Documente Academic
Documente Profesional
Documente Cultură
SEGURANA
DOSSIER | SEGURANA
3
7
9
10
11
14
www.computerworld.com.pt
Av. da Repblica, N. 6, 7 Esq. 1050-191 Lisboa
Director Editorial: Pedro Fonseca pfonseca@computerworld.com.pt
Editor: Joo Paulo Nbrega jnobrega@computerworld.com.pt
Director Comercial e de Publicidade: Paulo Fernandes
pfernandes@computerworld.com.pt Telef. / Fax +351 213 303 791
Todos os direitos so reservados.
A IDG (International Data Group) o lder mundial em media, estudos de mercado e eventos na rea das tecnologias de informao (TI). Fundada em 1964, a IDG possui mais de
12.000 funcionrios em todo o mundo. As marcas IDG Computerworld, CIO, CFO World,
CSO, ChannelWorld, InfoWorld, Macworld, PC World e TechWorld atingem uma audincia
de 270 milhes de consumidores de tecnologia em mais de 90 pases, os quais representam 95% dos gastos mundiais em TI. A rede global de media da IDG inclui mais de 460
websites e 200 publicaes impressas, nos segmentos das tecnologias de negcio, de
consumo, entretenimento digital e videojogos. Anualmente, a IDG produz mais de 700
eventos e conferncias sobre as mais diversas reas tecnolgicas. Pode encontrar mais
informaes do grupo IDG em www.idg.com
CIBERCRIMINOSOS ESPECIALIZAM-SE
MAS DIVERSIFICAM OPERAES
NEGAR A INSEGURANA J NO
SOCIALMENTE ACEITE
17
DOSSIER | SEGURANA
maior impulso.
Segundo este responsvel,
mudana est associada a
migrao para o paradigma da
cloud computing e a utilizao
de dispositivos mveis,
segundo estratgias de BYOD.
J Hugo Abreu, director-geral
da Oracle, destaca tambm a
utilizao das redes sociais ou
as aplicaes de Big Data como
elementos transformadores.
O sequestro de contas de
utilizador passar a ser mais
frequente e no apenas em
redes como o Twitter, mas
tambm em sites orientados a
negcios, como o LinkedIn,
confirma Rui Duro, gestor de
vendas da Check Point, em
Portugal.
De outra perspectiva, h os
riscos sobre a segurana
interna de dados sensveis.
Embora tenha estado sempre
presente os funcionrios so
reconhecidos como a maior
ameaa segurana dos dados
, nos ltimos tempos os
fornecedores de tecnologia tm
insistido neste tema,
incrementando os seus alertas.
Empregados como
instrumentos
A Check Point, por exemplo,
acha que se iro destacar a
engenharia social, as
campanhas de malware
dirigidas, as botnets ou as
ameaas internas, ou seja, os
ataques s empresas a partir de
dentro, usando os seus prprios
empregados como
instrumentos, antecipa Rui
Duro. Na perspectiva deste
responsvel, a engenharia
social atravs do email
permanecer como o mtodo
preferido para lanar ataques
de malware ou de phishing.
Fevereiro 2014 | COMPUTERWORLD | 3
DOSSIER | SEGURANA
Os ataques e episdios a
partir de dentro das empresas e
dirigidas a instalaes e infraestruturas pblicas, vo obrigar
a redefinir a abordagem
segurana, segmentando mais
as redes, aumentando a
inspeco de cdigo nocivo e
ataques dentro da rede da
mesma forma que at agora na
periferia, sugere.
Neste quadro, e de acordo
com a estratgia da Watchful, as
tecnologias que aplicam a
segurana e proteco da
informao diretamente nos
dados - tais como classificao
dinmica dos ficheiros, IAM, e
gesto de politicas associadas
aplicao de direitos sobre a
informao iro tornar-se mais
relevantes, defende Rui Melo
Biscaia, da Wachtful.
Dispositivos de contedo
cada vez mais valiosos
Entre os responsveis
consultados, as aplicaes e o
tema da gesto dos dispositivos
mveis obtm o maior nmero
de referncias. As solues de
Mobile Device Management
(MDM) e mais recentemente
as de Mobile Access
Management (MAM) tm
vindo a registar uma procura
crescente, sendo expectvel
que se venha a acentuar ainda
mais durante os prximos anos,
tendo em considerao a
exploso do trfego de dados
que se ir registar nas
plataformas mveis, considera
Hugo Abreu.
As aplicaes MAM
permitem disponibilizar um
"container" - ou contentor ou
rea virtual delimitada e
protegida -, no qual so alojadas
as verses de mobilidade das
aplicaes corporativas. O
acesso a essas aplicaes
controlado de forma
centralizada pelas organizaes,
e de acordo com as polticas de
segurana associadas a cada
utilizador, explica o
responsvel da Oracle.
tambm uma maneira de
estabelecer uma fronteira entre
Ameaas na mobilidade
aumentam
De uma perspectiva centrada
num contexto mais externo, a
segurana dos dispositivos
mveis, de tablets e
smartphones, ganha ainda
maior relevncia, segundo o
consultor da Kaspserky Labs,
Vicente Diaz. O nmero de
software nocivo destinado a
Porqu a PT?
A PT ajuda as organizaes a desenvolverem
a sua estratgia de mobilidade de forma
exvel e sem preocupaes com tecnologia,
adequando os recursos s caractersticas
e evoluo da sua atividade. Para isso,
disponibiliza aplicaes mveis corporativas,
solues de gesto de mobilidade empresarial,
servios de gesto TI e capacidade
de banda larga com suporte na sua rede de
bra e 4G/LTE, com total cobertura nacional.
As Solues Cloud da PT esto suportadas
na maior rede de data centers do pas,
potenciando reduo de custos com as TI,
aumento de produtividade e mobilidade,
com elevados nveis de sustentabilidade.
DOSSIER | SEGURANA
A introduo da
autenticao por impresso
digital nos iPhone promete
revolucionar a indstria da
biometria e levar sua
massificao, de forma a
proteger os dispositivos e
dados, deixando para trs o
tradicional [modelo de]
utilizador/password, considera
Srgio S, da Unisys. Mas o
impulso dado rea da
biometria no dever
restringir-se a esse tipo de
autenticao baseada no corpo
dos utuilizadores. De acordo
com este responsvel, as
tecnologias de identificao
pela ris e o reconhecimento
facial j esto suficientemente
maduras.
No entanto, o desafio
A viabilidade
econmica
tambm uma
questo
importante
de e-commerce e de banca
online afiguram-se com
potencial para isso. Rui Melo
Biscaia lembra que o Facebook
e a Google tambm j
investiram em sistemas de
DOSSIER | SEGURANA
autenticao com mltiplos
factores.
Aumento
generalizado de
utilizao da
encriptao de
nvel elevado
informao e comunicaes
internas em que os controlos
eram menos apertados ou
inexistentes. No exterior,
embora j existisse,
provavelmente tambm ser
revisto, resultado da
diversidade dos meios de
comunicao e acesso
informao (dispositivos
mveis), concretiza o
responsvel da Unisys.
Na mesma linha, Miguel
Caldas prev um aumento
generalizado de utilizao da
encriptao de nvel elevado
nas comunicaes, tentando
evitar a intruso de servios de
informao apostados na
recolha macia de informao.
O director de tecnologia da
Microsoft assinala que novas
formas de encriptao
(nomeadamente a homomrfica)
devero concentrar, em 2014,
esforos de investigao. Os
maiores intervenientes no
mercado devero avanar j com
projectos-piloto, prev este
responsvel.<
O IMPACTO DO FIM DO XP
DOSSIER | SEGURANA
internacionais (nomeadamente
da Comisso Europeia) sobre
garantias de privacidade dos
dados pessoais que esto na
posse de diferentes
organizaes, sejam elas
pblicas ou privadas.
O analista da Kaspersky,
CLOUD PROEMINENTE
NO DISASTER RECOVERY
As plataformas de cloud computing devero conquistar um lugar
proeminente nas estratgias para lidar com a preveno de perdas
de dados (Data Loss Prevention) e de Disaster Recovery, nas
previses de Miguel Caldas, da Microsoft.
J Hugo Abreu (Oracle), considera que as solues dos Portais de
Servio na Nuvem, com capacidade para self-service (nomeadamente
auto-registo, autenticao/SSO e autorizao) iro ser o facilitador
da democratizao deste modelo de computao.
Apesar disso, Rui Melo Biscaia, da Unisys, considera que a adopo
do modelo continuar a levar o seu tempo. As preocupaes
relacionadas com a segurana e privacidade dos dados so as
principais razes para isso. E as organizaes devero manter uma
abordagem hbrida.
DOSSIER | SEGURANA
CIBERCRIMINOSOS ESPECIALIZAM-SE
MAS DIVERSIFICAM OPERAES
Outras previses:
DOSSIER | SEGURANA
DOSSIER | SEGURANA
perto de casa. As pessoas
tendem a ficar mais nervosas
quando embarcam num avio,
do que quando se sentam atrs
do volante do seu carro.
Os bancos tm feito
a modelao de
ameaas de fraude
desde sempre
"Caso contrrio, o CEO fica
sempre inundado por toda a
fantasia das notcias
quotidianas", considera. A
modelao de ameaas no
um conceito novo para alguns
mercados verticais, tais como o
dos servios financeiros e das
infra-estruturas crticas ou do
fornecimento de servios
crticos. "Os bancos tm feito a
modelao de ameaas de
fraude desde sempre", diz
Nather.
"Porm, acho que, com o
passar do tempo, a indstria
aprendeu que tem um modelo
de ameaa maior do que apenas
a fraude", diz. Faz sentido, as
condies de negcio, as
ameaas e as vulnerabilidades
esto sempre a mudar.
DOSSIER | SEGURANA
DOSSIER | SEGURANA
NEGAR A INSEGURANA J
NO SOCIALMENTE ACEITE
NECESSIDADE DE PROTEGER as
infra-estruturas crticas vista com
maior importncia em Portugal,
assinala Lino Santos, director do
CERT.PT. Mas os ndices de
ciberciminalidade no so baixos e h muito
a corrigir no sistema judicial. preciso ainda
investir em tecnologia para os sistemas do
Estado e na formao.
Portugal est num patamar
diferente quanto atitude
assumida no tema da
segurana dos sistemas de
informao, considera o
director do CERT.PT, Lino
Santos, mas falta ainda
corrigir muitos aspectos, tanto
na tecnologia como nas
pessoas e no sistema judicial,
que tm de ser melhor
capacitados.
Apesar de o espao
portugus ser uma zona-alvo
secundria, os ndices de
ciberciminalidade no so
baixos. Sem arriscar previses,
confirma o potencial de
vulnerabilidades associado aos
dispositivos mveis, e
sublinha a crescente ameaa
resultante do aproveitamento
de recursos por parte dos
criminosos: h uma melhor
LINO SANTOS
DIRECTOR DO CERT.PT
DOSSIER | SEGURANA
conjugao de velhas tcnicas
aliada ao aumento de
capacidade de processamento
e de transmisso. Portanto, a
no ser que surja um novo
vector de ataque que altere
radicalmente o quadro de
ameaa, no consigo prever
grandes alteraes para 2014.
No quero com isto dizer
que os nveis de cibercriminalidade so baixos.
Longe disso. Ainda h um
longo caminho a percorrer na
consciencializao e na
formao das pessoas, no
investimento em tecnologia e
processos de segurana da
informao nas empresas e no
Estado, bem como na
capacitao do nosso sistema
judicial na prossecuo deste
tipo de crimes.
CW - Vrios fabricantes tm
alertado para a emergncia de
malware dirigido a plataformas
de mobilidade e diz-se que em
2014 os ataques a dispositivos
mveis ter um grande
Objectivos
do CERT.PT
Os objectivos do CERT.PT
so, a par da gesto
adequada da rede CSIRT:
estabelecer a confiana
entre responsveis pela
segurana informtica
para criar um ambiente de
cooperao e assistncia
mtua no tratamento de
incidentes;
criar indicadores e
informao estatstica
nacional sobre incidentes
de segurana para
identificar contramedidas;
implantar instrumentos de
preveno e resposta
rpida num cenrio de
incidente de grande
dimenso;
promover uma cultura de
segurana em Portugal.
DOSSIER | SEGURANA
Em Portugal,
"sentimos um
incremento
no nmero de
ataques do
tipo negao
de servio e
um
maior
nmero de
casos de
ransomware"
A rede SIRT
A Rede Nacional de
Computer Security Incident
Response Services (CSIRT) ou equipas de servios de
resposta a incidentes de
segurana informtica
inclui em Portugal as
seguintes entidades:
- Caboviso /Oni
Communications
- CC-CRISI (EMGFA);
- CEM (Angra do Herosmo);
- CERT.PT;
- CGD;
- Claranet;
- Dognaedis;
- EDP;
- FEUP;
- IGFEJ;
- Millenium BCP;
- NFSI;
- PT;
- PT Servidor;
- Refer;
- Sonaecom;
- UTIS;
- Vodafone.
Fevereiro 2014 | COMPUTERWORLD | 16
DOSSIER | SEGURANA
1. Cartes RFID
A maioria dos edifcios
incorpora actualmente de
alguma forma cartes RFID. Os
cartes, que contm duas peas
cruciais de informao - o
cdigo do site e o crach de
identificao pessoal - permite
aos funcionrios passar o seu
carto prximo de um scanner,
para ter acesso a certas reas.
"So bons para saber quem est
a entrar e durante quanto
tempo", diz Nickerson. "O
RFID tem algumas
vulnerabilidades mas ainda
melhor do que as chaves reais,
Fevereiro 2014 | COMPUTERWORLD | 17
DOSSIER | SEGURANA
onde se consegue obter uma
cpia de uma chave-mestra".
Na realidade, os cartes
RFID esto cheios de falhas de
segurana. Eles so facilmente
clonveis, por exemplo, e
ataques de fora bruta podem
ser usados para aproveitar o
facto de que os nmeros de
identificao do carto so
tipicamente incrementais
(embora o outro aspecto, o
cdigo local, seja mais secreto).
"A maioria das aplicaes Web
'inteligente' o suficiente para
bloquear [o acesso, aps vrias
tentativa fracassadas]", diz
Nickerson. "Mas o RFID? Pode
usar fora bruta durante todo o
dia. A maioria dos sistemas
nem sequer o avisa se algum
tentou um milho de vezes".
Alm disso, algumas
empresas colocam os seus
sistemas RFID em
fornecedores externos de
cloud. Tudo o que um atacante
tem de fazer aceder a esse
fornecedor e, de repente, tem
acesso a todos os edifcios que
2. Videovigilncia
A videovigilncia j existe h
algum tempo mas melhorou
drasticamente desde a sua
criao. A videovigilncia
agora sofisticada o suficiente
para incorporar
reconhecimento facial e
videocmaras com maior
qualidade esto a criar imagens
com maior resoluo. "A alta
definio [HD] agora a norma
e acima da HD est a tornar-se
normal", diz Jay Hauhn, CTO e
vice-presidente das relaes
com a indstria da Tyco
Integrated Security. "As
cmaras de megapixis na
video-segurana tm uma
3. Sistemas de segurana
de permetro
J no preciso depender
exclusivamente de muros ou
cercas para guardar o
permetro de uma instalao,
graas aos avanos em sistemas
de monitorizao de
permetros. Alguns sistemas j
utilizam microondas ou ondas
de rdio para estabelecer um
permetro e podem alertar as
equipas de segurana quando a
rea protegida est a ser
invadida. "Pode-se ver quem
est do lado de fora da rea e
ser alertado de antemo", diz
Nickerson. " um enorme
avano para o alerta precoce".
4. Reconhecimento da ris
Num equilbrio entre ser
preciso e no-invasivo, o
reconhecimento de ris permite
que as equipas de segurana
possam identificar as pessoas
com base apenas no padro do
seu olho. "Sou um grande f do
reconhecimento da ris, dado
que os padres so mais nicos
do que o DNA", diz Hauhn. "As
rises so realmente boas para
serem registadas por uma
cmara de alta resoluo
distncia".
Como o reconhecimento
facial, possvel contornar a
Fevereiro 2014 | COMPUTERWORLD | 18
DOSSIER | SEGURANA
tecnologia de reconhecimento
da ris com uma fotografia do
olho de outra pessoa, mas
Hauhn sustenta que no se
to facilmente enganado.
Afinal, como reala Hauhn,
"tente obter uma boa imagem
de um olho e fazer isso".
5. Agentes de segurana e
cartes de identificao
com fotografia
H algo a ser dito sobre as
boas e antigas tcnicas de
vigilncia com os dois olhos do
ser humano. Com o uso de
cartes RFID e os sistemas de
acesso colocados em entidades
externas, o elemento humano
da segurana est a ficar
esquecido. Saber quem acede
ao edifcio durante anos - ou,
talvez, perceber que uma
pessoa est a usar um carto de
identificao com uma foto de
outra pessoa simplesmente
porque o seu rosto no o do
carto - so coisas que uma
mquina no pode fazer, mas
um ser humano sim.
6. Segurana ligada a
dispositivos mveis
No raro nos dias de hoje
ter sistemas de segurana especialmente sistemas de
segurana domsticos - ligados
a um dispositivo mvel.
Sensores inteligentes, trancas
de segurana sem fios e
sistemas remotos de
controlo/manuteno podem
ser controlados pelo dispositivo
mvel do utilizador. Mas
alguns dizem que, com uma tal
7. "Scanning" de
impresses digitais
A digitalizao de
impresses digitais no s eleva
o nvel de segurana no ponto
de acesso, exigindo
identificao que nica para
cada pessoa, como tambm
permite que os sistemas de
segurana possam manter o
controlo de quem est a entrar
num edifcio. "Ele apenas
capaz de dizer que [essa
pessoa] foi por esta porta nesse
momento - h uma enorme
Fevereiro 2014 | COMPUTERWORLD | 19
DOSSIER | SEGURANA
diferena entre isso que e '
uma chave mas realmente no
tenho ideia de quem era o seu
proprietrio'", diz Nickerson. "
o maior avano que temos".
A tecnologia de "scanning"
de impresses digitais est
longe de ser perfeita, no
entanto, porque as impresses
digitais podem ser transferidas
e copiadas usando materiais
gelatinosos, por exemplo. Mas,
como aponta Nickerson, os
fabricantes de sistemas de
segurana biomtricos tm, por
qualquer razo, feito grandes
avanos na melhoria das suas
falhas. "Os fabricantes
comearam a colocar sensores
de calor... e de presso e
mapeamento de calor no
scanner", diz. "E agora o exame
tambm tem que combinar a
estrutura venosa da pessoa. So
estes mltiplos factores de
autenticao que fizeram to
grande a biometria".
8. Reconhecimento facial
Parte dos avanos que tm
sido feitos na videovigilncia
a codificao do
reconhecimento facial. O
reconhecimento facial tornouse to avanado que no s
pode ser usado para verificar se
algum quem diz ser como
tambm pode ser usado para
Apesar das
falhas, a
tecnologia est
avanada o
suficiente para
ser fivel
escolher uma pessoa para a
retirar para fora de uma
multido.
"Pode-se usar codificao das
aces faciais, ritmo cardaco e
alteraes na retina ocular para
determinar enganos", diz
Nickerson, que usou o exemplo
de sistemas de codificao de
reconhecimento facial a serem
usados em casinos em Las
Vegas (EUA) para detectar
batoteiros nas mesas ou para os
manter fora do edifcio por
completo. "A lei em Vegas
permite fotografar imagens
genricas de pessoas e usar a
monitorizao em tempo real
nos casinos para essas
ameaas", acrescenta.
Alguns especialistas
argumentam que o
reconhecimento facial tem um