Trabalho de sistematizao apresentado ao curso de Tecnologia em Segurana da Informao da Universidade Catlica de Braslia, como requisito parcial para aprovao na disciplina Introduo a Segurana Computacional.
Braslia 2013
Trabalho de sistematizao de autoria do Grupo 3, intitulado BOAS PRTICAS EM SEGURANA DA INFORMAO, apresentado como requisito parcial para aprovao na disciplina Introduo a Segurana Computacional do curso de Tecnologia em Segurana da Informao.
Braslia 2013
O perdedor erra e volta atrs, o vencedor erra e comea tudo de novo. No h heris na escola da vida, somos todos eternos aprendizes.
Augusto Cury
RESUMO
3, Grupo. Boas prticas em segurana da informao. 2013. 9 folhas. Pesquisa Acadmica. Tecnologia em Segurana da Informao - Universidade Catlica de Braslia, Braslia/DF, 2013.
Este trabalho representa uma pesquisa acadmica sobre boas prticas em segurana de informao, e faz meno aos cdigos maliciosos mais usuais, os riscos e fraudes. Tambm so apresentadas algumas solues e mecanismos por formas a banir ou minimizar o risco, e de algumas recomendaes a empresas e usurios.
Palavras-chave: Informao, Segurana, Cdigos maliciosos, Riscos e fraudes.
ABSTRACT
This work represents an academic research on best practices in information security, and makes mention of the most common malicious code, the risks and frauds. It also presents some solutions and mechanisms to remove or minimize the risk, and some recommendations to businesses and users.
Keywords: Information, Security, Malware, Fraud and risks.
SUMRIO
1 INTRODUO ....................................................................................................... 7 2 CONCEITOS FUNDAMENTAIS ........................................................................... 8 2.1 VULNERABILIDADE, AMEAA E ATAQUE. ........................................... 8 2.2 SERVIOS DE SEGURANA ....................................................................... 8 3 RISCOS E FRAUDES ........................................................................................... 10 3.1 PRINCIPAIS CDIGOS MALICIOSOS ...................................................... 10 3.1.1 Vrus .......................................................................................................... 10 3.1.2 Verme (Worm) .......................................................................................... 10 3.1.3 Trojan (Cavalo de Troia) ........................................................................... 10 3.1.4 Spywares ................................................................................................... 10 3.1.5 Keyloggers ................................................................................................ 11 3.1.6 Geradores de Spam ................................................................................... 11 3.2 PRINCIPAIS GOLPES ................................................................................... 11 3.2.1 Engenharia Social ..................................................................................... 11 3.2.2 Phishing Scam ........................................................................................... 11 4 SOLUES E MECANISMOS DE PREVENO ............................................. 12 5 COMPORTAMENTO E POSTURA DAS EMPRESAS E USURIOS .............. 13 6 CONSIDERAES FINAIS ................................................................................. 14 7 REFERNCIAS ..................................................................................................... 16
7
1 INTRODUO
O papel foi durante muito tempo um meio para armazenar, enviar e receber informao, sendo muito simples mant-lo em segurana. A era em que se vive hoje trouxe consigo ganhos significativos em todos os ramos da sociedade, e junto ao tal benefcio surgiram tambm vrias questes relacionadas a confidencialidade, integridade, autenticidade, controle de acesso e a disponibilidade da informao. Pensou-se que com a evoluo os problemas minimizassem e talvez extinguisse a necessidade de se investir na segurana da informao, mas os dados atuais mostram que ou se gasta investindo em segurana ou os sistemas estaro vulnerveis e merc de ameaas e ataques que uma vez aconteam, comprometero seriamente pessoas e empresas. A cada segundo so armazenados, enviados e recebidos milhares de bits, a quem deve ser chamada a responsabilidade da integridade de tais bits?
8
2 CONCEITOS FUNDAMENTAIS
2.1 VULNERABILIDADE, AMEAA E ATAQUE. Em segurana da informao muito importante o domnio de alguns conceitos bsicos, so eles: Vulnerabilidade, ameaa e ataque. Uma vulnerabilidade representa qualquer fragilidade dentro de um sistema, rede ou procedimento de atuao, que possa ser explorada, causando perdas ou danos pessoa ou organizao, caso o sistema seja vulnervel, surge ento a ameaa que , portanto, a possibilidade de explorao daquela vulnerabilidade. Um ataque representa ento a materializao de uma ameaa.
2.2 SERVIOS DE SEGURANA No Sculo atual, as empresas tm sido alvo de muitos ataques cibernticos o que pe em risco a sua boa imagem e os seus ativos, ento para garantir proteo torna-se necessrio implementar servios que podem ser agrupados nas seguintes categorias: confidencialidade, integridade, autenticidade, controle de acesso e disponibilidade.
A confidencialidade tem como objetivo proteger as informaes contra acessos no- autorizados.
A integridade garante que a informao no seja adulterada por terceiros ou programas no autorizados.
A autenticidade tem por objetivo garantir que os envolvidos em uma comunicao sejam autnticos e legtimos.
No controle de acesso a finalidade definir regras, limitando o acesso fsico ou lgico somente pessoas autorizadas. O controle de acesso fsico engloba os mecanismos e medidas de proteo contra acesso no-autorizado, visando a proteo de equipamentos, documentos, suprimentos e pessoas, entre outros recursos, isto : uso de crachs de identificao de funcionrios, registro da entrada de visitantes, alarmes, guardas, fechaduras etc. J controle de acesso lgico visa proteo dos sistemas de informao e das bases de dados da empresa, estabelecendo medidas e procedimentos para o uso e acesso a esses sistemas. Dessa forma, o 9
controle de acesso lgico deve prover mecanismos e estabelecer medidas para proteger os recursos de software contra acessos no-autorizados.
O servio de disponibilidade encarrega-se em manter a informao sempre disponvel quando requisitada por usurios e/ou sistemas com acessos autorizados. 10
3 RISCOS E FRAUDES
O investimento que tem sido feito por parte das empresas em ter um sistema fivel deixa-as isentas de danos maiores, pois grande o prejuzo que muitas outras empresas enfrentam para restaurar e reparar sistemas infectados e danificados.
Outrora muitos cdigos maliciosos eram criados por simples diverso, mas atualmente a inteno de danificar e furtar tem aumentando significativamente portanto, importante conhecer os principais cdigos maliciosos.
3.1 PRINCIPAIS CDIGOS MALICIOSOS 3.1.1 Vrus Vrus um programa que se anexa a um arquivo hospedeiro (ou seja, o vrus aloca seu cdigo dentro do corpo do arquivo hospedeiro) e de l tenta se copiar para outros arquivos. S entra em ao quando seu arquivo hospedeiro executado.
3.1.2 Verme (Worm) Verme um programa um programa auto replicante, projetado para tomar aes maliciosas aps infestar um sistema, alm de se autorreplicar, pode deletar arquivos em um sistema ou enviar documentos por e-mail.
3.1.3 Trojan (Cavalo de troia) Cavalo de Troia um programa disfarado de um programa legtimo, que esconde objetivos maliciosos, como apagar dados, a mudana nas permisses de arquivos de um usurio, destruio total dos arquivos, roubar informaes e abrir portas de comunicao para que se possa invadir o computador.
3.1.4 Spywares Spywares um programa que monitora as atividades de um sistema e envia as informaes para terceiros, sem o conhecimento do usurio.
11
3.1.5 Keyloggers Keyloggers tm por objetivo capturar tudo o que digitado pelo usurio, armazenando a seqncia de teclas pressionadas em arquivos na prpria mquina ou enviando para algum outro computador na rede.
3.1.6 Geradores de Spam Programas geradores de spam so aqueles cujo objetivo gerar grandes volumes de e-mails e envi-los aos mais diversos destinatrios. Geralmente, tais programas so instalados por crackers em mquinas por eles invadidas ou podem ser instalados involuntariamente, pelo prprio usurio, ao acessar determinados sites.
3.2 PRINCIPAIS GOLPES 3.2.1 Engenharia Social A persuaso uma das armas usadas, naquele ataque que chamado de Engenharia Social, tipo de golpe, pelo qual algum convence, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes.
3.2.2 Phishing Scam Este tipo de golpe tem como objetivo obter dados de usurios desavisados ou faz-los abrir arquivos com programas maliciosos para obter senhas de banco, nmeros de carto de crdito, etc. Normalmente implementado por meio de e-mail (spam), atravs do envio de uma mensagem ilegtima que aparenta pertencer a uma instituio conhecida, como por exemplo um banco.
Quando se conhece os riscos e as fraudes, torna-se mais fcil prevenir acontecimentos catastrficos, e pautar por medidas e comportamentos que evitem passar por situaes previstas acima. O usurio um ator imprescindvel na questo da segurana e joga um papel predominante na tomada de decises que possam ser fulcrais na preveno e combate de vulnerabilidades. 12
4 SOLUES E MECANISMOS DE PREVENO
Quando se decide qual o rumo que queremos para uma instituio em termos de segurana, pensa-se logo em quais os mecanismos a usar. Estes variam de instituio a instituio, em funo de seu estgio de maturidade, grau de informatizao, rea de atuao, cultura organizacional, necessidades requeridas, requisitos de segurana, entre outros aspectos. As empresas buscam por solues que resultem e que sejam fiveis, ento cabe ao profissional em Segurana da informao ou a equipa responsvel pela rea na empresa velar por quais solues e mecanismos empregar.
Destacam-se ento as seguintes solues e mecanismos: Na componente fsica, o uso de portas, salas que exijam cartes e ou impresso digital, cmeras de vdeo vigilncia, guardas, prdios, muros, etc., permitem bloquear o contato ou acesso direto a informao ou a infraestrutura.
Na componente lgica, a escolha certa dos Sistemas operativos, Antivrus e Anti- spyware com atualizao automtica e frequente, backups, Utilizao de softwares originais com licenas oficiais, Firewall, mecanismos de autenticao e criptografia, certificao digital, sistema de deteco de intrusos, etc. 13
5 RECOMENDAES PARA EMPRESAS E USURIOS
Visto que o usurio uma personagem ativa no processo que envolve as questes de segurana da informao, deve ento pautar de comportamentos e de uma postura solida no uso das ferramentas da empresa e no s. Muitos dos problemas em sistemas tem sido por falta de conhecimento e informao por parte dos funcionrios que por vezes at usam as ferramentas de trabalho para seu benefcio e lazer o que muitas vezes compromete a instituio, ento relevante dominar algumas tcnicas que podero servir para o seu benefcio e no s. A empresa deve investir em polticas que ajudem os seus funcionrios (usurios) a adquirirem uma postura exemplar no uso das tecnologias da informao e comunicao, o segurana da informao da responsabilidade da empresa e cabe a mesma velar pelo bom uso da mesma.
O envolvimento do usurio importante no processo da segurana da informao, pois na adequada utilizao destes recursos, como instrumento de trabalho, que se inicia a formao de uma slida cultura de segurana da informao.
Recomenda-se aos usurios a adoo das seguintes prticas: Fazer regularmente cpias de segurana de seus dados; Manter registro das cpias de segurana; Guardar as copias de segurana em local seguro e distinto daquele onde se encontra a informao original; Utilizar senhas que contenham, pelo menos, oito caracteres, compostos de letras, nmeros e smbolos, evitando o uso de nomes, sobrenomes, nmeros de documentos, placas de carros, nmeros de telefones, datas que possam ser relacionadas com o usurio ou palavras constantes em dicionrios e no transmitir a ningum; Alterar periodicamente suas senhas; Evitar utilizar o e-mail coorporativo para fins pessoais; Navegar conscientemente na Web, evitar sites que paream suspeitos, links de janelas Pop-ups, utilizar sites seguros ao enviar dados confidenciais; No executar arquivos anexados a e-mails, sem antes examin-los e evitar clicar em links recebidos por e-mail; Utilizar Softwares licenciados para uso pela Autarquia; 14
Criar, transmitir, distribuir, disponibilizar e armazenar documentos, desde que respeite as leis e regulamentaes; Evitar envio de material obsceno, ilegal ou no tico, envio de propaganda, mensagem do tipo corrente e de entretenimento, relacionadas com nacionalidade, raa, orientao sexual, religiosa, convico poltica ou qualquer outro assunto ; Evitar fazer download de contedo multimdia com direitos autorais que promovam a pirataria; Manter o antivrus sempre atualizado, uma das questes bsicas mas muito importante; Evitar trazer contedos externos para dentro da instituio, por meio de CDs, DVDs, discos externos ou Pen-drives; Reportar atitudes suspeitas do seu sistema a equipe responsvel da rea ou quando o usurio se depara com uma questo que no domina; Sempre que sair de frente da sua estao de trabalho, bloquear o computador.
15
6 CONSIDERAES FINAIS
A problemtica da segurana da informao tem colocado muitas empresas e usurios alerta, e hoje muita informao est disponvel a esse respeito, e tem havido necessidade de mais profissionais na rea. As empresas buscam por solues que aumentem valor o seu negcio e so um ponto fulcral para a confiana de seus clientes. Triste que informaes sigilosas de clientes sejam expostas ao pblico ou usadas em benefcio de terceiros, devido a debilidades de segurana de determinada empresa. Que cliente confiara nessa instituio?
Usurios podem ser a chave para aumentar a segurana e importante investir no seu intelecto em questes de segurana, so eles que lidam diretamente com a informao e muitas vezes eles so a ponte que une os sistemas as ameaas e ataques.
No existem sistemas imunes, isentos ou excludos de ataques, mas quando se toma uma postura rgida, quando se tomam excelentes polticas de segurana e se investe em boas prticas em segurana da informao, minimiza-se em muito o riscos e obtm-se sistemas mais seguros.
16
7 REFERNCIAS
TRIBUNAL DE CONTAS DA UNIO. Boas prticas em segurana da informao. 2 ed. Braslia, 2007.
TRIBUNAL DE CONTAS DA UNIO, Boas prticas em segurana da informao, 4 ed, Braslia, 2012.
GUSTAVO, Andr. Boas prticas de segurana em Tecnologia da informao.2012.
GABRIEL, Baptista Colares Borges. Sistematizao da Matria de Polticas de Segurana. Universidade Catolica de Brasilia.
AGENCIA ESTADUAL DE TECNOLOGIA DA INFORMAO. Dicas de Segurana. Verso 1.0. So Jos Recife.
UNIVERSIDADE CATLICA DE BRASILIA VIRTUAL. Contedo UEA de Introduo a segurana computacional, 2013