Segurança de Informações

Prof.Charles
 Na sociedade da informação, ao mesmo tempo de
que as informações são consideradas o principal
patrimônio de uma organização, estão também sob
constante risco, como nunca estiveram antes.

Com isso, a segurança de informações tornou-se

um ponto crucial para a sobrevivência das
instituições.
 CRONOLOGIA e AMBIENTE de INFORMÁTICA

Na época em que as informações eram armazenadas apenas em papel, a

segurança era relativamente simples. Bastava trancar os documentos em
algum lugar e restringir o acesso físico àquele local.

Com as mudanças tecnológicas e o uso de computadores de grande porte, a

estrutura de segurança já ficou um pouco mais sofisticada, englobando
controles lógicos, porém ainda centralizados.

Com a chegada dos computadores pessoais e das redes de computadores que

conectam o mundo inteiro, os aspectos de segurança atingiram tamanha
complexidade que há a necessidade de desenvolvimento de equipes cada vez
mais especializadas para sua implementação e gerência.
 SISTEMAS de INFORMAÇÃO e a
SOBREVIVÊNCIA das EMPRESAS
Atualmente as informações contidas em sistemas computacionais são
consideradas recursos críticos, tanto para a concretização dos negócios de uma
empresa, como para a tomada de decisão em questões governamentais, sociais,
educativas, etc.

Como a sociedade atual depende das informações armazenadas nos sistemas

computacionais para tomar decisões de negócios ou de bem estar social, a
segurança dessas informações deve ser absoluta.

Um erro nos sistemas informatizados pode comprometer instituições do mercado

financeiro, indústrias, sistemas de telecomunicações, de assistência médica,
enfim, pode afetar a sociedade de inúmeras maneiras, tamanha a dependência dos
equipamentos e sistemas computadorizados.
 QUESTÕES SOBRE QUEBRA de SEGURANÇA:

 O que aconteceria se as informações institucionais caíssem

nas mãos da concorrência ou fossem corrompidas,
apagadas ou adulteradas?

 Quais seriam as conseqüências para a continuidade dos

negócios da instituição?

 O vazamento de informações sobre seus clientes

comprometeria sua credibilidade e daria maiores
oportunidades aos concorrentes?
Impacto das violações de segurança
REALIDADE ATUAL
 Nunca foi tão fácil atacar os sistemas informatizados.
 Os sistemas de informação institucionais conectados em
redes externas aumentam significativamente os riscos de
segurança.
 Muitas ferramentas de ataque, utilizadas antigamente por
agências de inteligência, hoje estão disponíveis a qualquer
pessoa.
 Além disso, o usuário está mais conscientizado e suas
expectativas, em termos de privacidade, integridade e
disponibilidade de dados, estão maiores e mais rígidas
quanto à qualidade do serviço prestado pelo seu
computador pessoal ou pelos sistemas desenvolvidos pelo
departamento de informática.
 NECESSIDADE de SEGURANÇA
 Na verdade, quando o usuário perde uma informação, não
lhe interessa saber se o dado foi apagado por um ex-
funcionário insatisfeito, por um vírus, falha de hardware ou
sobrecarga elétrica. O que importa é que o dado foi
adulterado ou perdido.
 O departamento de informática, por sua vez, espera que
seus sistemas sejam eficientes, atendam às necessidades
dos usuários e estejam protegidos contra qualquer ameaça
que possa comprometer seu funcionamento.
 A segurança também está relacionada com testes de
hardware e software e prevenção de erros cometidos pelos
usuários.
 NECESSIDADE de SEGURANÇA
A gerência deseja que os sistemas de informática, para
operarem de forma adequada e garantirem a segurança das
informações da organização, necessitam de:

 ambientes controlados;
 protegidos por desastres naturais (incêndio, terremoto,
enchente);
 falhas estruturais (interrupção do fornecimento de energia
elétrica, sobrecargas elétricas);
 sabotagem;
 fraudes;
 acessos não autorizados (crackers, espionagem industrial,
venda de informações confidenciais para a concorrência); e
 outros.
NECESSIDADE de SEGURANÇA

 A segurança do ambiente computacional deve ser encarada

como proteção ao patrimônio da organização e aos
investimentos feitos em equipamentos, software e pessoal.

 Os recursos computacionais e as informações sobre a

organização, por terem alto valor de mercado, podem ser
atrativos para ladrões e espiões.
Segurança

Segurança é um atributo muito complexo e difícil de

implementar consistentemente em um sistema, principalmente
em ambientes computacionais.

Projetar e implementar um sistema visando segurança

significa analisar um conjunto complexo de situações adversas
onde o projetista e um oponente elaboram estratégias de modo
completamente independente.

O resultado desta análise depende fortemente das escolhas

e técnicas feitas por cada um dos oponentes.
 Segurança
A segurança é essencialmente um atributo negativo.

É fácil caracterizar um sistema inseguro, mas não existe uma

metodologia capaz de provar que um sistema é seguro.

Assim, um sistema é considerado seguro se não foi possível, até

o momento atual, determinar uma maneira de torná-lo inseguro.

Com muita frequência isto decorre simplesmente do fato que

não foram testados todos os métodos de ataque (ou até mesmo
menosprezados alguns) ou que não foram identificados todos os
possíveis atacantes.
CONCEITOS BÁSICOS e
POLÍTICA de SEGURANÇA

“Segurança é, portanto, a proteção de

informações, sistemas, recursos e serviços contra
desastres, erros e manipulação não autorizada, de
forma a reduzir a probabilidade e o impacto de
incidentes de segurança.”
Proteção

Um mecanismo de controle de acesso às

informações.

Segurança

Conjunto de mecanismos que controlam o

acesso à todos os recursos de um sistema.
OBJETIVOS de SEGURANÇA

Quando se pensa em segurança de informações,

a primeira idéia que nos vem à mente é a proteção das
informações, não importando onde estejam:

 no papel;
 na memória do computador;
 em um disquete; ou
 trafegando pela linha telefônica.
OBJETIVOS de SEGURANÇA

Conceitualmente, um computador ou sistema

computacional é considerado seguro se houver uma garantia
de que é capaz de atuar exatamente como o esperado.
Porém, segurança não é só isso.
O usuário espera que suas informações estejam
disponíveis no momento e local que ele determinar, que
sejam confiáveis, corretas e mantidas fora do alcance e das
vistas de pessoas não autorizadas.
Essas expectativas podem ser traduzidas em
objetivos de segurança.
OBJETIVOS de SEGURANÇA

Tanto usuários comuns como profissionais do

departamento de informática devem se preocupar, em maior ou
menor grau, com os seguintes objetivos de segura:

Confidencialidade ou privacidade;
Integridade de dados;
Disponibilidade;
Consistência;
Isolamento ou uso legítimo;
Auditoria;
Confiabilidade.

Apesar de todos os objetivos citados serem importantes,

dependendo do tipo de organização, alguns são mais
importantes do que outros.
Antes de implementar um programa de segurança de informações,
é aconselhável responder às seguintes questões:

O que se quer proteger ?

Contra que ou quem ?
Quais são as ameaças mais prováveis ?
Qual a importância de cada recurso ?
Qual o grau de proteção desejado ?
Quanto tempo, recursos financeiros e humanos se pretende
gastar para atingir os objetivos de segurança desejados ?
Quais as expectativas dos usuários e clientes em relação à
segurança de informações ?
Quais as conseqüências para a instituição se seus sistemas e
informações forem corrompidos ou roubados ?
 Política de Segurança

Tendo em mente as respostas a essas perguntas, é

definida a política de segurança de informações e são
analisadas as ameaças de acordo com a política, incluindo:

Análise de riscos;
Requerimentos legais; e
Padrões técnicos.
 Comprometimento da Gerência Superior

A política de segurança de informações, para que

seja realmente colocada em prática e encarada com seriedade
por todos os membros da organização, deve ter o total apoio da
alta gerência, a qual deve se comprometer a implantá-la.

Esse comprometimento é normalmente expresso em

um documento formal onde constam as políticas de segurança
de informações e como seus objetivos se encaixam ao contexto
dos objetivos estratégicos e dos negócios da organização como
um todo.
 Legislação Brasileira e
Instituições Patronizadoras

A segurança das informações, em função da sua

importância para a sociedade, deu origem a diversos grupos de
pesquisa, que instituem padrões, leis e normas de segurança.

Em geral, os padrões de segurança são utilizados no

âmbito internacional, enquanto as leis e normas são de caráter
nacional, podendo haver, entretanto, similaridades entre
legislações de países diferentes.
 Legislação Brasileira
Nossa legislação, com relação a segurança, não está tão consolidade como a
Americana, porém já existem alguns dispositivos legais sobre o assunto:

 Projeto de lei do Senador Renan Calheiros, de 2000 – define e tipifica os delitos

informáticos.
 Projeto de lei nº 84, de 1999 – dispõe sobre os crimes cometidos na área de informática e
suas penalidades.
 Lei nº 9.609, de 19 de fevereiro de 1998 – altera, atualiza e consolida a legislação sobre
direitos autorais.
 Lei nº 9.296, de 24 de julho de 1996 – regulamenta o inciso XII, parte final, do art.5º, da
Constituição Federal. O disposto nessa lei aplica-se a interceptação do fluxo de
comunicações em sistemas informáticos e telemática.
 Projeto de lei do Senado nº 234, de 1996 – dispõe sobre crime contra a inviolabilidade de
comunicação de dados de computador.
 Projeto de Lei da Câmara dos Deputados nº 1.713, de 1996 – dispõe sobre o acesso, a
responsabilidade e os crimes cometidos nas redes integradas de computadores.
 Decreto nº 96.036, de 12 de maio de 1988 – regulamenta a Lei nº 7.646, de 18 de dezembro
de 1987, revogada pela Lei nº 9.609, de 19 de fevereiro de 1998.
 Decreto nº 79.099, de 06 de janeiro de 1977 – aprova o regulamento para salvaguarda de
assuntos sigilosos.
 Instituições Padronizadoras Nacionais e Internacionais

No âmbito internacional, existem algumas instituições cuja

função básica é estabelecer padrões. Dentre elas, destacam-se:
 International Organization for Standartization (ISO).
 International Electrotechnical Comission (IEC).
 International Telecommunications Union (ITU).
 Comité Européen de Normalisation (CEN).
 Comité Européen de Normalisation Eléctrotechnique(CENELEC).
 European Telecommunications Standards Institute (ETSI).

Apesar de não serem instituições internacionais, existem vários

organismos padronizadores norte-americanos cujos padrões são utilizados
mundialmente, tais como:

 Institute of Electrical and Electronics Engineers (IEEE).

 National Institute for Standards and Technology (NIST).
 American National Standards Institute (ANSI).
GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A segurança está deixando de ser técnica para ser

normativa, e os profissionais precisam estar alertas para este
desafio.

Esta tendência de uso de normas e regulamentos é

fortalecida com o Novo Código Civil, que traz maior
responsabilização para os administradores das empresas e
autoridades do Governo.

Tudo isso tem se destacado como uma grande

oportunidade para os profissionais de Segurança da Informação
nos próximos anos, uma vez que a matéria se aproxima a cada
dia da sua atividade-fim e dos executivos da organização.
GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Os principais desafios de hoje:

 A preocupação com vírus, funcionários insatisfeitos e

senhas como principais ameaças;
 O aumento do uso da internet como meio de fraudes e
vazamento de informação, acompanhando o
desenvolvimento dos negócios eletrônicos;
 O desafio de conscientizar os executivos, motivar os
usuários e capacitar a equipe técnica, assim como
demonstrar o retorno sobre o investimento da
segurança;
 A necessidade de realizar análise de riscos e revisar
periodicamente a política de segurança;
 O crescimento dos problemas de segurança a cada ano,
acompanhando o crescimento dos ataques, a evolução da
tecnologia e o aumento dos investimentos no setor.
Definindo uma Política de
Segurança de Informações
A política de segurança é um mecanismo preventivo de
proteção dos dados e processos importantes de uma
organização que define um padrão de segurança a ser seguido
pelo corpo técnico e gerencial e pelos usuários, internos ou
externos.
Pode ser usada para definir as interfaces entre usuários,
fornecedores e parceiros e para medir a qualidade e a
segurança dos sistemas atuais.
A política de segurança de informações deve estabelecer
princípios institucionais de como a organização irá proteger,
controlar e monitorar seus recursos computacionais e,
conseqüentemente, as informações por eles manipuladas.
Definindo uma Política de
Segurança de Informações
É importante que a política estabeleça ainda as responsabilidades das
funções relacionadas com a segurança e discrimine as principais
ameaças, riscos e impactos envolvidos.
A política de segurança deve integrar-se às políticas institucionais
relativas à segurança em geral, às metas de negócios da organização
e ao plano estratégico de informática.
Uma boa ou má política de segurança gera impactos sobre todos os
projetos de informática, tais como planos de desenvolvimento de
novos sistemas, plano de contingências, planejamento de
capacidade, entre outros.
É importante lembrar que essa política não envolve apenas a área de
informática, mas todas as informações da organização, que talvez
sejam seus recursos patrimoniais mais críticos hoje em dia.
Relacionamento da política de segurança de informações com a estratégia
da organização, o plano estratégico de informática e os diversos projetos
relacionados:

Estratégia geral da organização

Estabelece
Contribui
para o
Plano estratégico atingimento de
Política de
Define
de segurança de
informática informações

Especifica Gera impactos sobre

Planos de desenvolvimento de sistemas

Plano de continuidade de serviços
Planejamento de capacidade
Outros projetos
Participação na Política de Segurança

Para uma completa e efetiva implantação da política

de segurança de informações é imprescindível que sejam
envolvidos:

 A alta gerência;
 A gerência de segurança de informações;
 A de recursos e finanças;
 Os vários gerentes e proprietários dos sistemas
informatizados e, finalmente;
 Os usuários
Tópicos importantes
A política de segurança de informações da organização pode
apresentar, em maior ou menor detalhe:
Os responsáveis pela implementação da política,
Sua linha gerencial; e
Os instrumentos de controle e supervisão de seu trabalho.
É comum encontrar nesse documento:
Orientações sobre análise e gerência de riscos;
Princípios de conformidade dos sistemas computacionais
com a política de segurança de informações;
Classificação de informações ( de uso público, interno,
confidencial e secretas ); e
Padrões mínimos de qualidade a serem incorporados a
todos os sistemas de informação.
Tópicos importantes
A política normalmente contém princípios legais e éticos a
serem atendidos no que diz respeito à informática:

Direitos de propriedade de produção intelectual;

Direitos sobre software e normas legais correlatas aos
sistemas envolvidos;
Princípios de implementação da segurança de informações;
Políticas de controle de acesso a recursos e sistemas
computacionais; e
Princípios de supervisão constante das tentativas de
violação da segurança das informações.
Tópicos importantes

Como tópicos adicionais, a política pode conter ainda:

Os princípios de continuidade de negócios;

Procedimentos a serem adotados após violação de normas
de segurança estabelecidas na política, tais como:

investigação,
Julgamento e punição aos infratores da política; e
Plano de treinamento em segurança de informações.
Tópicos importantes

Geralmente se usa a política para a definição de regras ou

princípios mais amplos e genéricos, deixando, aos procedimentos e
práticas, as regras mais específicas que, provavelmente, serão
atualizadas com maior freqüência:

A política de segurança deve tratar de princípios éticos e pode

ser composta por várias políticas inter-relacionadas, como:

Política de senhas;
Política de backup;
Política de contratação e instalação de equipamentos e
softwares, etc.
Tópicos importantes

Já os procedimentos de segurança se referem à

implementação, administração e verificação da conformidade
às políticas previamente estabelecidas.
Os procedimentos normalmente detalham as responsabilidades
dos usuários, gerentes e auditores no uso, gerência e controle
da tecnologia da informação.

“ É importante ressaltar que quanto mais simples e coerente a

política de segurança, maior a probabilidade de sua implementação
prática ser um sucesso “.
Fases do Processo de Implantação
 Identificação dos recursos críticos.
 Classificação das informações.
 Definição, em linhas gerais, dos objetivos de segurança a
serem atingidos.
 Análise das necessidades de segurança (identificação das
possíveis ameaças, análise de riscos e impactos).
 Elaboração de proposta de política.
 Discussões abertas com os envolvidos.
 Apresentação de documento formal à gerência superior.
 Aprovação.
 Implementação.
 Avaliação da política e identificação das mudanças
necessárias.
 Revisão.
Identificando os Recursos
Antes de mais nada, é necessário identificar todos os recursos sob risco.
 O que precisa ser protegido?
 Quais são os recursos mais importantes?
 Sob que forma as informações estão armazenadas (papel, disquete,
memória do computador, etc.)?

No ambiente de informática, os tipos de recursos mais comuns são:

Hardware
Software
Dados
Pessoas
Documentação
Suprimentos
Identificando os Recursos
 HARDWARE – processadores, placas, teclados, terminais,
estações de trabalho, computadores pessoais, impressoras,
unidades de disco, linhas de comunicação, servidores,
roteadores etc.
 SOFTWARE – utilitários, programas de diagnóstico, sistemas
operacionais, programas de comunicação, aplicativos.
 DADOS – em processamento, em trânsito nos dispositivos de
linhas de comunicação, armazenados on-line e off-line,
backups, logs de auditoria, bases de dados.
 PESSOAS – usuários e funcionários necessários para o
funcionamento dos sistemas.
 DOCUMENTAÇÃO – sobre programas, hardware, sistemas,
procedimentos administrativos.
 SUPRIMENTOS – papel, formulários, fitas, disquetes, CD-
ROMs.
Classificação das Informações
Diferentes tipos de informação devem ser protegidos de
diferentes maneiras.
Partindo do princípio de que toda informação tem um dono
(ou proprietário) , nada mais acertado do que dar-lhe a oportunidade
e a responsabilidade de classificá-la.

A classificação mais comum de informações é aquela que as

divide em quatro níveis:

Públicas ou de uso irrestrito.

Internas ou de uso interno.
Confidenciais.
Secretas.
Classificação das Informações
Públicas ou de uso irrestrito – as informações e os sistemas
assim classificados podem ser divulgados a qualquer pessoa
sem que haja implicações para a instituição.
Exemplos: serviços de informação ao público em geral,
informações divulgadas à imprensa ou pela Internet.
Internas ou de uso interno – as informações e os
sistemas assim classificados não devem sair do âmbito
da instituição. Porém, se isso ocorrer, as conseqüências
não serão críticas.
Exemplos: serviços de informação interna ou documentos de
trabalho corriqueiros que só interessam aos funcionários.
Classificação das Informações
Confidenciais – São protegidos contra acesso externo, o
acesso não autorizado pode comprometer o
funcionamento da instituição, causar danos financeiros, a
imagem ou perda de fatias de mercado para o
concorrente.
Exemplos: dados pessoais de clientes e funcionários, senhas,
informações sobre as vulnerabilidades de segurança dos
sistemas institucionais, contratos, balanços, etc.
Secretas – o acesso interno ou externo de pessoas não
autorizadas a esse tipo de informações é extremamente
crítico para a instituição. É imprescindível que o número
de pessoas autorizadas seja muito restrito e o controle
sobre o uso dessas informações seja total.
Exemplos: dados militares e de segurança nacional.
Classificação dos Sistemas

Como os ambientes computacionais são complexos, a

melhor estratégia de implementação de segurança é utilizar controles
em vários níveis diferentes.

Podemos, por exemplo, subdividir os sistemas de

informações em 4 camadas:

Aplicativos
Serviços
Sistema Operacional
Hardware
Classificação dos Sistemas
Programas aplicativos – projetados para atender a
necessidades específicas do usuário.
Serviços – utilizados pelos aplicativos, como por
exemplo os serviços prestados por um SGBD (Sistema
Gerenciador de Banco de Dados).
Sistema Operacional – presta os serviços de mais baixo
nível, tais como gerenciamento de impressora e
gerenciamento de arquivos.
Hardware – o processador e a memória que suportam o
sistema operacional.

Cada camada deve ser analisada individualmente em termos de

segurança, configurada e monitorada de forma compatível com
o nível de segurança definido. Dessa forma será mais fácil
estabelecer medidas de segurança mais efetivas.
Analisando Riscos

Muitas vezes o termo risco é utilizado como sinônimo de ameaça

ou da probabilidade de uma ameaça ocorrer.
Na verdade, risco é uma combinação de componentes, tais como:
Ameaças;
Vulnerabilidades; e
Impactos.

A análise de riscos engloba tanto a análise de ameaças e

vulnerabilidades quanto a análise de impactos, a qual identifica os
componentes críticos e o custo potencial ao usuário do sistema.
A análise de riscos é o ponto chave da política de segurança.
Analisando Riscos

Para tomar as precauções corretamente, é preciso inicialmente:

identificar as ameaças e os impactos;

determinar a probabilidade de uma ameaça se concretizar
entender os riscos potenciais, classificando-os por nível de
importância e severidade da perda, e os custos envolvidos na
sua prevenção ou recuperação.

“ Se combater uma ameaça for mais caro do que seu dano

potencial, talvez não seja aconselhável tomar qualquer medida
preventiva nesse sentido.Tudo depende da importância do recurso
ameaçado para a continuidade dos negócios da organização. “
 Analisando Riscos
Vale ressaltar que os riscos podem ser apenas reduzidos, já que é
impossível eliminar todos os riscos.

Tomando medidas de segurança mais rígidas, os riscos podem ser cada

vez menores, mas nunca serão totalmente anulados.

A quebra de segurança sempre poderá ocorrer. Tudo é uma questão de

tempo, recursos técnicos e econômicos.

Conhecer com antecedência as ameaças aos recursos informacionais e

seus impactos pode resultar em medidas efetivas para reduzir as
ameaças, as vulnerabilidades e, conseqüentemente, os impactos.

Agindo de maneira proativa, pode-se facilitar e tornar menos onerosas

as medidas corretivas.
Analisando Ameaças
Recurso – componente de um sistema computacional, podendo ser
recurso físico, software, hardware ou informação.
Ameaça – evento ou atitude indesejável (roubo, incêndio, vírus, etc.)
que potencialmente remove, desabilita, danifica ou destrói um recurso.
Vulnerabilidade – fraqueza ou deficiência que pode ser explorada por
uma ameaça. Pode ser associada à probabilidade da ameaça ocorrer.
Ataque – ameaça concretizada.
Impacto – conseqüência de uma vulnerabilidade do sistema ter sido
explorada por uma ameaça. E o resultado da concretização de uma
ameaça.
Probabilidade – chance de uma ameaça atacar com sucesso o sistema
computacional.
Risco – medida da exposição a qual o sistema computacional está
sujeito. Depende da probabilidade de uma ameaça atacar o sistema e do
impacto resultante desse ataque. Nesse contexto, o risco envolve três
componentes:
ameaças, vulnerabilidades associadas e impactos.
Analisando Ameaças
Ameaça pode ser uma pessoa, uma coisa, um evento ou uma idéia
capaz de causar dano a um recurso, em termos de confidencialidade,
integridade, disponibilidade, etc. Ameaça é tudo aquilo que pode
comprometer a segurança de um sistema, podendo ser:
 Acidental (falha de hardware, erros de programação, erros do
usuário, naturais);
 Deliberada (roubo, espionagem, fraude, sabotagem, invasão
de hackers).
As ameaças deliberadas podem ser subdivididas ainda em passivas e
ativas:
 Ameaças deliberadas passivas envolvem invasão e/ou
monitoramento, mas sem alteração de informações.
 Ameaças deliberadas ativas envolvem alteração de dados.

É importante ressaltar que a magnitude de uma ameaça deliberada

está diretamente relacionada com oportunidade, motivação e forma com
que são detectadas e punidas as quebras de segurança.
Analisando Ameaças
Independentemente do tipo (acidentais ou deliberadas), as ameaças
fundamentais em um ambiente informatizado são:

Vazamento de informações (voluntário ou involuntário);

Violação de integridade;
Indisponibilidade de serviços de informática;
Acesso e uso não autorizado;

Existem ainda outros tipos de ameaças que, ao se efetivarem em

um ataque, permitem a realização de uma ou mais das ameaças
fundamentais citadas:

 Mascaramento;
 Desvio de controles(bypass);
 Violação autorizada;
 Ameaças programadas.
Analisando Ameaças
Vazamento de informações (voluntário ou involuntário) – informações
desprotegidas ou reveladas a pessoas ou programas não autorizados. Em
hospitais e bancos, a quebra de sigilo das informações sobre seus
clientes adquire outras conotações legais mais sérias.
Violação de integridade – comprometimento da consistência de dados.
Indisponibilidade de serviços de informática – impedimento
deliberado de acesso aos recursos computacionais por usuários
autorizados.
Acesso e uso não autorizado – um recurso computacional é utilizado
por pessoa não autorizada ou de forma não autorizada.
Mascaramento – uma entidade(pessoa ou programa) se faz passar por
outra entidade.
Desvio de controles (bypass) – um cracker, por exemplo, explora falhas
do sistema e vulnerabilidades de segurança burlando os controles para
obter direitos de acesso não autorizados.
Violação autorizada – um usuário ou programa autorizado usa o
sistema com propósitos não autorizados.
Ameaças programadas – códigos de software que se alojam no sistema
com intuito de comprometer sua segurança, alterando seu
comportamento, violando controles de segurança, alterando ou
destruindo dados.
Analisando Ameaças

A análise dessas ameaças e vulnerabilidades:

Tenta definir a probabilidade de ocorrência de cada

evento adverso e as conseqüências da quebra de segurança.

 A análise de impactos:

Identifica os recursos críticos do sistema, isto é, recursos

que mais sofrerão impactos na ocorrência de uma quebra de
segurança.

 A combinação desses dois tipos de análise compõe a chamada

Análise de Riscos.
Segundo a Datapro Research, centro de pesquisa inglês, os danos
mais comuns em instituições do Reino Unido são provocados:

por erros humanos (55%);

incêndios (15%);
atividades desonestas (10%);
sabotagem (10%);
água (10%);
terrorismo(3%);
funcionários (81%);
ex-funcionários(6%);
pessoas externas à organização (13%);

Na maioria das vezes, os crimes de computador estão

relacionados a:
Roubo de recursos econômicos (44%);
Danificação de software (16%);
Roubo de informações (16%).
Segundo a Safetynet PLC, instituição também inglesa, as causas
de problemas na área de informática são:

acidentes ou erros humanos (55%);

atos deliberados ou desonestos (30%);
causas naturais (15%);
falhas de hardware (42,5%);
falhas de software (17,5%);
falhas de equipamentos de fornecimento de energia e de
refrigeração(15%);
terrorismo (12,5%);
Bugs de Software

Um software é considerado seguro quando faz exatamente o que se

espera dele;
A maioria dos bugs é causada por erros de projeto ou de programação;
O computador pára, o aplicativo entra em loop, o arquivo que estava
sendo editado é corrompido, etc;
No entando, existem outros bugs mais preocupantes: aqueles
propositalmente codificados pelos projetistas para facilitar a
depuração do programa;
Esses bugs projetados são também conhecidos como BACK DOORS;
A back door é uma ameaça programada que permite acesso não
autorizado ao sistema ou aplicativo, sem ter que passar pelo processo
normal de autenticação;
Além dos programadores da aplicação, também os hackers podem
utilizar back doors;
Os invasores estão em busca de bugs nos softwares, por estes serem
um potencial porta de entrada aos sistemas;
Após penetrar em um sistema, o hacker pode, por exemplo, inserir um
back door para facilitar futuros acessos.
Ameaças Programadas
Os programas também podem passar a ter um comportamento
estranho, não por acidente, mas pela execução de códigos gerados
com intuito de danificar ou adulterar o comportamento normal dos
softwares, são chamados de ameaças programadas:

Cavalo de tróia;
Vírus;
Worms;
Bactérias;
Back doors;
Bombas lógicas.
Diferentes Nomenclaturas para
Ameaças Programadas

Normalmente as ameaças programadas são chamadas de

vírus, mas, tecnicamente, existem outras nomenclaturas mais
específicas.

As diversas ameaças programadas são classificadas pela

forma como se comportam, como são ativadas ou como se
espalham.

Os tipos principais são:

Vírus
Worms
Bactérias
Bombas lógicas
Cavalo de Tróia
Vírus
 pequenos programas projetados para se replicarem e se espalharem de
um computador a outro atacando programas ou o setor de boot de um
disco rígido.
 São seqüências de código inseridas em outro código executável, de
forma que, quando esses programas são ativados, os vírus também são
executados.
 Como os vírus não são programas executáveis por si mesmos, sempre
necessitam de outro código para que sejam executados.
 São variações de cavalos de tróia, com um mecanismo de
ativação(evento ou data) e com uma missão(apagar arquivos, enviar
dados, etc), que se propagam(anexando-se a arquivos e programas).
 Uma vez ativo, o vírus pode infectar imediatamente outras partes do
computador(outros programas, arquivos, disquetes e setores de disco)
ou permanecer residente na memória do computador e oportunamente
infectar outros programas e disquetes.
 Normalmente são encontrados em microcomputadores;
Worms

 Programas que se propagam de um computador a outro em uma rede,

sem necessariamente modificar programas nas máquinas de destino.
 Worms são programas que podem rodar independentemente e
trafegam de uma máquina a outra através das conexões de rede,
podendo ter pedaços de si mesmos rodando em várias máquinas.
 As Worms geralmente não modificam outros programas, embora
possam carregar outros códigos que o façam (como vírus, por
exemplo).
 Um exemplo de worm foi o que ocorreu na Internet em novembro de
1988, quando várias máquinas e redes foram bloqueadas, à medida
que a worm se espalhava pela Internet.
 Em maio de 2000, a worm VBS/LoveLetter e suas variantes,
causaram problemas em redes de computadores do mundo inteiro.
Bactéria

 Programa que gera cópias de si mesmo com intuito de sobrecarregar

um sistema de computador;
 As bactérias são programas que não causam explicitamente danos aos
arquivos.
 Seu único propósito é a sua replicação.
 Essa reprodução de bactérias é exponencial, isto é, uma bactéria gera
duas outras, essas duas geram mais quatro, e assim sucessivamente.
 Eventualmente podem assumir toda a capacidade do processador, da
memória ou do espaço em disco, impedindo o acesso de usuários
autorizados a esses recursos.
 Alguns autores as chamam também de coelhos(rabbits).
Bomba lógica

 Ameaça programada, camuflada em programas, que é ativada quando

certas condições são satisfeitas.
 As bombas lógicas permanecem dormentes, ou inativas, em softwares
de uso comum por um longo período de tempo até que sejam ativadas.
 Quando isso ocorre, executam funções que alteram o comportamento
do software “hospedeiro”.
 Geralmente as condições ativadoras de bombas lógicas são:
 Um dia da semana ou do ano;
 A presença ou ausência de certos arquivos; ou
 Um determinado usuário rodando a aplicação.
 Uma vez ativada, a bomba lógica pode destruir ou alterar dados,
travar o computador ou danificar o sistema.
Cavalo de Tróia
 Programa que parece ter uma função mas que, na realidade, executa
outras funções.
 Análogos ao mito da história grega, os cavalos de Tróia modernos se
parecem com um programa que o usuário gostaria de rodar(como um
jogo, uma planilha eletrônica ou um editor de textos).
 Enquanto parece estar executando o que o usuário quer, na verdade o
cavalo de Tróia está fazendo algo completamente diferente, como por
exemplo, apagando arquivos, reformatando discos ou alterando dados.
 Tudo o que o usuário vê é apenas a interface adulterada do programa
que ele queria utilizar.
 Quando o cavalo de Tróia é percebido, geralmente já é tarde demais.
 Normalmente os cavalos de Tróia são utilizados como veículos para
vírus, worms e outras ameaças programadas.
Tipos de Vírus

 Vírus de setor de boot;

 Vírus parasitas;
 Vírus camuflados;
 Vírus polimórficos;
 Vírus de macro;
Tipos de Vírus
 Vírus de setor de boot – ao infectar o computador, o conteúdo
original do setor de boot do disco rígido é movido para outra parte do
disco, o vírus passa a ocupar aquele espaço e instrui o computador a
continuar com sua rotina normal de inicialização. O usuário não
percebe o problema, já que o computador parece se comportar como
de costume e o vírus irá infectar todos os arquivos e disquetes
inseridos no computador;

 Vírus parasitas – utilizam arquivos executáveis como hospedeiros,

inserindo, logo no início desses arquivos, instruções de desvio para o
código do vírus. Após infectar outros arquivos no HD, o vírus retorna
o controle para o programa hospedeiro, o qual é executado como se
nada de errado estivesse acontecendo. A cada vez que o hospedeiro é
executado, há uma nova replicação do vírus;
Tipos de Vírus
 Vírus camuflados – os projetistas de vírus, com intuito de garantir
que suas criações não fossem detectadas antes de se espalharem pelo
computador, criaram uma nova categoria: os vírus camuflados. Esse
tipo de vírus suprime as mensagens de erro que normalmente
aparecem quando ocorrem tentativas de execução de atividades não
autorizadas. Para não serem detectados facilmente pelos softwares
anti-vírus, os vírus camuflados mais sofisticados utilizam ainda
criptografia para dificultar sua identificação;

 Vírus polimórficos – são ainda mais poderosos, pois são projetados

para enganar os o softwares anti-vírus, alterando seu tamanho e
aparência cada vez que infectam um novo programa. A aparência
desses vírus pode ser modificada por sua subdivisão em várias partes
ou armazenamento sob a forma criptografada. Já existem programas
que podem ser adicionados ou anexados a um vírus para torná-lo
polimórfico, habilitando-o a uma mutação a cada reprodução;
Tipos de Vírus
 Vírus de macro – tecnicamente, os arquivos de dados não contém
vírus, pois não são arquivos executáveis. Porém, com a introdução de
macros nos processadores de textos e planilhas mais recentes, isso
deixou de ser verdade. Com a incorporação de macros, os documentos
ou planilhas podem conter pequenos programas, normalmente usados
para executar atividades previamente programadas. Com a inserção de
macros com as mesmas funções de um vírus, a simples carga de um
documento infectado é suficiente para ativar o vírus. Cada arquivo ou
documento produzido por um aplicativo infectado, também estará
infectado. Se o software aplicativo for compatível com sistemas
operacionais diferentes, esse tipo de vírus poderá infectar qualquer um
deles.