DOUGLAS FLIX NEVES

MICHEL MUZZETTI VENTURA

CARACTERSTICAS DOS CONTROLES DE SEGURANA DA

INFORMAO FRENTE AOS PRINCIPAIS GERADORES DE
INCIDENTES

So Caetano do Sul/SP
2015

DOUGLAS FLIX NEVES

MICHEL MUZZETTI VENTURA

CARACTERSTICAS DOS CONTROLES DE SEGURANA DA INFORMAO

FRENTE AOS PRINCIPAIS GERADORES DE INCIDENTES

Projeto de Pesquisa apresentado disciplina

de Projeto de Graduao II, da Faculdade
Estadual deTecnologia de So Caetano do
Sul, sob aorientao do Professor Me. Nilton
Stringasci Moreira, como requisito parcial e
obrigatrio para a obteno do grau de
Tecnlogo em Segurana da Informao.

So Caetano do Sul/SP
2015

Dedico este trabalho a toda minha famlia, a

AIG e a bla jhdjhjdshj jhsjhjd hgdhd hdghdfv
jhdjd hijdhfbdhdfhgdfh hgdhefb hsusghsfvb
hgfhjf.

AGRADECIMENTOS
Gostaria de agradecer a

RESUMO
NEVES, D. F.;VENTURA, M. M. Caractersticas dos Controles de Segurana da
Informao frente aos principais geradores de incidentes. 56 f. Trabalho de
Graduao Faculdade de Tecnologia de So Caetano do Sul, So Caetano do Sul,
2015.
Cada vez mais, segurana da informao tem recebido ateno das empresas.
Grandes invases,com perdas catastrficas financeiras e de reputao, tem
evidenciado a necessidade de investimentos para proteo daquele que, hoje, o
maior patrimnio das empresas: seus dados. Porm, vale acreditar que apenas com
altos investimentos as informaes estaro protegidas? Se o dinamismo agressivo
da tecnologia capaz de tornar um expert em informtica obsoleto aps poucos
meses sem praticar ou se atualizar, que dir dos equipamentos e sistemas, quase
sempre de valor elevado, que as empresas possuem h anos? Todo investimento
em segurana da informao deve ser municiado de guidelines que permitam a
proteo efetiva dos dados, e nem sempre a soluo mais cara a mais adequada
no momento. Muito mais importante do que adquirir a ferramenta da vez
entender quais so as caractersticas necessrias para a proteo contra cada
ameaa. A soluo, muitas vezes, pode no ter custo algum. A inteno deste
trabalho exatamente esta: elencar as principais ameaas em segurana da
informao atuais, identificar a melhor forma de proteo contra cada uma delas,
independente do custo, e apresentar as solues que, no momento, executam esta
proteo de maneira efetiva.
Palavras-chave: Segurana da Informao; Ameaas; Controles; Caractersticas;
Brasil.

ABSTRACT
NEVES, D. F.;VENTURA, M. M. Caractersticas dos Controles de Segurana da
Informao frente aos principais geradores de incidentes. 56 f. Trabalho de
Graduao Faculdade de Tecnologia de So Caetano do Sul, So Caetano do Sul,
2015.
More and more, the attention of the enterprises regarding information security is
increasing. Big invasions, with catastrophic financial and reputational losses, have
leveraged the need for investments of one of the biggest assets companies have
today: its data. However, can we believe that big investments are all that it takes to
secure the information? If the aggressive dynamism of technology is capable of make
an IT expert obsolete with only a few months without practice, what can it do with
equipment and systems, frequently expensive, that the companies use for years?
Every investment in information security must be leveraged with guidelines that allow
an effective protection of data, and not always the most expensive solution is the best
pick. Far more important than have the tool of the moment is to understand the
characteristics required to effectively protect against each threat. Eventually, the
solution doesnt even have to cost anything. The purpose of this paper is to list the
main current threats of information security, identify the best way to protect against
each one of them, regardless of its cost, and to present the solutions that, as of
today, execute such protection in an effective fashion.
Key-words: Information Security; Threats; Controls; Characteristics; Brazil.

LISTA DE ILUSTRAES
Figura 1. Categorias de vazamento de dados..............................................................14
Figura 2. Incidentes Reportados................................................................................ 21
Figura 3. Proporo dos Incidentes Reportados...........................................................22
Figura 4. Total de Incidentes Reportados por Ano.........................................................23
Figura 5. Os incidentes mais frequentes.....................................................................24
Figura 6. Processo genrico de solicitao de acessos.................................................32
Figura 7. Processo de recertificao de acessos..........................................................33

LISTA DE TABELAS
Tabela 1. Levantamento Ponemon Institute.................................................................13
Tabela 2. Tabela sem nome....................................................................................... 14
Tabela 3. Causadores de incidentes no Brasil..............................................................24
Tabela 4. Consolidao dados Cert.BR.......................................................................25
Tabela 5. Consolidao dados pesquisa Daryus...........................................................25
Tabela 6. Concluso de dados...................................................................................26

SUMRIO
INTRODUO.......................................................................................................... 9
1 OS DIFERENTES TIPOS DE AMEAAS.................................................................13
1.1 Ataque malicioso ou criminoso......................................................................16
1.2 Falha de sistema........................................................................................... 18
1.3 Fator humano................................................................................................ 19
2 AMEAAS E GERADORES DE INCIDENTES.........................................................21
2.1 Identificao................................................................................................. 21
2.2 Definio Das Ameaas................................................................................. 26
3 CONTROLES....................................................................................................... 29
3.1 Fraudes........................................................................................................ 29
3.1.1 Vazamento de Informao........................................................................30
3.1.2 Mau Uso / Mal Uso...................................................................................31
3.1.2.1 Usurios Com Permisses Maiores Do Que As Necessrias Para
Executarem Suas Funes............................................................................32
3.1.2.2 Usurios Com Privilgios De Administrador Em Sistemas...................33
3.1.3 Perda de Informao................................................................................ 35
3.1.4 Engenharia Social....................................................................................36
3.2 Malware........................................................................................................ 38
3.3 DOS (Denial Of Service).................................................................................43
3.4 Invases....................................................................................................... 44
3.4.1 Port Scan................................................................................................ 45
3.4.2 Falhas No Sistema (Vulnerabilidades).......................................................46
3.4.3 Acesso Fsico No-Autorizado..................................................................47
3.4.4 Fora Bruta............................................................................................. 47
3.4.5 Desfigurao De Pgina (Defacement)......................................................49
CONSIDERAES FINAIS...................................................................................... 50
REFERNCIAS...................................................................................................... 52

10

INTRODUO
A definio de segurana da informao, segundo a ISO/IEC 27002 (2005,
p.2), se d como a proteo da informao contra vrios tipos de ameaas, para
garantir a continuidade do negcio, minimizar riscos, maximizar o retorno sobre os
investimentos e as oportunidades.
Ainda segundo a ABNT ISO/IEC 27002 (2005), a segurana da informao
obtida quando um conjunto de controles adequados (polticas, processos, funes
de

hardware

e software) so

estabelecidos, implementados, monitorados,

analisados criticamente e melhorados.

Com o aumento do fluxo de informaes na rede a cada ano, principalmente
pelo boom do cloud computing, as empresas se preocupam cada vez mais em
proteger seus dados aprimorando firewalls, atualizando antivrus, investindo em
hardware e no treinamento e conscientizao de seus colaboradores. Porm,
proteger-se dessa forma tem um custo, que muitas vezes invivel para empresas
de pequeno ou at mesmo mdio porte.
As principais solues no mercado de segurana da informao so custosas
e podem acabar se tornando um impedimento para estas empresas, e, se somarmos
isso crena de que pequenas empresas no so visadas, identificamos um nicho
de mercado deficiente desse tipo de proteo.
De acordo com a norma da ABNT NBR ISO/IEC 27002 (2005, p.2), a
informao
um ativo que, como qualquer outro ativo importante, essencial para
os negcios de uma organizao e consequentemente necessita ser
adequadamente protegida. Isto especialmente importante no
ambiente dos negcios, cada vez mais interconectado. A informao
pode existir em diversas formas. Ela pode ser impressa ou escrita em
papel, armazenada eletronicamente, transmitida pelo correio ou por
meios eletrnicos, apresentada em filmes ou falada em conversas.
Seja qual for a forma apresentada ou o meio atravs do qual a
informao compartilhada ou armazenada, recomendado que ela
seja sempre protegida adequadamente.

Muitas vezes, para que o roubo de informaes acontea no

necessria a atuao de hackers altamente qualificados. Pequenas vulnerabilidades
so descobertas diariamente e existem repositrios na Internet onde mesmo

11

pessoas com conhecimento intermedirio de informtica podem encontrar

aplicaes que explorem essas vulnerabilidades e permitam total acesso s
informaes de um computador, dispositivo de rede ou servidor.
Na maioria dos casos, simples atualizaes de aplicativos, sistemas ou
antivrus resolveriam o problema, porm tais aes geralmente no so feitas em
empresas de pequeno porte. No geral, no existe um meio termo: empresas que no
investem em segurana da informao tendem a ignorar este tpico.
Neste contexto, uma abordagem direcionada s principais ameaas e
geradores de incidentes, por um custo condizente com o fluxo de caixa da empresa,
pode ser uma soluo efetiva e vivel. Uma empresa que oferea servios de
segurana da informao a um preo razovel pode explorar esse nicho de mercado
que praticamente inexiste no Brasil.
De acordo com a ISO/IEC 27002, existem 5 nveis de classificao da
informao que cobrem a maioria dos eventos: altamente secreta, altamente
confidencial, proprietria, uso interno e documentos pblicos.
Quanto s informaes classificadas como altamente secretas:
Documentos e dados internos altamente sensveis. Por exemplo,
fuses ou aquisies iminentes estratgias de investimentos, planos
ou projetos que podem prejudicar seriamente a organizao se
perdidos ou tornados pblicos. Informao classificada como
altamente secreta certamente possui uma distribuio muito restrita e
deve ser protegida todo o tempo. Segurana nesse nvel deve ser o
mais alto possvel. (2005, p. )

Altamente confidencial:
Informaes consideradas criticas para as operaes atuais da
organizao e que poderiam imped-las ou romp-las seriamente se
fossem compartilhadas internamente ou tornadas pblicas. Tais
informaes incluem dados de contas, planos de negcios,
informaes sensveis de clients de bancos, registros mdicos de
pacientes e similares dados altamente sensveis. Tais informaes
no devem ser copiadas ou removidas do controle operacional sem
autorizao especfica. Segurana nesses casos deve ser muito alta.
(2005, p. )

Proprietria:

12

Procedimentos, planos de projetos, rotinas operacionais, desenhos e

especificaes que definem a forma com que a organizao opera.
Tal informao geralmente destinada a uso proprietrio apenas por
pessoal autorizado. Segurana nesses casos alta. (2005, p. )

Uso interno:
Informao no autorizada para circulao geral fora da organizao,
onde seu descarte poderia gerar inconvenincias para a organizao
ou seu gerenciamento, mas que pouco provavelmente resultaria em
perdas ou danos srios para credibilidade/reputao. Exemplos
incluem: memorandos internos, relatrios de projetos internos,
minutas de reunies. Segurana nesse nvel controlada, porm
normal. (2005, p. )

Documentos pblicos: Informao de domnio pblico: declaraes de

imprensa, relatrios anuais, etc, que foram aprovadas para uso pblico ou
distribuio. Segurana nesse nvel mnima. (2005, p. )
possvel observar que existem graus de confidencialidade especficos para
cada atividade realizada no mercado. Desta forma, natural que o enfoque dado
segurana da informao varie de acordo com a finalidade e o tamanho de cada
organizao. A anlise de diferentes formas de lidar com solues de segurana da
informao permite compreender a relao risco versus custo aplicada em cada
contexto, facilitando o entendimento e possibilitando o oferecimento de solues
coerentes.
A prioridade de muitas empresas quando se fala em segurana da informao
se resume a altos investimentos em softwares e hardwares, que muitas vezes
podem ser substitudos por alternativas de menor custo. Compreender o ambiente
de cada empresa e saber a melhor forma de proteg-la essencial para direcionar
os investimentos e reduzir custos, gerando competitividade.
com base nessas informaes que este trabalho busca identificar quais so
os principais fatores geradores de incidentes de segurana da informao no Brasil
e quais so as caractersticas que ferramentas de proteo devem possuir para
combat-los.
A metodologia utilizada a pesquisa descritiva e tem como premissa o estudo
de diferentes abordagens de cenrios empresariais, a fim de verificar em cada

13

situao a efetividade dos controles de segurana da informao frente s ameaas

definidas no corpo do trabalho.
Para a elaborao, coleta de dados e anlise de ferramentas deste trabalho,
utilizamos tcnicas e informaes provenientes de sites da internet, normas ISO,
artigos cientficos, entre outros. A principal fonte de consulta foi a ABNT ISO/IEC
27002, tida como base para fundamentao deste trabalho.

14

1 OS DIFERENTES TIPOS DE AMEAAS

Vender proteo contra incidentes de segurana da informao pode parecer
uma proposta abstrata em um primeiro momento. Aos olhos de um leigo, as
ameaas de segurana so uma grande nuvem de possibilidades e termos tcnicos,
difceis de entender. preciso permitir ao cliente enxergar quais so as ameaas, de
maneira a trazer entendimento e razo na deciso de proteger seus dados.
Uma maneira de facilitar a compreenso a diviso e classificao dos
incidentes. Um levantamento do Ponemon Institute de Maio de 2013, solicitado pela
Symantec, divide os incidentes de vazamento de dados em 3 grandes categorias:
Ataque malicioso ou criminoso, falha de sistema e fator humano. Podemos definir
estas categorias conforme a tabela abaixo:
Tabela 1. Levantamento Ponemon Institute
Categoria

Descrio

Medidas de controle

Ataque malicioso ou
criminoso

Indivduos que invadem

sistemas a fim de obter / destruir
dados visando realizao
pessoal ou lucro

Aumento na proteo
das informaes
(hardening de rede,
firewalls, IPS, IDS,
criptografia, etc.)

Falha de sistema

Vulnerabilidades descobertas
em sistemas que podem ser
exploradas para se obter acesso
a dados confidenciais

Atualizaes, aplicao
de patches

Fator humano

Propenso de um indivduo a
revelar, consciente ou
inconscientemente, informaes
confidenciais a pessoas no
autorizadas.

Conscientizao,
treinamentos

Fonte: Ponemon Institute LLC, 2013.

Utilizando a figura a seguir, podemos ento mensurar a distribuio de cada
categoria de vazamento de dados nos incidentes reportados, de maneira a
identificarmos quais so os eventos mais frequentes no Brasil:

15

Figura 1. Categorias de vazamento de dados

Fonte: IBGE, 2014

De acordo com Mathias Brench e Thomas Nowey, podemos tambm

estabelecer a seguinte relao nos custos em segurana da informao:
Tabela 2. Tabela sem nome

Controle

Descrio

Determinabilida
de

Relao de
custos em
segurana
da
informao

Poltica de
Segurana

Controles que proporcionam

gerncia, direcionamento e
suporte em Segurana da
Informao de acordo com os
requisitos de negcio e leis e
regulamentaes relevantes

Fcil

Muito alta

Organizao da
Segurana da
Informao

Controles para a organizao da

Segurana da Informao de uma
empresa

Mdia

Muito alta

Gerncia de
ativos

Controles para a gerncia de

ativos de uma empresa (exemplo:
(des)classificao, controles
relacionados)

Mdia

Mdia

Mdia-Difcil

Baixa

Gerncia de
recursos
humanos

Controles para a reduo dos

riscos de erro humano, fraudes,
roubo ou mal uso de instalaes
(exemplo: treinamento de
motivao em segurana da

16

informao)

Segurana fsica
e do ambiente

Controles para garantir segurana

atravs da preveno de acesso
no autorizado, danos ou
interferncia nas imediaes do
negcio ou das informaes

Fcil-Mdia

Mdia

Gerncia de
comunicaes e
da operao

Controles a fim de garantir a

operao correta e segura das
instalaes de processamento de
informaes

Mdia

Mdia

Controle de
acesso

Controles para garantir acesso s

informaes apenas autorizado

Mdia

Alta

Aquisio,
desenvolvimento
e manuteno de
sistemas de
informao

Controles para custos

motivados/relacionados com
segurana para a compra,
desenvolvimento ou manuteno
(exemplo: hardware/software de
segurana, mas tambm recursos
de segurana de
hardware/software "normais", e
pesquisas relacionadas)

Mdia

Mdia

Gerncia de
incidentes de
segurana da
informao

Controles para ajudar a lidar com

incidentes de Segurana da
Informao (exemplo: deteco,
investigao, resoluo)

Mdia-Difcil

Muito alta

Gerncia de
continuidade dos
negcios

Controles necessrios para

garantir continuidade dos negcios
ou recuperao de desastres

Difcil

Mdia

Compliance

Controles para evitar a violao de

leis civis, obrigaes estatutrias,
regulatrias ou contratuais, ou
qualquer outro requerimento de
segurana

Mdia-Difcil

Mdia

Sistema de
gesto de
segurana da
informao

As partes mandatrias do Sistema

de Gerncia de Segurana da
Informao conforme descrito nos
captulos 4-8 da ISO/IEC 27001,
incluindo, por exemplo, a gerncia
de riscos, auditorias internas,
revises, etc.

Fcil-Mdia

Muito alta

Fonte:

17

Separando em categorias macro, fica mais fcil evidenciar as mincias de

cada ameaa, sua probabilidade e seu custo. Isso permite tratarmos cada gama de
forma separada, detalhando sua descrio e explorando cada medida de controle
possvel.
Como consequncia, o cliente ter uma viso mais clara e objetiva daquilo
que pode comprometer os dados da sua empresa, juntamente com opes mais
detalhadas daquilo que ser feito para proteg-la. Isso tambm permite uma
abordagem mais ampla, onde as solues para as 3 categorias se completam,
formando um cenrio ideal de proteo para a empresa.
1.1 Ataque malicioso ou criminoso
O avano da tecnologia e da segurana da informao seguido de perto
pelo avano, crescimento e disseminao de ataques maliciosos e / ou criminosos.
Tais ataques so os geradores de incidentes de segurana da informao e devem
ser evitados da melhor forma possvel.
O principal objetivo de um ataque malicioso comprometer a vtima de
alguma forma, seja roubando um arquivo ou pichando um site, e costumeiramente
seguido da execuo de ferramentas que garantam acesso ao computador afetado
futuramente.
De acordo com Greenwald (2013), embora os principais alvos de ataques
maliciosos sejam as grandes empresas, cresce o nmero de ataques de
espionagem industrial e governamental, evidenciados pelo analista de segurana da
informao da CIA Edward Snowden em Julho de 2013.
Em territrio brasileiro, um ataque a qualquer dispositivo eletrnico, seja ele
mvel ou no, conectado internet ou no, classificado como crime de acordo
com a lei 12.737/2012, que diz:
Invaso de dispositivo informtico

18

Art. 154-A. Devassar dispositivo informtico alheio, conectado ou no

rede de computadores, mediante violao indevida de mecanismo
de segurana e com o fim de obter, adulterar ou destruir dados ou
informaes sem autorizao expressa ou tcita do titular do
dispositivo, instalar vulnerabilidades ou obter vantagem ilcita:
Pena deteno, de 3 (trs) meses a 1 (um) ano, e multa.

O segundo pargrafo do artigo 154-A da lei 12.737/2012 diz: Aumenta-se a

pena de um sexto a um tero se da invaso resulta prejuzo econmico.
As mais conhecidas e, consequentemente, mais utilizadas formas de ataques
a computadores ou sistemas de informao so malwares, caracterizados pela
CERT.br (2012) como programas especificamente desenvolvidos para executar
aes danosas e atividades maliciosas em um computador. Dentre os principais e
mais conhecidos malwares encontram-se os vrus, worms, trojans, keyloggers,
backdoors e spywares. Vejamos cada um deles:
Vrus so programas maliciosos que podem causar danos aleatrios ao
computador ou sistema infectado, de acordo com o modo que foi programado. Vrus,
para que se tornem ativos, dependem de ao humana, que normalmente resumese em executar um programa ou abrir um arquivo infectado;
Worms Assemelham-se aos vrus de computadores, pois dependem da
execuo de determinado programa ou arquivo hospedeiro para que se torne ativo,
porm diferenciam-se dos vrus pelo fato de disseminarem-se de maneira rpida e
no dependerem de interveno humana para tal;
Trojans Tambm conhecidos como cavalos-de-tria por assemelharem-se
ao estratagema grego durante a guerra de Tria, trojans so programas que, como
vrus e worms, infectam computadores aps a execuo de determinado programa
ou abertura de arquivo. Trojans aparentam desempenhar tarefas teis quando, na
verdade, realizam atividades maliciosas ao sistema infectado sem que este venha a
tomar conhecimento. Diferenciam-se dos vrus e worms por no terem como objetivo
a propagao e replicao, mas sim a captura de informaes do hospedeiro por
meio da instalao de ferramentas como keyloggers, screenloggers, e backdoors;
Keylogger ferramenta utilizada para captura e armazenamento da digitao
realizada por um usurio no teclado de um computador infectado;

19

Screenlogger semelhante ao keylogger, porm tem como objetivo a captura

das informaes visualizadas na tela do computador comprometido;
Backdoor tcnica utilizada por um atacante na qual o acesso futuro ao
computador infectado seja facilitado e no dependa da execuo de programas.
comum que existam, em empresas de grande porte, clusters de servidores
dedicados a ferramentas de segurana que combatam no apenas estas, mas
outras formas de ataque (como DOS, DDOS).
Nas empresas de pequeno porte, onde o capital para investimento em
segurana da informao muitas vezes pequeno ou inexistente, a soluo pode
ser ter como servidor de ferramentas de segurana da informao computadores de
pequeno porte, como o Raspberry Pi; um computador miniaturizado de baixo custo.
1.2 Falha de sistema
Falhas de sistema, tambm conhecidas como vulnerabilidades, so definidas
como a ausncia ou ineficincia de controles ou mtodos de segurana da
informao inerentes a um produto ou programa.
Os exploits, programas cuja meta obter xito na explorao de uma
vulnerabilidade, so a principal ferramenta de um indivduo mal-intencionado que
vise a invaso de um ativo.
Novas vulnerabilidades em programas e dispositivos so descobertas
diariamente, no apenas por seus desenvolvedores, empresas de segurana da
informao e rgos governamentais como o NIST 1, mas tambm por hackers cujo
objetivo no corrigir tais falhas, porm explor-las a fim de obter, alterar ou destruir
informaes contidas nos computadores afetados por tais vulnerabilidades.
Vejamos a seguir como Nascimento (2013) classifica as origens das
vulnerabilidades e um exemplo de cada uma delas:
a)Natural - locais propensos inundao e furaes;
b)

Fsica instalaes inadequadas para abrigar computadores;

c)

Hardware defeitos fsicos no ativo que venham a facilitar um

ataque;
1 (http://nvd.nist.gov).

20

d)

Software a falta de atualizao de um programa ou a

permisso no proposital de execuo de cdigo arbitrrio;

e)

Armazenamento fitas magnticas com validade expirada;

f)

Comunicao

mtodo

inseguro

de

transmisso

de

informao, como rede wireless no criptograda;

g)

Humanas Utilizao de senhas fracas, suscetibilidade a

ataques de engenharia social.

Por serem de mais fcil explorao, as vulnerabilidades dos tipos D, F e G

so as mais comumente escolhidas por atacantes.
Os desenvolvedores de programas e produtos esto em constante processo
de atualizao de firmware e lanamento de patches de segurana para mitigar a
explorao de vulnerabilidades em seus produtos.
Assim como no caso dos malwares, as empresas de grande porte contam
com servidores e, em alguns casos, clusters de servidores cujo objetivo o
deployment automtico de um patch de segurana uma vez que uma nova
vulnerabilidade encontrada em um dos ativos em seu parque tecnolgico, pois o
xito na explorao de uma vulnerabilidade pode vir a caracterizar-se como um
incidente grave de segurana da informao, causando dano imagem e s
finanas do negcio.
Empresas de pequeno porte devem preocupar-se e proteger-se da mesma
forma, e podem assim faz-lo de forma alternativa e menos custosa fazendo uso de
servidores miniaturizados, como o Raspberry Pi.
1.3 Fator humano
Considerando os dados da figura 1, vemos que o fator humano o maior
responsvel por casos de vazamento de dados no Brasil. Isso est diretamente
relacionado com a maturidade do nosso pas com relao importncia que deve
ser dada a Segurana da Informao. Se observarmos os dados da tabela 2, vemos
que o controle de erros humanos o mais barato dentre todos os controles. Sua
determinabilidade, no entanto, mdia-difcil, o que significa que este um controle
difcil de ser mensurado e aplicado, o que exige uma equipe experiente capaz de
trabalhar na conscientizao dos funcionrios das empresas.

21

O fator humano em Segurana da Informao representa a propenso das

pessoas a se ajudarem e a forma como um engenheiro social pode se beneficiar
disso. Um engenheiro social uma pessoa que intencionalmente se passar por
outra afim de aproveitar-se das pessoas para obter as informaes com ou sem o
uso da tecnologia. (MITNICK, 2002)
interessante o discurso de Mitnick sobre o no uso da tecnologia, pois tratase de uma desmistificao em segurana da informao, uma vez que muito
dinheiro investido em equipamentos e programas sofisticados de proteo de
informaes pode perder completamente sua utilidade caso as pessoas autorizadas
a acessar tais informaes no receberem um treinamento adequado e forem
vtimas de um ataque de engenharia social.
Podemos identificar as seguintes caractersticas das pessoas que facilitam a
ao de um engenheiro social de acordo com Jnior (2006):
- Vontade de ser til: O ser humano, comumente, procura agir com cortesia,
bem como ajudar outros quando necessrio.
- Busca por novas amizades: O ser humano costuma se agradar e sentir-se
bem quando elogiado, ficando mais vulnervel e aberto a fornecer informaes.
- Propagao de responsabilidade: Trata-se da situao na qual o ser humano
considera que ele no o nico responsvel por um conjunto de atividades.
- Persuaso: Compreende quase uma arte a capacidade de convencer
pessoas, onde se busca obter respostas especficas. Isto possvel porque as
pessoas tm caractersticas comportamentais que as tornam vulnerveis
manipulao.
Um engenheiro social pode, por exemplo, se passar por um analista de
service desk e solicitar a senha de um funcionrio para uma manuteno depois do
horrio do expediente. O funcionrio que no estiver preparado, por querer ser til e
ajudar o colega de trabalho, fornece a senha e expe os dados da empresa.
Neste caso, o engenheiro social no precisou de nenhum conhecimento
tcnico para quebrar barreiras lgicas de proteo, e todo o investimento da
empresa em solues de hardware / software para a proteo dos dados foi intil.

22

Um simples ataque de engenharia social pode derrotar os mais complexos e caros

sistemas de defesa j feitos.

23

2 AMEAAS E GERADORES DE INCIDENTES

Tem que haver algo
2.1 Identificao
A melhor maneira de se proteger contra ataques e aumentar a segurana dos
dados identificar quais so os principais incidentes de aegurana da informao
enfrentados. fundamental tambm identificar qual o contexto estudado, isto , o
cenrio onde os ataques ocorrem.
No contexto Brasil, o canal para a comunicao de incidentes mais utilizado
o CERT.br, que atua em estudos, resposta e tratamento de incidentes de Segurana
da Informao. Por ser o principal canal, ser a base para a identificao das
principais causas de incidentes.
Periodicamente, o CERT.br divulga estatsticas sobre os incidentes de
Segurana da Informao reportados. As estatsticas mais recentes datam de
Janeiro a Dezembro de 2014, e so reportadas abaixo:
Figura 2. Incidentes Reportados

Fonte: CERT.br (2015)

24

Figura 3. Proporo dos Incidentes Reportados

Fonte: CERT.br (2015)

De acordo com os dados acima, os 4 tipos de ataque mais frequentes no
Brasil em 2014 foram, em ordem: fraude, scan (varreduras em redes de
computadores, com o intuito de identificar quais computadores esto ativos e quais
servios esto sendo disponibilizados por eles), DoS (Denial of Service negao
de servio ataque onde um computador ou um conjunto de computadores efetua
inmeras requisies para um determinado servio, computador ou rede, afim de
sobrecarregar o ambiente, deixando-o fora de servio) e Worm ( notificaes de
atividades maliciosas relacionadas com o processo automatizado de propagao de
cdigos maliciosos na rede).
Juntos, estes ataques representam mais de 95% dos incidentes reportados no
Brasil. importante tambm considerar que a quantidade de incidentes reportados
(figura 4) quase triplicou de 2013 para 2014, o que sugere uma preocupao
iminente com relao segurana dos dados.

25

Figura 4. Total de Incidentes Reportados por Ano

Fonte: CERT.br (2015)

Em 2014 a Daryus, empresa que atua nas reas de planejamento estratgico,
desenvolvimento e implementao de continuidade de negcios, gesto de riscos,
governana e segurana da informao efetuou e divulgou pesquisa nomeada
Pesquisa Nacional de Segurana da Informao, uma iniciativa da Daryus com
apoio do EXIN Brasil e IT Mdia, que buscou identificar, medir e demonstrar aspectos
relevantes da Gesto de Segurana da Informao nas empresas brasileiras.
Nesta pesquisa, dentre outros itens, foram identificados os principais
geradores de incidentes de segurana da informao nas empresas brasileiras:

26

Figura 5. Os incidentes mais frequentes

Fonte: Daryus, 2014

Para facilitar a visualizao e interpretao das informaes acima,
exportamos os dados para a tabela a seguir:
Tabela 3. Causadores de incidentes no Brasil
Pesquisa Daryus / Exin 2014
Vazamento de informao
Mau uso
Perda de informao
N/A
Cdigos maliciosos
Falhas em equipamentos
DOS
Varredura / tentativas de invaso
Engenharia social
Acesso lgico no autorizado
Investigao (Incidentes no confirmados)
Hacktivismo
Acesso fsico no autorizado
Guerra ciberntica

Fonte: Daryus, 2015

16.5%
16.5%
12.4%
12.4%
9.9%
6.6%
5%
5%
4.1%
4.1%
3.3%
2.5%
0.8%
0.8%

27

A seguir, foram comparadas das informaes fornecidas pelo Cert.BR e

Daryus formatadas em tabela para melhor visualizao:
Tabela 4. Consolidao dados Cert.BR
Dados do Cert.BR 2014
Fraudes

44.66%

DOS
Worm
Web (servers)
Invaso
PortScan
Outros

21.39%
4.03%
2.75%
0.62%
25.18%
1.37%

Figura nossa

Tabela 5. Consolidao dados pesquisa Daryus

Pesquisa Daryus / Exin 2014
Vazamento de informao
Mau uso
Perda de informao
Engenharia social
DOS
Cdigos maliciosos
Falhas em equipamentos
Varredura / tentativas de invaso
Acesso lgico no autorizado
Acesso fsico no autorizado
Hacktivismo
Investigao (Incidentes no
confirmados)
Guerra ciberntica
N/A
Figura nossa.

16.5
%
16.5
%
12.4
%
4.1%
5%
9.9%
6.6%
5%
4.1%
0.8%
2.5%
3.3%
0.8%
12.4
%

28

Os incidentes foram categorizados por cor:

Verde: Fator humano;

Laranja: Negao de servio;
Vermelho: Malware;
Cinza: Invases;
Branco: Outros incidentes.

Comparando as informaes contidas nas tabelas 2 e 3 e simplificando-as,

pode-se concluir que os principais geradores de incidentes no Brasil so:
Tabela 6. Concluso de dados
Concluso
Fraudes
DOS
Malware
Invases

Figura nossa.
Com base nas informaes acima, conclui-se que, alm de identificar quais
ameaas existem, necessrio tambm possuir controles que atuem de maneira
efetiva sobre cada uma delas. Sero listados os principais mtodos de controle para
cada uma das principais ameaas identificadas no Brasil em 2014.
2.2 Definio Das Ameaas
Alm de identificar quais ameaas existem, necessrio tambm possuir
controles que atuem de maneira efetiva sobre cada uma delas. Aqui sero listados
os principais mtodos de controle para cada uma das principais ameaas
identificadas no Brasil em 2014. Controles mais aprofundados sero descritos no
prximo captulo.
Fraudes A fraude se diferencia por ter o fator humano como fundamento
para sua execuo, enquanto as demais ameaas possuem o fator tcnico como
seu determinante. Ironicamente, ela a principal causa de incidentes nos ambientes
de computadores, essencialmente tcnicos. A maneira mais eficiente de se proteger
contra ataques do tipo fraude o investimento em treinamento e conscientizao.
fundamental observar que o alvo da fraude so as pessoas, e que nenhum controle

29

automatizado capaz de proteger uma pessoa despreparada contra ataques deste

tipo.
Scan Ataques de scan so tcnicos. Ferramentas varrem o computador
desejado procurando por portas e servios habilitados. Uma vez identificadas, estas
informaes permitem ao atacante explorar vulnerabilidades conhecidas para cada
servio disponvel. A melhor forma de se proteger deste tipo de ameaa o
hardening das portas do sistema. Processo onde todas as portas disponveis so
analisadas e eventuais portas ativas desnecessriamente so desativadas. O uso de
Firewall tambm um importante controle contra este tipo de ataque.
DoS (Denial of Service Negao de Servio) Ataques de DoS tambm so
ataques tcnicos. Uma pessoa, ou um grupo de pessoas, utiliza um ou mais
computadores para enviar solicitaes a um determinado computador alvo. A
inteno com este tipo de ataque sobrecarregar o computador alvo com um
nmero superior de solicitaes do que o sistema consegue comportar, levando-o ao
colapso e a consequente interrupo do servio. Dispositivos como o IPS (Intrusion
Prevention System sistema para a preveno de intruso) que analisam
minuciosamente o trfego de informao antes que ela chegue rede e bloqueiam
certos tipos de solicitao com base em critrios pr definidos so a forma mais
efetiva de combate a este tipo de ataque.
Malware Ataque tcnico, o worm difere do vrus por no precisar de um
hospedeiro, isto , enquanto o vrus se aloja em outros arquivos, o worm um
programa completo, capaz de se auto replicar e se propagar na rede. Um
computador infectado por um worm pode, por exemplo, propagar este worm para os
demais computadores de uma rede sem que os usurios tenham cincia disso. Alm
dos riscos esperados, como remoo ou cpia ilegal de arquivos, os worms podem
impactar a rede simplesmente pelo volume de trfego gerado pela sua propagao.
Alm dos controles humanos (treinamento sobre a abertura de arquivos em e-mails,
conscientizao sobre poltica de senhas, etc.) pacotes antivirus tambm devem ser
utilizados contra esse tipo de ameaa.
Analisando os tipos de ataque e as principais caractersticas dos controles
para a preveno das principais ameaas, fica claro que os melhores mtodos de
defesa no devem estar baseados puramente em ferramentas ou automatizao.

30

Muito mais importante parece ser a forma como cada proteo aplicada, de
maneira a otimizar seus controles, o que sugere um enfoque na iinterao humana,
privilegiando o aperfeioamento tcnico daqueles envolvidos na configurao das
ferramentas. possvel perceber tambm que treinamentos e conscientizao no
devem ser restringidos equipe tcnica de uma empresa, mas sim abranger todos
os usurios que interajam com computadores e considerando cada um deles como
uma vulnerabilidade singular.
Nota-se, tambm, que independente da ameaa no existe um programa ou
tcnica infalvel. O ambiente de tecnologia da informao extremamente dinmico,
e uma ferramenta (ou mesmo um treinamento) excelente hoje perde esse patamar
em pouco tempo. O ideal entender o conceito por trs de cada ameaa, entender o
conceito para cada mtodo de defesa, aplicar este conceito utilizando as melhores
ferramentas disponveis no momento e constantemente atualizar estas ferramentas
de acordo com a evoluo de cada uma delas.

31

3 CONTROLES
A definio de controle , de acordo com a ISO 27002 (ISO/IEC 27002, p.2)
dada como forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes,
prticas ou estruturas organizacionais, que podem ser de natureza administrativa,
tcnica ou de gesto legal
Para Northcutt (2009), do SANS Institute, controles de segurana da
informao so defesas tcnicas ou administrativas para evitar, reagir e minimizar
danos causados por ameaas explorando uma vulnerabilidade. So divididos em 3
categorias: controles preventivos, detectivos e corretivos.
Controles preventivos tm como funo a preveno do contato ameaa
versus fraqueza do ambiente ou recurso. Exemplos incluem treinamentos de
conscientizao de segurana da informao, firewalls, IPS, antivrus,entre outros.
Controles detectivos identificam que um incidente est acontecendo ou pode
vir a acontecer. Alguns exemplos de controles detectivos so monitoramento de
sistemas, antivrus, IDS, entre outros.
Controles corretivos mitigam ou impedem que um ataque cause maiores
danos no ambiente ou recurso. Exemplos de controles corretivos incluem a
mitigao de vulnerabilidades, antivrus e backup restore.
Neste captulo so confrontados os principais geradores de incidentes de
segurana da informao no Brasil (de acordo com os dados anteriormente
apresentados, disponibilizados pelo Cert.BR e Daryus) com ferramentas adequadas
para combat-los levando em considerao as categorias de controle acima citadas.
3.1 Fraudes
De acordo com a pesquisa Daryus, podemos desmembrar os tipos de
incidentes no Brasil relacionados a fraude em quatro grandes categorias a saber:
vazamento de informao, mau uso, perda de informao e engenharia social,
sendo que cada categoria deve ser abordada de uma maneira especfica.

32

3.1.1 Vazamento de Informao

Segundo o guia de boas prticas do Information Securtity Forum 2 pgina 130,
indice: CF 8.7):
informao sensvel que corre o risco de vazamento ou de fato
vazada frequentemente inclui documentos compartilhados e no
criptografados, tais como documentos de texto, arquivos de
apresentaes e planilhas, que podem sair da empresa por vrias
formas diferentes (exemplo: via e-mail, mensagem instantnea,
navegao pela internet ou dispositvos de armazenamento porttil).

O vazamento ocorre quando informaes confidenciais so expostas graas a

ao humana, sendo que esta pode ser deliberada (um funcionrio ou grupo de
funcionrios com motivao para vazar os dados, exemplo: espionagem industrial)
ou no intencional (quando no h conscincia de que uma determinada ao pode
expor os dados da empresa, exemplo: envio de planilhas para o e-mail pessoal com
a inteno de continuar uma atividade fora da empresa), e podem trazer
consequncias graves para as empresas, como exposio de planos estratgicos e
cartela de clientes, bem como perda de reputao.
A forma de controle mas adequada para a proteo contra esse tipo de
incidente a implementao de um sistema de Data Leakage Protection (DLP).
Sistemas de DLP tipicamente envolvem a implementao de solues tcnicas que
monitoram sistemas e redes afim de prevenir e detectar os (muitas vezes acidentais)
vazamentos de informaes sensveis.(Citao do mesmo site uninett da nota 3)
Sistemas de DLP atuam basicamente monitorando as informaes que saem
da empresa atravs dos meios mencionados acima e procurando nestas
informaes padres de dados que permitam identificar uma informao
confidencial. Exemplos disso so dados pessoais (como CPF e nmero de carto de
crdito), dados empresariais (como valores financeiros e nmeros de transaes),
palavras-chave, entre outros.

2 https://www.uninett.no/webfm_send/730.

33

De acordo com a revista SC Magazine3, os melhores sistemas de DLP, em

2015, so:
AirWatch by VMware for AirWatch Secure Content Locker;
Check Point Software Technologies for Check Point DLP Software Blade;
General Dynamics Fidelis Cybersecurity Solutions for Fidelis XPS;
McAfee for Data Loss Prevention (DLP);
Varonis Systems for Varonis IDU Classification Framework;
Websense Triton AP-Data + AP-Endpoint.
No entanto, mesmo sistemas de DLP de ltima gerao podem se tornar
inteis se no souberem exatamente o que procurar. No Brasil, essa situao se
agrava por conta das padronizaes serem diferentes daquelas onde esses sitemas
so desenvolvidos (um nmero de CPF brasileiro tem estrutura e quantidade de
caracteres diferentes de um social security number americano, por exemplo). De
maneira que na implementao de um sistema de DLP, o fundamental definir
corretamente quais so as regras de monitoramento e quais padres o sistema deve
identificar.
3.1.2 Mau Uso / Mal Uso
De acordo com a norma culta, mal uso o uso incorreto, e mau uso o
uso nocivo. Ambos os casos se aplicam quando se fala do uso de sistemas
computacionais.
Incidentes de segurana da informao podem ser causados por mal uso
quando um indivduo pratica aes incorretas (muitas vezes por falta de
conhecimento) que trazem prejuzos empresa, e podem ser causados por mau
uso quando estas mesmas aes so tomadas de forma conscinte e planejada.
No entanto, para que estas aes sejam tomadas, necessrio que hajam meios
que as possibilitem, meios esses comuns para os dois casos, de maineira que o
controle destes meios eficiente nos dois sentidos.
3 http://www.scmagazine.com/2015-sc-awards-us-finalists/article/392367/, acesso em 5 9
2015.

34

Nesse contexto, podemos identificar situaes facilitadoras do uso incorreto

ou nocivo em um sistema:
a) usurios com permisses maiores do que as necessrias para executarem
suas funes;
b) usurios com privilgios de administrador em sistemas.
3.1.2.1 Usurios Com Permisses Maiores Do Que As Necessrias Para
Executarem Suas Funes
De acordo com a ISO, (ISO 27002, p.111) convm que todos os usurios
estejam conscientes do escopo preciso de suas permisses de acesso. Permisses
maiores do que as necessrias, ou aclo de permisses, acontecem geralmente
pela falta de um processo bem definido para a solicitao de acessos e pela falta de
certificao

destes

acessos

(recertificao).

Podemos

citar

como

uma

vulnerabilidade clssica deste tipo de situao um usurio que possui perfis de

solicitante e aprovador em um mesmo sistema.
A elaborao de um processo para a solicitao de acessos pode ser
identificada como um controle preventivo. Boas prticas para este tipo de controle
incluem o uso dos conceitos de data owner (indivduo responsvel pelos dados em
um sistema ou share de rede) e role owner (indivduo responsvel por um perfil
especfico dentro de um sistema).
O processo de concesso de acessos pode ser, genricamente, definido
conforme o fluxo a seguir:
Figura 6. Processo genrico de solicitao de acessos

35

Figura Nossa.
fundamental neste caso que haja uma interao entre business e IT, uma
vez que so os funcionrios de business as pessoas que de fato utilizam os sistema
e shares e sabem quais so suas regras de negcio, tornando-se os mais
capacitados para identificarem confltos de interesse entre diferentes roles de cada
sistema ou acessos a shares.
Outro processo amplamente utilizado o de recertificao de acessos em
sistemas e shares de rede. Este processo, detectivo, consiste na extrao das
relaes de usurios com acessos a sistemas (suas roles dentro de cadas sistema)
e a shares de rede, seguida por uma validao destes acessos realizada por
pessoas responsveis por cada role ou share, identificadas como owners.
O processo de recertificao pode ser, genericamente, definido conforme o
fluxo a seguir:
Figura 7. Processo de recertificao de acessos

36

Figura nossa.
Novamente, fundamental a interao entre business e it. De acordo com a
pesquisa Daryus, em ambos os casos esta interao, infelizmente, no ocorre com
tanta frequncia (presidncia e alta direo so reas atuantes em segurana da
informo em apenas 11% das empresas).

3.1.2.2 Usurios Com Privilgios De Administrador Em Sistemas

De acordo com a ISO, (ISO 17791, p.68),
o uso inapropriado de privilgios de administrador de sistemas
(qualquer caracterstica ou recursos de sistemas de informao que
habilitam usurios a exceder o controle de sistemas ou aplicaes)
pode ser um grande fator de contribuio para falhas ou violaes de
sistemas.

Usurios com privilgio de administrador so necessrios em qualquer

sistema, so estes privilgios que permitem desde a manuteno do sistema at a
criao, remoo e alterao de contas. Idealmente, os sistemas deveriam possuir
uma alta granularidade nos privilgios de administrador, o que significa que perfis de
privilgios como a criao, alterao e remoo de contas deveriam ser segregados
de perfis com privilgios para alteraes de configuraes no sistema, por exemplo.
Infelizmente, isso no se verifica na prtica, onde muitas vezes perfis com privilgios
de administrador executam todas as funes do sistema que requerem elevao.
Independente disso, a atribuio de privilgios de administrador para o
usurio de um determinado indivduo d a ele autonomia para a realizao de aes
que podem comprometer os dados e o funcionamento do sistema. A melhor forma,

37

portanto, de preveno a utilizao de um cdigo de conduta abrangente, que

defina todas as precaues e controles que devem ser tomados por um indivduo
cujo usurio de sistema possui tais privilgios.
Abaixo, elencamos alguns dos controles mais indicados para serem adotados
por indivduos cujo usurio possua privilgios de administrador, afim de que estes
privilgios sejam usados de maneira apropriada. Estes indivduos devem estar
cientes dos danos que estes privilgios podem causar se utilizados de maneira
imprpria:
1. a senha de um usurio administrador deve seguir o padro de complexidade
de senhas segura adotado pela empresa;
2. a senha deve ser de fcil memorizao para o indivduo, porm difcil para os
outros adivinharem;
3. a senha nunca deve ser escrita em papel;
4. idealmente, um usurio administrador deve ter um nome atribudo (exemplo:
jose_silva_admin);
5. caso no seja possvel atribuir um nome a um usurio administrador, um
owner nico deve ser atribudo a este usurio;
6. caso um indivduo possua um usurio administrador e um usurio comum, o
usurio administrador deve ser utilizado apenas quando a atividade s puder
ser realizada por um usurio administrador;
7. caso o sistema possua mais de um tipo de usurio administrador
(granularidade de permisses), a concesso de acesso deve seguir o
princpio do mnimo privilgio necessrio;
8. o uso de um usurio administrador deve ser feito apenas em computadores
da empresa, que devem dispor de ferramentas de segurana apropriadas
para o bom uso deste usurio;
9. as credenciais do usurio administrador jamais devem ser compartilhadas.

3.1.3 Perda de Informao

De acordo com a ISO, (ISO 17791, p. 35), a proteo dos equipamentos
(incluindo aqueles utilizados fora do local, e a retirada de ativos) necessria para
reduzir o risco de acesso no autorizado s informaes. Com o aprimoramento de
solues mveis, cada vez maior a quantidade de empresas que fazem uso de
dispositivos portteis para simplificar o dia a dia de seus funcionrios e ampliar sua

38

acessibilidade, o contraponto est na vulnerabilidade a roubos e furtos de ocasio

que esta mobilidade representa. Notebooks, tablets, pen drives, HDs removveis e
at mesmo telefones celulares contendo informaes confidenciais podem ser
roubados ou furtados com muito mais facilidade do que computadores desktop ou
servidores (que contam com a proteo fsica da empresa e que so mais difceis de
serem transportados por conta do seu peso e volume), portanto demandam maior
proteo.
A maneira mais eficiente de proteger este tipo de dispositivo a utilizao de
ferramentas de soluo de segurana mvel, sendo que as principais caractersticas
que estas ferramentas devem possuir so:
a) Criptografia dos dados armazenados no dispositivo (HD, cartes de
b)
c)
d)
e)

memria, pen drives, etc.);

Criptografia no acesso aos dados na empresa atravs do dispositivo;
Criptografia na transmisso de dados entre o dispositivo e a empresa;
Mecanismos de rastreio do dispositvel (quando aplicvel);
Poltica aplicada no dispositivo para a excluso dos dados por conta de
aes suspeitas (exemplo: erros seguidos de senha) (quando

aplicvel);
f) Poltica para a excluso dos dados atravs de comando remoto
(quando aplicvel).
De acordo com a revista SC Magazine4, as melhores solues de segurana
mvel em 2015 so:

AirWatch by VMware for AirWatch Secure Content Locker;

Check Point Software Technologies for Check Point DLP Software

Blade;
General Dynamics Fidelis Cybersecurity Solutions for Fidelis XPS;
McAfee for Data Loss Prevention (DLP);
Varonis Systems for Varonis IDU Classification Framework;
Websense Triton AP-Data + AP-Endpoint.

No entanto, cabe lembrar novamente que qualquer sistema ou soluo de

ltima gerao pode ser ineficiente se configurado de maneira incorreta. Alm disso,
considerando a velocidade com que a tecnologia evolui, possvel que as solues
4 http://www.scmagazine.com/2015-sc-awards-us-finalists/article/392367/, acesso em
5/9/2015.

39

acima percam sua eficincia para outras ferramentas ao longo dos anos, de maneira
que o ideal sempre optar pela tecnologia mais atual.
3.1.4 Engenharia Social
Segundo o livro entitulado a Arte de Enganar de Mitnick (2002),
a engenharia social utiliza influncia e persuaso para enganar as
pessoas, por convenc-las de que o engenheiro social algum que
ele no , ou pela manipulao. (...) Uma empresa pode ter adquirido
as melhores tecnologias de segurana que o dinheiro pode comprar,
pode ter treinado seu pessoal to bem que eles trancam todos os
segredos antes de ir embora e pode ter contratado guardas para o
prdio na melhor empresa de segurana que existe. Mesmo assim
essa empresa ainda estar vulnervel. Os indivduos podem seguir
cada uma das melhores prticas de segurana recomendadas pelos
especialistas, podem instalar cada produto de segurana
recomendado e vigiar muito bem a configurao adequada do
sistema e a aplicao das correes de segurana. Esses indivduos
ainda estaro completamente vulnerveis.

O que torna a engenharia social to perigosa para as organizaes que, na

maior parte dos casos, os alvos dos ataques no percebem o que aconteceu. Seja
uma senha, sejam detalhes estratgicos da empresa, o engenheiro social manipula
seu alvo de forma a parecer que tudo que ocorreu foi legtimo e para o bem da
empresa.
O ser humano , sem dvida, o elo mais fraco em segurana da informao,
pois, diferente dos computadores, possui caractersticas e traos psicolgicos que
variam de acordo com o meio. Enquanto um sistema de computador frio e faz
invarivelmente apenas aquilo que foi programado para fazer, o ser humano pode
ser induzido a agir de forma oposta a tudo que lhe foi ensinado. Isso acontece por
diversos motivos, dos quais podemos citar
(http://www.enq.ufrgs.br/files/Engenharia%20Social.pdf)
a) Vaidade pessoal e/ou profissional: O ser humano costuma ser mais receptivo
a avaliao positiva e favorvel aos seus objetivos, aceitando basicamente
argumentos favorveis a sua avaliao pessoal ou profissional ligada
diretamente ao benefcio prprio ou coletivo de forma demonstrativa.
b) Autoconfiana: O ser humano busca transmitir em dilogos individuais ou
coletivos o ato de fazer algo bem, coletivamente ou individualmente,
buscando transmitir segurana, conhecimento, saber e eficincia, buscando

40

criar uma estrutura base para o incio de uma comunicao ou ao

favorvel a uma organizao ou individuo.
c) Formao profissional: O ser humano busca valorizar sua formao e suas
habilidades adquiridas nesta faculdade, buscando o controle em uma
comunicao, execuo ou apresentao seja ela profissional ou pessoal
buscando o reconhecimento pessoal inconscientemente em primeiro plano.
d) Vontade de ser til : O ser humano, comumente, procura agir com cortesia,
bem como ajudar outros quando necessrio.
e) Busca por novas amizades : O ser humano costuma se agradar e sentir-se
bem quando elogiado, ficando mais vulnervel e aberto a dar informaes.
f) Propagao de responsabilidade : Trata-se da situao na qual o ser
humano considera que ele no o nico responsvel por um conjunto de
atividades.
g) Persuaso : Compreende quase uma arte a capacidade de persuadir
pessoas, onde se busca obter respostas especficas. Isto possvel porque
as pessoas possuem caractersticas comportamentais que as tornam
vulnerveis a manipulao.
O caminho para evitar, ou ao menos reduzir, ataques de engenharia social
desenvolver uma cultura abrangente de conscincia em segurana da informao
nas empresas, porm essa consicncia deve ir muito alm de treinamentos
cansativos ou cartilhas informativas. Os funcionrios devem ser incentivados a
questionar e compreender como um engenheiro social pode explorar o fator
humano, e devem estar claros os danos que uma informao extrada atravs deste
mtodo pode causar.
essencial que exista o apoio da alta direo na disseminao dessa cultura
de conscincia, para que a vulnerabilidade das pessoas deixe de ser vista como
algo que s acontece com os outros e passe a ser encarada como uma real
possibilidade para qualquer funcionrio de uma empresa.
(http://www.cisco.com/web/about/security/intelligence/mysdn-social-engineering.html)
3.2 Malware
De acordo com respeitados laboratrios de teste e pesquisa de softwares
antivirus, existem caractersticas especficas que uma ferramente de combate a esta
ameaa devem possuir.

41

Tony Bradley, CISSP-ISSAP, em seu artigo What To Look For In Antivirus

Software lista que as principais atributos de um antivirus so:
1. Realtime Scanner (Varredura em tempo real): Execuo de varredura
conforme o trfego de rede para interceptar quaisquer malware no momento
em que eles tentam entrar no dispositivo (Traduo nossa) 5
2. On-access Scanner (Varredura em acesso): The on-access scanner does
what its name implies- it scans files as they are opened or accessed to detect
any malware. Varredura em pastas e arquivos no momento em que so
acessados;
3. On-Demand Scanner (Varredura em demanda): The on-demand scanner
provides the ability to perform a custom scan of a file, folder or drive initiated
by the user. A habilidade de efetuar varredura em arquivos, pastas ou drives
de acordo com a necessidade do usurio;
4. Heuristic Scanner (Varredura heurstica): Antivirus software typically has a
heuristic scanner as well. Heuristic scanning uses what is known about
existing malware and what it has learned from past experience to identify new
threats even before the antivirus vendor creates an update to detect it. A
utilizao de conhecimento prvio sobre malware para identificao de novas
ameaas antes mesmo do fabricante desenvolver updates para deteco
daquelas.
5. Compressed File Scanner (Varredura em arquivos comprimidos): Some
malware may come inside a compressed file such as a ZIP file, or may even
be embedded in a compressed file within a compressed file and so on. Most
antivirus programs can scan within a compressed file. The better programs
may be able to scan many levels deep to detect malware even if it is buried
within multiple compressed files. Varredura de

arquivos que estejam

comprimidos ou embarcados num arquivo comprimido dentro de outro arquivo

comprimido;
6. Scheduled Scans (Varreduras agendadas): Most antivirus software provides
some method of creating a schedule to set when the software will
automatically perform a scan. Some antivirus programs may restrict what sort
of scans can be scheduled, while the more flexible programs allow you to run

5 The antivirus software realtime scanner monitors network data as it is coming into

the computer to intercept any malware as it enters your system.

42

any type of pre-configured or custom scan at the scheduled time.

Agendamento de varreduras em dias e horrios especificados pelo usurio.
7. Script Blocking ( Bloqueio de scripts): Script languages are frequently used to
execute malicious code from web sites. Many antivirus programs have the
ability to monitor Java, ActiveX, Visual Basic and other script files and detect
and block malicious activity. A capacidade de monitorar e impedir que scripts
maliciosos sejam executados no computador.
8. POP3 Email Scanning (Varredura de e-mail POP3): The ability of the antivirus
software to monitor incoming and/or outgoing POP3 email traffic and the
associated file attachments to detect and alert about virus or other malware
threats. A capacidade de monitorar trfego de e-mail que utiliza o protocolo
POP3 para detectar e alertar sobre malware e outras ameaas;
9. Webmail Protection (Proteo a webmail): The better antivirus programs can
monitor web-based email traffic such as Hotmail or Yahoo! Mail to detect and
block malware in file attachments.(traduzir traducao nossa) A capacidade de
monitorar para detectar e bloquear malware em anexos de e-mails em
webmails.
10. Instant Messaging Protection (Proteo de mensagens instantneas): Many
worms and other malware can now be spread through instant messaging
programs such as AOL Instant Messenger (AIM) or Yahoo! Messenger. Some
antivirus software will monitor instant messaging traffic to detect and block
malicious threats. Monitoramento de programas de IM, como Skype e AIM,
para deteco e bloqueio de ameaas que se utilizem deste tipo de programa
para propagar-se e infectar dispositivos.
11. Automatic Virus Updates (Atualizaes automticas de definies de vrus);
One of the biggest problems users have with antivirus software is simply
keeping it up to date. Most antivirus software can be configured to
automatically connect with the vendor site and download new updates on a
regular basis.
12. Automatic Program Updates (Atualizao automtica do programa). The scan
engine(s) and program itself may periodically be updated to add functionality
to detect newer threats. Many antivirus software programs can be configured
to automatically check for new updates and downlaod and install them if they
are available.

43

Renan Hamann, autor do artigo O que um antivrus precisa ter para ser
eficiente? lista as seguintes caractersticas como essenciais para um programa
antivrus:
Identificao de vrios malwares: Existe uma gama enorme de softwares
especializados em cada um dos tipos diferentes de malwares e que procuram apenas
trojans, s spywares ou keyloggers. Hoje, um bom antivrus no deve ser limitado a apenas
um desses tipos de arquivos maliciosos, mas deve buscar e exterminar qualquer tipo de
vrus.

Proteo em tempo real: Por muito tempo, os antivrus faziam buscas por
problemas no disco rgido apenas quando o usurio ordenava que a ao fosse realizada.
Isso coisa do passado, pois com os computadores online o tempo todo, antivrus que no
possuem proteo em tempo real (verificao constante de todos os dados trocados entre
mquina e servidores) devem ficar longe dos computadores.

Opes de varredura: Nem sempre o usurio dispe de tempo para fazer uma
verificao completa em todo o disco rgido. Ou ento s vezes necessrio que sejam
escolhidos apenas alguns arquivos ou pastas. Antivrus devem poder ser configurados para
que realizem varreduras rpidas ou profundas, disponibilizando tambm opes de locais
para escaneamento.

Varreduras simultneas: Em alguns momentos os usurios precisam fazer

verificaes rpidas de um disco removvel ou mesmo de uma pasta independente no
sistema, ao mesmo tempo em que esto sendo feitas varreduras completas do computador.
Antivrus que permitem essas varreduras simultneas ganham pontos, por evitarem a
necessidade de que a verificao principal seja interrompida pelo usurio.

Verificao de mdias removveis: Um dos maiores disseminadores de pragas

virtuais o pendrive. Os usurios conectam o dispositivo de memria em um computador
infectado e logo todos os outros j esto contaminados tambm. Antivrus com verificao
automtica de mdias removveis podem contribuir bastante para evitar esse tipo de
infeco.

Agendamento: A possibilidade de marcar verificaes automticas tambm um

timo diferencial que alguns antivrus oferecem aos seus clientes. Alguns permitem que
sejam marcadas varreduras peridicas, que podem ser mensais, semanais, dirias ou em
qualquer outra frequncia escolhida pelos usurios.

44

Proteo em emails: Os melhores softwares de proteo contra vrus devem ser

integrados aos servios e softwares gerenciadores de email para evitar que os usurios
sejam contaminados com vrus anexados s mensagens recebidas.

Atualizaes frequentes do banco de dados: O banco de dados de um antivrus

contm todas as informaes referentes aos vrus e outros arquivos maliciosos que podem
danificar o sistema. Como em todos os dias so lanadas novas pragas, o antivrus deve
estar sendo constantemente atualizado para evitar que os computadores sejam infectados
por arquivos maliciosos novos.

Neil J. Rubenking, um dos autores da pesquisa The best free antivirus for
2015 para o conceituado site de tecnologia PCMag compara as seguintes
funcionalidades de programas antivirus:

On-demand malware scan (Varredura em demanda);

On-access malware scan (Varredura em acesso);

Website rating (Classificao de websites);

Malicious URL blocking (Bloqueio de URLs maliciosas);

Phishing protection (Proteo contra phishing);

Behavior-based detection; (Deteco heurstica baseada no comportamento);

Vulnerability scan (Varredura de vulnerabilidades);

Traando um paralelo entre as 3 listas apresentadas, pode-se concluir que as
principais caractersticas de um bom programa antivirus so:

Varredura em tempo real;

Varredura em acesso;

Varredura em demanda;

Agendamento de varreduras;

Proteo a e-mail (webmail, POP3 e IMAP);

Deteco heurstica (baseada no comportamento do arquivo/programa sendo

varrido);

45

Atualizaes de definies de malware e do programa em si.

O antivirus, conforme descrito por Northcutt (2009), um controle ao mesmo
tempo preventivo, detectivo e corretivo. Preventivo, pois impede que um malware
infecte a mquina, detectivo pois consegue varrer um dispositivo a procura de
malware e corretivo pois pode eliminar o arquivo infectado do sistema.
Com base nas informaes acima e de acordo com testes realizados por
institutos como a AV-Test Institute, AV-Comparatives, Dennis Technology Labs
(entitdade membro da AMTSO (Anti-Malware Testing Standards Organisation), ICSA
Labs, Virus Bulletin e West Coast Labs, a PCMag indica que o melhor antivirus grtis
para o ano de 2015 o Panda Free Antivirus 2015.
3.3 DOS (Denial Of Service)
Responsvel por 21,39% dos incidentes reportados no ano de 2014 ao
Cert.BR e por 5% dos incidentes nas empresas entrevistadas pela Daryus, o Denial
of Service (em portugus, negao de servio) um ataque cujo objetivo final
fazer com que um computador ou recurso de rede torne-ne incapaz de prestar seu
servio normalmente, de modo a impedir que usurios legtimos utilizem os servios
prestados pelo recurso alvejado pelo ataque.
Existem diversas maneiras de se iniciar um ataque de DoS, como o SYN
flooding, ICMP flooding, ou o mltiplo envio de HTTP requests no caso de servidores
web. Jackson (2013) lista formas de preveno e defesa de um ataque DoS:

Ceritficar-se que sistemas e ambientes crticos tenham capacidade o suficiente para

sobreviver a um ataque.

Garantir que as dispositivos de rede, sistemas operacionais e aplicaes estejam

configurados de modo a desabilitar servios e aplicaes desnecessrios;

Separar servios crticos, incluindo pblicos e privados, em segmentos de rede

especficos;

Utilizar servidores com propsito nico (servidor HTTP, servidor DNS);

Em seu artigo How to mitigate and defend against DOS attacks, William
Jackson (2013) diz The simplest type of DOS attack to deal with is a network attack
with its flood of requests, and the simplest way to deal with it is to just absorb the

46

traffic. Its just a matter of capacity. O tipo de ataque DoS mais simples de se lidar
um ataque de rede com inundaes de requisies, e a maneira mais simples de se
lidar com ele apenas absorver o trfego. uma questo de capacidade.
Rubens (2013) lista alguns itens para proteo contra ataques DoS:

Estabelea taxa limite no roteador para impedir que o servidor web fique
sobrecarregado;

Adiciona filtros para que o roteador descarte pacotes de origens conhecidas

de ataque;

Configurar o roteador para que conexes half-open sejam descartadas em

maior nmero que as demais;

Configurar limites mais baixos de sobrecarga de requests SYN, ICMP e UDP.

No artigo 7 essentials for defending against DDoS attacks de George Hulme,
Gary Sockrider, arquiteto de solues da Arbor Networks afirma que no se deve
confiar apenas nas defesas presentes na rede sendo atacada. Segundo Sockrider
(2013), as defesas tradicionais, como firewalls, IDS, load-balancers, so to
vulnerveis como os servidores que tentam proteger.
If your Internet connection is 10GB and you receive a 100GB attack, trying to
fight that at the 10GB mark is hopeless. You've already been slaughtered upstream."
Se sua conexo de Internet de 10Gb e voc recebe um ataque de 100GB, tentar
combater no marco dos 10GB impossvel. (Sockrider, 2013).
As afirmaes de Sockrider corroboram com as de Rubens, que sugerem que
deve-se trabalhar em conjunto com a provedora de servios de Internet para que
ataques DoS sejam frustrados. http://www.esecurityplanet.com/network-security/5tips-for-fighting-ddos-attacks.html (RUBENS, 2013)
Diante das afirmaes acima, pode-se afirmar que os controles de defesa
contra DoS so de ordem preventiva e detectiva. Existem solues para empresas
de grande porte, criadas por companhias de renome como McAfee e Cisco, porm
para as empresas que no contam com o capital necessrio para adquirir tais
ferramentas recomendado que se execute hardening de seus dispositivos de rede
para mitigar o impacto de um ataque DoS conforme indicado por Paul Rubens..

47

3.4 Invases
Responsveis por 28,55% dos incidentes reportados ao Cert.BR no ano de
2014 e 19% dos incidentes nas empresas entrevistadas pela Daryus, as invases
so um grande fator de preocupao para empresas por normalmente serem
seguidas de vazamento de informaes, alm de serem a representao de que
seus dispositivos de segurana podem no estar funcionando conforme o esperado.
As consequncias de uma invaso podem ser catastrficas para uma
companhia, tendo em vista que informaes sigilosas normalmente as so por
fornecerem empresa vantagem sobre seus competidores ou informaes
sensitivas tanto de pessoas jurdicas quanto fsicas. As invases podem ser
iniciadas por diversos motivos.
Um atacante pode tentar invadir um sistema para afirmar a si mesmo de que
capaz, pode ter sido pago por um concorrente para roubar informaes sigilosas
ou macular a imagem de uma empresa. H tambm o hacktivismo, que a
propagao de idias polticas por intermdio de invaso ou comprometimento de
sistemas.
Lisa Long, em seu artigo para o SANS Institute Profiling hackers diz que
existem 3 tipos de hackers: white hat (chapu branco), black hat (chapu preto), e
gray hat (chapu cinza). Long (2012) diz que a principal diferena entre um white hat
e um black hat a permisso.
Embora as tcnicas e ferramentas utilizadas sejam similares, white hats, por
serem profissionais de segurana da informao especializados, possuem
permisso expresa para invadir uma rede ou um sistema, enquanto os black hats
no. Os gray hats, tambm conhecidos como ethical hackers (hackers ticos) so
um misto de white hats e black hats. Seu objetivo ajudar organizaes a tomarem
medidas preventivas contra ataques maliciosos atancando seus sistemas, de modo
a fazerem isso dentro dos limites legais. (Long, 2012)
3.4.1 Port Scan
Ataques de port scan, presente nos incidentes reportados ao Cert.BR e na
pesquisa realizada pela Daryus, uma varredura que envia requisies de cliente
para um nmero de portas de servio em um dispositivo com o intuito de encontrar

48

portas ativas e explorar vulnerabilidades conhecidas daquele servio. (RFC 2828). A

execuo de port scanning por si s no crime, mas sim a finalidade da varredura.
Para que se frustre ou mitigue o impacto de um ataque de port scan deve-se
desabilitar todos os servios de que o dispositivo no faa uso. Servidores web, por
exemplo, devem desabilitar portas de servio de e-mail, pois no precisam delas
para seu funcionamento, gerando uma vulnerabilidade caso estas no sejam
desativadas.
Controles de segurana para ataques que utilizam port scan so preventivos
e detectivos, uma vez que este ataque por si s no garante ao atacante
informaes confidenciais.
3.4.2 Falhas No Sistema (Vulnerabilidades)
Vulnerabilidades inerentes s tecnologias utilizadas pela empresa tambm
fornecem aos hackers, sejam eles white ou black hats, acesso indevido a sistemas e
informaes por meio de exploits. Tais vulnerabilidades, uma vez descobertas, so
divulgadas pelos fabricantes para instituies de segurana da informao, como o
NIST (https://nvd.nist.gov/) e tornam-se conhecidas tanto a white hats quanto a black
hats. mais provvel que uma rede seja atacada com um exploit conhecido do que
com

um

desconhecido

(Beyond

Security

em

http://www.beyondsecurity.com/security_scanner.html)
Como medida de segurana contra ataques que almejam explorar
vulnerabilidades,

(http://us.norton.com/security_response/vulnerabilities.jsp )

Symantec
recomenda

as

seguintes aes:

Manter softwares e patches de segurana atualizados;

Utilizar configuraes de segurana para sistemas operacionais, navegadores e

softwares de segurana;
Alm destas recomendaes, o Cert.BR indica:

Remoo de programas no mais utilizados;

Remoo verses antigas de programas;

49

Visita regular ao site dos fabricantes para atualizao de programas;

Configuo, quando possvel, de atualizao automtica de programas;

Para que as vulnerabilidades de um dispositivo sejam verificadas, o Cert.BR
sugere

utilizao

da

ferramenta

PSI

(http://secunia.com/vulnerability_scanning/personal/), que varre o computador em

busca de vulnerabilidades em seus programas.
Pode-se, ento, observar que controles de segurana para ataques que visam
explorar vulnerabilidades so de caracterstica preventiva, detectiva e corretiva.
3.4.3 Acesso Fsico No-Autorizado
Invases no so apenas de caracterstica lgica; de acordo com a Pesquisa
Nacional de Segurana da Informao, o acesso fsico no-autorizado tambm gera
incidentes que comprometem as informaes de uma empresa.
A norma ISO/IEC 27002 determina quais so os controles necessrios para
que o ambiente no qual a informao contida seja seguro:
Convm que sejam utilizados permetros de segurana (barreiras
tais como paredes, portes de entrada controlados por carto ou
balces de recepo com recepcionistas) para proteger as reas que
contenham informaes e instalaes de processamento da
informao. (ISO/IEC 27002 p.32)

Tambm determinado pela mesma norma que tais ambientes sejam

protegidos por controles apropriados de entrada para que sejam acessados somente
por pessoal autorizado, tais como:
a) Controle de data e hora de entrada e sada de visitantes;
b) Visitantes devem ser supervisionados (a menos que seu acesso tenha sido
c)
d)
a.
e)
f)

previamente aprovado;
Finalidade especfica e autorizada de permisso de acesso a visitantes;
Acesso restrito a reas em que so armazenadas ou processadas informaes;
Controles de autenticao como PIN (Personal Identification Number);
Identificao visvel de todos os funcionrios, fornecedores, terceiros e visitantes
Revalidao peridica da necessidade de acesso a reas seguras;

3.4.4 Fora Bruta

Uma forma mais rudimentar, mas que, em muitos casos, garante xito ao
atacante, a invaso por brute force (tambm conhecida como fora bruta), tcnica

50

que consiste em adivinhar, por tentativa e erro, um nome de usurio e senha e,

assim, executar processos e acessar sites, computadores e servios em nome e
com os mesmos privilgios deste usurio. (Cert.BR, acesso em 09/05/2015).
Por serem ataques de tentativa-e-erro, existem formas de se identificar
rapidamente uma investida deste tipo. A OWASP (Open Web Application Security
Project) lista os principais indcios de um ataque a servidor web:

Many failed logins from the same IP address

Logins with multiple usernames from the same IP address

Logins for a single account coming from many different IP addresses

Excessive usage and bandwidth consumption from a single use

Failed login attempts from alphabetically sequential usernames or

passwords

Logins with a referring URL of someone's mail or IRC client

Referring URLs that contain the username and password in the format
http://user:password@www.example.com/login.htm

If protecting an adult Web site, referring URLs of known passwordsharing sites

Logins with suspicious passwords hackers commonly use, such as

ownsyou (ownzyou), washere (wazhere), zealots, hacksyou, and the
like.

(https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks)
Controles de preveno a ataques de fora bruta incluem:

Limitao de tentativas de acesso;

Extenso do tempo entre tentativas;
Utilizao de CAPTCHA para

preveno

de

ataques

automatizados.
Embora o bloqueio de contas aps determinado nmero de tentativas de
acesso seja o meio mais comum de prevenir um ataque de brute force, existem
ressalvas com relao a esta prtica:

51

No tem efeito contra ataques que efetuam poucas senhas por

No tem efeito contra ataques de fora bruta reversos (que

hora;
utilizam uma nica senha para uma lista de usurios;

O bloqueio de muitas contas de usurio pode causar negao de

servio.
Para este problema, a University of Virginia recomenda que a conta seja
colocada em quarentena, limitando seus acessos at que se identifique que o
ataque de fora bruta tenha cessado.

3.4.5 Desfigurao De Pgina (Defacement)

Incidentes envolvendo servidores web so, de acordo com os dados
fornecidos pelo Cert.BR, responsveis por 2.75% dos incidentes do ano de 2014
reportados instituio. Ataques a este tipo de servidor normalmente tem o
propsito de desfigurar (conhecido vulgarmente como pichar) uma pgina web,
mostrando dominncia do atacante sobre os sistemas de proteo do site.
Os responsveis por este tipo de ataque obtm xito ao invadir um
equipamento utilizando-se de diversas formas, entre elas vulnerabilidades do prprio
servidor, das aplicaes ou at mesmo na linguagem de programao utilizada no
desenvolvimento as aplicaes web. (Cert.BR, 2012 - http://cartilha.cert.br/ataques/)
Existem ferramentas, como o Microsoft Baseline Security Analyzer (MBSA),
que auxiliam na identificao de patches de segurana disponveis para atualizao
e verificao das configuraes de segurana dos servidores.
Os controles envolvidos na proteo de um servidor web so similares aos
dos demais servidores, recomendando-se que cada server tenha um propsito
exclusivo, efetuando hardening das configuraes e mantendo o sistema
operacional e patches de segurana atualizados.
Assim sendo, pode-se concluir que controles de segurana para servidores
web so de ordem preventiva e detectiva.

52

53

CONSIDERAES FINAIS
Este trabalho foi realizado com o objetivo de definir quais caractersticas uma
ferramente deve ter para combater as principais ameaas segurana da
informao no Brasil levando-se em considerao os dados fornecidos pelo Cert.BR
e pesquisa recente realizada pela empresa de consultoria em segurana da
informao Daryus. Foi realizada extensa pesquisa bibliogrfica, podendo-se
constatar que um dos principais fatores que contribuem para a gerao de
incidentes de segurana da informao a ignorncia sobre o assunto,
especialmente por parte das pequenas e medias empresas.
No decorrer do desenvolvimento pde-se constatar que, de fato, poucas so
as empresas no Brasil que possuem controles de segurana da informao.
Tambm foi verificado que segurana da informao vista, ainda, como uma rea
primariamente tecnolgica, devendo ser gerenciada por equipes de TI.
Procurou-se abordar a importncia das caractersticas necessrias s
ferramentas de segurana da informao devido ao fato de serem universais,
inerentes a ambas solues high end e de baixo custo, tendo em mente o poder
econmico que difere de empresa para empresa.
Para o futuro, buscamos facilitar a implementao, tendo como modelo a
norma ISO 27001, de recursos necessrios para o estabelecimento, implementao,
manuteno e melhoria continua da segurana da informao.

54

ANLISE DOS RESULTADOS

Sntese do que foi discutido no trabalho
Relacionamentoameaas x solues mitigatrias
Facilitar ao leitor o entendimento do trabalho

55

REFERNCIAS
Associao Brasileira de Normas Tcnicas. - ABNT. NBR ISO/IEC 27001:
Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de
segurana da informao - Requisitos. Rio de Janeiro, 2006.
Associao Brasileira de Normas Tcnicas. ABNT. NBR ISO/IEC 27002:
Tecnologia da Informao Tcnicas de Segurana Cdigo de prtica para a
gesto da segurana da informao. Rio de Janeiro, 2005.
http://weis2012.econinfosec.org/papers/Brecht_WEIS2012.pdf
https://www4.symantec.com/mktginfo/whitepaper/053013_GL_NA_WP_Pone
mon-2013-Cost-of-a-Data-Breach-Report_daiNA_cta72382.pdf
Mitnick, Kevin ; The Art of Deception; October 4, 2002, editora John Wiley &
Sons
http://www.vivaolinux.com.br/artigo/Entendendo-o-que-e-Engenharia-Social
(Guilherme Junior)
http://cartilha.cert.br/malware/
http://cartilha.cert.br/ataques/
http://www.senado.gov.br/ordemdodia/arquivos/avulso/2012/PLC201200035_0
1.pdf - Lei Carolina Dieckmann
http://www.theguardian.com/commentisfree/2013/jul/07/nsa-brazilians-globospying
http://www.portaleducacao.com.br/educacao/artigos/48819/ameacas-evulnerabilidades-da-informacao-como-precaver
http://www.spi.dod.mil/tenets.htm
ISO 27002
http://www.scribd.com/doc/51112696/NBR-ISO-27002-para-impressao
PESQUISA DARYUS
http://www.daryus.com.br/view/pdf/DARYUS_Pesquisa_ISM.pdf
http://www.esecurityplanet.com/network-security/how-to-prevent-dosattacks.html
http://www.nsfocus.com/ddos_faq/03-Common_DDoS_CountermeasuresEN.html
http://www.techtudo.com.br/artigos/noticia/2011/07/guia-de-seguranca-digitalsaiba-como-se-proteger-dos-hackers.html

56

https://docs.google.com/viewer?
a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxyY29yY3N8Z3g6M2Q3ZTNhOTc5N
ThmMjFkZQ
http://www.sans.edu/research/security-laboratory/article/security-controls
Northcutt (2009)

->

http://www.esecurityplanet.com/network-security/5-tips-for-fighting-ddosattacks.html
DOS:
http://www.esecurityplanet.com/network-security/how-to-prevent-dosattacks.html
http://www.nsfocus.com/ddos_faq/03-Common_DDoS_CountermeasuresEN.html
http://www.techtudo.com.br/artigos/noticia/2011/07/guia-de-seguranca-digitalsaiba-como-se-proteger-dos-hackers.html
https://docs.google.com/viewer?
a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxyY29yY3N8Z3g6M2Q3ZTNhOTc5N
ThmMjFkZQ
http://www.sans.edu/research/security-laboratory/article/security-controls
(Northcutt, 2009)

->

http://www.esecurityplanet.com/network-security/5-tips-for-fighting-ddosattacks.html -> (Paul Rubens, 2013)

gcn.com/Articles/2013/01/24/9-steps-defend-against-DDOS.aspx
Jackson, 2013)

(William

http://www.csoonline.com/article/2133613/malware-cybercrime/7-essentialsfor-defending-against-ddos-attacks.html -> (George Hulme, 2013)

INVASES:
http://www.tecmundo.com.br/ataque-hacker/19600-os-4-ataques-hackersmais-comuns-da-web.htm (Thiago Szymanski, 2012)
http://www.sans.org/reading-room/whitepapers/hackers/profiling-hackers33864 - (Lisa Long para o SANS Institute, 2012)
http://cartilha.cert.br/ataques/
http://cartilha.cert.br/mecanismos/
http://cartilha.cert.br/computadores/
www.cs.virginia.edu/~csadmin/gen_support/brute_force.php -> University of
Virginia
cartilha.cert.br/ataques/ -> Cert.BR

57

http://tools.ietf.org/html/rfc2828 -> Port scan