Segurana da Informao e os Constates Perigos da Rede

Rafael Simplcio da Silva1 Faculdade Boa Viagem (FBV) 50.820-000 Recife PE Brazil
rafaelss_2005@hotmail.com
1

Abstract. It is impossible for any person or company not worry about the insecurity in the network of computers. And the higher the critical level and has determined that confidential information, the greater the effort to maintain the security of such data. But for that you need to understand what you need to defend themselves, which necessary measures should be adopted and, in many cases, some of these measures are simpler than they seem. Resumo. impossvel para qualquer pessoa ou empresa no se preocupar com a insegurana existente na rede de computadores. E o quanto maior for o nvel crtico e sigiloso que possua determinada informao, maior deve ser o esforo para manter a segurana desses dados. Mas para isso, preciso entender sobre o que ser preciso se defender, quais medidas necessrias devem ser adotadas e, em muitos casos, algumas dessas medidas so mais simples do que parecem.

1. Introduo
A questo segurana sempre foi um assunto bastante abordado, seja em livros, artigos ou revistas, onde o objetivo geral da segurana da informao procurar estar atento s formas de se proteger dos perigos constantes que a Internet coloca qualquer um em risco. Mas para conseguir uma eficincia cada vez maior nesse objetivo, necessrio primeiro ter em mente o que preciso defender e o que ou como podem ser realizados os ataques. Para as empresas a questo de segurana significa tambm a sobreviviencia, pois envolve a segurana da informao e a integridade da mesma, uma possvel perda ou roubo desses dados pode causar inmeros problemas para a organizao, ou at mesmo o seu fim. De acordo com Horton e Mugge (2004, p.4), o processo de segurana da informao essencial para a integridade e a sobrevivncia das empresas atuais. O conceito de segurana refere-se proteo que existe sobre as diversas informaes envolvidas a respeito de uma empresa ou de uma pessoa, onde, na maioria dos casos, essas informaes esto guardadas tendo seu uso restrito. O nvel de segurana de determinada informao tambm definido, podendo ser baixo, mdia ou alta, por exemplo, sendo que necessrio o uso de algumas mtricas para definir corretamente esses nveis. Assim se torna possvel ter uma base para analisar alguma melhora ou piora em relao segurana existente, onde a segurana da informao pode ser afetada pelo mau uso dela, problemas de infra-estrutura, ou pessoas que tem a inteno de furtar, destruir ou modificar tal informao.

2. Caractersticas para Segurana

Para um sistema de informao ser seguro ele deve possuir caractersticas importantes como disponibilidade, integridade e confidencialidade. Existem outras caractersticas, onde elas podem variar de sistema para sistema. Porm, essas trs caractersticas so importantes para qualquer sistema, onde representa de forma simples e direta o fato de um usurio desse sistema ter garantias de que as informaes do mesmo no sero modificadas ou perdidas, que o sistema estar disponvel sempre que necessrio e que as informaes dos usurios no sero expostas para outras pessoas. Com o passar do tempo, no s as empresas, mas os usurios domsticos esto mais dependentes da internet, utilizando-a no apenas para pesquisas ou entretenimento, mas para guardar documentos importantes, realizar compras e transaes bancrias. Por isso a necessidade da segurana torna-se ainda mais importante. E, infelizmente, grande parte dos usurios no tomam os cuidados corretos, seja por falta de interesse ou por falta de conhecimento, tornando mais fcil o trabalho daqueles que se aproveitam para obter dados e informaes ou prejudicar o usurio de alguma forma. Com relao s empresas, preciso ser estabelecido polticas de segurana, que compreendam desde o uso de senhas pessoais mais complexas at o bloqueio de fato de determinados sites ou servios, para que seja mais difcil de acessar alguma informao confidencial da organizao. Enquanto que no caso dos usurios domsticos, a questo de segurana chega at a ser ignorada, pois nem todos esto dispostos a gastar uma pequena parcela de tempo preocupando-se com atualizaes de sistema operacional, antivrus e criao de senhas de segurana. A partir do momento em que os usurios tenham mais conhecimento e cuidados com os perigos da rede, tomando medidas cabveis, a possibilidade de sofrer algum dano ser reduzida consideravelmente. Para isso preciso, em primeiro lugar, maior conscientizao por parte de todos, pois o que gasto com segurana ter seu retorno em seguida, para no ser preciso ter gastos futuros com correes ou formas de recuperar o que possa ter sido perdido.

3. Histrico
De acordo com Marciano (2006), as polticas de segurana da informao devem contemplar o adequado equilbrio dos aspectos humanos e tcnicos da segurana da informao. Essa rea de estudo tem o objetivo de analisar as formas de crimes e mtodos utilizados pelos invasores, para assim poder criar as melhores formas de defesa, alm de conscientizar as pessoas da existncia desses crimes. Um dos hackers mais famosos do mundo chama-se Kevin Mitnick. Ele cometeu vrios crimes ainda na dcada de 80. Invadiu vrios computadores, como o da NASA, do centro de espionagem dos Estados Unidos, de operadora de celulares, de empresas de tecnologia e provedores de internet. (EDUARDO). Aps isso acabou violando os termos da sua condicional, que restringiam o uso de computadores, sendo procurado para priso novamente, em 1992. Mas desta vez ele no se entregou e conseguiu escapar do FBI durante trs anos, clonando celulares e usando nomes falsos, mas em 1995 acabou sendo preso. Cumpriu cinco anos de priso sendo solto em 2000, mas foi proibido de usar a internet durante trs anos, tanto que ele teve que pedir permisso do

governo americano para usar um computador e escrever um livro, chamado A Arte de Enganar, publicado em 2003. Hoje em dia ele atua como consultor de segurana da informao e possui empresa para essa finalidade. Recentemente tem-se outro grande exemplo de que nem mesmo grandes empresas esto livres de problemas de segurana. Foi quando o Google sofreu um ataque, neste caso os hackers conseguiram acessar informaes pessoais dos usurios de contas de email, neste caso, do Gmail. Os hackers chegaram a exibir uma lista com os nomes dos usurios e suas respectivas senhas em um site. O mesmo fato, de roubo das contas de email e exibio das mesmas publicamente, foi feito com Yahoo, AOL e do Hotmail da Microsoft, ou seja, so empresas que investem milhes em segurana e mesmo assim no esto livres desses imprevistos. Mas no podemos usar estes exemplos de acontecimentos em grandes empresas internacionais para achar que no to necessrio assim comear, ou continuar, a investir em segurana, pois se isso no for feito, esses exemplos citados anteriormente acontecero quase que diariamente, prejudicando totalmente o dia-a-dia da produo da empresa. Por isso as empresas, principalmente as que dependem mais dos sistemas de informao e da internet para realizar suas atividades e negcios, no podem sofrer interrupes ou acidentes que afetem a segurana e reflitam em problemas que podem ser financeiro ou mesmo da relao com os clientes. Neste caso pode-se dizer que um incidente na segurana compromete diretamente na questo financeira, pois as decises de negcios so baseadas nos seus sistemas, que no podem ser comprometidos.
J no basta colocar um firewall e ter os servios bem implementados para se manter a rede segura, preciso a conscientizao e participao dos demais funcionrios e direo. Alm de um modelo de gesto que estabelea as responsabilidades de cada um nessa segurana. Dai a importncia da poltica de segurana. (Bauer, 2006).

Assim possvel reduzir custos operacionais, evitando gastos administrativos. Por esses motivos to importante para as empresas o investimento nessa questo de segurana, para que seja possvel garantir a integridade, confidencialidade e disponibilidade, conseguindo assim a competitividade da empresa. Para se entender melhor como um usurio e um sistema de uma empresa pode ser afetado, ser descrito de forma breve e simples as principais ameaas vindas da internet nas subsees seguintes. 3.1 Vrus O mais comum de todos o Vrus, o principal objetivo desta praga infectar o computador do usurio, afetando os programas, o sistema operacional e se replicando para dificultar a sua remoo. De acordo com Gomes (2008), os vrus usam algumas tcnicas para poderem se esconder dos antivrus ou de serem apagados pelo utilizador, por exemplo, encriptao ou desativar o antivrus. Atualmente bem comum em emails indesejados ou sites desconhecidos, onde o usurio baixa o arquivo para o seu sistema sem imaginar ser um vrus, ao ser executado ele infecta o sistema. Pode apagar arquivos, deixar o sistema lento ou ate mesmo apagar todo o sistema operacional e arquivos do usurio.

3.2 Worm Outra praga bem conhecida o chamado Worm, tendo a caracterstica de replicao semelhante dos vrus, porm o Worm tambm pode tornar o computador vulnervel a ataques, enviar documentos maliciosos via email para outras pessoas e pode provocar danos no trfego da rede, ou seja, causar uma grande lentido na internet. Segundo Jorge (2008), um vrus infecta um programa e necessita deste programa hospedeiro para se propagar, j o worm um programa completo e no precisa de outro programa para se propagar. 3.3 Cavalo-de-tria J o Cavalo-de-tria, ou trojan, como tambm conhecido, so arquivos maliciosos que precisam da interveno do usurio para infectar o sistema.
Um cavalo-de-tria um programa, normalmente recebido como um presente (por exemplo, carto virtual, lbum de fotos, protetor de tela, jogo, etc.), que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio. (CARTILHA DE SEGURANA PARA INTERNET, 2006)

O grande objetivo do cavalo-de-tria permitir que o computador do usurio infectado fique vulnervel a uma invaso, tornando possvel que um hacker possa acessar os arquivos e ter controle do sistema infectado. 3.4 SPAM A grande dor de cabea de quem possui contas de email chama-se SPAM. De acordo com Teixeira: [...]spam considerado um abuso e se refere ao envio de um grande volume de mensagens no solicitadas [...]. Neste caso no se trata de uma praga que danifica o sistema do usurio, mas sim de um transtorno, pois so emails vindos de diversos remetentes, que so desconhecidos e indesejados pelo usurio. Geralmente so emails com assuntos relativos a publicidade e pornografia, em muitos casos estes email tambm possuem arquivos maliciosos anexos, mas que infectam o sistema apenas com a interveno do usurio. Mas importante perceber que grande parte do SPAM recebido por descuido dos usurios, quando informam o seu email em um site desconhecido e pouco confivel, isso torna possvel o envio desse tipo de mensagem. 3.5 Pishing Scam Um tipo de infeco que se tornou muito comum recentemente o Pishing Scam, neste caso utiliza-se da inocncia e persuaso do usurio com o uso de uma isca. Segundo Jorge (2008), a criatividade dos criminosos visando somente lucro e a ingenuidade das pessoas torna-se campo frtil para roubo de senhas. Por exemplo, o envio de um email para um usurio informando para atualizar os dados de uma conta bancria, tambm muito comum as mensagens de alguma catstrofe, assuntos polmicos, mensagens de amor e mensagem que prometem exibir vdeos ou imagens de pessoas famosas. Ou seja, nenhum arquivo malicioso enviado diretamente, sem o usurio perceber, utilizada uma forma de maquiar isso, deixando que o prprio usurio faa aquilo que o hacker quer, aceitando um arquivo malicioso ou, na maioria dos casos, passando informaes pessoais e restritas, como senhas de banco, para algum hacker.

3.6 Botnet Outro grande problema vindo da internet o chamado Botnet, neste caso no se trata de um arquivo malicioso ou ataque comum, mas sim de um grupo de computadores que esto infectados agindo de forma autnoma, sem a interveno do usurio, para realizar um ataque em massa em um alvo especfico. Segundo a Cartilha de Segurana para Internet (2006), botnets so redes formadas por computadores infectados com bots1. Estas redes podem ser compostas por centenas ou milhares de computadores. Este um caso muito utilizado por hacker para conseguir tirar do ar algum servidor, ou ainda para o envio de SPAM. Como um caso bem mais complexo, tem a preocupao de autoridades policiais, para poder descobrir e encerrar as atividades das Botnets. Um exemplo recente de uma Botnet foi em 2009, com a infeco de aproximadamente 15 milhes de computadores em todo o mundo, principalmente atravs de pendrives, ou seja, com essa quantidade enorme de computadores infectados fica possvel direcionlos para realizar algum ataque especfico.

4. O que fazer
Visto essas informaes a respeito de pragas e formas de invaso ao sistema de um usurio, importante que sejam tomadas medidas de segurana para evitar esses problemas. Muitas dessas medidas de segurana no tm relao com custo financeiro, mas sim com o conhecimento e cuidado do usurio, nos prximos pargrafos essas medidas sero explicadas. A segurana do sistema como um todo deve comear com a utilizao de ferramentas que tm esse fim, como o Antivrus, Antispyware e um Firewall para bloquear possveis tentativas de invaso, algumas empresas que desenvolvem esse tipo de ferramenta costumam vender uma ferramenta que possui tudo em um, nesse caso o usurio instala todas essas ferramentas de uma nica vez. Esse o caso que envolve o custo financeiro, algumas solues so mais caras por serem mais conhecidas e antigas no mercado, mas tambm possvel obter todas essas ferramentas de forma gratuita na internet, com empresas que disponibilizam as ferramentas gratuitamente, fica a critrio de cada usurio. Tendo as devidas ferramentas de segurana e instaladas, elas devem ser sempre atualizadas, para que possuam os recursos suficientes para detectar novas ameaas que forem surgindo. O sistema operacional seja Windows, MacOS ou Linux, tambm deve ser sempre atualizado, pois as correes lanadas pela empresa que os desenvolve corrigem falhas de segurana e evitam que os hackers explorem as falhas descobertas. Quando verificar os emails deve-se sempre verificar o remetente com cuidado, para no abrir um arquivo anexo de qualquer pessoa, como diz Jorge (2008), no abrir anexos se no tiver certeza que realmente foram enviados pelo remetente. Se ainda existir a duvida, ento se deve enviar um email para a pessoa perguntando se o email com o anexo foi mesmo enviado por ele. E sempre desconfiar de emails com

Bot um programa capaz de se propagar automaticamente, explorando as vulnerabilidades existentes ou falhas de configurao de softwares que esto instalados em um computador.

promoes, pesquisas ou de prmios, pois a grande maioria so tentativas de fraudar as informaes pessoais do usurio. Para os usurios do Orkut, as dicas so de no adicionar pessoas desconhecidas, no clicar em links enviados nos recados (scraps). De acordo com Jorge (2008), configurar o perfil para no receber mensagem de desconhecidos. Configurar para que no seja possvel receber mensagens de desconhecidos, no participar de qualquer comunidade e nunca informar por meio dos recados ou depoimentos o prprio telefone ou senhas. J aqueles que usam as ferramentas de mensagens instantneas como MSN, Gtalk ou Skype, nunca devem conversar com pessoas desconhecidas, no utilizar a webcam ou enviar fotos pessoais para pessoas desconhecidas. Segundo Jorge (2008), no clicar em links enviados antes de confirmar se o remetente realmente o enviou e de verificar se o endereo corresponde ao que mencionado. Os usurios que utilizam sites de banco para acessar a conta ou fazer transaes bancrias online devem ter cuidado ainda maior. Para realizar essas operaes sempre usar um computador prprio ou de algum conhecido, sempre verificar se o site que est acessando possui o endereo iniciado com HTTPS, pois significa ser um site seguro e, de acordo com Jorge (2008), desconfiar de qualquer solicitao de informaes que no seja usual. Se for efetuar alguma compra, o mais recomendado utilizar os sites de grandes empresas e conhecidas, alem de, se for utilizar um carto de crdito, utilizar um que possua proteo contra fraudes. Muitos sites exigem um tipo de cadastro para poder utiliz-lo, segundo Jorge (2008), certificar-se que realmente necessrio o cadastro, realmente til. Para este caso sempre importante saber se o site confivel, evitar informar qualquer numero de carto de crdito, para que no fique salvo no site, ter cuidado para saber se o site mesmo oficial e seguro para no informar nmeros de CPF, identidade ou endereo para qualquer site. Com essas informaes a respeito de boas praticas no uso de sites e ferramentas de segurana tanto do sistema quanto na internet, j possvel ter mais tranqilidade no uso da internet, claro que impossvel garantir o 100% de segurana, mas se torna mais difcil ter o inconveniente de ter alguma informao roubada ou documento perdido.

5. Concluso
Com este trabalho possvel verificar o quanto importante para os usurios tomar as melhores medidas de segurana possveis, pois a qualquer momento pode existir algum tentando explorar uma vulnerabilidade para ter acesso s informaes pessoais. Mas necessrio ter um conhecimento sobre o que utilizado, as formas de invaso, arquivos maliciosos, entre outros, para ser possvel defender-se da maneira mais correta, e ainda ter os devidos cuidados na internet. De acordo com Horton e Mugge (2004), a questo da segurana que voc no pode fazer um bom trabalho de defesa se no souber primeiro o que est defendendo. Partindo do pressuposto que um usurio tem o conhecimento adequado e pode tomar as medidas corretas de segurana, a possibilidade de perder alguma informao, ou de

uma empresa ter em risco seus dados, reduzida drasticamente, pois seriam precisos meios mais avanados para conseguir o acesso a essas informaes. No por qualquer motivo que diversas pessoas e empresas investem em Segurana da Informao, a cada dia surgem novas tcnicas e maneiras de obter acesso s informaes e dados restritos, ento preciso estar sempre estudando e aprimorando as formas de proteo. Deste modo possvel estar preparado para os possveis problemas que vem da rede.

6. Referncias
Horton, M. e Mugge, C. (2003) Segurana de Redes. Rio de Janeiro: Elsevier. Marciano, J.L.P. (2006) Segurana da Informao uma abordagem social. Braslia Bauer, C. A. (2006) Poltica de Segurana da Informao Para Redes Corporativas. Novo Hamburgo. Eduardo, M.P. (2008) Estudo de Mitinick e sua viabilidade nos dias atuais. Jorge, R. Principais Ameaas da Internet para usurios domsticos, Qualitek. Gomes, P. (2008) Definio de Vrus, Computador Seguro. Disponvel em: < http://www.computadorseguro.com/definicao-virus>. Acesso em: 08 abr. 2010. Gomes, P. (2008) Definio de spyware e malware, Computador Seguro. Disponvel em: <http://www.computadorseguro.com/definicao-malware-spyware>. Acesso em: 08 abr. 2010. CERT.BR. (2010) Cartilha de Segurana para Internet. <http://cartilha.cert.br/malware/>. Acesso em 06 abr. 2010. Disponvel em:

Teixeira, R. C. (2001) O Pesadelo do SPAM, Rede Nacional de Ensino e Pesquisa. Disponvel em: <http://www.rnp.br/newsgen/0101/spam.html>. Acesso em 07 abr. 2010.