede sem fio específica. Para que a
associação e a comunicação sejam liberadas, o NIC de rádio do usuário precisa ter o mesmo
SSID que o ponto de acesso. A maioria dos pontos de acesso transmite o SSID muitas vezes
por segundo. Um hacker pode usar uma ferramenta de análise de 802.11 para identificar o
SSID. (O Windows XP tem recursos para detectar o SSID usado na rede e automaticamente
configurar o NIC de rádio dentro do dispositivo do usuário.) Um intruso que se tenha associado
ao ponto de acesso usando o SSID correto pode então obter um endereço de protocolo de
Internet (IP) legítimo para acessar outros recursos na rede, pois muitas LANs sem fio atribuem
automaticamente endereços de IP aos usuários assim que eles se tornam ativos. Isso permite
que um intruso que tenha ilicitamente se associado a uma LAN sem fio use o sistema
operacional Windows para identificar outros usuários conectados à rede e, inclusive, clicar nos
dispositivos de outros usuários, localizar arquivos de documentos e mesmo abrir ou copiar
esses arquivos. Esse é um problema grave que muitos usuários finais ignoram quando se
conectam a pontos de acesso em aeroportos ou outros lugares públicos.
Os invasores também podem usar as informações que colheram sobre endereços IP e SSIDs
para estabelecer pontos de acesso ilícitos em um canal de rádio diferente, em lugares físicos
próximos aos usuários; assim, forçam o NIC de rádio do usuário a se associar ao ponto de
acesso ilícito. Uma vez tendo ocorrido essa associação, os hackers podem capturar nomes e
senhas de usuários acima de qualquer suspeita.
O padrão de segurança inicial desenvolvido para Wi-Fi, denominado Wired Equivalent Privacy
(WEP) não é muito eficiente. O WEP vem embutido em todos os produtos de padrão 802.11,
mas seu uso é opcional. Os usuários precisam ativá-los e muitos esquecem de fazê-lo, deixando
muitos pontos de acesso desprotegidos.
Software mal-intencionado: vírus, worms, cavalos de Tróia e spywares
Programas de software mal-intencionados são designados malware e incluem uma variedade de
ameaças, tais como vírus de computador, worms e cavalos de Tróia. Vírus de computador é
um programa de software espúrio que se anexa a outros programas de software ou arquivos de
dados a fim de ser executado, geralmente sem conhecimento nem permissão do usuário. A
maioria dos vírus de computador transporta uma 'carga'. A carga pode ser relativamente
benigna, como instruções para exibir uma mensagem ou imagem, ou pode ser altamente
destrutiva — destruir programas ou dados, entupir a memória do computador, reformatar o disco
rígido ou fazer com que programas funcionem de maneira imprópria. Normalmente, os vírus
passam de computador para computador quando os humanos executam determinada ação,
como enviar um e-mail com anexo ou copiar um arquivo infectado.
Os ataques mais recentes têm vindo de worms, programas de computador independentes que
copiam a si mesmos de um computador para outro por meio de uma rede. (Diferentemente dos
vírus, eles podem funcionar sozinhos, sem se anexar a outros arquivos de programa, e
dependem menos do comportamento humano para se disseminar. Isso explica por que os
worms se espalham muito mais rapidamente que os vírus.) Os worms destroem dados e
programas, assim como prejudicam e até interrompem o funcionamento de redes de
computadores.
Worms e vírus são muitas vezes disseminados pela Internet a partir de arquivos de software
baixados, de arquivos anexados a transmissões de e-mail, de mensagens de e-mail danificadas
ou de mensagens instantâneas. Os vírus também têm invadido sistemas de informação
computadorizados a partir de discos ou máquinas 'infectados'. Atualmente, os worms
transmitidos por e-mail são os mais problemáticos.
Em maio de 2005, a IBM relatou que mais de 30 por cento dos e-mails continham alguma forma
de malware.
Agora os vírus e worms estão contaminando os dispositivos de computação sem fio. O worm
Cabir, por exemplo, que apareceu pela primeira vez no início de 2005, tem como alvo
dispositivos móveis que utilizam o popular sistema operacional móvel Symbian, espalhando-se
por meio de redes sem fio Bluetooth. O Cabir fica continuamente procurando outros dispositivos
Bluetooth e, com o tempo, esgota a bateria do dispositivo. Vírus de dispositivos móveis podem
representar uma séria ameaça à computação empresarial, devido ao grande número desses
dispositivos ligados a sistemas corporativos de informação.
Ao longo da última década, worms e vírus causaram bilhões de dólares em prejuízo às redes
corporativas, sistemas de e-mail e dados. Entre as empresas pesquisadas no 10º Levantamento
Anual da Prevalência de Vírus dos Laboratórios ICSA, a recuperação após ataques de vírus e
malware custou uma média de sete homens/dia e em média 130 mil dólares (ICSA Labs, 2005).
Cavalo de Tróia é um software que parece benigno, mas depois faz algo diferente do esperado.
O cavalo de Tróia em si não é um vírus, porque não se replica, mas é muitas vezes uma porta
para que vírus ou outros códigos mal-intencionados entrem no sistema de computador.
Exemplos de códigos mal-intencionados
Nome
Tipo ____ Descrição _______________ _ __________________
MyDoom.A
Worm
Surgiu em 26 de janeiro de 2004. Espalha-se como um anexo de email, afetando os sistemas que usam Microsoft Windows. Envia e-mails a
endereços coletados nas máquinas infectadas, falsificando o endereço do
remetente. É considerado o 'propagador de e-mails em massa de mais
rápida disseminação já visto'.
Sasser.ftp
Worm
Surgiu em maio de 2004. Dissemina-se pela Internet atacando
aleatoriamente endereços de IR Faz com que o computador trave e se
reinicie toda hora. Os computadores infectados buscam novas vítimas.
Klez
Worm de e-mail
É transmitido por um e-mail composto por uma linha de assunto aleatória
e um corpo de mensagem que lista todos os endereços do catálogo de
endereços do Windows, do banco de dados do programa de mensagem
instantâneas ICQ e de arquivos locais. Um arquivo do sistema do usuário é
selecionado aleatoriamente e enviado junto com o worm. 0 Klez também
tenta desativar o software antivírus e inserir outro vírus no sistema do
usuário, o qual tenta infectar arquivos executáveis nesse computador e nos
sistemas de arquivamento da rede.
StartPage.FH
Cavalo de Tróia
Surgiu em 15 de junho de 2004. É transmitido por disquetes, CD-R0Ms,
downloads de Internet e compartilhamento de arquivos peer-to-peer (P2P).
Altera a home page do Internet Explorer para que exiba mensagens falsas,
alertando os usuários de infecção por spyware. Tenta convencer os usuários
a visitar um site no qual outros malwares podem ser instalados.
Netsky.P
Worm
Surgiu em 21 de março de 2004. Dissemina-se por e-mail e pelo
compartilhamento de arquivos P2R Apaga entradas pertencentes a vários
outros worms, incluindo o MyDoom e o Bagle. É ativado quando a mensagem
é vista no painel de pré-visualização do Microsoft Outlook.
Sobig.F
Worm
Detectado pela primeira vez em 19 de agosto de 2003. Envia gigantescas
quantidades de e-mails com dados falsos de remetente. A carga é ativada às
sextas-feiras e aos sábados, quando ele descarrega um programa e o
executa no computador infectado.
Melissa
Vírus de macro/
worm
Surgiu em março de 1999. Foi o programa infeccioso de mais rápida
disseminação já visto até então. Atacava o modelo global Normal.dot do
Microsoft Word, garantindo a infecção de todos os novos documentos.
Enviava arquivos Word infectados às primeiras 50 entradas do catálogo de
endereços do Microsoft Outlook.
Um exemplo de cavalo de Tróia dos tempos modernos é o programa DSNX-05, detectado no
início de 2005. Liberado por uma mensagem de e-mail falsa que parecia vir da Microsoft,
direcionava os destinatários a visitar um site parecido com o site do Microsoft Windows. O site,
então, baixava e instalava códigos mal-intencionados no computador. Com esse cavalo de Tróia
instalado, os hackers podiam acessar o computador remotamente sem ser detectados e usá-lo
para seus próprios interesses.
Alguns tipos de spyware (software espião) também atuam como softwares mal-intencionados.
Esses programinhas instalam-se nos computadores para monitorar a atividade do internauta e
usar as informações para fins de marketing. Alguns anunciantes da Web usam spyware para
conhecer os hábitos de compra dos usuários e exibir anúncios sob medida para eles. Muitos
usuários consideram esses spywares incômodos, e alguns condenam seu uso, alegando que
eles infringem a privacidade dos usuários de computador.
Outras formas de spyware, porém, são muito mais perversas. Os key loggers (literalmente,
registradores de tecla) registram cada tecla pressionada em um computador para roubar
números seriais de softwares, deflagrar ataques na Internet, obter acesso a contas de e-mail,
descobrir senhas para sistemas de computador protegidos ou coletar informações pessoais
como números de cartão de crédito. Outros programas espiões alteram as home pages do
navegador Web, redirecionam pedidos de busca ou entopem a memória do computador a ponto
de diminuir sua velocidade. Já foram documentadas aproximadamente mil formas de spyware.
Hackers e Cibervandalismo
Hacker é um indivíduo que pretende obter acesso não autorizado a um sistema de computador.
Dentro da comunidade hacking, o termo cracker normalmente é usado para designar o hacker
com intenções criminosas, embora na imprensa em geral os termos hacker e cracker sejam
usados indiscriminadamente. Hackers e crackers obtêm acesso não autorizado após encontrar
fragilidades nas proteções de segurança empregadas pelos sites e sistemas de computador,
muitas vezes tirando proveito das várias características da Internet que a tornam um sistema
aberto e fácil de usar.
As atividades dos hackers deixaram de ser meras invasões de sistemas e se expandiram, a
ponto de incluir roubo de mercadorias e informações, danos em sistemas, e cibervandalismo,
isto é, a interrupção, alteração da aparência ou até mesmo a destruição de um site ou sistema de
informação corporativo. Em maio de 2004, surgiu o worm Sasser, que afetou milhões de
computadores pertencentes a indivíduos e empresas em todo o mundo. O Sasser tinha como
alvo uma falha no sistema operacional Microsoft Windows. Ele interrompeu os check-ins de vôo
da British Airways, as operações dos postos da Guarda Costeira britânica, de hospitais em Hong
Kong, de agências de correio em Taiwan e do Banco Westpac, na Austrália. Ao redor do globo, o
Sasser e suas variações causaram prejuízos estimados entre 14,8 bilhões de dólares e 18,6
bilhões de dólares.
Spoofing e sniffing
Na tentativa de ocultar sua verdadeira identidade, os hackers muitas vezes se disfarçam usando
endereços de e-mail falsos ou fingindo ser outra pessoa. O spoofing (disfarce) também pode
envolver o redirecionamento de um link para um endereço diferente do desejado, estando o site
espúrio 'disfarçado' como o destino pretendido. Links formulados para levar a determinado site
podem ser reescritos para enviar os usuários a um site totalmente diferente, conforme o
interesse do hacker. Por exemplo, se os hackers redirecionam os clientes para um site falso
parecidíssimo com o verdadeiro, podem então receber e processar pedidos, literalmente
roubando o negócio ou pegando informações confidenciais do cliente. Oferecemos mais
detalhes sobre outras formas de spoofing em nossa explanação sobre crimes de informática.
Sniffer (farejador) é um tipo de programa espião que monitora as informações transmitidas por
uma rede. Quando usados de maneira legítima, os sniffers podem ajudar a identificar pontos
frágeis ou atividades criminosas na rede, mas quando usados para fins ilícitos podem ser
danosos e muito difíceis de detectar. Os sniffers permitem que os hackers roubem informações
de qualquer parte da rede, inclusive mensagens de e-mail, arquivos da empresa e relatórios
confidenciais.
CRIMES DE INFORMÁTICA E CIBERTERRORISMO
A maioria das atividades de hacking é composta por atos criminosos, e as vulnerabilidades dos
sistemas que acabamos de descrever fazem deles alvos para outros tipos de crimes de
informática. O Departamento de Justiça dos Estados Unidos define crimes de informática
como "quaisquer violações da legislação criminal que envolva um conhecimento de tecnologia
da informática em sua perpetração, investigação ou instauração de processo". O computador
pode ser alvo de um crime ou instrumento de um crime.
Ninguém sabe a magnitude do problema dos crimes de informática — quantos sistemas são
invadidos, quantas pessoas estão envolvidas nessa prática ou o prejuízo econômico total. De
acordo com um único estudo do Centro de Pesquisa de Crimes de Informática dos Estados
Unidos, as empresas norte-americanas perdem aproximadamente 14 bilhões de dólares
anualmente com os cibercrimes. Muitas empresas relutam em registrar esse tipo de crime,
porque pode haver funcionários envolvidos, ou porque a empresa teme que tornar pública a sua
vulnerabilidade possa manchar sua reputação.
Os tipos de crime de informática mais danosos do ponto de vista financeiro são os ataques DoS,
a introdução de vírus, o roubo de serviços e a interrupção de sistemas de computador.
Tradicionalmente, o pessoal interno — isto é, os funcionários — tem sido a fonte dos crimes de
informática mais devastadores, porque eles têm o conhecimento, o acesso e, frequentemente,
os motivos (relacionados ao trabalho) para cometer tais crimes. No entanto, a facilidade de uso e
a acessibilidade da Internet têm criado novas oportunidades para crimes de informática e usos
indevidos por parte do pessoal externo à organização.
Roubo de identidade
Com o crescimento do comércio eletrônico e da Internet, o roubo de identidade tem se tornado
especialmente perturbador. Roubo de identidade é um crime em que um impostor obtém
informações pessoais importantes, como número de identificação da Previdência Social, número
da carteira de motorista ou número do cartão de crédito para se fazer passar por outra pessoa.
As informações podem ser usadas para obter crédito, mercadorias ou serviços em nome da
vítima, ou para dar ao ladrão falsas credenciais. De acordo com a Comissão Federal de
Comércio dos Estados Unidos, a cada ano cerca de 3,2 milhões de consumidores
norte-americanos são vítimas de roubo de identidade.
A Internet facilitou a vida desses criminosos, porque tornou possível comprar bens on-line sem
nenhuma interação pessoal, e ela tem inspirado novas táticas para roubar informações
pessoais. Arquivos de cartão de crédito são um dos alvos principais dos hackers de sites. Além
disso, os sites de e-commerce são fontes fabulosas de informações pessoais dos clientes —
nome, endereço e número telefônico. Munidos dessas informações, os criminosos podem
assumir novas identidades e estabelecer novas linhas de crédito para seus próprios fins.
Uma prática cada vez mais popular é uma forma de spoofing chamada phishing, já descrita no
caso de abertura deste capítulo. O phishing envolve montar sites falsos ou enviar mensagens de
e-mail parecidas com as enviadas por empresas legítimas, a fim de pedir aos usuários dados
pessoais confidenciais. As mensagens de e-mail instruem o destinatário a atualizar ou confirmar
cadastros, fornecendo números da Previdência Social, informações bancárias ou de cartões de
crédito e outros dados confidenciais, seja respondendo ao próprio e-mail, seja inserindo as informações no site falso.
Os golpistas de phishing já fingiram ser o serviço de pagamento on-line PayPal; a provedora de
serviços on-line American online (AOL); o Citibank; o Fleet Bank; a American Express; o Federal
Deposit Insurance Corporation (órgão público norte-americano que garante os depósitos
bancários, semelhante ao nosso Fundo Garantidor de Crédito); o Banco da Inglaterra e outros
bancos no mundo todo. Segundo a empresa de segurança inglesa mi2g, o prejuízo econômico
mundial causado pelos golpes de phishing ultrapassa 13,5 bilhões de dólares em perdas de
produtividade e de clientes, interrupção de negócios e esforços para reparar os danos à
reputação da marca.
Computadores como alvos de crime
Violar a confidencialidade de dados computadorizados protegidos
Acessar um sistema de computador sem autorização
Acessar intencionalmente um computador protegido para cometer fraude
Acessar intencionalmente um computador protegido e infligir-lhe danos, de maneira
negligente ou deliberada
Transmitir intencionalmente um programa, código de programa ou comando que
deliberadamente cause danos a um computador protegido
Ameaçar causar danos a um computador protegido
Computadores como instrumentos de crime
Roubo de segredos comerciais
Cópia não autorizada de software ou de material com propriedade intelectual registrada,
como artigos, livros, músicas e vídeos.
Esquemas para defraudação
Usar e-mail para ameaças ou assédio
Tentar intencionalmente interceptar comunicações eletrônicas
Acessar ilegalmente comunicações eletrônicas armazenadas, inclusive e-mail e
caixa postal de voz Possuir material de pedofilia armazenado em um computador ou
transmiti-lo eletronicamente.
Novas técnicas de phishing denominadas evil twins e pharming são ainda mais difíceis de
detectar. Os evil twins (gêmeos do mal) são redes sem fio que fingem oferecer conexões Wi-Fi
confiáveis à Internet, tais como aquelas encontradas em saguões de aeroportos, hotéis ou
cafeterias. Com a rede falsa, que parece idêntica a uma rede pública legítima, os fraudadores
tentam capturar senhas ou números de cartão de crédito dos incautos usuários que se conectam
nela.
O pharming, por sua vez, redireciona os usuários para uma página Web falsa, mesmo quando a
pessoa digita o endereço correto da página Web no seu navegador. Isso é possível porque os
praticantes do pharming conseguem acessar as informações sobre endereços Internet que os
provedores de serviços de Internet armazenam para acelerar a navegação; caso esses ISPs
usem softwares com brechas de segurança em seus servidores Web, os fraudadores
conseguem 'hackear' e alterar esses endereços.
Ciberterrorismo e guerra cibernética
Existe uma crescente preocupação de que as vulnerabilidades da Internet e de outras redes
poderiam ser exploradas por terroristas, serviços de inteligência estrangeiros ou outros grupos
para criar perturbações e prejuízos disseminados. Alguns ciberataques podem visar o software
que controla redes de energia elétrica, sistemas de controle de tráfego aéreo ou redes de
grandes bancos e instituições financeiras. Hackers de uma série de países, inclusive a China,
vêm testando e mapeando as redes norte-americanas, e acredita-se que pelo menos 20 países
estejam desenvolvendo recursos de ataque e defesa para uma verdadeira guerra cibernética.
Todos os anos, as redes militares e os órgãos públicos norte-americanos sofrem centenas de
ataques de hackers.
O governo norte-americano já tomou algumas medidas para lidar com essa ameaça potencial. O
Departamento de Segurança Nacional criou uma Diretoria de Proteção à Infra-Estrutura e
Análise de Informação para coordenar a cibersegurança. A Divisão Nacional de Cibersegurança
da diretoria é responsável por proteger a infra-estrutura crítica. Ela analisa o ciberespaço,
compartilha informações, emite alertas e colabora com as iniciativas nacionais de recuperação.
O Departamento de Defesa norte-americano reuniu forças-tarefas para a defesa de redes de
computadores e para a administração de ataques a redes. Além de tudo isso, o Congresso
norte-americano aprovou a Lei de Desenvolvimento e Pesquisa em Cibersegurança para
subvencionar universidades que estejam pesquisando maneiras de proteger os sistemas de
computador.
Ameaças internas: funcionários
Quando pensamos em ameaças à segurança de uma empresa, tendemos a pensar em algo que
se origina fora da organização. Na verdade, as maiores ameaças às empresas do ponto de vista
financeiro não vêm de roubos, mas do desvio de dinheiro por parte dos próprios funcionários.
Algumas das maiores interrupções de serviço, destruição de sites de e-commerce e desvio de
informações pessoais e dados de crédito dos clientes partiram do pessoal interno — daqueles
funcionários em que outrora se confiava. Os funcionários têm acesso a informações
privilegiadas e, na presença de procedimentos de segurança internos frouxos, muitas vezes
podem perambular por todos os sistemas da organização sem deixar vestígios.
Pesquisas concluíram que a falta de conhecimento dos usuários é a maior causa isolada de
falhas na segurança de redes. Muitos funcionários esquecem sua senha para acessar o sistema
de computadores, ou permitem que colegas as utilizem, o que compromete o sistema todo.
Intrusos mal-intencionados em busca de acesso ao sistema podem enganar os funcionários
fingindo ser membros legítimos da empresa; assim, conseguem fazer com que eles revelem sua
senha. Essa prática é denominada engenharia social.
Os funcionários — tanto usuários finais quanto especialistas em sistemas de informação —
também são uma grande fonte de erros introduzidos nos sistemas de informação. Os
funcionários podem introduzir erros inserindo dados incorretos, ou deixando de seguir as regras
para o processamento de dados e o uso do equipamento de informática. Especialistas em
sistemas de informação também geram erros de software ao projetar e desenvolver novos
softwares, ou ao fazer a manutenção dos programas existentes.
Vulnerabilidade do software
Erros de software também representam uma constante ameaça aos sistemas de informação,
causando perdas indizíveis na produtividade. Segundo o Instituto Nacional de Padrões e
Tecnologias (NIST) do Departamento de Comércio dos Estados Unidos, as falhas de software
(incluindo vulnerabilidade a hackers e malware) custam à economia norte-americana 59,6
bilhões de dólares todos os anos .
Os softwares comerciais muitas vezes contêm falhas que geram não apenas problemas de
desempenho, mas também vulnerabilidades de segurança que abrem as redes a invasores.
Essas vulnerabilidades permitem que malwares penetrem pelas barreiras antivírus. Grande
quantidade de malwares já tentou explorar vulnerabilidades no sistema operacional Microsoft
Windows e em outros produtos Microsoft, e os malwares que têm como alvo o sistema operacional Linux também estão proliferando.
Para corrigir as falhas de software identificadas, os fornecedores criam softwares denominados
patches (remendos) que consertam as falhas sem prejudicar o funcionamento do programa.
Exemplo disso é o XP Service Pack 2 (SP2), lançado em 2004 pela Microsoft para oferecer
proteção adicional de firewall contra vírus e invasores, atualizações de segurança automáticas e
uma interface fácil de usar para administrar os aplicativos de segurança no computador do
usuário. Cabe aos usuários do software localizar a vulnerabilidade, testar e aplicar todos os
patches. Esse processo denomina-se gerenciamento de patch.
Como a infra-estrutura de TI de uma empresa normalmente possui uma infinidade de aplicativos
empresariais, instalações de sistemas operacionais e outros serviços de sistema, a manutenção
de patches em todos os dispositivos e serviços usados pela empresa pode ser um procedimento
dispendioso e demorado. Além disso, os malwares estão sendo criados tão rapidamente que as
empresas têm tido muito pouco tempo para agir, entre o momento em que uma vulnerabilidade e
um patch são anunciados e o momento em que o software mal-intencionado aparece para
explorar aquela vulnerabilidade. Essa é uma das razões pelas quais o Sasser, o SQL Slammer,
o SoBig.F e outros worms e vírus conseguiram infectar tantos sistemas de computador.
Valor empresarial da segurança e do controle
Como a segurança não está diretamente relacionada à receita de vendas, muitas empresas
relutam em gastar muito com ela. No entanto, a proteção dos sistemas de informação é tão
crucial para o funcionamento da empresa que merece um olhar mais atento. Quando os
sistemas de computadores não funcionam como previsto, as empresas que dependem
fundamentalmente da informática experimentam uma séria perda de negócios. Quanto mais
tempo os sistemas ficarem fora do ar, mais sérias serão as consequências para a empresa.
Algumas empresas que dependem de computadores para processar as suas transações críticas
podem sofrer uma perda total de negócios, caso fiquem sem os recursos de informática por
alguns dias ou mais. E, com tantos negócios hoje dependentes da Internet e dos sistemas em
rede, as empresas estão mais vulneráveis do que nunca a interrupções ou falhas.
As empresas têm ativos de informação valiosíssimos a proteger. Sistemas muitas vezes
abrigam informações confidenciais sobre impostos, ativos financeiros, registros médicos e
desempenho profissional das pessoas. Eles também podem conter informações sobre
operações corporativas, incluindo segredos de negócio, planos de desenvolvimento de novos
produtos e estratégias de marketing. Sistemas governamentais podem armazenar informações
sobre armamentos, operações de inteligência e alvos militares. Esses ativos de informação têm
um valor incalculável, e as repercussões podem ser devastadoras se eles forem perdidos,
destruídos ou colocados em mãos erradas. Segundo um estudo recente, se uma grande
empresa tem sua segurança comprometida, em dois dias a partir da falha ela perde
aproximadamente 2,1 % de seu valor de mercado, o que se traduz em uma perda média de 1,65
bilhão de dólares no mercado de ações a cada incidente.
Controle e segurança inadequados também podem criar sérios riscos legais. As empresas
precisam proteger não apenas seus próprios ativos de informação, mas também os de clientes,
funcionários e parceiros de negócios. Caso não consigam fazê-lo, podem ter de gastar muito em
um litígio por exposição ou roubo de dados. Uma organização pode ser responsabilizada pelo
risco e pelo dano desnecessários gerados caso não tenha tomado as medidas preventivas
apropriadas para evitar a perda de informações confidenciais, corrupção de dados ou violação
de privacidade. Uma sólida estrutura de controle e segurança que proteja os ativos de
informação da empresa pode, portanto, gerar um alto retorno sobre o investimento.
Requisitos legais e regulatórios para o gerenciamento de registros eletrônicos
Nos últimos tempos, regulamentações do governo norte-americano vêm forçando as empresas
a levar a segurança e o controle mais a sério, pois exigem a proteção dos dados contra uso
indevido, exposição e acesso não autorizado. Com isso, as empresas enfrentam novas
obrigações legais no que diz respeito à retenção de documentos e ao gerenciamento de
registros eletrônicos, bem como à proteção da privacidade. O gerenciamento de registros
eletrônicos (electronic records management — ERM) consiste em políticas, procedimentos e
ferramentas para gerenciar a retenção, a distribuição e o armazenamento de registros
eletrônicos.
Se você trabalhar no setor de saúde, nos Estados Unidos, sua empresa deverá obedecer à Lei
Americana de Responsabilidade e Portabilidade dos Seguros-Saúde (HIPAA), de 1996.
Essa lei estabelece regras e procedimentos quanto à privacidade e à segurança médicas para
simplificar a administração da saúde e automatizar a transferência de dados entre prestadores
de serviço de saúde, beneficiários e operadores de planos de saúde. Para tanto, os membros do
setor de saúde precisam reter informações dos pacientes por seis anos e garantir a
confidencialidade desses registros. A lei especifica padrões de segurança, privacidade e
transação eletrônica para os prestadores de serviços de saúde na administração das
informações dos pacientes, prevendo penalidades para violações da privacidade médica,
disclosure (transparência) de registros de pacientes por e-mail ou acesso não autorizado à rede.
Se você trabalhar, nos Estados Unidos, em uma empresa que presta serviços financeiros, ela
deverá cumprir a Lei Gramm-Leach-Bliley. A Lei de Modernização dos Serviços Financeiros,
de 1999 — mais conhecida como Lei Gramm-Leach-Bliley (GLBA), em homenagem aos
congressistas que a propuseram —, exige que as instituições financeiras assegurem a
segurança e a confidencialidade dos dados do cliente. Os dados precisam ser armazenados em
um meio seguro. Medidas especiais de segurança precisam ser tomadas para proteger tais
dados, tanto no meio de armazenagem quanto durante a transmissão.
Se você trabalhar em uma empresa com ações negociadas na bolsa norte-americana, deverá
obedecer à Lei Sarbanes-Oxley. A Lei de Proteção ao Investidor e de Reforma Contábil das
Empresas de Capital Aberto, promulgada em 2002 nos Estados Unidos e mais conhecida como
Sarbanes-Oxley — em homenagem a seus formuladores, o senador Paul Sarbanes, de
Maryland, e o deputado federal Michael Oxley, de Ohio — foi elaborada para proteger os
investidores após os escândalos financeiros envolvendo a Enron, a WorldCom e outras
empresas de capital aberto. Segundo essa lei, cabe às empresas e seus administradores
salvaguardar a precisão e a integridade das informações financeiras utilizadas internamente e
publicadas externamente.
A Lei Sarbanes-Oxley diz respeito, fundamentalmente, à garantia de que existam controles
internos para governar a criação e a documentação de informações nos demonstrativos
financeiros. Como são usados sistemas de informação para gerar, armazenar e transportar tais
dados, a legislação exige que as empresas levem em conta a segurança dos sistemas de
informação e outros controles necessários para garantir a integridade, a confidencialidade e a
precisão dos dados. Cada aplicativo de sistema que lida com dados de relatórios financeiros
críticos exige controles para garantir a acurácia desses dados. Da mesma maneira, são
essenciais controles para proteger a rede corporativa, evitar acesso não autorizado aos
sistemas e dados e garantir a disponibilidade e integridade dos dados, na eventualidade de um
desastre ou de uma interrupção qualquer nos serviços.
Prova eletrônica e perícia forense computacional
Segurança, controle e gerenciamento de registros eletrônicos se tornaram essenciais para lidar
com ações legais. Hoje, grande parte das provas em casos envolvendo fraude acionária, desvio
de dinheiro, roubo de segredos empresariais, crimes de informática e muitos casos civis
encontra-se no formato digital. Além das informações impressas ou digitadas, as ações jurídicas
atuais dependem cada vez mais de provas apresentadas na forma de dados armazenados em
discos portáteis, CDs e discos rígidos, assim como em e-mails, mensagens instantâneas e
transações de e-commerce pela Internet. Atualmente, o e-mail é o tipo mais comum de prova
eletrônica.
Em uma ação legal, uma empresa pode receber um pedido de produção de provas, tendo de dar
acesso a informações que possam ser usadas como garantia. Como a empresa está obrigada
por lei a apresentar esses dados, o custo pode ser enorme se ela tiver problemas para reuni-los,
ou se eles tiverem sido corrompidos ou destruídos. Hoje em dia, os tribunais impõem severas
penalidades financeiras e até mesmo criminais no caso de destruição indevida de documentos
eletrônicos.
Uma política de retenção de documentos eletrônicos eficiente assegura que documentos
eletrônicos, e-mails e outros registros estejam bem organizados e acessíveis, e que nunca
sejam detidos por tempo demais nem descartados cedo demais. Tal política também reflete uma
preocupação em preservar provas potenciais para a perícia forense computacional. A perícia
forense computacional é o procedimento científico de coleta, exame, autenticação,
preservação e análise de dados mantidos em — ou recuperados por — meios de
armazenamento digital, de tal maneira que as informações possam ser usadas como prova em
juízo. Ela lida com os seguintes problemas:
• recuperar dados de computadores sem prejudicar seu valor probatório;
• armazenar e administrar com segurança os dados eletrônicos recuperados;
• encontrar informações significativas num grande volume de dados eletrônicos;
• apresentar as informações em juízo.
As provas eletrônicas podem estar em um meio de armazenamento digital, na forma de arquivos
de computador ou como dados ambientes, que não são visíveis para o usuário comum. Exemplo
disso é um arquivo que tenha sido apagado no disco rígido do PC. Os dados que um usuário
tenha apagado no meio de armazenamento digital podem ser recuperados por meio de várias
técnicas. Os peritos forenses computacionais tentam recuperar esses dados ocultos para que
possam ser apresentados como prova.
A preocupação com as necessidades da perícia digital pode ser incorporada ao processo de
planejamento de contingência da empresa. O CIO, os especialistas em segurança, a equipe de
sistemas de informação e o conselho jurídico da empresa devem, todos juntos, trabalhar em prol
de um plano que, caso surja uma necessidade legal, possa ser posto em marcha.
Como estabelecer uma estrutura para segurança e controle
Quando se fala em controle e segurança dos sistemas de informação, tecnologia não é a
peça-chave. Tecnologia é o que dá a base, mas, na ausência de políticas de gerenciamento
inteligentes, até as mais avançadas tecnologias são facilmente vencidas. Os especialistas
acreditam, por exemplo, que mais de 90 por cento dos ciberataques bem sucedidos poderiam
ter sido evitados pela tecnologia disponível na época. A falta de atenção humana, porém, permitiu que eles proliferassem.
Para proteger os recursos de informação, são necessários uma política de segurança sólida e
um conjunto de controles. A ISO 17799, um conjunto de padrões internacionais para segurança
e controle, oferece diretrizes úteis. Ela especifica as melhores práticas em controle e segurança
de sistemas de informação, incluindo política de segurança, planejamento para a continuidade
dos negócios, segurança física, controle de acesso, obediência às normas (compliance) e
criação de uma função de segurança dentro da organização.
Avaliação de risco
Antes que a sua empresa comprometa recursos com segurança, ela precisa saber quais ativos
exigem proteção e em que medida eles são vulneráveis. Uma avaliação de risco ajuda a
responder a essas questões e determina o conjunto de controles com melhor custo-benefício
para proteger os ativos.
Uma avaliação de risco determina o nível de risco para a empresa caso uma atividade ou um
processo específico não sejam controlados adequadamente. Os administradores da empresa,
em cooperação com os especialistas em sistemas de informação, podem determinar o valor dos
ativos de informação, os pontos de vulnerabilidade, a frequência provável de um problema e seu
prejuízo potencial. Por exemplo: se a probabilidade de um evento ocorrer não for maior que uma
vez por ano, com um limite máximo de mil dólares de prejuízo para a organização, não seria
viável gastar 20 mil dólares no projeto e manutenção de um controle para evitar esse evento.
Entretanto, se aquele mesmo evento pudesse ocorrer, no mínimo, uma vez por dia, com um
prejuízo potencial de mais de 300 mil dólares por ano, gastar 100 mil dólares em um controle
seria inteiramente apropriado.
Uma vez que você tenha identificado os principais riscos para seus sistemas, sua empresa
precisará desenvolver uma política de segurança para proteger esses ativos.
Política de segurança é uma declaração que estabelece uma hierarquia para os riscos de
informação e identifica metas de segurança aceitáveis, assim como os mecanismos para
atingi-las.
A administração precisa estimar ainda quanto custará atingir esse nível de risco aceitável.
Em empresas de maior porte, é possível encontrar uma função oficial de segurança corporativa,
liderada por um chief security officer (CSO). A equipe de segurança orienta e treina os
usuários, mantém a administração informada sobre ameaças e falhas na segurança e cuida das
ferramentas escolhidas para a área. Cabe ao CSO trabalhar para que a política de segurança da
empresa seja cumprida.
A política de segurança dá origem a outras políticas, que determinam o uso aceitável dos
recursos de informação da empresa e quais membros terão acesso a esses ativos. Uma política
de uso aceitável (acceptable use policy — AUP) define os usos aceitáveis dos recursos de
informação e do equipamento de informática da empresa, incluindo computadores de mesa e
laptops, dispositivos sem fio, telefones e Internet. A política deve deixar clara a posição da
empresa no que diz respeito à privacidade, à responsabilidade do usuário e ao uso pessoal do
equipamento de informática e das redes. Uma boa política de uso aceitável define as ações
aceitáveis e inaceitáveis para cada usuário, especificando as consequências do
não-cumprimento às normas.
As políticas de autorização, por sua vez, determinam diferentes níveis de acesso aos ativos de
informação para diferentes níveis de usuários. Os sistemas de gerenciamento de autorização
estabelecem onde e quando um usuário terá permissão para acessar determinadas partes de
um site ou de um banco de dados corporativo. Tais sistemas permitem que cada usuário acesse
somente as partes do sistema nas quais têm permissão de entrar, com base nas informações
estabelecidas por um conjunto de regras de acesso.
Um dos conjuntos consiste em todos os funcionários que executam funções burocráticas, tais
como digitar os dados no sistema. Todos os indivíduos com esse perfil podem atualizar o
sistema, mas não podem ler nem atualizar dados sensíveis como salários, históricos médicos ou
dados de remuneração. O outro perfil se aplica a um gerente de divisão, que não pode atualizar
o sistema, mas pode ler todos os campos dos dados referentes aos funcionários de sua divisão,
incluindo histórico médico e salário. Esses perfis seriam estabelecidos e mantidos por um
sistema de segurança de dados, baseado em regras de acesso fornecidas por grupos especiais
dentro da empresa.
Como assegurar a continuidade dos negócios
À medida que sua receita e operações dependem cada vez mais de redes digitais, as empresas
precisam tomar medidas adicionais para assegurar que seus sistemas e aplicativos estejam
sempre disponíveis. Variados fatores podem causar interrupção no funcionamento de um site,
incluindo ataques de recusa de serviço, falha da rede, tráfego pesado na Internet e exaustão de
recursos do servidor. No fim, falhas de computador, interrupções e tempos ociosos resultam em
clientes insatisfeitos, milhões em vendas perdidas e incapacidade de executar transações
internas críticas. Downtime é o termo usado para designar os períodos em que um sistema não
está operante.
Instituições financeiras, companhias aéreas e outras empresas cujas aplicações críticas
requerem processamento de transação on-line há muitos anos vêm usando sistemas de
informação tolerantes a falhas, para garantir cem por cento de disponibilidade. No
processamento de transação on-line, as transações registradas on-line são imediatamente
processadas pelo computador. A cada instante ocorrem alterações nos bancos de dados,
relatórios ou requisições.
Os sistemas de computação tolerantes a falhas incluem componentes redundantes de
hardware, software e fornecimento de energia elétrica, criando um ambiente que oferece serviço
contínuo, ininterrupto. Computadores tolerantes a falhas contêm chips de memória,
processadores e dispositivos de armazenagem de discos extras, que fazem o backup do
sistema e o mantêm em funcionamento para evitar falhas. Podem usar rotinas especiais de
software ou a lógica de auto verificação instaladas em seus circuitos para detectar falhas de
hardware e, se for o caso, comutar automaticamente para o dispositivo de reserva (backup).
Além disso, as peças desses computadores podem ser removidas e consertadas sem causar
parada no sistema.
Não se deve confundir tolerância a falhas com computação de alta disponibilidade. Embora
ambas sejam projetadas para maximizar disponibilidade de aplicações e sistemas e ambas
utilizem recursos de backup de hardware, a computação de alta disponibilidade ajuda empresas
a se recuperar rapidamente após um desastre, enquanto a tolerância a falhas promete
disponibilidade contínua e a total eliminação da necessidade de se recuperar. Ambientes de
computação de alta disponibilidade são um requisito mínimo para empresas cujo
processamento de comércio eletrônico é intenso ou que dependam de redes digitais para suas
operações internas.
A computação de alta disponibilidade requer servidores de reserva, distribuição do
processamento entre múltiplos servidores, alta capacidade de armazenamento e bons planos de
recuperação de desastres e de continuidade dos negócios. A plataforma de computação da
empresa precisa ser extremamente robusta, com largura de banda, armazenamento e
capacidade de processamento escaláveis.
Os pesquisadores estão explorando maneiras de fazer os sistemas de computação recuperar-se
ainda mais rapidamente após incidentes — uma abordagem denominada computação
orientada a recuperação. Esse trabalho inclui o projeto de sistemas que se recuperem
rapidamente, assim como a implantação de recursos e ferramentas que ajudem os operadores a
descobrir as fontes de falhas em sistemas compostos por múltiplos componentes, podendo
corrigir os erros mais facilmente .
Plano de recuperação de desastres e plano de continuidade dos negócios
Um plano da recuperação de desastres deve incluir estratégias para restaurar os serviços de
computação e comunicação após eles terem sofrido uma interrupção causada por eventos como
terremoto, inundação ou ataque terrorista. Os planos de recuperação de desastres
concentram-se primordialmente em questões técnicas relacionadas à preservação do
funcionamento dos sistemas, tais como os arquivos que devem ter backup e a manutenção de
sistemas de computador reservas ou de serviços de recuperação de desastres.
A MasterCard, por exemplo, possui um centro de informática duplicado em Kansas City,
Missouri, que pode servir como reserva de emergência para seu centro de informática 'oficial',
localizado em St. Louis. Em vez de construir sua própria infra-estrutura de reserva, muitas
empresas contratam empresas especializadas em recuperação de desastres, como a Comdisco
Disaster Recovery Services, de Rosemont, Illinois, e a SunGard, sediada em Wayne,
Pensilvânia. Essas empresas oferecem hot sites, centros que abrigam computadores 'estepe' em
vários pontos do território norte-americano, onde as empresas assinantes do serviço podem
rodar os seus principais aplicativos em caso de emergência.
O plano de continuidade dos negócios concentra-se em como a empresa pode restaurar suas
operações após um desastre. O plano de continuidade dos negócios identifica os processos de
negócio críticos e determina planos de ação para lidar com funções essenciais casos os
sistemas saiam do ar.
Os administradores do negócio e os especialistas em tecnologia da informação precisam
trabalhar juntos nesses dois tipos de plano, para determinar quais sistemas e processos de
negócio são mais importantes para a empresa. Eles precisam conduzir uma análise de impacto
nos negócios, a fim de identificar os sistemas mais importantes da empresa e o impacto que uma
suspensão em seu funcionamento teria nos negócios. A administração precisa determinar o
período máximo que a empresa pode sobreviver sem seus sistemas e quais partes dela
precisam ser restauradas primeiro.
Outsourcing da segurança
Muitas empresas, especialmente as pequenas, não possuem os recursos e o conhecimento
técnico necessários para criar, por conta própria, um ambiente de computação seguro e de alta
disponibilidade. Nesse caso, elas podem terceirizar muitas funções de segurança para
provedores de serviços de segurança gerenciada (MSSPs), que monitoram as atividades da
rede e realizam testes de vulnerabilidade e detecção de invasões. Counterpane, VeriSign e
Symantec são provedores líderes de serviços MSSP
O papel da auditoria no processo de controle
Como a administração sabe que os controles de seus sistemas de informação são eficientes?
Para responder a essa pergunta, ela deve realizar auditorias abrangentes e sistemáticas. Uma
auditoria de sistemas identifica todos os controles que governam sistemas individuais de
informação e avalia sua efetividade. Para cumprir esse objetivo, o auditor precisa compreender
por completo as operações, instalações físicas, telecomunicações, sistemas de controle,
objetivos de segurança de dados, estrutura organizacional, pessoal, procedimentos manuais e
aplicações individuais da organização.
O auditor geralmente entrevista indivíduos-chave que usam e operam um sistema de informação
específico pertinente às suas atividades e procedimentos. São examinados, então, os controles
de aplicação, os controles gerais de integridade e as disciplinas de controle. O auditor deve
monitorar o fluxo de uma amostra de transações através do sistema e, caso necessário, realizar
testes usando software de auditoria automatizada. Dessa forma, ele pode identificar as possíveis
vulnerabilidades do sistema.
As auditorias de segurança devem rever tecnologias, procedimentos, documentação,
treinamento e recursos humanos. Uma auditoria completa pode até mesmo simular um ataque
ou desastre para verificar como os recursos tecnológicos, a equipe de sistemas de informação e
os funcionários da empresa reagem.
A auditoria lista e classifica todos os pontos fracos do controle e estima a probabilidade de
ocorrerem erros nesses pontos. Avalia então o impacto financeiro e organizacional de cada
ameaça.
Existe uma gama de ferramentas e tecnologias para ajudar as empresas a salvaguardar seus
sistemas e dados. Entre elas estão ferramentas para autenticação, firewalls, sistemas de
detecção de invasão, softwares antivírus e antispyware e criptografia.
Controle de acesso
Por controle de acesso entenda-se todo o conjunto de políticas e procedimentos que uma
empresa usa para evitar acesso indevido a seus sistemas por pessoas não autorizadas dentro e
fora da organização. Para obter acesso, o usuário precisa ser autorizado e autenticado.
Autenticação refere-se à capacidade de saber que uma pessoa é quem declara ser. Um
software de controle de acesso é elaborado para garantir que, por meio de algum tipo de
autenticação, somente usuários autorizados usem os sistemas ou acessem os dados.
A autenticação geralmente é estabelecida pelo uso de senhas conhecidas apenas por usuários
autorizados. O usuário final usa uma senha para “logar-se” ao sistema de computador e também
pode usar senhas para acessar sistemas ou arquivos específicos. Muitas vezes, porém, os
usuários esquecem senhas, revelam-nas para outras pessoas ou escolhem senhas
inadequadas, fáceis de adivinhar, e tudo isso compromete a segurança. Sistemas de senha
excessivamente rigorosos tolhem a produtividade do funcionário. Quando os funcionários
precisam alterar senhas complexas com muita freqüência, acabam utilizando atalhos, como
escolher senhas fáceis de adivinhar ou escrever a senha em suas estações de trabalho, à vista
de todos. Senhas também podem ser 'sniffed' ('farejadas') quando transmitidas por rede, ou
roubadas por meio da engenharia social.
O e-commerce vem causando uma proliferação de sites protegidos por senha. Se os usuários
empregarem senhas para acessar múltiplos sistemas e as reutilizarem para mais de um sistema,
um hacker que tenha conseguido acesso a uma das contas do usuário pode ter acesso a outras.
Novas tecnologias de autenticação, como tokens, smart cards e autenticação biométrica,
resolvem alguns desses problemas. Token é um dispositivo físico, parecido com um cartão de
identificação, projetado para provar a identidade do usuário. Os tokens são pequenos
dispositivos com visor ou que se encaixam em uma porta USB e exibem senhas que mudam a
toda hora. Já um smart card é um dispositivo com tamanho aproximado de um cartão de crédito;
ele contém um chip formatado com a permissão de acesso e outros dados. (Smart cards também
são utilizados em sistemas de pagamento eletrônico.) Após interpretar os dados do smart card, o
dispositivo leitor permite ou nega acesso.
A autenticação biométrica fundamenta-se na medição de um traço físico ou comportamental
que torna cada indivíduo único. Ela compara as características exclusivas de uma pessoa, tais
como as impressões digitais, o rosto ou a imagem da retina, com um conjunto de perfis
armazenados, determinando se existe alguma diferença entre elas e o perfil armazenado. Se os
dois perfis 'baterem', o acesso será concedido. Essa tecnologia é cara, e as tecnologias de
reconhecimento de impressões digitais e face estão apenas começando a ser usadas para
aplicações de segurança.
A seção "Tecnologia em destaque", a seguir, descreve como a Monsanto, a GM e outras
empresas implantaram algumas dessas tecnologias para fornecer controle de acesso e
gerenciamento de identidade. Essas empresas queriam substituir seus ineficientes sistemas
baseados em senha que diminuíam a produtividade dos trabalhadores e não as deixavam ter
controle suficiente sobre seus dados financeiros para atender aos padrões de segurança da Lei
Sarbanes-Oxley. Ao ler este estudo de caso, procure identificar os problemas enfrentados por
essas empresas; as soluções disponíveis à administração; em que medida a solução escolhida
foi apropriada; e as questões humanas, organizacionais e tecnológicas que tiveram de ser
abordadas durante o desenvolvimento da solução.
Firewalls, sistemas de detecção de invasão e software antivírus
À medida que mais e mais empresas expõem suas redes ao tráfego da Internet, os firewalls,
sistemas de detecção de invasão e softwares antivírus se tornam essenciais.
Firewalls
Combinação de hardware e software que controla o fluxo de tráfego que entra ou sai da rede.
Geralmente é instalado entre as redes internas da empresa e as redes externas, como a Internet,
embora possa também ser usado para proteger parte de uma rede da empresa do resto da rede.
O firewall age como um porteiro que examina as credenciais de cada usuário antes que ele
possa acessar a rede. O firewall identifica nomes, endereços IP, aplicativos e outras
características do tráfego de entrada. Em seguida, compara essas informações com as regras de
acesso que foram programadas no sistema pelo administrador da rede. Impede, então, que
comunicações não autorizadas entrem ou saiam da rede, permitindo que a organização imponha
uma política de segurança ao fluxo de tráfego entre sua rede e a Internet.
Em grandes organizações, o firewall muitas vezes reside em um computador reservado
especialmente para ele, separado do resto da rede, de maneira que nenhuma solicitação possa
entrar e acessar diretamente os recursos da rede privada. Os firewalls usam diferentes
tecnologias de inspeção, incluindo a filtragem de pacotes èstáticos, a inspeção de pacotes SPI
(stateful packet inspection), a Network Address Translation (Tradução de Endereços IP) e a
filtragem de aplicação proxy. As técnicas a seguir são usadas em conjunto para fornecer a
proteção de firewall.
A filtragem de pacotes examina campos selecionados nos cabeçalhos dos pacotes de dados
que fluem de lá para cá entre a rede confiável e a Internet, examinando isoladamente pacotes
individuais. Essa tecnologia de filtragem pode deixar passar muitos tipos de ataque. A inspeção
de pacotes SPI oferece mais segurança, na medida em que determina se os pacotes fazem
parte de um diálogo corrente entre um emissor e um receptor. Ela monta tabelas de status para
monitorar as informações de múltiplos pacotes. Os pacotes serão aceitos caso façam parte de
um diálogo aprovado, ou caso estejam tentando estabelecer uma conexão legítima.
A Network Address Translation (NAT) pode oferecer uma camada extra de proteção quando a
filtragem de pacotes estáticos e a inspeção de pacotes SPI estiverem sendo usadas. A NAT pode
ocultar os endereços IP do(s) computador(es) hospedeiro(s) interno(s) da organização, evitando
assim que programas snijfer fora do firewall os descubram e usem essa informação para
penetrar nos sistemas internos.
A filtragem de aplicação proxy examina o conteúdo de aplicação dos pacotes. Um servidor
proxy detém os pacotes de dados que se originam fora da organização, inspeciona tais pacotes
e, em seguida, passa um proxy ('procurador', 'representante') para o outro lado do firewall.
Quando um usuário externo à empresa quer comunicar-se com um usuário dentro da empresa,
primeiramente 'conversa' com a aplicação proxy, e esta se comunica com o computador interno.
Da mesma maneira, um usuário de computador interno à organização passa pelo proxy para
'conversar' com computadores fora da empresa.
A fim de criar um bom firewall, alguém tem de escrever e manter as regras internas para
identificar pessoas, aplicações ou endereços permitidos ou rejeitados, com os mínimos detalhes.
Como podem inibir — embora não impeçam completamente — a invasão da rede por estranhos,
os firewalls devem ser vistos como um dos elementos de um plano geral de segurança. Para lidar
efetivamente com a segurança na Internet, às vezes são necessárias políticas e procedimentos
corporativos, responsabilidades de usuários e treinamento em conscientização de segurança
mais abrangentes.
Sistemas de detecção de invasão
Além de firewalls, fornecedores de segurança comercial agora oferecem ferramentas e serviços
de detecção de intrusos que protegem a empresa contra o tráfego de rede suspeito. Sistemas
de detecção de invasão são ferramentas de monitoração contínua instaladas nos pontos mais
vulneráveis ('mais quentes') de redes corporativas, a fim de detectar e inibir invasores. O sistema
emite um alarme quando encontra um evento suspeito ou anômalo. Um software de varredura
procura padrões indicativos de métodos conhecidos de ataque, como senhas erradas, verifica se
foram removidos ou modificados arquivos importantes e envia alarmes de vandalismo ou de
erros de administração de sistema. O outro componente do sistema, um software de
monitoração, examina os eventos em tempo real, atrás de ataques em curso à segurança. A
ferramenta de detecção de invasão também pode ser customizada para isolar uma parte
particularmente sensível de uma rede, caso ela receba tráfego não autorizado.
Software antivírus e antispyware
Planos de tecnologia defensiva, sejam residenciais ou empresariais, precisam incluir proteção
antivírus para todos os computadores. O software antivírus é projetado para verificar sistemas
de informação e drives, a fim de detectar a presença de vírus de computador. Muitas vezes o
software pode eliminar o vírus da área infectada. Todavia, a maioria dos softwares antivírus
somente é efetiva contra espécies que já eram conhecidas quando eles foram programados —
por isso, para permanecer eficiente, o software antivírus deve ser continuamente atualizado.
McAfee e Symantec estão entre os principais fornecedores de software antivírus. Os produtos de
software elaborados especialmente para eliminar spywares, como o Ad-Aware SE Personal, o
Spybot Search and Destroy e o Spy Sweeper, também são muito úteis.
Segurança em redes sem fio
Apesar de suas falhas, o protocolo WEP (Wired Equivalent Privacy) oferece alguma margem de
segurança se os usuários de Wi-Fi se lembrarem de ativá-lo. As empresas podem aumentar a
segurança do WEP utilizando-o em conjunto com a tecnologia de rede privada virtual (VPN), nos
casos em que a rede sem fio tenha acesso aos dados corporativos internos.
Os fornecedores de equipamento Wi-Fi vêm desenvolvendo padrões de segurança novos e mais
sólidos. O grupo setorial denominado Wi-Fi Alliance lançou uma especificação de Acesso
Protegido a Wi-Fi (Wi-Fi Protected Access — WPA) que funcionará com futuros produtos de LAN
sem fio e poderá atualizar os equipamentos que usam o 802.11b. O WPA melhora a criptografia
de dados, pois substitui as chaves criptográficas estáticas usadas no WEP por chaves mais
longas, de 128 bits, que mudam continuamente, sendo dessa forma mais difíceis de serem
quebradas. Para reforçar a autenticação do usuário, o WPA oferece um mecanismo baseado no
Protocolo de Autenticação Extensível (Extensible Authentication Protocol — EAP) que funciona
com servidores de autenticação central, os quais autenticam cada usuário antes que ele possa
conectar-se à rede. Emprega também autenticação mútua, de maneira que o usuário sem fio não
seja jogado em uma rede falsa, onde suas credenciais possam ser roubadas. Permite ainda
verificar os pacotes de dados, para ter certeza de que fazem parte de uma sessão de rede
corrente e não estão, em vez disso, sendo repetidos por hackers para enganar os usuários da
rede.
Criptografia e infra-estrutura de chave pública
Muitas organizações usam a criptografia para proteger as informações digitais que elas
armazenam, transferem fisicamente ou enviam pela Internet. Criptografia é o processo de
transformar textos comuns ou dados em um texto cifrado, que não possa ser lido por ninguém a
não ser o remetente e o destinatário desejado. Os dados são criptografados por meio de um
código numérico secreto, denominado chave criptográfica, que transforma dados comuns em
texto cifrado. Para ser lida, a mensagem deve ser decriptada pelo destinatário.
Podemos citar dois métodos para criptografar o tráfego de rede: o SSL e o S-HTTP. O Secure
Sockets Layer (SSL) e o seu sucessor, o Transport Layer Security (TLS), permitem que
computadores clientes e servidores administrem as atividades de criptografia e decriptografia à
medida que se comunicam entre si durante uma sessão Web segura. O Secure Hypertext
Transfer Protocol (S-HTTP) é outro protocolo usado para criptografar os dados que fluem pela
Internet, mas ele só consegue lidar com mensagens individuais, enquanto o SSL e o TLS são
projetados para estabelecer uma conexão segura entre dois computadores.
Embutida no software navegador do cliente da Internet e nos servidores, a função que gera
sessões seguras é executada automaticamente, com pouca intervenção do usuário. O cliente e o
servidor negociam qual chave e qual nível de segurança serão utilizados. Uma vez que se
estabeleça uma sessão segura entre cliente e servidor, todas as mensagens dessa seção serão
criptografadas.
Existem ainda dois outros métodos de criptografia: a criptografia de chave simétrica e a
criptografia de chave pública. Na criptografia de chave simétrica, para estabelecer uma
sessão de Internet segura, o remetente e o destinatário criam uma única chave cripográfica, que
é enviada ao destinatário; assim, este e o remetente compartilham a mesma chave. Quanto
maior for o comprimento em bits dessa chave, mais segura ela será. Atualmente, uma chave
típica tem 128 bits (um conjunto de 128 dígitos binários).
O problema comum a todos os esquemas de criptografia simétrica é que a chave precisa ser
compartilhada de algum modo entre remetente e destinatário, deixando-a exposta a invasores
que podem interceptá-la e decripto- grafá-la. Uma forma mais segura de criptografia,
denominada criptografia de chave pública, usa duas chaves: uma compartilhada (ou pública) e
outra totalmente privada. As chaves são matematicamente relacionadas, de modo que os dados
criptografados com uma chave somente podem ser decriptados pela outra. Para enviar e receber
mensagens, as duas partes envolvidas na comunicação primeiramente criam pares separados
de chaves públicas e privadas. A chave pública é mantida em um diretório, e a privada deve ser
mantida em segredo. O remetente criptografa uma mensagem com a chave pública do
destinatário. Ao receber a mensagem, o destinatário usa sua chave privada para decriptá-la.
Assinaturas digitais e certificados digitais também auxiliam a autenticação. Assinatura digital é
uma mensagem criptografada (o nome do remetente, por exemplo) que somente o remetente
pode criar por meio de sua chave privada. A assinatura digital é usada para verificar as origens e
o conteúdo de uma mensagem. Proporciona um meio de associar uma mensagem a seu
remetente, executando função semelhante à de uma assinatura escrita.
Certificados digitais são arquivos de dados usados para determinar a identidade de pessoas e
ativos eletrônicos, a fim de proteger transações on-line (veja a Figura 7.8). Um certificado digital
usa uma terceira parte fidedigna, conhecida como autoridade certificadora (certificate authority
— CA), para validar a identidade de um usuário. Existem muitas CAs nos Estados Unidos e no
mundo todo, tais como o Federal Reserve System, a Microsoft e a maior emissora de
certificados, a Verisign. A CA verifica off-line a identidade do usuário e, em seguida, passa a
informação para um servidor da CA, que gera um certificado digital criptografado contendo a
identificação do proprietário e uma cópia de sua chave pública. O certificado autentica que a
chave pública pertence ao proprietário designado. A CA disponibiliza publicamente a sua própria
chave pública em meio impresso, ou às vezes na Internet. O destinatário da mensagem
criptografada usa, então, a chave pública da CA para decodificar o certificado digital anexado à
mensagem, verifica se ele foi emitido mesmo pela CA e por fim obtém a chave pública do
remetente e a informação de identificação contida no certificado. Usando essa informação, o
destinatário pode enviar uma resposta criptografada. O sistema de certificado digital capacitaria,
por exemplo, um usuário de cartão de crédito e um comerciante a validar, antes de trocar seus
dados, que seus certificados digitais foram emitidos por uma terceira parte autorizada e
fidedigna.