Segurança da Informação
A primeira coisa que veremos em segurança da informação é a proteção de perimetro. Pois de nada adianda termos as mais modernas proteções lógicas (softwares) nos computadores se não houver proteção contra acesso físico indevido.
Proteção de Perímetro Física
Para efetuar uma proteção de perímetro deve-se entender alguns conceitos básicos como o propósito de proteção conforme a explicação abaixo:
As Medidas de Segurança Física podem ser definidas como sendo um conjunto de ações técnicas, administrativas ou operacional, planejadas, elaboradas e implementadas com o objetivo de proporcionar proteção física as pessoas e bens de uma organização.
As medidas de segurança física são medidas proteção adotadas em um perímetro de segurança previamente delimitado, ou bem a ser protegido, com a finalidade de controlar e administrar o acesso ao referido perímetro ou bem.
As medidas de segurança física têm por objetivo principal implementar o conceito de perímetro de segurança, oferecendo níveis de segurança e proteção complementares e crescentes.
As medidas de segurança física tem a finalidade de desencorar, dificultar, descriminar, detectar e deter o acesso físico indevido.
Desencorajar
Cumpre o papel inicial de desestimular o agressor potencial. Visa desencorajar ou levar os invasores a perderem o interesse em atacar o alvo pela existente explicita de medidas de segurança física.
A presença ostensivas de câmeras de segurança, alarmes, barreiras físicas, são exemplos de medidas desencorajadoras.
Dificultar
As medidas de segurança física por meio da mecanismos e controles visam a dificultar o acesso indevido. Como exemplo, pode-se citar os dispositivos de autenticação para acesso físico, como roletas, detectores de metal e alarmes, senhas etc.
Descriminar
Com estas medidas, busca-se cercar de recursos que permitam identificar e gerir os acessos definindo perfis e autorizando permissões. A descriminação visa identificar e checar autorizações de acessos a ambientes específicos, para pessoas credenciadas para tal.
Detectar
Essas medidas buscam munir a segurança de dispositivos que sinalizem e alertem sobre tentativas de invasão.
Deter
Esta medida de segurança tem como objetivo impedir que a ameaça atinja os recursos sensíveis da organização.
Classificação das Medidas de Segurança Física
As medidas de segurança para efeito didático pode ser dividida em:
Quanto aos recursos utilizados:
Vigilância Patrimonial – A atividade de vigilância patrimonial é a atividade exercida em eventos sociais e dentro de estabelecimentos, urbanos ou rurais, públicos ou privados, com a finalidade de garantir a incolumidade física das pessoas e a integridade do patrimônio. A atividade vigilância patrimonial deve ser desenvolvida por vigilantes qualificados e credenciados junto a Polícia Federal. A Vigilância Patrimonial se caracteriza pela sua ostensividade, onde o emprego do vigilante são identificados de relance, quer pelo uniforme, quer pelos equipamentos ou veículo utilizados ou pela metodologia de ação adotada.
Medidas Organizacionais – São medidas táticas que envolvem a composição e distribuição do efetivo da segurança (recursos humanos), e também, envolve a atribuição de atividades e responsabilidades referente a segurança física da organização. Envolvem a estrutura organizacional da segurança e a política de segurança física pretendida. Estabelece diretrizes e objetivos para a segurança física da organização e geralmente são contempladas no planejamento tático.
Medidas Administrativas – São as medidas necessárias para o bom funcionamento e organização da segurança física. Como exemplo de medidas administrativas podemos citar:
- Procedimentos e Normas de Segurança;
- Palestras e treinamentos;
- Campanhas de divulgação e conscientização interna sobre praticas de segurança física.
O objetivo principal é estabelecer regras de comportamento e convivência, e atribuir autoridade e responsabilidades. A burocracia se faz necessária para formalizar ações e medidas de segurança a serem adotadas.
Barreiras Físicas – Barreiras físicas são obstáculos naturais ou artificiais que podem ser utilizados para impedir ou dificultar o acesso a um determinado perímetro de segurança.
- Barreiras Físicas Naturais: Rios, lagos, alagadiço, vegetação, encostas e etc.
- Barreiras Físicas Artificias: Muros, alambrados, cercas, guaritas, portarias e etc;
Medidas Tecnológicas – Podemos chamar de medidas tecnológicas, todos os recursos de segurança eletrônica disponíveis, tais como:
- CFTV;
- Sistema de Alarmes;
- Cercas Elétricas;
- Controle de Acesso Eletrônico;
- Etc.
Quanto a Forma de Atuação
Quanto a forma de atuação, as medidas de segurança física, podem ser divididas em:
Medidas Passivas – São medidas de segurança que se caracterizam por serem estáticas. As medidas passivas não reagem a uma agressão ou violação de espaço, não atuam de forma automática.
São exemplos de medidas passivas: alambrados, muros, portões e etc.
Medidas Ativas – São aquelas medidas de segurança que tem uma ação automática e programada de acordo com a ocorrência identificada. As medidas ativas reagem automática a um evento. São exemplos de medidas ativas: vigilante, sensores detectores de presença, catracas eletrônicas e etc.
Medias de Inteligência – São Atividades de Inteligência adotadas em caráter preventivo, tais como:
- Análise de Riscos;
- investigações atitudes de suspeitas, denuncias e ocorrências;
- monitoramento de ações criminosas e etc.
Ainda dentro da area de segurança física, deve-se considerar os desastres naturais, acidentes e tentativas de sabotagem por destruição. Pois pode ser tão danoso para uma empresa a subtração de suas informações ou a destruição destas informações.
Combate a incêndios – O sistema de combate e prevenção contra incêndios pode ser composto por procedimentos de brigadas de incêndio, de sistema de detecção de fumaça, gases inibidores e extintores. Além de atender as normas exigidas pelo corpo de bombeiros local, o sistema de combate de incêndio não poderá causar danos nos equipamentos em caso de incêndio. Assita o vídeo abaixo:
Proteção Lógica
Para proteção lógica, se faz necessário, conhecer as ameaças.
Malware
Um código malicioso,programa malicioso, software nocivo, software mal-intencionado ou software malicioso (em inglês: malware, abreviação de “malicious software”), é um programa de computador destinado a infiltrar-se em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações (confidenciais ou não). Ele pode aparecer na forma de código executável, scripts de conteúdo ativo, e outros softwares. “Malware” é um termo geral utilizado para se referir a uma variedade de formas de software hostil ou intruso. O termo badwares é às vezes utilizado e confundido com softwares prejudiciais não intencionais.
Tipos de Malware
Spyware é um tipo de malware que é difícil de se detectar. Ele coleta informações sobre seus hábitos online, histórico de navegação ou informações pessoais (como números de cartão de crédito), e geralmente usa a internet para passar estas informações a terceiros sem você saber. Keyloggers são um tipo de spyware que monitora as teclas do seu teclado. Spyware vem geralmente acoplado a um outro software ou a downloads em sites de compartilhamento de arquivos (ex.: sites onde você baixa música ou filmes de graça), ou instalado quando você abre um e-mail em anexo. Por causa da natureza secreta do spyware, a maioria das pessoas nem sabe quando tem um spyware no computador.
Adware é um tipo de software gratuito mantido por propagandas que aparecem como janelas de pop-up ou como barra de ferramenta em seu computador ou navegador. A maioria dos adwares são irritantes, mas seguros.Porém, alguns são usados para coletar suas informações pessoais, rastrear os sites que você visita ou até mesmo gravar as teclas que você digita. Assim como um spyware, adware é geralmente acoplado a um software gratuito, mas pode também ser instalado em um navegador ou sistema operacional através de um furo de segurança.
Um vírus de computador é um programa ou pedaço de código que é carregado ao seu computador sem seu conhecimento ou permissão. Alguns vírus são meramente irritantes, mas a maioria dos vírus são destrutivos e designados a infectar e controlar sistemas vulneráveis. Um vírus pode se alastrar a vários computadores e redes ao criar cópias dele mesmo, assim como um vírus biológico passa de uma pessoa para a outra. Vírus são geralmente escondidos em um programa usado em comum com outras pessoas, como um game ou PDF, ou você pode receber um arquivo infectado anexado ao seu e-mail ou de um outro arquivo baixado da internet. Assim que você começa a interagir com o arquivo (roda o programa, clica em um anexo ou abre um arquivo), o vírus roda automaticamente. O código pode copiar a si mesmo para outros arquivos e fazer mudanças em seu computador.
Um Trojan Horse (Cavalo de Tróia) é um tipo de vírus que pretende ser útil ou divertido enquanto na verdade causa problemas e rouba dados.
Worms são programas que se auto replicam e se espalham pelas redes de computadores.
Spam é uma mensagem não solicitada que promove um serviço ou produto. Seu dispositivo recebe com frrequência mensagens de spam não solicitadas, geralmente em quantidades muito grandes. Os criadores de spam se disfarçam como comerciantes, amigos ou membros da família.
Um rootkit é um programa designado a fornecer a hackers acesso administrativo ao seu computador sem você saber disso. Rootkits podem ser instalados de várias maneiras, incluindo via comerciais de produtos de segurança e extensões de aplicativos de terceiros, que parecem seguros. Rootkits não podem se espalhar sozinhos, mas em vez disso, se tornam um componente de várias ameaças.
Ransomware (também conhecido como rogueware ou scareware) restringe o acesso ao sistema do seu computador e pede que um resgate seja pago para que a restrição seja removida. Os ataques de ransomware mais perigosos são causados pelos ransomwares WannaCry, Petya, Cerber, Cryptolocker e Locky. Ransomware é criado por scammers que conhecem muito bem a área de computação. Ele pode entrar em seu PC através de um anexo de e-mail ou através do seu navegador se você tiver visitado um site que está infectado com este tipo de malware. Ele pode ainda acessar seu PC através da sua rede de internet.
Um sequestrador de navegador é um programa de malware que altera as configurações do seu navegador e redireciona você a websites que você não tinha intenções de visitar. Muitos sequestros de navegadores ocorrem através de um software add-on, também conhecido como extensões de navegadores, objetos de ajuda do navegador ou barras de ferramentas. Geralmente, esses itens podem melhorar sua navegação em um site ao oferecer conteúdos interativos, como animações. Entretanto, alguns softwares add-on podem congelar seu computador ou apresentar conteúdos que você não deseja, como pop-ups de propaganda.
Keylog é um software que grava tudo que você clica em seu teclado. O programa então envia o arquivo de log para um servidor específico, onde bandidos podem ler qualquer informação que você tenha adicionado, incluindo senhas, números de cartão de crédito, mensagens instantâneas, e-mails, endereço de e-mail e URLs de sites.
Outros tipos de perigos digitais
Hackear um computador refere-se à manipulação do comportamento normal de um computador e seus sistemas conectados. Isso é feito normalmente usando scripts ou programas que manipulam os dados que passam pela conexão de rede para acessar informações do sistema. Técnicas de hackeamento incluem vírus, worms, cavalos de Tróia, ransomware, sequestro de navegadores, rootkits e “denial-of-service-attack”.
Phishing é uma maneira desonesta que cibercriminosos usam para enganar você a revelar informações pessoais, como senhas ou cartão de crédito, CPF e número de contas bancárias. Eles fazem isso enviando e-mails falsos ou direcionando você a websites falsos. Mensagens de Phishing parecem ser enviados por organizações legítimas como PayPal, UPS, uma agência do governo ou seu banco; entretanto, elas são em fato falsas mensagens. Os e-mails pedem de forma educada por atualizações, validação ou confirmação de informações da sua conta, sempre dizendo que houve algum problema. Você é então redirecionado a um site falso e enganado a apresentar informações sobre a sua conta, que podem resultar em roubos de identidade.
Existem vários tipos de online scam mas todos eles têm uma coisa em comum: eles estão tentando enganar você a fornecer as suas informações pessoais ou fazê-lo pagar dinheiro por algo que você jamais receberá. Os tipos mais comuns de scams na internet são e-mails como o do famoso nigeriano que quer compartilhar sua fortuna com você, sites de leilão, scams no Craig’s List, sites de relacionamento, antivírus falsos, “faça dinheiro rápido” e scams de cartões de crédito pré-aprovados.
Engenharia Social – O link mais frágil em qualquer cadeia de segurança são os humanos. Engenharia social busca explorar este link frágil ao apelar para ataques que atinjam a vaidade, a ganância, a curiosidade e o altruísmo das pessoas, ou mesmo o respeito ou medo que elas têm de autoridades fazendo com que elas revelem certas informações ou permitam o acesso a um sistema de TI.
Há dois tipos de roubo de identidade. O primeiro envolve o uso de suas informações pessoais pelo ladrão para abrir contas em seu nome, como de cartão de crédito ou telefone celular. No segundo, o ladrão utiliza suas informações para obter acesso às suas contas e gastar o seu dinheiro antes que você perceba que algo está errado. A internet facilitou bastante o roubo de identidade. Agora é muito mais fácil acessar os dados pessoais e acumular gastos enormes em compras on-line.
Crime Virtual é uma ameaça ainda maior, sendo um dos esquemas mais lucrativos do mundo do crime. Existe uma grande variedade de crimes virtuais, podendo ser divididos em duas categorias: crimes isolados, como a instalação de um vírus capaz de roubar seus dados pessoais, e crimes contínuos, como bullying virtual, extorsão, distribuição de pornografia infantil e organização de ataques terroristas.
Cracking –Embora hacking seja o processo de contornar as proteções de um computador para obter acesso a ele (o que pode ser bom ou ruim), cracking se refere à mesma prática, mas com intenções criminosas. Pense assim: os hackers constroem, enquanto os crackers destroem. Os crackers estão envolvidos em práticas desonestas como roubo de números de cartões de crédito, disseminação de vírus, destruição de arquivos ou coleta de dados pessoais para vendê-los.
DDoS – Os ataques de DDoS tentam derrubar sites ou redes inteiras sobrecarregando-as com tráfego proveniente de milhares de computadores infectados, que fazem parte de redes conhecidas como botnets. Os sites de bancos, notícias e até de governos são os principais alvos de ataques de DDoS, cujo objetivo é torná-los indisponíveis para os usuários. Além disso, como tanto o alvo quanto os computadores usados na botnet são vítimas, os usuários comuns se tornam danos colaterais do ataque, sofrendo lentidão ou travamento dos seus PCs enquanto trabalham involuntariamente para o hacker.
Botnet (de bot network, ou rede de robôs), também conhecida como exército de zumbis, é uma rede composta por um grande número de computadores que foram infectados por malwares para atender aos comandos do hacker que a criou. Com o controle de centenas ou mesmo milhares de computadores, as botnets são geralmente usadas para enviar spam ou vírus, roubar dados pessoais ou executar ataques de DDoS. Elas são consideradas uma das maiores ameaças on-line da atualidade.
Bullying Virtual – Talvez o bullying virtual seja o tipo de ataque on-line mais nocivo que existe, dada a forma como ele se aproveita da insegurança e das vulnerabilidades das vítimas para causar humilhação e danos psicológicos por atacantes que costumam se esconder por trás de personas on-line. O bullying virtual geralmente envolve o envio de mensagens ameaçadoras à vítima, a publicação em redes sociais de fotos ou vídeos que possam provocar sua humilhação ou, ainda, a criação de um site falso sobre ela. Como a mídia mostra com frequência, os efeitos do bullying virtual podem ser devastadores e até mesmo fatais.
Um sniffer não necessariamente é malicioso. Na verdade, este tipo de software é usado com frequência para monitorar e analisar o tráfego de rede para detectar problemas e manter um fluxo eficiente. No entanto, um sniffer também pode ser usado com má fé. Eles capturam tudo o que passa por eles, inclusive senhas e nomes de usuários não criptografados. Dessa forma, os hackers com acesso a um sniffer terão acesso também a qualquer conta que passar por ele. Além disso, um sniffer pode ser instalado em qualquer computador conectado a uma rede local. Ele não precisa ser instalado no próprio aparelho que se deseja monitorar. Em outras palavras, ele pode permanecer oculto durante a conexão.
Todos estes problemas citados anteriormente, podem ser evitados com uma correta política de acesso e alguns programas de segurança. A seguir, listaremos alguns programas de proteção e/ou remoção de ameaças.
Antivírus
Os antivírus ou antimalwares são programas desenvolvidos para prevenir, detectar e eliminar vírus de computador e outros tipos de softwares nocivos ao sistema operacional. Para escolher o antivírus ideal para proteger o seu equipamento você pode acompanhar estudos de instituições internacionais independentes como AV-Test ou AV-Comparatives, que utilizam milhares de amostras diferentes e malwares e atestam a eficiência dos mais diversos antivírus na proteção do sistema e na limpeza de um sistema já infectado, além disso outras características como facilidade de uso para o usuário e impacto do antivírus na velocidade do equipamento.
A principal diferença entre antivírus pago e antivírus gratuito é que as versões pagas oferecem proteções extras para aumentar a proteção, que em sua grande maioria não disponíveis nas versões grátis. Entre os antivírus gratuitos mais conhecidos estão: AVG, Avast, Avira e Microsoft Security Essential. Entre as opções pagas existentes no Brasil, possuem o melhor desempenho nos principais testes produtos como o Kaspersky, BitDefender (que também possui versão gratuita), Panda (que também possui versão gratuita), e Norton.
Como o antivírus protege o seu computador
Todo software antivírus conta com o seu próprio banco de dados, onde são armazenadas informações a respeito das ameaças encontradas em ambientes virtuais. Essas informações são atualizadas diariamente, a partir da intensa pesquisa realizada pelos fabricantes de programas de proteção, buscando por novos tipos de vírus lançados na rede.
![Antivirus](http://cecead.com/wp-content/uploads/2019/02/antivirus.jpg)
Construindo uma espécie de catálogo de ameaças, os antivírus rastreiam informações e comparam o comportamento de novos arquivos que acessam o seu computador com os cadastros existentes em seu banco de dados. Dessa forma, são capazes de detectar a presença de invasores em sua máquina.
Outro procedimento comum é a chamada análise heurística, cuja função é monitorar atividades suspeitas e emitir alertas caso algum programa ou arquivo malicioso tente alterar as configurações do sistema ou de outros arquivos armazenados no computador.
Há ainda a opção da quarentena que funciona como uma espécie de prisão para as ameaças encontradas, mas que ainda não foram identificadas pelo antivírus. Sendo assim, o programa é responsável por manter o arquivo suspeito em isolamento, até que o vírus seja detectado ou não.
Firewall
Um firewall (em português: parede de fogo) é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. O firewall pode ser do tipo filtros de pacotes, proxy de aplicações, etc. Os firewalls são geralmente associados a redes TCP/IP.
Este dispositivo de segurança existe na forma de software e de hardware, a combinação de ambos é chamado tecnicamente de “appliance”. A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que controlam o fluxo de entrada e saída de informações e do grau de segurança desejado.
Tipos de Firewall
Packet filtering (ou filtragem de pacotes)
É uma metodologia simples, mas que oferece um nível significativo de segurança. Consiste basicamente em uma lista de regras criadas pelo desenvolvedor, que o firewall analisa. Se as informações são compatíveis, então aquele usuário é autorizado. Caso contrário, é negado. São dois os tipos de filtragem de pacotes:
- Estático: os dados são analisados com base nas regras, independentemente da ligação que cada pacote tem com o outro. É uma boa solução, embora possa ocorrer o bloqueio de algumas respostas necessárias devido a conflitos que podem ser criados, já que as regras são estáticas.
- Dinâmico: surgiu para corrigir as limitações dos filtros estáticos. Ele permite a criação de regras que se adaptem ao cenário, possibilitando que os pacotes trafeguem quando necessário e apenas durante o período determinado, corrigindo esse gargalo dos pacotes estáticos.
Proxy Services (ou firewall de aplicação)
O firewall de aplicação atua intermediando um computador ou rede interna e outra rede (normalmente a internet). Eles são geralmente instalados em servidores bem potentes, pois lidam com grande número de solicitações. O proxy de serviço é uma boa opção de segurança pois não permite a comunicação direta entre origem e destino, fazendo com que todo o fluxo passe por ele e tornando assim possível o estabelecimento de regras que impedem o acesso de determinados endereços externos.
O firewall de aplicação também executa tarefas complementares, como:
- Registro de tráfego de dados em arquivo de log;
- Armazenamento de conteúdos muito utilizados em cache;
- Liberação de determinados recursos apenas mediante autenticação do usuário.
- Porém, sua implementação não é fácil, dada a grande quantidade de serviços e protocolos existentes na internet, que, dependendo das circunstâncias, fazem com que o proxy de serviço exija muito trabalho de configuração para bloquear ou autorizar determinados acessos ou até mesmo não consiga fazê-lo.
Stateful Inspection (ou inspeção de estados)
Considerado por alguns como a evolução dos filtros dinâmicos, os firewalls de inspeção de estado fazem uma espécie de comparação entre o que está acontecendo e o que espera-se que aconteça.
Para isso eles analisam todo o tráfego de dados em busca de padrões aceitáveis por suas regras, os quais, inicialmente, serão utilizados para manter a comunicação. E então, estas informações são então mantidas pelo firewall e usadas como parâmetro para o tráfego subsequente. Ou seja, se a transação de dados ocorrer por uma porta não mencionada, o firewall possivelmente detectará isso como uma anormalidade e efetuará o bloqueio do processo.
Antispyware
Antispyware – Para quem conhece inglês, ao se decompor a palavra “antispyware”, descobre-se facilmente o seu significado. Significando anti, contra; spy, espião; e ware, programa, chega-se à conclusão que antispyware é um programa que protege contra outros programas espiões, como por exemplo adware, spywares, keyloggers, etc.
Assim, há programas antivírus. que têm também essa função, mas outros programas, como por exemplo os firewalls que são específicos para proteger o computador da entrada de programas espiões.
Um programa antispyware funciona da mesma maneira que um programa antivírus (estudado anteriormente) por isso, também é importante manter o programa antispyware atualizado.
IDS (Intrusion detection System)
Um sistema de detecção de intrusos geralmente detecta manipulações de sistemas de computadores indesejadas, normalmente através da internet. Essas manipulações normalmente vêm de ataques de hackers.
Os IDS são usados para detectar vários tipos de comportamentos maliciosos que podem comprometer a segurança e a confiabilidade de um sistema. Eles incluem ataques pela rede contra serviços vulneráveis, ataques baseados em uma estação, como aumento de privilegio, logins não autorizados e malware.
Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança recebidos. Umas vez que é detectado alguma intrução, alertas são enviados, e podem haver dois tipos de resposta, ativa (IPS (Intrusion Prevention System)) ou passiva. Na ativa, respostas aos incidentes são geradas pelo próprio sistema, enquanto que na passiva, são gerados apenas relatórios para que o administrador venha a tomar as medidas que julgar necessárias.
Os IDS são divididos em alguns métodos de detecção, como: baseados em assinatura e detecção de anomalias. Intrusos tem assinaturas, como vírus de computadores, que podem ser detectados usando-se software. Tenta-se achar pacotes de dados que contenham quaisquer assinaturas conhecidas relacionadas a intrusos ou anomalias relacionadas a protocolos de Internet. Baseado em um conjunto de assinaturas e regras, o sistema de detecção pode achar atividades suspeitas e gerar alertas. Detecção de intrusos baseadas em anomalias geralmente dependem de anomalias nos pacotes presentes nos cabeçalhos dos pacotes. Em alguns casos esses métodos podem produzir resultados melhores comparados aos IDS baseados em assinaturas. Geralmente, IDS capturam dados da rede e aplicam suas regras a esses dados ou detectam anomalias neles.
Os IDS geralmente são apenas passivos, somente observando o sistema e gerando alertas para os responsáveis por este sistema. Porém, em alguns casos, o sistema pode reagir em caso de uma intrusão ser detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma conta, alguns autores, classificam os IDS que toman atitudes em tempo real de IPS.