Faculdade de Tecnologia de Americana Curso Superior de Tecnologia em Anlise de Sistemas e Tecnologia da Informao com nfase em segurana de redes

SEGURANA DO INTERNET BANKING NO BRASIL

Rafael Vaz Gallo

Americana, SP

2011

Faculdade de Tecnologia de Americana Curso Superior de Tecnologia em Anlise de Sistemas e Tecnologia da Informao com nfase em segurana de redes

SEGURANA DO INTERNET BANKING NO BRASIL

Rafael Vaz Gallo

Trabalho monografia por Rafael Vaz Gallo como exigncia do curso de graduao em anlise de sistemas e tecnologia da informao com nfase em segurana de redes da Faculdade de tecnologia de Americana sob a orientao do professor Alberto Martins Junior.

Americana, SP 2011

BANCA EXAMINADORA

Prof. Alberto Martins Junior Prof. Ivan Menerval da Silva Prof. Rogrio Nunes

ii

AGRADECIMENTOS

Ao mestre professor Alberto Martins Junior, pelo auxlio e compreenso, fatores que influenciaram de forma significativa neste trabalho. A professora Maria Cristina Aranda Batocchio pelo apoio e orientao na metodologia apresentada. A universidade Fatec Americana por todas as oportunidades que surgiram e que iro surgir. A minha famlia, em especial para minha me que sempre foi meu suporte para continuar os estudos e terminar a faculdade. A minha esposa que me auxiliou nas correes e idias para a concluso deste trabalho.

iii

RESUMO

GALLO, Rafael Vaz. Estudo sobre as principais falhas de segurana do Internet Banking no Brasil, Monografia, Faculdade de Tecnologia de Americana FATECAM, 2011.

Este trabalho apresenta uma pesquisa realizada sobre a histria e o funcionamento do servio de Internet Banking no Brasil desde sua criao. O trabalho ainda analisa dois tipos de ataques contra o servio de Internet Banking, o roubo ou furto de senhas e o ataque aos servidores de nomes conhecidos como DNS. O roubo ou furto de senha pode ser realizado de vrias formas, uma delas a utilizao de programas que analisam o trfego de dados em uma rede e seleciona as informaes relativas login e senhas de usurios, assim os criminosos podem obter informaes, como por exemplo, os logins e senhas, e usar estas informaes para desviar quantias de dinheiro de maneira criminosa. Outra forma de realizar roubo ou furto de senhas que ser comentada neste trabalho a utilizao de engenharia social, que basicamente o ato de enganar pessoas, usurios ou clientes para se conseguir vantagens, o que a lei chama de estelionato. Outro mtodo de ataque ao servio de Internet Banking tambm comentado neste trabalho o ataque sobre o servidor de nomes o DNS. Estes ataques normalmente so feitos por criminosos que tentam responder com informaes erradas as solicitaes de uma resoluo de nome que um cliente faz a um servidor DNS. Um site de banco falso tambm usado no ataque, no momento em que o usurio utiliza o site falso o criminoso comete o ataque, pois este site falso pode conter inmeras armadilhas para o usurio. Alm das abordagens sobre os ataques descritos acima, tambm sero comentadas as defesas para estes ataques e quem so os principais alvos destes ataques na internet. Palavras chaves: Redes, Internet Banking, Segurana.

iv

ABSTRACT

GALLO, Rafael Vaz. Study about the major security flaws in Internet Banking in Brazil, Monografia, Faculdade de Tecnologia de Americana FATEC-AM, 2011.

This paper presents a research on the history and workings of the Internet Banking service in Brazil since its inception. The paper also examines two types of attacks against the Internet Banking service, robbery or theft of passwords and the attack on name servers known as DNS. Theft or stolen password can be accomplished in several ways, one is the use of programs that analyze the data traffic on a network and selects the information regarding the login and passwords, so the criminals can get information, for example, the logins and passwords, and use this information to divert sums of money in a criminal manner. Another way to accomplish or theft of passwords which will be discussed in this work is the use of social engineering, which is basically the act of deceiving people, users or customers to get benefits, is what the law calls for embezzlement. Another method of attack on Internet Banking service also mentioned in this work is the attack on the DNS name server. These attacks are usually done by criminals who try to respond with incorrect information requests a name resolution that a client makes a DNS server. A fake bank site is also used in the attack, when the user uses the fake site commits the criminal attack, because this fake site may contain numerous traps for the user. Besides the approaches of the attacks described above, will also be discussed defenses to these attacks and also who are the main targets of these attacks on the Internet.

Keywords: Networks, Internet Banking, Security.

LISTA DE FIGURAS

Figura 1: Fases da automao bancria no Brasil............................................................7 Figura 2: Computador e Internet: posse (%)..................................................................10 Figura 3. O projeto original da ARPANET...................................................................14 Figura 4. O crescimento da ARPANET.........................................................................15 Figura 5. Representao da rvore de DNS..................................................................17 Figura 6. Hierarquia dos servidores razes do DNS.......................................................18 Figura 7. Verso simplificada do subprotocolo de conexes da SSL............................28 Figura 8. Transmisso de dados com a SSL...................................................................28 Figura 9. Poluio de cache em servidor DNS...............................................................34 Figura 10. Chaves assimtricas assinatura......................................................................35 Figura 11. Chaves assimtricas verificao....................................................................36 Figura 12. DNSSEC sobre o DNS recursivo..................................................................37

vi

LISTA DE TABELAS

Tabela 1. Nmero de usurios de Internet no Brasil, entre 2000 e 2009.........................9 Tabela 2. Ordem de classificao dos usurios de internet no mundo...........................12 Tabela 3. Os mtodos internos de solicitao HTTP......................................................20 Tabela 4. Os grupos de respostas de cdigo de status....................................................21 Tabela 5. Alguns cabealhos de mensagens HTTP.........................................................23 Tabela 6: Camadas do modelo OSI.................................................................................25 Tabela 7. Camadas para um usurio domstico navegando com a SSL.........................26

vii

LISTA DE SIGLAS DE ABREVIATURAS

AGI - Ano Geofsico Internacional ARPA - Advanced Research Projects Agency ARPANET - Advanced Research Projects Agency Network ASCII - American Standard Code for Information Interchange CERT. BR - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil CGI - Comit Gestor da Internet DNS - Domain name system DNSSEC - Domain Name System SECurity extensions EDI - Electronic Data Interchange EUA - Estados Unidos da Amrica FAPESP - Fundao de Amparo Pesquisa de So Paulo FTP - File transfer protocol HTML - HyperText Markup Language HTTP - Hypertext Transfer Protocol IBGE - Instituto Brasileiro de Geografia e Estatstica IETF Internet Engineering Task Force IP - Internet protocol ISO - International Organization for Standardization NASA - National Aeronautics and Space Administration OSI - Open Systems Interconnection RFC - Request for Comments SNMP - Simple Network Management Protocol SSL - Secure Sockets Layer URL - Uniform Resource Locator URSS - Unio das Repblicas Socialistas Soviticas WWW - World Wide Web

viii

SUMRIO:

1. INTRODUO ............................................................................................................ 1 1.1. OBJETIVOS ............................................................................................................. 1 1.1.1. OBJETIVO GERAL ........................................................................................... 2 1.1.2. OBJETIVOS ESPECFICOS ............................................................................. 2 2. JUSTIFICATIVA DO ESTUDO.................................................................................. 4 3. ORGANIZAO DO TRABALHO ........................................................................... 5 4. INTERNET BANKING ............................................................................................... 6 5. NIVELAMENTO DE TERMOS TCNICOS ........................................................... 12 5.1 INTERNET............................................................................................................... 12 5.3 DNS .......................................................................................................................... 16 5.4 HTTP ........................................................................................................................ 19 5.5 O PROTOCOLO SSL .............................................................................................. 24 6. PRINCIPAIS ATAQUES E DEFESAS SOBRE O SERVIO DE INTERNET BANKING NO BRASIL ................................................................................................. 29 6.1 ATAQUES UTILIZANDO ROUBO DE SENHAS ................................................ 29 6.1.3 FILTRANDO OS PACOTES NA REDE .......................................................... 31 6.1.4 CAPTURANDO SENHAS................................................................................ 31 6.1.5 SNIFFERS EM PROGRAMAS MALICIOSOS ............................................... 31 6.1.6 SNIFFERS EM ROTEADORES ....................................................................... 32 6.1.7 ANTI-SNIFFERS .............................................................................................. 32 6.2 ENGENHARIA SOCIAL......................................................................................... 32 6.3 ATAQUES UTILIZANDO SERVIDORES DNS ................................................... 33 6.3.1 ATAQUE UTILIZANDO PHARMING ........................................................... 33 6.3.2 MEDIDAS DE CONTENO CONTRA O PHARMING .............................. 34 6.3.3 CERTIFICADO DIGITAL ................................................................................ 35 6.3.4 DNSSEC ............................................................................................................ 37 6.4 PRINCIPAIS ALVOS DOS ATAQUES ................................................................. 38 7. CONCLUSO ............................................................................................................ 40 REFERNCIAS BIBLIOGRFICAS ........................................................................... 42 REFERNCIAS ELETRNICAS ................................................................................. 44 GLOSSRIO .................................................................................................................. 46

ix

1. INTRODUO

Este trabalho foca a evoluo da segurana para utilizao do Internet Banking. Foram analisados dados estatsticos sobre alguns tipos de ataques, alm dos impactos causados pelos ataques no Internet Banking no Brasil e os principais alvos. Os crimes cibernticos praticados contra o servio de Internet Banking no Brasil so para os especialistas os mais comuns, j que na maioria dos casos os ataques visam diretamente o crime de roubo como cita o Desembargador Federal Mario Cesar Ribeiro com base na lei n. 7.716/89, art. 20 infrao penal (TRF1, 2001). Justifica-se a escolha do trabalho devido ao aumento do uso de equipamentos eletrnicos com acesso a Internet no Brasil e conseqentemente o uso do Internet Banking, conforme dados publicados pelo governo Federal do Brasil no Centro de estudos sobre as Tecnologias da Informao e da Comunicao TIC (2009).
A posse de computador teve o seu maior crescimento nos ltimos cinco anos, de acordo com os mais recentes dados da Pesquisa TIC Domiclios. Em 2009, 36% dos domiclios possuam computador, enquanto apenas 28% tinham o equipamento em 2008. O mesmo ocorreu com o uso da Internet cujo acesso do domiclio subiu de 20% para 27%, o que representou um crescimento de 35% no perodo.

Com o aumento dos acessos Internet provvel que mais vulnerabilidades de segurana sejam identificadas e servios como o Internet Banking sejam alvos cada vez mais alvo de ataques.

1.1. OBJETIVOS

Para possibilitar um melhor entendimento sobre o volume e os riscos dos crimes cibernticos praticados contra o servio de Internet Banking, este trabalho visou mostrar a evoluo da segurana do servio Internet Banking desde sua criao ate os dias de hoje, alm disso foi apresentado tcnicas utilizadas por criminosos para ataque e quais as defesas contra estes ataques sobre o servio de Internet Banking no Brasil.

1.1.1. OBJETIVO GERAL

O objetivo geral deste trabalho pesquisar e analisar dados estatsticos e cientficos na rea de tecnologia de informao e segurana, com o objetivo de pesquisar e dar indicativos sobre os ataques praticados no servio de Internet Banking no Brasil.

1.1.2. OBJETIVOS ESPECFICOS

Pesquisar e analisar dados sobre a evoluo e os ataques praticados contra o servio de Internet Banking no Brasil, com o propsito de melhorar o conhecimento sobre o tema, utilizando-se a seguinte programao:

a) Entender a evoluo, utilizao e a histria do servio de Internet Banking no Brasil, tendo como base as referncias: Quem introduziu e quando o servio surgiu no Brasil, identificando as primeiras instituies no Brasil a utilizar o servio. Pesquisar e analisar dados estatsticos sobre a evoluo da segurana no servio.

b) Definir e analisar os principais ataques e defesas em relao ao servio de Internet Banking no Brasil. Anlises de crimes cibernticos cometidos visando o roubo de senhas, como a utilizao de sniffers que de acordo com o Thompson (2005) so programas que filtram dados na rede e capturam senhas. O autor argumenta que os sniffers atuais tambm podem ser instalados remotamente em um computador facilitando assim sua utilizao pelos criminoso cibernticos. Outra ferramenta utilizada pelos criminosos so as tcnicas de engenharia social que definida por Carmona (2006), como:
A engenharia social consiste em, atravs de subterfgios que enganem
um usurio, grupo deles, ou mesmo um sistema ser capaz de coletar informaes sobre o funcionamento de um servidor, rede de computadores ou mesmo uma lista de senhas. 2

O autor tambm cita que a maioria dos criminosos que utilizam tcnicas de engenharia social costuma agir bem longe do teclado e do mouse, eles apostam na sua capacidade de enganar atravs de telefones, conversas ou mesmo utilizando correio ou mensagens eletrnicas. Foi feito uma anlise de crimes cibernticos praticados contra servidores DNS que definido por Tanembaum (2003) como:
A essncia do DNS a inveno de um esquema de atribuio de nomes hierrquico, baseado em domnios. Ele principalmente usado para mapear nomes de host e destinos de mensagens de correio eletrnico em endereos IP, mas tambm pode ser usado para outros objetivos.

O autor tambm complementa que DNS tambm um servio para mapear um nome em um endereo IP. Assim uma tabela ou biblioteca de informaes consultada e o servio DNS resolve, ou traduz um nome para um endereo IP. Estes ataques a servidores DNS em conjunto com web sites falsos, criam um tipo de ataque chamado pharming, que definido como uma tcnica que altera a tabela DNS de um servidor de resoluo de nomes fazendo com que as requisies a determinada pgina sejam redirecionadas para web sites falsos (THOMPSON, 2005). Anlise do pblico alvo mais suscetvel aos ataques e sobre polticas de segurana em tecnologia da informao para conter os ataques ao servio de Internet Banking no Brasil.

2. JUSTIFICATIVA DO ESTUDO

Cada vez mais possvel observar o aumento na utilizao das instituies bancrias pela sociedade brasileira. De acordo com a matria do jornal O Globo (2005) o nmero de contas correntes bancrias no Brasil aumentou 37% entre os anos de 2001 a 2006. Em decorrncia deste aumento as ferramentas bancrias como caixas eletrnicos, servios de transferncia de valores monetrios e o servio de Internet Banking tambm sofreram aumento em sua utilizao. Com o aumento do consumo dos servios bancrios o aumento de fraudes e crimes aumentam tambm, principalmente os crimes cibernticos uma vez que se observa um aumento da utilizao da tecnologia em nosso pas, em uma reportagem feita pelo jornal O Globo (2005) um estudo feito entre 14 pases colocou o Brasil como o pas em que os usurios menos atualizam seus softwares de defesa contra ataques cibernticos, fato que intensifica ainda mais a utilizao de crimes envolvendo o servio Internet Banking no Brasil, j que o ponto fraco a ser atacado o prprio usurio, neste caso o cliente bancrio. Devido aos fatos descritos acima se justifica a anlise da evoluo da segurana do servio de Internet Banking no Brasil para entender melhor como os ataques evoluem e como a sociedade brasileira est se preparando para utilizao segura do servio de Internet Banking e tambm como ir punir os criminosos que praticam estes crimes cibernticos.

3. ORGANIZAO DO TRABALHO

O mtodo de procedimento deste trabalho foi o monogrfico, sendo o mtodo de pesquisa o bibliogrfico. Para concluso desta pesquisa segue-se o seguinte plano de desenvolvimento. Alm desse captulo introdutrio, o trabalho conta com um quarto captulo que abordou informaes sobre o servio Internet Banking: o que o servio; quais seus principais objetivos; o perfil de usurios e instituies que o utilizam e como ele usado, alm disso, foi apresentando sucintamente o histrico do servio Internet Banking. No quinto captulo foram apresentadas as definies e explicaes sobre os termos tcnicos utilizados no trabalho. Termos como: redes de computadores; internet; protocolos de redes e segurana. Numa aproximao maior do tema proposto o sexto captulo mostra os principais ataques e suas defesas contra o servio Internet Banking. Para finalizar, o trabalho possui uma concluso sobre as pesquisas apresentadas bem como uma possvel deduo do futuro da segurana no servio de Internet Banking.

4. INTERNET BANKING

As instituies bancrias brasileiras vm investindo cada vez mais em tecnologia para aumentar seus produtos e conseqentemente oferecer mais servios aos clientes. O servio Internet Banking um dos servios que mais tem avanado em sua tecnologia no Brasil (D'ANDRA, 2000). Para Diniz (2003) os bancos tem se desenvolvido ao longo dos tempos, principalmente com as tecnologias descobertas aps 1965, alm da reforma bancria, lei 4.595/64. A partir destas mudanas na dcada de 70 os bancos tiveram um desenvolvimento caseiro. Alm disso, o autor destaca que os bancos tiveram importante papel para o desenvolvimento do pas na dcada de 70. Durante a dcada de 80, devido aos problemas com a inflao que ocorriam no pas, que modificavam de maneira constante preos e taxas os bancos foram forados mais uma vez a investir em tecnologia. Na dcada de 90 surgiu o que Tapscoot (1997) chamou de Economia Digital, definindo-a da seguinte forma:
Estamos no limiar de uma nova economia digital, onde os microprocessadores e as redes pblicas que seguem o modelo da Internet possibilitam tipos fundamentalmente novos de estruturas institucionais e de relacionamentos. O que est acontecendo isto: indivduos eficientes, trabalhando em estruturas de equipe de alto desempenho; transformando-se em redes organizacionais e integradas, com clientes e servidores: que saem ao encontro de clientes, fornecedores, grupos de afinidade e at mesmo concorrentes; que se conectam a Net pblica, alterando amaneira como produtos e servios so criados, comercializados e distribudos.

possvel visualizar essa evoluo do sistema bancrio brasileiro observando a linha temporal ilustrada na figura 1 abaixo (DINIZ, 2004.).

Figura 1: Fases da automao bancria no Brasil. Fonte: (DINIZ, 2004). Com o evento da economia digital (TAPSCOTT, 1997) foi possvel criao de um servio chamado Internet Banking. O Brasil foi um dos pases pioneiros na utilizao deste servio. O Bradesco, um dos maiores bancos privados do Brasil, foi um dos primeiros bancos no mundo a fornecer o servio de Internet Banking para seus clientes, em 1996 (GATES, 1999). Sucessivamente outros bancos principalmente os de varejo adotaram a utilizao do servio de Internet Banking. O servio de Internet Banking como uma nova modalidade de comrcio eletrnico, onde o cliente, utilizando a internet faz acesso a vrios servios bancrios, realizando negcios e contratos eletrnicos (GOMES, 2003). O servio de Internet Banking no Brasil oferecido aos clientes de trs formas segundo Ramos (2000):
[...] (1) pela Internet, com acesso atravs do endereo do banco por intermdio de um provedor de Internet (particular ou gratuito) e com o auxlio de um navegador (browser); (2) via aplicativo existente nos sistemas operacionais da Microsoft Windows, a rede dial-up que, corretamente configurada, permite o acesso sem a necessidade de um provedor; e (3) por EDI, exclusivamente para empresas de grande porte e de volume de negcios compatvel com a necessidade da sua instalao.

O termo browser faz referncia a um aplicativo que permite ao usurio acessar informaes em servidores. Estas informaes geralmente so hospedadas no formato HTML (Hyper Text Markup Language) uma linguagem de computador muito utilizada para construir sites. J o termo rede dial-up um tipo de acesso a Internet no qual o cliente utiliza um modem e uma linha telefnica para o acesso. Segundo o site www.dip.co.uk o termo EDI (Electronic Data Interchange) significa: troca estruturada de dados atravs de uma rede de dados qualquer. O servio de Internet Banking possui algumas vantagens que justificam o seu investimento, segundo Ramos (2000), como:
[...] descongestionar o atendimento, minimizando ao mximo a ida do cliente s agncias; reduzir custos operacionais; associar a imagem de banco moderno e automatizado; e aumentar a receita de tarifa, que repassada integralmente para as agncias. Os requisitos apontados tambm como vantagens pelo banco so: agilidade, convenincia, privacidade (pela no intervenincia humana de terceiros) e segurana, desde que sejam observados os padres de segurana aplicados ao sistema bancrio. Outro aspecto a possibilidade de realizar vrias operaes em um mesmo ambiente, pela simplificao e integrao.

Devido a estas vantagens no servio de Internet Banking sua utilizao vem aumentando continuamente no Brasil segundo uma pesquisa realizada pela empresa e-bit (2003). Uma das diretoras da empresa e-bit, Fabiana Curi Yazbek informou que o setor bancrio no Brasil um dos mais modernos do mundo e isso auxiliou para o desenvolvimento do Internet Banking no pas. Hoje um dos maiores bancos nacionais o banco que possui mais clientes cadastrados para utilizar o servio. O aumento da compra de computadores e o aumento na utilizao da Internet afetam diretamente o uso do Internet Banking, dados da pesquisa TCI (tecnologias da informao e da comunicao) realizada por CGI. BR (2009). Abaixo possvel observar melhor este aumento utilizando a tabela 1 e a figura 2.

Tabela 1. Nmero de usurios de Internet no Brasil, entre 2000 e 2009.

Fonte: NIC.Br (2010).

Na tabela 1 fica ntido o aumento do uso da internet no Brasil. Pode-se observar que a populao brasileira teve um crescimento em milhes de 12,7 % durante os anos de 2000 a 2009 e o crescimento da internet para este mesmo perodo foi de 642,8 %. Este crescimento foi bem expressivo e tende a aumentar ainda mais pois os dados de 2009 mostram que apenas um tero da populao brasileira possui acesso internet. A figura 2 refora ainda mais esta tendncia de crescimento.

Figura 2: Computador e Internet: posse (%). Fonte: NIC.Br (2009).

Essa maior utilizao do servio pela rede implica um aumento na sua vulnerabilidade. A integrao das organizaes por meio da rede de computadores, na qual a sociedade se comunica, atravs da web, do protocolo TCP/IP e de e-mail, as expem em falhas de segurana das informaes (GARFINKEL; SPAFFORD, 1997). O Tribunal de Contas da Unio (2003), em seu guia de boas prticas em segurana da informao, afirma o aumento da vulnerabilidade.
Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a necessidade de desenvolvimento de equipes e mtodos de segurana cada vez mais sofisticados. Paralelamente, os sistemas de informao tambm adquiriram importncia vital para a sobrevivncia da maioria das organizaes modernas, j que, sem computadores e redes de comunicao, a prestao de servios de informao pode se tornar invivel.

10

Os autores Nakamura e Geus (2002) confirmam a influncia no quesito segurana e seu peso nas organizaes.
O conjunto de protocolos TCP/IP e a Internet possibilitaram o avano em direo aos ambientes cooperativos, ao tornar possveis as conexes entre diferentes organizaes, de modo mais simples e mais barato que as conexes dedicadas. Porm, essa interligao teve como conseqncia uma enorme implicao quanto proteo dos valores de cada organizao.

O crescimento e o aumento do uso do servio Internet Banking motivaram os bancos a se preocuparem com a segurana eletrnica. Para um melhor entendimento deste cenrio os prximos captulos iro analisar alguns tipos de ataques mais comuns contra o servio de Internet Banking, porm antes a apresentao de um captulo de nivelamento tcnico para melhor entendimento destes tipos de ataques e suas defesas.

11

5. NIVELAMENTO DE TERMOS TCNICOS

Para uma melhor interpretao dos principais tipos de ataques e defesas contra o servio de Internet Banking necessrio um conhecimento tcnico sobre alguns termos como internet, DNS, HTTP e o SSL. O conhecimento sobre os protocolos apresentados neste captulo suficiente para o entendimento dos principais tipos de ataques e defesas sobre o Internet Banking que ser apresentado no prximo captulo, porm existem vrios outros termos e protocolos utilizados para conexo de rede ou utilizao da internet que no sero comentados neste captulo. Os termos descritos nos prximos tpicos foram baseados em autores conhecidos e com didtica simples para melhor compreenso do conhecimento de forma mais rpida e direta, suficiente para o entendimento dos principais ataques ao servio de Internet Banking.

5.1 INTERNET

Os computadores e o crescimento da utilizao da internet afetaram a vida de milhes de pessoas no mundo, causando mudanas significativas no desenvolvimento de algumas atividades. A rede internet a grande responsvel pela revoluo no mundo das comunicaes e dos computadores. (ZANIOLO, 2007). Para mostrar o nmero de pessoas que utilizam a internet no mundo, principalmente no Brasil, segue abaixo a ordem de classificao dos usurios de internet na tabela 2. Tabela 2. Ordem de classificao dos usurios de internet no mundo.

Fonte: CIA (2008).

12

No Brasil, o nmero de usurios ultrapassou os 42 milhes no ano de 2006 (IBGE, 2007). Porm esse nmero pequeno em relao a pases tecnologicamente mais desenvolvidos, como os Estados Unidos, por exemplo, pas onde a internet foi criada. De acordo com Garber (2007), a histria mudou em quatro de outubro de 1957, quando a extinta Unio Sovitica lanou com sucesso o primeiro satlite Sputnik I. Esse lanamento marcou o incio de novos desenvolvimentos polticos, militares, tecnolgicos e cientficos. Tudo comeou em 1952, quando o Conselho Internacional

de Unies Cientficas dos EUA decidiu em 01 de julho de 1957 criar uma comisso em 31 de dezembro de 1958 lanar um satlite porque 1958 era o Ano Geofsico Internacional (AGI), pois nos anos geofsicos os ciclos de atividade solar esto em ativo e isto significa melhores condies para o lanamento (GARBER, 2007). Em outubro de 1954, o Conselho adotou uma resoluo apelando para os satlites artificiais para ser lanado durante o AGI. Em julho de 1955, a Casa Branca anunciou planos para lanar um satlite em rbita da Terra para AGI. No ms de setembro do mesmo ano, a proposta da Naval Research Laboratory's Vanguard foi escolhida para representar os EUA durante o AGI. Segundo Garber (2007) o lanamento do Sputnik mudou tudo. Como uma realizao tcnica, o Sputnik chamou a ateno do mundo e do pblico americano desprevenido. Seu tamanho era o mais impressionante, alm disso, o pblico temia que os soviticos conseguissem lanar um satlite, pois assim eles tambm teriam capacidade de lanar msseis balsticos capazes de transportar armas nucleares da Europa para os EUA. Para contrapor os avanos da URSS, o presidente dos EUA criou o ARPA - Advanced Research Project Agency em outubro do mesmo ano. O ARPA foi criado com um nico objetivo, o desenvolvimento de programas relacionados a satlites e ao espao. Alm disso, para os Estados Unidos era essencial criar um mtodo que garantisse a continuidade de operao das comunicaes do governo, no caso de um ataque militar. Este prottipo foi inaugurado em 1969, com a conexo entre quatro localidades: Universidades da Califrnia de Los Angeles, Santa Barbara, Universidade de Utah e Instituto de Pesquisa de Stanford, passando a ser conhecida como ARPANET, abaixo na figura 3 do projeto original da ARPANET (TANEMBAUM, 2003).

13

Figura 3. O projeto original da ARPANET. Fonte: (TANENBAUM, 2003). Durante a evoluo da ARPANET, foi estabelecida uma linguagem para que os computadores pudessem fazer a comunicao uns com os outros, denominada protocolo de comunicao, TCP/IP (Transmission Control Protocol/ Internet Protocol), ainda utilizado nos dias de hoje, uma vez que a rede da ARPANET se tornava mais complexa, diversos protocolos alm do TCP/IP foram criados. possvel observar o crescimento da ARPANET no conjunto de imagens da figura 4 abaixo (TANEMBAUM, 2003).

14

Figura 4. O crescimento da ARPANET. Fonte: ( TANENBAUM, 2003) 5.2 TCP

O TCP o protocolo responsvel pela entrega dos dados transmitidos a um endereo IP (Internet Protocol). O endereo lgico na internet ou IP deve ser nico, representado por um conjunto de 32 bits. Tecnicamente, o atual IP denominado IP verso 4, totalizando como comentado acima uma quantidade de 4.294.967.296. Porm essa quantidade de IP j se esgotou, em 01 de Fevereiro de 2011 rgo que supervisiona os endereos IP (Internet Assigned Numbers Authority - IANA) vendeu os dois ltimos lotes de IP verso 4 de acordo com o site mybroadband.co.za. J existe uma soluo para o problema com a falta de IP verso 4. Foi a criao do IP verso 6, este novo protocolo administrado por um conselho universitrio dos Estados Unidos (UCAID - University Corporation for Advanced Internet Development). Devido a forma como foi idealizada a verso seis do protocolo, ela pode fornecer 340.282.366.920.938.000.000.000.000.000.000.000.000 de endereos IP nicos, seria esta a soluo para a falta IP verso quatro de acordo com Morais (2009).

15

Com quantidades enormes de endereos de IP nicos geradas pelo protocolo IP verso quatro no incio de sua implementao, a administrao destes endereos para ns humanos se tornou impossvel. Foi ento que uma combinao foi proposta em 1983 por Paul Mockapertris a traduo dos endereos do internet protocol para nomes, rotulados domain name (registro de domnio DNS).

5.3 DNS O DNS segundo Costa (2007) foi criado devido a uma grande rede de comunicao que fomentou o surgimento da Internet. Com o crescimento da Internet veio a necessidade de mudar os esquemas primitivos de operao da rede, sendo o DNS um dos principais agentes modificadores destas operaes. Em uma rede de comutao por pacotes (TANEMBAUM, 2003), endereos so utilizados para indicar o destino e a origem de um determinado pacote. Para os computadores simples armazenar endereo de milhares de computadores, porm para os seres humanos esta tarefa no nada simples. Uma soluo inicial foi criao de uma tabela que contivesse um mapeamento entre nome de computador e seu endereo. Esta tabela presente em todo computador era comumente chamada de host.txt. O crescimento do nmero de computadores ligados Internet aumentou bastante o tamanho desta tabela, o que impossibilitou sua gerencia. A alternativa adotada foi criar um sistema de traduo de nomes, conhecido como DNS. No sistema DNS, o protocolo trabalha com nomes de domnios em vez de endereos IP (TANEMBAUM, 2003). Exemplos de nomes de domnios so: Yahoo.com, Google.com, domnio.com.br, entre outros. Como as comunicaes na Internet utilizam endereos IP, os nomes de domnios so traduzidos em endereo IP (TANEMBAUM, 2003). O servio DNS implementado como uma grande base de dados distribuda, sendo que a administrao desta base de dados distribuda delegada a varias empresas e organizaes de portes diversos. A informao bsica do servio DNS o domnio. Os domnios so representaes textuais que fornecem informaes sobre determinados hosts. Os domnios na Internet possuem uma hierarquia na forma de uma rvore invertida. A figura 5 apresenta o esquema de parte da rvore da Internet.

16

Figura 5. Representao da rvore de DNS. Fonte: (COSTA, 2006). Um nome de domnio sempre escrito seguindo um ponto mais especifico at um ponto menos especifico, de baixo para cima da arvore, domnios, at a parte menos especfica, alm disso, os nomes so separados por ponto final. Cada n da rvore de domnios deve ser formado por qualquer combinao de letras, dgitos ou hfen, sendo que esse ltimo no pode aparecer no comeo ou no final do nome. Para implementar o servio DNS necessrio entender o paradigma clienteservidor. O cliente quando realiza uma consulta de um IP de um determinado domnio, chamado de cliente-DNS. O servidor que responde a consulta DNS chamado simplesmente de servidor. Um servidor DNS contm informaes de parte da rvore de domnios. Uma consulta a um servidor DNS pode ser um pedido de traduo de um domnio em um endereo IP (TANEMBAUM, 2003), um pedido de traduo de um endereo IP em um domnio, ou ainda uma consulta de informao qualquer. As informaes so armazenadas nos servidores DNS para posteriores consultas mais rpidas. A rvore de domnios do DNS dividida em zonas. Cada zona pode conter informaes de outras zonas ou hosts, veja um exemplo na figura 6.

17

Figura 6. Hierarquia dos servidores razes do DNS. Fonte: (COSTA, 2006).

Os servidores DNS podem ser classificados em dois tipos principais: primrio ou mestre e secundrio ou escravo (TANEMBAUM, 2003). O servidor primrio obtm os dados acerca das zonas sobre os quais ele tem autoridade. O servidor secundrio obtm os dados de suas zonas de autoridade a partir de outros servidores que possuem autoridade sobre essas zonas. Outros tipos de servidores DNS so os de cache (apenas respondem com informaes previamente consultadas), os stub (servidores que contm informaes sobre os servidores com autoridade sobre determinados domnios) e os forwarders (utilizados para encaminhar consultas a outros servidores). A internet chegou ao Brasil somente em 1988 (COSTA, 2006), por iniciativa do Laboratrio Nacional de Computao Cientfica LNCC e da Fundao de Amparo Pesquisa de So Paulo FAPESP. Dois anos depois em 1991, a FAPESP ficou encarregada da administrao e distribuio dos endereos de IP do domnio.br. Em maio de 1995, o Ministrio das Comunicaes e o Ministrio da Cincia e Tecnologia decidiram que para tornar efetiva a participao da sociedade nas decises envolvendo a implantao, administrao e uso da internet seriam necessrios criao de um rgo gestor da internet. Assim, criou-se um Comit Gestor da Internet (CGI.br), que contaria
18

com a participao dos Ministrios acima citados, de entidades operadoras e gestoras de espinhas dorsais de rede, de representantes de provedores de acesso ou de informaes, de representantes de usurios e da comunidade acadmica.

5.4 HTTP

Na atual Internet o protocolo HTTP a estrutura arquitetnica que permite o acesso aos documentos vinculados e espalhados em milhares de mquinas conectadas grande rede (TANEMBAUM, 2003). Segundo Tanembaum (2003) o protocolo de transferncia mais utilizado em toda a World Wide Web o HTTP (HyperText Transfer Protocol). Este protocolo especifica as mensagens que os clientes podem enviar aos servidores e que respostas eles recebero. Cada interao consiste em uma solicitao ASCII, seguida por uma resposta RFC 822 semelhante ao MIME. Os clientes e todos os servidores devem obedecer a esse protocolo, pois, ele definido na RFC 2616. De maneira geral um navegador entra em contato com um servidor estabelecendo uma conexo TCP para a porta 80 da mquina servidora, embora esse procedimento no seja exigido formalmente (TANEMBAUM, 2003). A vantagem de se usar o TCP que nem os navegadores nem os servidores tm de se preocupar com mensagens perdidas, mensagens duplicadas, mensagens longas ou confirmaes. Todos esses assuntos so tratados pela implementao do TCP. No HTTP 1.0 uma nica solicitao era enviada e uma nica resposta era devolvida. Ento, a conexo TCP era encerrada. Num mundo no qual as pginas da Web tpicas eram inteiramente em texto HTML, esse mtodo era adequado. Aps alguns anos, a pgina da Web continha grandes nmeros de cones, imagens e outros atrativos visuais, e assim o estabelecimento de uma conexo TCP para transportar um nico cone se tornou um modo de operao muito dispendioso. Este problema levou ao lanamento do HTTP 1.1, que permite conexes persistentes. Com elas, possvel estabelecer uma conexo TCP, enviar uma solicitao e obter uma resposta, e depois enviar solicitaes adicionais e receber respostas adicionais. Amortizando o custo da instalao e da liberao do TCP por vrias solicitaes, o overhead relativo devido ao TCP muito menor por solicitao (TANEMBAUM, 2003).

19

O protocolo HTTP foi projetado para utilizao na Web, porm ele foi criado para utilizaes mais gerais que o necessrio, visando futuras aplicaes orientadas a objetos. Por isso, so aceitas operaes chamadas mtodos, diferentes da simples solicitao de uma pgina da Web. Cada solicitao consiste em uma ou mais linhas de texto ASCII, sendo a primeira palavra da primeira linha o nome do mtodo solicitado. Os mtodos internos esto listados na tabela 3. Tabela 3. Os mtodos internos de solicitao HTTP.

Fonte: (TANENBAUM, 2003). Para Tanembaum (2003) os nomes diferenciam letras maisculas de minsculas, portanto, GET um mtodo vlido, mas get no . O mtodo GET solicita ao servidor que envie a pgina (ou objeto, no caso mais genrico; na prtica, apenas um arquivo). Das solicitaes aos servidores Web a mais utilizada mtodo GET. A forma usual de GET : GET nome do arquivo HTTP/1.1, onde nome do arquivo identifica o recurso a ser buscado e 1.1 a verso do protocolo que est sendo usado. O mtodo HEAD solicita apenas o cabealho da mensagem, sem a pgina propriamente dita. Este mtodo usado para obter a data da ltima modificao feita na pgina, para reunir informaes destinadas indexao, ou apenas para testar a validade de um URL. O mtodo PUT o inverso de GET: em vez de ler, ele grava a pgina. Esse mtodo possibilita a criao de um conjunto de pginas da Web em um servidor remoto. O corpo da solicitao contm a pgina. As linhas aps PUT podem incluir o cabealho de autenticao, para demonstrar que o chamador de fato tem permisso para executar a operao solicitada. O mtodo POST, que tambm transporta um URL, se assemelha ao mtodo PUT, no entanto, em vez de substituir os dados existentes, os novos dados so "anexados" a ele, em um sentido mais genrico. Normalmente, nem PUT nem POST so muito utilizados hoje.
20

O DELETE exclui a pgina. Como no exemplo do mtodo PUT, a permisso e a autenticao tm papel fundamental. No h garantia de que o DELETE tenha sido bem-sucedido pois, mesmo que o servidor HTTP remoto esteja pronto para excluir a pgina, o arquivo subjacente pode ter um modo que impea o servidor HTTP de modific-lo ou exclu-lo. O mtodo TRACE serve para depurao. Ele instrui o servidor a enviar de volta a solicitao. Esse mtodo til quando as solicitaes no esto sendo processadas corretamente e o cliente deseja saber qual solicitao o servidor recebeu de fato. O mtodo CONNECT no usado atualmente. Ele reservado para uso futuro. O mtodo OPTIONS fornece um meio para que o cliente consulte o servidor sobre suas propriedades ou sobre as de um arquivo especfico. Toda solicitao obtm uma resposta que consiste em uma linha de status, possivelmente, informaes adicionais. Na tabela 4 possvel observar os principais tipos de respostas. A linha de status contm um cdigo de status de trs dgitos informando se a solicitao foi atendida. O primeiro dgito usado para dividir as respostas em cinco grupos importantes, como mostra a Figura 7. Os cdigos 1xx raramente so usados Os cdigos 2xx significam que a solicitao foi tratada com sucesso, e que o contedo (se houver) est sendo retornado. Os cdigos 3xx informam ao cliente que ele deve procurar em outro lugar, usando um URL diferente ou seu prprio cache (conforme descreveremos mais adiante). Os cdigos 4xx significam que a solicitao falhou devido a um erro do cliente, como uma solicitao invlida ou uma pgina inexistente. Os erros 5xx significam que o prprio servidor tem um problema, seja causado por um erro em seu cdigo ou por uma sobrecarga temporria. Tabela 4. Os grupos de respostas de cdigo de status. Cdigo Significado 1xx 2xx 3xx 4xx 5xx Informao Sucesso Redirecionamento Erro do cliente Erro do servidor Exemplo 100 = server agrees to handle client's request 200 = request succeeded; 204 = no content present 301 = page moved; 304 = cached page still valid 403 = forbidden page; 404 = page can not found 500 = internal server error; 503 = try again later

Fonte: (TANENBAUM, 2003).

21

A linha de solicitao pode ser seguida por linhas adicionais, elas so chamadas cabealhos de solicitao. As respostas tambm podem ter cabealhos, possvel verificar os mais importantes cabealhos na tabela 5, com esta tabela possvel observar diversos tipos de cabealhos, que podem ser interpretados da seguinte maneira (TANEMBAUM, 2003):
User-Agent que permite ao cliente informar o servidor sobre seu navegador, sistema operacional e outras propriedades. Esse cabealho usado pelo cliente para munir o servidor com as informaes. Os quatro cabealhos Accept informam ao servidor o que o cliente est disposto a aceitar na eventualidade de ele ter um repertrio limitado daquilo que aceitvel. O primeiro cabealho especifica os tipos MIME que so bemvindos (por exemplo, text/html). O segundo fornece o conjunto de caracteres (por exemplo, ISO-8859-5 ou Unicode-1-1). O terceiro lida com mtodos de compactao (por exemplo, gzip). O quarto indica um idioma natural (por exemplo, espanhol). Se o servidor tiver uma opo de pginas, ele poder usar essas informaes para fornecer o que o cliente est procurando. Se ele for incapaz de satisfazer solicitao, ser retornado um cdigo de erro e a solicitao falhar. O cabealho Host identifica o servidor. Ele retirado do URL. Esse cabealho obrigatrio, ele usado porque alguns endereos IP podem servir vrios nomes DNS, e o servidor precisa ter algum meio de identificar o host a quem deve entregar a solicitao. O cabealho Authorization necessrio para pginas protegidas. Nesse caso, o cliente talvez tenha de provar que tem direito de ver a pgina solicitada. Esse cabealho usado para esse caso especfico. Embora os cookies sejam tratados na RFC 2109 e no na RFC 2616, eles tambm tm dois cabealhos. O cabealho cookie usado por clientes para retornar ao servidor um cookie enviado anteriormente por alguma mquina no domnio do servidor. O cabealho Date pode ser usado em ambos os sentidos e contm a hora e a data em que a mensagem foi enviada. O cabealho Upgrade usado para facilitar a transio para uma verso futura (possivelmente incompatvel) do protocolo HTTP. Ele permite ao cliente anunciar o que pode admitir e permite ao servidor declarar o que est usando. Agora, vamos aos cabealhos usados exclusivamente pelo servidor em resposta a solicitaes. O primeiro, Server, permite ao servidor saber quem ele e conhecer algumas de suas propriedades, se desejar. Os quatro cabealhos seguintes, todos comeando com Content-, permitem ao servidor descrever propriedades da pgina que est enviando. O Cabealho Last-Modified informa quando a pgina foi modificada pela ltima vez. Esse cabealho desempenha uma funo importante no armazenamento de pginas no cache. O cabealho Location usado pelo servidor para informar ao cliente que ele deve tentar outro URL. Esse cabealho pode ser usado se a pgina tiver sido deslocada ou para permitir que vrios URLs se refiram mesma pgina (possvelmente em servidores distintos). Ele tambm usado por empresas que tm uma pgina da Web principal no domnio com, mas que redirecionam os clientes para uma pgina nacional ou regional de acordo com seu endereo IP ou com seu idioma preferido. Se uma pgina for muito grande, um pequeno cliente talvez no queira receb-la toda de uma vez. Alguns servidores aceitaro solicitaes de intervalos de bytes, de forma que a pgina possa ser obtida em vrias unidades pequenas. O cabealho Accept-Ranges anuncia a disposio do servidor para lidar com esse tipo de solicitao de pginas parciais. 22

O segundo cabealho de cookie, Set-Cookie, a forma como os servidores enviam cookies aos clientes. Espera-se que o cliente grave o cookie e o devolva em solicitaes subseqentes ao servidor.

Tabela 5. Alguns cabealhos de mensagens HTTP.

Fonte: (TANENBAUM, 2003). Um exemplo de utilizao do protocolo HTTP seria a comunicao de forma direta entre uma pessoa em um terminal (diferente de um navegador) e servidores da Web. Com uma conexo TCP para porta 80 do servidor. Segundo Tanembaum (2003) com uma seqncia de comandos, possvel uma comunicao.
Essa seqncia de comandos inicia uma conexo telnet (isto , TCP) para a porta 80 no servidor da Web da IETF, www.ietf.org. O resultado da sesso redirecionado para o arquivo log, a fim de ser inspecionado mais tarde. Em seguida, vem o comando GET que identifica o arquivo e o protocolo. A prxima linha o cabealho Host obrigatrio. A linha em branco tambm necessria. Ela indica ao servidor que no existem mais cabealhos de solicitao. O comando close instrui o programa telnet a interromper a conexo. O log pode ser inspecionado com o uso de 23

qualquer editor. Ele deve comear de maneira semelhante listagem da Figura 7.44, a menos que a IETF tenha feito alguma alterao recente. As trs primeiras linhas so a sada do programa telnet, e no do site remoto. A linha que inicializa o HTTP/1.1 a resposta da IETF, informando que est disposta a se comunicar com voc usando HTTP/1.1. Em seguida, h uma srie de cabealhos, e depois o contedo. J vimos todos os cabealhos, com exceo de ETag, um identificador exclusivo de pgina relacionado ao armazenamento no cache, e de X-Pad, um cabealho no padronizado e talvez um artifcio para contornar bugs em algum navegador. (TANEMBAUM, 2003).

5.5 O PROTOCOLO SSL O SSL (Secure Sockets Layer) definido por garantir segurana entre as conexes. Segundo (TANEMBAUM, 2003). Quando a Web chegou ao pblico, no incio ela foi usada apenas para distribuir pginas estticas. Porm, aps algum tempo, algumas empresas tiveram a idia de us-la para transaes financeiras, como a compra de mercadorias por cartes de crdito e transaes bancrias on-line. Essas aplicaes criaram um aumento por conexes seguras. Em 1995, a Netscape Communications Corp., que na poca dominava o mercado de fabricantes de navegadores, respondeu introduzindo um pacote de segurana chamado SSL (Secure Sockets Layer) para atender a essa demanda. Esse software e seu protocolo agora tambm so amplamente utilizados pelo Internet Explorer O software SSL e seu protocolo funcionam da seguinte maneira segundo Tanembaum (2003):

O protocolo SSL constri uma conexo segura entre dois soquetes, que incluem:

1. Negociao de parmetros entre cliente e servidor. 2. Autenticao mtua de cliente e servidor. 3. Comunicao secreta. 4. Proteo da integridade dos dados. Vamos recorrer tabela do modelo ISO/OSI (International Organization for Standardization / Open System Intercinnection) para entender o funcionamento do protocolo SSL. Observe na tabela 6 as camadas do modelo ISO/OSI. As camadas do modelo ISO/OSI representam como os dados so analisados. O modelo ISO/OSI analisa desde a camada fsica, onde trafegam os sinais eltricos, at a camada de aplicao na

24

qual o usurio tem total controle. Este modelo possui muitas vantagens da para anlise e construo de uma rede sendo as principais delas (FILIPPETTI, 2002):

Particionamento das operaes de redes complexas em camadas, o que simplifica o gerenciamento;

Possibilidade e facilidade de alterao em qualquer uma das camadas, sem a necessidade de que as outras sejam alteradas;

Estabelecimento de um padro de interfaces, possibilitando a interoperabilidade (plug-and-play) entre diversos fabricantes;

Simplifica o ensino e o aprendizado; Acelera a evoluo;

Tabela 6: Camadas do modelo OSI

Fonte: (CISCO, 2007). Agora com a aplicao do protocolo SSL posicionamento tabela ISO/OSI muda, pois o protocolo SSL entra na pilha de protocolos habitual como ilustrado na tabela 7. Observando a tabela identificamos uma nova camada colocada entre a camada de aplicao e a camada de transporte, segundo o modelo ISSO/OSI e sua tabela aceitando solicitaes do navegador e enviando-as ao TCP para transmisso ao servidor. Depois que a conexo segura estabelecida, a principal tarefa da SSL manipular a compactao e a criptografia. Quando o HTTP usado sobre a SSL, ele se denomina HTTPS (Secure HTTP). s vezes, ele est disponvel em uma nova porta (443), em lugar da porta padro (8 0). O protocolo SSL no se limita ao uso apenas com navegadores da Web, porm essa sua aplicao mais comum.

25

Tabela 7. Camadas para um usurio domstico navegando com a SSL.

Aplicao (HTTP) Segurana (SSL) Transporte (TCP) Rede (IP) Enlace de dados (PPP) Fsica (modem, ADSL, TV a cabo)

Fonte: (TANENBAUM, 2003). O protocolo SSL passou por vrias verses. Descreveremos apenas a verso 3, a verso mais amplamente utilizada (TANEMBAUM, 2003).
O SSL admite uma variedade de algoritmos e opes distintas. Essas opes incluem a presena ou a ausncia de compactao, os algoritmos criptogrficos a serem usados e algumas questes relativas a restries de exportao impostas criptografia. A ltima se destina principalmente a assegurar que a criptografia sria ser utilizada apenas quando ambas as extremidades da conexo estiverem nos Estados Unidos. Em outros casos, as chaves sero limitadas a 40 bits, que os criptgrafos consideram uma piada. A Netscape foi forada a colocar essa restrio para obter uma licena de exportao do governo dos Estados Unidos. A SSL consiste em dois subprotocolos, um para estabelecer uma conexo segura e outro para usar. Vamos comear examinando como as conexes seguras so estabelecidas. O subprotocolo de estabelecimento de conexes mostrado na Figura 7. Ele comea com a mensagem 1, quando Alice envia uma solicitao a Bob para estabelecer uma conexo. A solicitao especifica a verso de SSL que Alice tem e suas preferncias com relao aos algoritmos de compactao e de criptografia. Ela tambm contm um cdigo RA, a ser usado mais tarde. Agora a vez de Bob. Na mensagem 2, Bob faz uma escolha entre os diversos algoritmos que Alice pode admitir e envia seu prprio cdigo RB. Em seguida, na mensagem 3, ele envia um certificado contendo sua chave pblica. Se esse certificado no for assinado por alguma autoridade conhecida, ele tambm envia uma cadeia de certificados que pode ser seguida de volta at chegar a uma autoridade original. Todos os navegadores, inclusive o de Alice, so prcarregados com cerca de 100 chaves pblicas; assim, se Bob puder estabelecer uma cadeia ancorada em uma dessas chaves, Alice ser capaz de verificar a chave pblica de Bob. Nesse momento, Bob po de enviar algumas outras mensagens (como uma solicitao do certificado de chave pblica de Alice). Ao terminar, Bob envia a mensagem 4 para dizer a Alice que agora a vez dela. Alice responde escolhendo ao acaso uma chave pr-mestre de 384 bits e a envia para Bob, codificada com a chave pblica de Bob (mensagem 5). A chave de sesso real usada para codificar os dados derivada da chave pr-mestre combinada com ambos os cdigos de modo complexo. Depois que a mensagem 5 recebida, Alice e Bob so capazes de calcular a chave de sesso. Por essa razo, Alice informa a Bob que ele deve passar para a nova cifra (mensagem 6) e tambm que ela concluiu o subprotocolo de estabelecimento (mensagem 7). Bob ento confirma as 26

mensagens de Alice (mensagens 8 e 9). Porm, embora Alice saiba quem Bob, Bob no sabe quem Alice (a menos que Alice tenha uma chave pblica e um certificado correspondente a ela, uma situao improvvel para um indivduo). Portanto, a primeira mensagem de Bob pode ser uma solicitao para Alice se conectar usando um nome de login e uma senha estabelecidos anteriormente. No entanto, o protocolo de login est fora do escopo da SSL. Depois que ele realizado, por quaisquer meios, o transporte de dados pode se iniciar. (TANEMBAUM, 2003).

Figura 7. Verso simplificada do subprotocolo de conexes da SSL. Fonte: (TANENBAUM, 2003). O protocolo SSL admite vrios algoritmos de criptografia (TANEMBAUM, 2003). O mais forte usa o DES triplo com trs chaves separadas para criptografia e com o SHA-1, para manter a integridade das mensagens. Essa combinao um pouco lenta, ela normalmente usada em aplicaes bancrias e outras aplicaes em que a segurana deve ser maior. Para aplicaes de comrcio eletrnico, normalmente usado o RC4 que utiliza uma chave de 128 bits para criptografia, e o MD5 mais comuns em autenticao de mensagens. O RC4 expande a chave de 128 bits para o seu uso. Aps esse processo o algoritmo usa essa expanso para gerar um fluxo de chaves. O fluxo de chaves submetido a uma operao lgica XOR com o texto no criptografado para fornecer a cifra de fluxo clssica como possvel observar na figura 8. Para o transporte, usado outro subprotocolo, como mostra a Figura 8. Primeiramente as mensagens que so de origem do navegador so divididas em unidades de 16 KB. Se a opo de compactao estiver ativada, cada unidade ser compactada separadamente. Depois disso, uma chave secreta derivada dos dois cdigos

27

e da chave pr-mestre concatenada com o texto compactado, o resultado obtido passa por um hash com o algoritmo de hash combinado. Esse hash anexado a cada fragmento como o MAC. O fragmento compactado somado ao MAC ento codificado com o algoritmo de criptografia simtrica estabelecido de comum acordo. Por fim, anexado um cabealho de fragmento e o fragmento transmitido pela conexo TCP (TANEMBAUM, 2003).

Figura 8. Transmisso de dados com a SSL. Fonte: (TANENBAUM, 2003). As mudanas feitas na SSL durante suas verses foram relativamente pequenas, mas suficientes para a SSL verso trs e a TLS no conseguirem inter-operar. A verso da TLS tambm conhecida como SSL verso 3.1 (TANEMBAUM, 2003). Em toda conexo com a rede o usurio receber um nmero de IP e ficar estabelecido um log de acesso, sendo possvel armazenar informaes no provedor de acesso como horrio e tempo de conexo. Ao navegar na internet o usurio acessa outros servidores ou provedores de contedo, que podem ser os mesmos, como por exemplo, UOL e Terra e outros e que podem fazer, durante a conexo, download de arquivos (copiar dados para a estao) ou upload (copiar dados da estao para um provedor de contedo). Muitos so os termos tcnicos utilizados. Contudo, com a breve apresentao das palavras e termos utilizados pretendeu-se nivelar o mnimo necessrio para a compreenso de algo to complexo (TANEMBAUM, 2003).

28

6. PRINCIPAIS ATAQUES E DEFESAS SOBRE O SERVIO DE INTERNET BANKING NO BRASIL Neste captulo sero abordados alguns tipos de ataques sobre o servio de Internet Banking. As fraudes causadas pelos ataques a servios ou instituies financeiras existem desde que os servios foram criados e implementados. A fraude um termo que precede o surgimento da internet, porm agora novas modalidades de fraude esto sendo utilizadas pelos criminosos, principalmente as que envolvem alta tecnologia. Iremos tratar o termo fraude neste captulo como sendo um ato intencional de um fato que levar a obteno de lucro ilcito, existindo a necessidade de trs elementos principais para a consumao da fraude: o fraudador, a vtima e o canal Internet Banking (LAU, 2004). A maioria dos ataques cibernticos registrados no Brasil (CERT, 2006), mais de 40% destes esto associados tentativa de fraude sobre o ambiente da Internet. Neste percentual existem fraudes sobre sites de comrcio eletrnico, servios de Internet Banking, cartas nigerianas e outras tentativas de fraude. Os valores dos prejuzos causados por estas fraudes, no so muito divulgados, alguns dados de perdas por fraudes que envolviam Internet Banking foram divulgadas, os prejuzos em 2005 superam os 300 milhes de reais (B2B Magazine, 2006), porm, estes valores devem aumentar cada vez mais, devido aos avanos na tecnologia e do crescimento da utilizao de servios bancrios online (LAU, 2004). Os tipos de ataques sobre o servio de Internet Banking que sero abordados nesta monografia sero os ataques que utilizam roubo de senha e os ataques que utilizam falhas de segurana em servidores DNS. Nos captulos abaixo sero detalhados estes ataques e os principais mtodos de conteno contra estes ataques.

6.1 ATAQUES UTILIZANDO ROUBO DE SENHAS Os ataques que utilizam roubo de senha consistem basicamente em utilizar os logins e as senhas de contas roubadas para fazer transferncia de valores para contas de laranjas (pessoas que ganham uma parcela do dinheiro roubado em troca de fornecer suas contas bancrias para o crime) ou mesmo o pagamento de boletos pela internet. Segundo o Ministrio Pblico Federal (2007), as quadrilhas so estruturadas em uma diviso de funes que propiciam um efetivo crescimento exponencial das

29

organizaes criminosas que cometem este tipo de crime. As quadrilhas so divididas em indivduos que iro executar sete funes bsicas segundo a acessria do MPF em Minas Gerais (2008):
1) Hacker programador: indivduo com capacidade tcnica para desenvolver ou e/ou atualizar programa capaz de capturar dados sigilosos de terceiros atravs da internet; 2) Hacker: indivduo com certa capacidade tcnica em informtica, capaz de operar programas de computador destinados a capturar informaes sigilosas como senhas, dados pessoais e dados bancrios; 3) Biscoiteiro: indivduo responsvel por efetivar as transferncias fraudulentas a partir dos dados fornecidos pelo spyware (programa espio que faz o furto da senha), gerenciando todo o negcio, inclusive a atuao dos carteiros e boleteiros. responsvel tambm pela distribuio do lucro; 4) Carteiro: indivduo responsvel por reunir cartes magnticos e senhas de laranjas, pelos saques nos caixas eletrnicos e por acompanharem os laranjas, quando estes vo efetivar diretamente o saque na boca do caixa; 5) Boleteiro: indivduo com funo similar a do carteiro, responsvel por reunir contas diversas e boletos a serem pagos pelo biscoiteiro; 6) Laranjas: pessoas que forneciam os dados e senhas de suas contas bancrias para serem utilizadas como destinatrias da fraude, recebendo entre 20% e 30% do valor sacado; 7) Beneficirios: indivduo que tem suas contas pagas pelo biscoiteiro com o uso de recursos provenientes dos furtos. Para isso, ele devolve quadrilha valor menor do que aquele devido no respectivo boleto.

A dificuldade no crime de roubo de senhas esta na forma de como conseguir as senhas, para isso os criminosos utilizam normalmente dois mtodos, o uso de programas sniffers ou tcnicas de engenharia social para tentar conseguir a senha diretamente com a vtima. Abaixo os detalhamentos de como estes mtodos funcionam.

6.1.2 SNIFFERS Os sniffers ou farejadores so os programas mais usados para conseguir senhas em uma rede. Eles normalmente ficam na memria dos computadores servidores ou pessoais analisando todo o trfego da interface de uma rede. Qualquer informao (dado) que passa pela entrada ou sada da interface de rede capturada, seja esta informao originada de um servidor FTP, ou de uma pgina de chat ou mesmo e-mail digitado. Os programas sniffers capturam os pacotes de dados recebidos e os transformam em texto puro para serem lidos. Estes programas so mais usados em sistemas Unix, mas ultimamente todos os outros sistemas operacionais como Microsoft Windows tambm possuem com poderosos sniffers (FREITAS, 2007).

30

6.1.3 FILTRANDO OS PACOTES NA REDE

Para filtrar as informaes o sniffer instalado em servidores centrais de uma rede para capturar os pacotes. Se este computador central pertencer a um provedor, por exemplo, todos os seus usurios que realizam o processo de autenticao neste computador tero seus pacotes capturados. Para instalar o sniffer a primeira coisa necessria conseguir invadir o servidor e depois colocar o sniffer. O sniffer ir monitorar absolutamente todos os pacotes na rede, s vezes at informaes pessoais dos usurios, como endereo e telefone. Devido grande quantidade de pacotes em uma rede, o sniffer pode ser configurado para obter somente o essencial e importante: as senhas (FREITAS, 2007).

6.1.4 CAPTURANDO SENHAS

O interesse dos criminosos cibernticos contra servios de Internet Banking capturar logins e senhas. Existem opes em alguns sniffers que possibilitam filtrar os tipos de pacotes recebidos. Aps configurar o sniffer, o programa comea a enviar os pacotes capturados, e somente depois deste procedimento possvel filtrar o contedo dos pacotes para obteno de logins e senhas, por exemplo, (FREITAS, 2007).

6.1.5 SNIFFERS EM PROGRAMAS MALICIOSOS Alguns programas como o Back Orifice (BO) possuem a funo de sniffers para serem instaladas como plug-ins (partes extras que podem ser anexadas ao programa). O Buttsniffer um destes plug-ins, considerado um dos melhores plug-ins para o BO, pois ele monitora absolutamente tudo em um sistema operacional Microsoft Windows. Alm disso, ele possui um arquivo executvel parte, podendo funcionar sem depender do Back Orifice. Alguns programas maliciosos possuem a funo de sniffer, como por exemplo, o programa k2ps, ele monitora e envia todo tipo de senha importante por email (FREITAS, 2007).

31

6.1.6 SNIFFERS EM ROTEADORES Alguns sniffers conseguem obter dados direto do roteador. Mesmo que seja instalada uma proteo eficaz no sistema operacional, como um anti-sniffers, no adiantaria de nada se o programa estiver pegando os dados diretamente roteados. As correes tm que ser feitas atualizando-se o prprio roteador (FREITAS, 2007).

6.1.7 ANTI-SNIFFERS Para conteno de ataques contra o servio de Internet Banking que utilizam sniffers devem ser utilizados programas que detectam tentativas de ataque ao sistema. Estes programas ficam residentes na memria como um anti-trojans, aguardando o invasor tentar algo. H vrios tipos de anti-sniffers. A utilizao de programas que removem arquivos ou programas maliciosos tambm recomendada para conter ataques que visam roubo de senha utilizando sniffers (FREITAS, 2007).

6.2 ENGENHARIA SOCIAL A engenharia social uma ttica usada pelos criminosos cibernticos. o que a lei chama de estelionato. basicamente uma tentativa de enganar uma pessoa para se conseguir vantagens sobre esta pessoa enganada. Como exemplo uma pessoa que liga para o provedor e pergunta informaes sobre os servidores ou senhas de usurios. Determinados provedores pedem documentao para comprovar que quem esta ligando o verdadeiro dono da conta, outros (que podem ter funcionrios insatisfeitos) no perguntam as informaes de quem esta ligando, chegando a passar at o nmero do carto de crdito de algum usurio se lhe for pedido. Esse mtodo tambm pode ser utilizado para se conseguir informaes sobre uma pessoa (ASSUNO, 2002). A melhor forma de evitar este tipo de ataque educando a populao e divulgando aos usurios que este tipo de ataque existe e todos devem seguir as normas de segurana estipuladas pela empresa, provedor ou especialistas da rea (FREITAS, 2007).

32

6.3 ATAQUES UTILIZANDO SERVIDORES DNS

Existem tipos de ataques contra o servio de Internet Banking que no utilizam o roubo de login e senha, um destes ataques pharming. No prximo captulo iremos entender o funcionamento deste tipo de ataque (LAU, 2004).

6.3.1 ATAQUE UTILIZANDO PHARMING

O pharming um conceito recente ao pblico mundial, porm ele foi um meio muito utilizado para fraude sobre o servio de Internet Banking no Brasil (LAU, 2010). O mecanismo utilizado por este ataque realizar um redirecionamento da vtima para pginas falsas de instituies financeiras. O atacante utiliza falhas de segurana dos servios de resoluo de nomes na Internet, o DNS, que resultam em acesso errado do usurio s pginas das instituies financeiras, mesmo se o usurio digitar o endereo da pgina do banco na URL do browser este redirecionamento vai ser feito (LAU, 2004). Este ataque normalmente feito utilizando utilizando a poluio do cache do servidor DNS, o atacante normalmente descobre o IP do servidor DNS de um determinado local e encaminha pacotes que tentam responder mais rpido a resoluo de nome que o DNS autoritativo, observe as figura 9 para entender o funcionamento do ataque (JUSTO, 2010).

33

Figura 9. Poluio de cache em servidor DNS. Fonte : ( JUSTO, 2010). A figura acima ilustra como o ataque ocorre: o atacante fornece uma informao errada sobre a resoluo de um endereo e fornece essa informao ao DNS recursivo que ir entregar a informao falsa ao cliente, esta informao pode ser um IP de um site de banco falso. No prximo captulo iremos verificar medidas de conteno contra o pharming, um tipo de ataque ao servio de Internet Banking.

6.3.2 MEDIDAS DE CONTENO CONTRA O PHARMING

Para conter um ataque que utiliza tcnicas de pharming pode-se utilizar um certificado digital ou configurar os servidores DNS com a ferramenta DNSSec (LAU, 2004). Nos prximos captulos vamos entender o funcionamento das defesas para o ataque tipo pharming.

34

6.3.3 CERTIFICADO DIGITAL

O certificado digital um documento eletrnico que possibilita comprovar a identidade de uma pessoa, uma empresa ou um site, para assegurar as transaes online e a troca eletrnica de documentos, mensagens e dados, com presuno de validade jurdica. O certificado digital composto por uma chave privada que uma das chaves utilizadas no processo de criptografia assimtrica e uma chave pblica. Neste processo so utilizados pares de chaves pblica e privada. A chave pblica divulgada aos membros que realizam comunicao e so utilizados para a encriptao de dados (LAU, 2004). A chave privada gerada e armazenada ao junto com ao dispositivo do usurio que responsvel pela guarda do certificado. A chave privada consegue decriptar uma mensagem encriptada pela chave pblica. As figuras 10 e 11 demonstram claramente o funcionamento de chaves simtricas (JUSTO 2010).

Figura 10. Chaves assimtricas assinatura. Fonte : (JUSTO, 2010). A figura acima mostra o funcionamento da assinatura da mensagem, uma funo hash, (um algoritmo que realiza clculos sobre a mensagem e que gera um cdigo). Um cdigo criado e outro algoritmo de criptografia age sobre a mensagem, utilizando a chave pblica. A mensagem assinada junto com o cdigo de hash enviada ao destino (LAU, 2004).

35

Figura 11. Chaves assimtricas verificao. Fonte: (JUSTO, 2010). J a figura 11 demonstra a verificao da mensagem enviada pela origem, mensagem decodificada, utilizando a chave privada, aps a decodificao aplicado sobre a mensagem decriptografada o algoritmo hash, o cdigo resultante comparada com o cdigo que foi enviado junto com a mensagem pela origem. Se os valores dos cdigos forem iguais a mensagem pode ser considerada autentica (JUSTO, 2010). A chave privada pode ser armazenada no sistema operacional ou em algum equipamento que permite a insero de dados cifrados resultantes da decriptao, no permitindo extrao ou leitura da chave privada (LAU, 2004). No Brasil os certificados so classificados pelo Governo Federal nas classes A1, A2 e A3. A classe A1 guarda o certificado em sistema operacional e A3, faz o armazenamento do certificado em dispositivos especializados para guardar as chaves, sensveis temperatura, atividades ssmicas e tentativas de violao. Aos clientes que possuem servios de Internet Banking recomenda-se o uso de certificao A2, que faz o armazenamento do certificado em smart card, um carto plstico que possui um chip (LAU, 2004).

36

6.3.4 DNSSEC

O DNSSEC (Domain Name System Security extensions) uma configurao realizada sobre o DNS que visa garantir a segurana dos servidores DNS. O DNSSEC prov segurana para a resoluo de endereos uma vez que funciona como um caminho alternativo para a verificao de autenticidade. O DNSSEC no uma nova ferramenta de resoluo de nomes ela apenas uma extenso do servio DNS, o DNSSEC garante autenticidade da origem, ou seja, quem responde a resoluo de nome o DNS recursivo verdadeiro. Na figura 12 possvel observar o permetro virtual em que o DNSSEC atua (JUSTO, 2010).

Figura 12. DNSSEC sobre o DNS recursivo. Fonte: (JUSTO, 2010). O funcionamento do DNSSEC ocorre sobre a comunicao servidora DNS recursivo e os servidores DNS master e slave. O processo de segurana utiliza os conceitos j explicados acima de chave assimtrica e o algoritmo de hash. O DNS recursivo como pode ser comparado origem do exemplo do captulo anterior e o DNS master ou o slave pode ser comparado ao destino do exemplo. Desta forma os servidores garantem autenticidade entre eles, no caso de uma tentativa de poluio de cache o servidor recursivo ira recusar as informaes do atacante (JUSTO, 2010).
37

6.4 PRINCIPAIS ALVOS DOS ATAQUES Segundo o site www.safernet.org.br, que considerado por muitos especialistas como uma entidade de referncia nacional contra crimes e violaes aos direitos humanos na internet, em fevereiro deste ano, os casos que foram mais registrados sobre crimes na internet so os envolvendo pornografia, homofobia, crimes contra a vida e crimes contra o servio de Internet Banking. Com o aumento do nmero de usurios as informaes pessoais ficam cada vez mais expostas e a privacidade cada vez menor. Os servios de advocacia e defesa para crimes citados acima so mais procurados por contas jurdicas, em sua maioria as vtimas so principalmente idosos e crianas segundo Lobosco (2006).
"Os sujeitos mais suscetveis a serem alvos de crimes virtuais so aqueles com menor familiaridade maturidade para lidar com temas tecnolgicos, dentre eles a navegao na Internet. Neste cenrio, crianas e idosos, assim como em outros tipos de fraudes, tendem a serem as vtimas mais comuns.

Em decorrncia do grande fluxo de informaes da Internet, alguns servios (Orkut, Facebook e etc.) no conseguem fiscalizar ativamente todo o contedo hospedado por seus usurios. Estes servios apenas retiram contedos indevidos quando informados, seja via mecanismo prprio ou por ordem judicial.
"No h uma lei especfica para crimes virtuais, mas isso no significa que estejamos desprotegidos. Os mecanismos legais so adaptveis para o cenrio virtual e, em sua grande maioria, funcionam sem maiores problemas" (LOBOSCO, 2006).

Este cenrio, sem leis especificas; e com jovens e idosos cada vez mais vulnerveis ao utilizar a Internet no Brasil s ira mudar se ocorrerem grandes modificaes na sociedade brasileira. Algumas medidas j esto sendo criadas para modificar esta situao, nos ltimos meses o Brasil comeou um processo para conscientizao de seus usurios, quem iniciou o projeto a FEBERBAN (Federao Brasileira dos Bancos) um rgo que representa vrias instituies financeiras no Brasil (LOBOSCO, 2006). No incio do ano 2006 aconteceu a primeira coletiva de imprensa tendo como objetivo a orientao das fraudes junto populao. Antes deste evento, nenhuma instituio financeira tinha feito um pronunciamento oficial sobre o assunto. Iniciativas

38

como esta da instituio FEBRABAN buscam transparncia ao assunto fraude, e visa esclarecer os clientes (principalmente os bancrios) os perigos sobre os crimes e as medidas de segurana que eles devem tomar tornando-os menos suscetveis aos crimes de fraude pela rede. Estas medidas vem buscando ao mesmo tempo garantir segurana tambm e incentivar os usurios ao aumento no uso do servio de Internet Banking, o que muito vantajoso para as instituies financeiras j que o Internet Banking resulta no menor custo transacional no processo de intermediao financeira dentre os servios oferecidos pelos bancos (LAU, 2004).

39

7. CONCLUSO Ao trmino deste trabalho, reafirmam-se os objetivos traados, que foram de analisar a histria e a evoluo do servio de Internet Banking no Brasil bem como a anlise de alguns ataques praticados contra o servio e os mtodos de contrapor estes ataques. As idias pesquisadas e discutidas permitem formular, as seguintes concluses: Verificou-se que a internet essencial nos dias de hoje para impulsionar o desenvolvimento e a economia de um pas. O setor bancrio de um pas tem influncia direta para que estas modificaes ocorram. Foi discutido tambm que para o setor bancrio o aumento na utilizao dos servios pela internet vantajoso, pois diminui custos, uma vez com a utilizao da internet propiciam um menor nmero de pessoas para as operaes. Em decorrncia deste fato alguns bancos no Brasil foram pioneiros na utilizao do servio de Internet Banking. Constatou-se tambm que o crescimento contnuo da internet no Brasil esta provocando um aumento no uso do servio de Internet Banking. Este aumento no uso de tecnologias cada vez maior deve provocar um ambiente mais propcio para aes de criminosos pela internet. Para entender melhor como aumentar a segurana na Internet, foi necessrio analisar algumas ferramentas e programas que os criminosos utilizam para cometer os crimes. Durante as pesquisas ficou claro que os criminosos cibernticos esto cada vez mais sofisticados. As quadrilhas esto cada vez melhor estruturadas, com divises de tarefas, incluindo at mesmo funo de gerencia. Os ataques estudados normalmente utilizam programas que analisam trafego de redes ou mesmo redirecionam informaes bancarias. Algumas tcnicas de engenharia social tambm podem ser utilizadas para as aes criminosas. Medidas para conter estes ataques j esto sendo tomadas por entidades responsveis pela internet no Brasil e no mundo. No Brasil a entidade que representam o setor bancrio, FEBRABAN, organizou palestras sobre o tema e demonstra certo interesse em divulgar o assunto. Neste trabalho ficou claro que o usurio o maior prejudicado nos ataques e deve partir dele a conscientizao para no cair nas armadilhas criadas pelos criminosos cibernticos. Confirma-se tambm que os principais alvos dos ataques a crimes cometidos na internet e contra o servio de Internet Banking so os mais jovens e os idosos. possvel concluir ento que a utilizao do servio de Internet Banking no Brasil est aumentando e com estes aumentos os ataques ao servio esto cada vez mais
40

comuns. O governo e sociedade brasileira pouco tem feito para conscientizar a populao sobre os riscos da utilizao deste servio. Espera-se que em um futuro prximo as informaes sobre os ataques e as principais formas de proteo sejam mais divulgadas e que ocorra um amadurecimento na utilizao dos servios e ferramentas disponibilizadas na internet, entre elas o Internet Banking.

41

REFERNCIAS BIBLIOGRFICAS ASSUNO, Marcos Flvio Arajo. Guia do hacker brasileiro. So Paulo: Visual Books, 2002. CARMONA, Tadeu, Universo hacker, 2 Ed. So Paulo: Digerati, 2006.

COMER, Douglas E. Internetworking with TCP/IP, 4 Ed. New Jersy: Printice Hall, 2000. COSTA, Daniel G. DNS: Um guia para administradores de redes. Rio de Janeiro: Brasport, 2006.

D'ANDRA, Edgar R. P. et al. (Cord) Segurana em Banco Eletrnico. So Paulo: PricewaterhouseCoopers, 2000.

DINIZ, Eduardo H. Cinco dcadas de automao. GVExecutivo: editorial era digital. Edio especial 50 anos. So Paulo: FGVEAESP, v. 3, n. 3, p. 58, ago./out. 2004.

DINIZ, Eduardo H.; PORTO, Roseli; ADACHI, Tomi. Internet Banking sob a tica da Funcionalidade, Confiabilidade e Usabilidade. In: CONSELHO LATINO AMERICANO DE ESCOLAS DE ADMINISTRAO, 38, 2003, Peru (Lima). Anais do Cladea, 2003.

FILIPPETTI, Marco Aurlio. CCNA 4.1: Guia completo de estudo. Florianpolis: Visual Books, 2008.

GOMES, Alessandra Aparecida Calvoso. Operaes bancrias via Internet (Internet Banking) no Brasil e suas repercusses jurdicas. So Paulo: Revista dos Tribunais, v. 816, n. 10, p. 14, outubro 2003.

NEMETH, Evi.; SNYDER,Garth.;HEIN,Trent R. Manual Completo do DNS. Traduo Ariovaldo Griesi. Reviso tcnica Mario Olimpio de Menezes. So Paulo: Pearson Makron Books, 2004.

42

TANENBAUM, A. C. Redes de Computadores. 4 Ed. Rio de Janeiro: Campus, 2003.

TAPSCOTT, Don. Economia digital. So Paulo: Makron Books, 1997.

THOMPSON, Marco Aurlio. Invaso. BR : invases comentadas passo-a-passo e em vdeo aulas. 2 Ed. Salvador: ABSI - Associao Brasileira de Segurana na Internet, 2005.

ZANIOLO, Pedro Augusto. Crimes modernos: o impacto da tecnologia no direito. Curitiba: Juru, 2007.

43

REFERNCIAS ELETRNICAS

B2B MAGAZINE. Disponvel em <http://www.b2bmagazine.com.br/seguranca/dia-dainternet-segura>. Acesso em 15 de maio de 2011.

CENTRAL INTELLIGENCE AGENCY. Disponvel em <https://www.cia.gov/library/ publications/the-worldfactbook/rankorder/2153rank.html>. Acesso em 4 Agosto de 2008.

CENTRO DE ESTUDOS SOBRE AS TECNOLOGIAS DA INFORMAO E DA COMUNICAO. TIC 2009. Disponvel em <http://www.cetic.br/usuarios/tic/2007 /index.htm>. Acesso em 22 Fevereiro de 2011.

CERT.BR - INCIDENTES REPORTADOS AO CERT.BR - Outubro a Dezembro de 2005. Disponvel em: <http://www.cert.br/stats/incidentes/2005-jul-sep/tipos-

ataque.html>. Acesso em: 05 Fevereiro de 2006.

CGI.BR. Disponvel em: <http://www.cgi.br/publicacoes/revista/edicao03/txt.htm>. Acesso em 03 de Abril de 2011.

DATAINTER

CHANGESOFTWARE

SOLUTIONS.

Disponvel

em:

<http://www.di2s.com/edi.htm>. Acesso em 03 de Abril de 2011.

EBIT EMPRESA. Disponvel em: <www.ebitempresa.com.br/ index_ebitinforma.htm> . Acesso em 04 de Maro de 2011.

FREITAS, Josu Paulo Jos, Como evitar ataques de engenharia social. Disponvel em: <http://www.linuxsecurity.com.br/sections.php?op=viewarticle&artid=21>. Acesso em 20 de Maio de 2011.

IBGE. Disponvel em: <ftp://ftp.ibge.gov.br/Contagem_da_Populacao_2007/>. Acesso em 14 de Maro de 2008.

44

LAU, Marcelo. Tcnicas utilizadas para efetivao e conteno das fraudes sobre Internet Banking no Brasil e no mundo. Disponvel em: <http://www.datasecur.com.br /academico/Tecnicas_Utilizadas_para_Efetivacao_e_Contencao_das_fraudes.pdf>. Acesso em 20 de Maio de 2010.

MOREIRAS,

Antonio.

Entenda

esgotamento

do

IPv4.

Disponvel

em:

<http://www.ipv6.br/IPV6/ArtigoEsgotamentoIPv4>. Acesso em 9 de Abril de 2011.

MYBROADBAND. Disponvel em: <http://mybroadband.co.za/news/internet/18157IPv4-addresses-now-finished-and-klaar.html>.Acesso em 9 de Abril de 2011.

O GLOBO. Disponvel em: <http://oglobo.globo.com/economia/mat/2007/06/14/296 169156.asp>. Acesso em 03 de Maro de 2011.

O GLOBO. Disponvel em: <http://oglobo.globo.com/tecnologia/mat/2010/02/01/brasilum-dos-paises-mais-vulneraveis-ataques-ciberneticos-diz-pesquisa-915752843.asp>. Acesso em 10 de Maro de 2011.

PROCURADORIA GERAL DA REPBLICA. Disponvel em: <http://noticias.pgr. mpf.gov.br/noticias/noticias-do-site/copy_of_criminal/mpf-mg-denuncia-51-pessoasque-praticavam-furtos-pela-internet>. Acesso em 10 de Maio de 2001.

RAMOS, Anatlia Saraiva Martins. Servios bancrios pela internet: um estudo de caso integrando a viso de competidores e clientes. Disponvel em:

<http://www.scielo.br/scielo.php?pid=S141565552000000300008&script=sci_arttext>. Acesso em 02 de Abril de 2011.

RIBEIRO, Mrio Csar. TRF1. RECURSO CRIMINAL 2007.38.00.03 6480-7/MG Relator: Desembargador Federal Mrio Csar Ribeiro Julgamento: 25/08/09.Disponvel em: <http://www.centraljuridica.com/jurisprudencia/t/563/crime_na_internet.html>.

Acesso em 22 Fevereiro de 2011.

TELECO

Inteligncia

em

Telecomunicaes.<http://www.teleco.com.br/tutoriais/

tutorial mplseb1/pagina_2.asp>. Acesso em: 15 de maio de 2011.

45

GLOSSRIO Ciberespao: termo criado pelo escritor William Gibson e inspirado no estado de transe em que ficam os adicionados de videogame durante uma partida. A palavra foi utilizada pela primeira vez no livro Neuromancer, de 1984, e adotada desde ento pelos usurios da internet como sinnimo de rede. Cyber caf: (ou Ciber caf) um local que geralmente funciona como bar ou lanchonete, oferecendo a seus clientes acesso internet, mediante o pagamento de uma taxa, usualmente cobrada por hora. Dial-up: conecta a uma rede ou internet usando um dispositivo que utiliza a rede telefnica. Esse dispositivo pode ser um modem que usa uma linha telefnica padro. Documento digital: documento codificado em dgitos binrios interpretvel por meio de sistema computacional. So exemplos de documentos digitais: textos, imagens fixas, imagens em movimento, gravaes sonoras, mensagens de correio eletrnico, pginas web, bases de dados etc. Domnio: uma parte da hierarquia de nomes de computadores da internet. Um nome de domnio consiste de uma seqncia de nomes separados por ponto, por exemplo, www.folha.com.br. Download: transferncia de arquivo. Fazer download equivale a copiar determinado arquivo (texto, imagem ou programa) da internet para o computador. FTP: protocolo para transferncia de arquivos. O FTP pode ser utilizado para copiar arquivos da rede para o computador do usurio e vice versa. HTTP: acrnimo para Hypertext Transfer Protocol (Protocolo de Transferncia de Hipertexto) que permite a transferncia de dados na Web. Internauta: usurio de internet. Lan house: estabelecimento comercial em que as pessoas podem pagar para utilizar um computador com acesso internet e a uma rede local. Offline: desconectado com a unidade de processamento central de um computador; comunicao offline indireta. Online: em ligao direta com a unidade de processamento central de um computador. Provedor de acesso: varejista de conectividade internet. Ligado a um provedor de backbone, revende conexo internet aos usurios finais. Provedor de contedo: empreendimento que disponibiliza informaes na rede para os 80 usurios.

46

Proxy: um servidor posicionado entre um cliente e o servidor real, onde esto os dados. Esses servidores tm uma srie de usos, como filtrar contedo, providenciar anonimato, entre outros. Servidor: computador que armazena pginas da web. Spam: abreviao em ingls de spiced ham (presunto condimentado), utilizado na acepo de mensagem eletrnica no solicitada enviada em massa. Telecentros: espao pblico onde as pessoas podem acessar microcomputadores, conectarem a internet, jogar, etc. Upload: transferncia de dados de um computador local para um servidor. Web: Abreviatura para designar o World Wide Web. a rede mundial de computadores. WWW: World Wide Web. Literalmente, teia de alcance mundial. Consiste em software cliente/servidor. A WWW utiliza o HTTP para trocar documentos e imagens. por meio da WWW que se acessa a grande parte da informao disponvel na internet.

47