Autoria: Bruno Moreira
Componentes:
Aline Rodrigues de Souza
Carlos Eduardo Guimarães de Salles
Carlos Eduardo Martins de Oliveira (CaEd)
Cristiane Barbosa da Cruz
Fabio dos Santos Moreira
José Osvaldo Amaral Tepedino
Maurício Domingues da Silva
Nívea Gonçalves da Silva
Paula Tabajaras
Rodrigo Otávio Guimarães Haydt
Simone de Miranda Milani
Sylvia Maria da Silva Seito
ÍNDICE
Segurança de Dados em Computação
– Introdução
– Objetivos
– Princípios Básicos
– Situações de Insegurança
– Os Prejuízos
– Leis
– Usuários & Senhas
– Backup
Segurança de Redes
– Introdução
– Ameaças e Ataques
– Política de Segurança
– Serviços de Segurança
– Mecanismos de Segurança
• Criptografia
• Firewalls
• Assinatura Digital
• Autenticação
• Controle de Acesso
• Integridade de Dados
• Enchimento de tráfego
• Controle de Roteamento
• Segurança Física e de Pessoal
• Hardware / Software de Segurança
• Rótulos de Segurança
• Detecção e Informação de Eventos
• Registro de Eventos
SEGURANÇA DE DADOS EM COMPUTAÇÃO
INTRODUÇÃO
Um dos maiores problemas e um dos mais difíceis de resolver é o da segurança de dados. O problema tem muitas facetas e envolve as instalações físicas, procedimentos operacionais, características do hardware do computador e convenções do software e da programação.
Vivemos em uma sociedade que se baseia em informações e que exibe uma crescente propensão para coletar e armazenar informações, por isso a necessidade de se ter mecanismos de segurança realmente eficientes.
A segurança de dados pode ser definida como a proteção de dados contra a revelação acidental ou intencional a pessoas não autorizadas, e contra alterações não permitidas.
A segurança no universo computacional se divide em segurança lógica e segurança física, presentes tanto em computadores standalones (PC’s individuais) como em computadores ligados em rede (Internet ou Rede interna).
Segurança Física:
Devemos atentar para ameaças sempre presentes, mas nem sempre lembradas; incêndios, desabamentos, relâmpagos, alagamentos, problemas na rede elétrica, acesso indevido de pessoas ao CPD, treinamento inadequado de funcionários, etc.
Medidas de proteção física, tais como serviços de guarda, uso de no-breaks, alarmes e fechaduras, circuito interno de televisão e sistemas de escuta são realmente uma parte da segurança de dados. As medidas de proteção física são freqüentemente citadas como “segurança computacional”, visto que têm um importante papel também na prevenção dos itens citados no parágrafo acima.
O ponto-chave é que as técnicas de proteção de dados por mais sofisticadas que sejam, não tem serventia nenhuma se a segurança física não for garantida.
Segurança Lógica:
Esta requer um estudo maior, pois envolve investimento em softwares de segurança ou elaboração dos mesmos.
Deve-se estar atento aos problemas causados por vírus, acesso de bisbilhoteiros (invasores de rede), programas de backup desatualizados ou feito de maneira inadequada, distribuição de senhas de acesso, etc..
Um recurso muito utilizado para se proteger dos bisbilhoteiros da Internet (administrador de sistemas), é a utilização de um programa de criptografia que embaralha o conteúdo da mensagem, de modo que ela se torna incompreensível para aqueles que não sejam nem o receptor ou provedor da mesma.
Disco de partida, disquete que possibilita colocar em funcionamento o micro no caso de um defeito no disco rígido, é uma ferramenta disponível no Windows 95 que vem reforçar a segurança dos dados, bem como outras ferramentas que retiram vírus de macro, protegem documentos no Word através de senhas, etc.
OBJETIVOS
O objetivo da segurança de dados abrange desde uma fechadura na porta da sala de computadores até o uso de técnicas criptográficas sofisticadas e códigos de autorização.
Seu estudo não abrange somente o crime computacional (hackers), envolve qualquer tipo de violação da segurança, como erros em processamento ou códigos de programação.
A segurança de dados objetiva restringir o uso de informações (softwares e dados armazenados) no computador e dispositivos de armazenamento associados a indivíduos selecionados, e pode ser dividida nos seguintes tópicos:
Os objetivos da Segurança em Informática são:
• Preservação do patrimônio da empresa (os dados e as informações fazem parte do patrimônio)
Deve-se preservá-lo protegendo-o contra revelações acidentais, erros operacionais (montagem errada de um disco magnético, por exemplo) e contra as infiltrações que podem ser de dois tipos:
Infiltração deliberada: tem como objetivos principais o acesso ás informações dos arquivos, descobrir os interesses da informação dos usuários, alterar ou destruir arquivos e obter livre uso dos recursos do sistema..
Infiltração ativa: consiste desde o exame periódico dos conteúdos das cestas de lixo da área do computador até à gravação clandestina dos dados armazenados. Isto inclui:
• Sapear: envolve o uso do acesso legítimo ao sistema para obtenção de informação não-autorizada;
• Usar disfarce: é a prática da obtenção de identificação própria através de meios impróprios (como a gravação clandestina) e a seguir o acesso ao sistema como um legítimo usuário.
• Detectar e usar alçapões: são dispositivos de hardware, limitações de software ou pontos de entrada especialmente plantados que permitem que fonte não-autorizada tenha acesso ao sistema.
• Infiltrar-se através de canais ativos de comunicações
• Meios físicos: incluem o acesso ao sistema através de uma posição no centro de computação, ou seja, profissionais que ocupam cargos com acesso ao CPD e deliberam as informações a terceiros; e o roubo de veículos removíveis de armazenamento.
• Manutenção dos serviços prestados pela empresa
• Segurança do corpo funcional
• Em caso de problemas: detecção das causas e origens dos problemas no menor prazo possível, minimização das conseqüências dos mesmos, retorno às condições normais no menor prazo, com o menor custo e com o menor trauma possíveis
Os caminhos para alcançar estes objetivos são bastante claros:
• Detecção e análise dos pontos vulneráveis
• Estabelecimento de políticas de segurança (técnicas de segurança incluem aspectos do hardware computacional, rotinas programadas e procedimentos manuais, bem como os meios físicos usuais de segurança local e segurança de pessoal, fechaduras, chaves e distintivos)
• Execução das políticas de segurança
• Acompanhamento
• Avaliação dos resultados contra os objetivos traçados
• Correção de objetivos e políticas
• Gerencia de acesso
Gerencia de acesso, ou controle de acesso, trata da prevenção para que usuários não autorizados obtenham serviços do sistema computacional ou obtenham acesso aos arquivos. Este controle é um pouco mais complicado quando se trata de rede, já que qualquer um pode se passar por usuário autorizado, daí a importância do uso de técnicas de segurança, como senhas ou identificação por cartões magnéticos
Este plano de segurança deve considerar os seguintes fatores:
1) Conteúdo das informações
Se refere à sensibilidade dos programas e dados que possam exigir uma das seguintes coisas: nenhuma providência sobre segurança de dados, restrições normais a necessidades de conhecimento, ou preocupações extensas para evitar revelação.
2) Ambiente:
Refere-se aos usuários e aos métodos pelos quais eles têm acesso ao sistema.
3) Comunicações:
Referem-se ao uso das facilidades das comunicações de dados, que podem ser no local do computador, podem ser uma rede privada ou pode ser uma rede pública.
4) Facilidades de sistema:
Referem-se a serviços previstos pelo sistema computacional que podem incluir, no mínimo, funções especializadas, solução de problema interativo, apoio remoto de programação e um sistema total de informação.
Basicamente, deve ser criado um Plano de Segurança (como evitar problemas) e um Plano de Contingência (o que fazer em caso de problemas).
É oportuno frisar que segurança absoluta não existe – ninguém é imune a ataques nucleares, colisões com cometas ou asteróides, epidemias mortais, seqüestros, guerras, ou a uma simples maionese com salmonela na festa de fim de ano da empresa.
Trata-se de descobrir os pontos vulneráveis, avaliar os riscos, tomar as providências adequadas e investir o necessário para ter uma segurança homogênea e suficiente. Se sua empresa fatura R$ 50.000,00 por mês você não pode ter a mesma segurança que uma empresa que fature 1 ou 2 milhões mensais. Sempre existirão riscos. O que não se pode admitir é o descaso com a segurança.
Deve-se perguntar:
• Proteger O QUE?
• Proteger DE QUEM?
• Proteger A QUE CUSTOS?
• Proteger COM QUE RISCOS?
O axioma da segurança é bastante conhecido de todos, mas é verdadeiro:
“Uma corrente não é mais forte do que o seu elo mais fraco”
PRINCÍPIOS BÁSICOS
Os princípios básicos de segurança em sistemas são:
• Confidencialidade: proteção da informação compartilhada contra acessos não autorizados; obtém-se a confidencialidade pelo controle de acesso (senhas) e controle das operações individuais de cada usuário (log)
• Autenticidade: garantia da identidade dos usuários
• Integridade: garantia da veracidade da informação, que não pode ser corrompida (alterações acidentais ou não autorizadas)
• Disponibilidade: prevenção de interrupções na operação de todo o sistema (hardware + software); uma quebra do sistema não deve impedir o acesso aos dados
SITUAÇÕES DE INSEGURANÇA
As ameaças podem ser oriundas das seguintes situações de insegurança:
Catástrofes
• Incêndio acidental ou intencional
• Alagamento por inundação de porões ou salas com risco potencial, por vazamento dos encanamentos ou por goteiras
• Explosão intencional ou provocada por vazamento de gás (em butijões ou encanado)
• Desabamento parcial ou total do prédio
• Impacto de escombros da cobertura (teto de gesso, forração ou telhado)
• Grande sobrecarga na rede elétrica ou relâmpagos que causam queima total de equipamentos
• Terremotos, que normalmente provocam uma combinação dos itens acima
• Guerras – com conseqüências imprevisíveis
Problemas ambientais
• Variações térmicas – excesso de calor causa travamentos e destrói mídias; excesso de frio congela fisicamente dispositivos mecânicos, como discos rígidos
• Umidade – inimigo potencial de todas as mídias magnéticas
• Poeira depositada nas cabeças de leitura e gravação dos drivers, pode destruir fisicamente um disquete ou uma fita
• Radiações – além de causarem danos às pessoas, podem provocar problemas diversos em computadores
• Ruído causa estresse no pessoal
• Vapores e gases corrosivos – em qualquer incêndio, bastam 100ºC para transformar a água cristalizada nas paredes em vapor, que destrói mídias e componentes
• Fumaça – a fumaça do cigarro deposita uma camada de componentes químicos nas cabeças de leitura e gravação dos drives, que pode inviabilizar a utilização de disquetes e fitas; fumaça de incêndios próximos é muito mais perigosa
• Magnetismo – grande inimigo das mídias magnéticas, pode desgravar disquetes, fitas e discos rígidos
• Trepidação – pode afrouxar placas e componentes em geral, além de destruir discos rígidos
Supressão de serviços
• Falha de energia elétrica – grande risco potencial, à medida que paralisa totalmente todas as funções relacionadas à informática
• Queda nas comunicações – grande risco potencial, pois isola o site do resto do mundo; risco de perda de dados
• Pane nos equipamentos – problema bastante comum, resolvido com backup de informações e de hardware
• Pane na rede – isola um ou mais computadores de um mesmo site; risco potencial de perda de dados
• Problemas nos sistemas operacionais – risco potencialmente explosivo, pois podem comprometer a integridade de todos os dados do sistema e até mesmo inviabilizar a operação; eliminam a confiança da equipe
• Problemas nos sistemas corporativos – grande risco, causam grande transtorno e perdas de dados
• Parada de sistema – igualmente um grande risco
Comportamento anti-social
• Paralisações e greves – problema contornável se houver condução política adequada
• Piquetes – risco maior do que as paralisações, exigem negociações mais complexas
• Invasões – altíssimo risco de destruição acidental ou intencional
• Hacker – indivíduo que conhece profundamente um computador e um sistema operacional e invade o site sem finalidade destrutiva
• Alcoolismo e drogas – risco de comportamento anômalo de funcionários, com conseqüências imprevisíveis
• Disputas exacerbadas entre pessoas podem levar à sabotagem e alteração ou destruição de dados ou de cópias de segurança
• Falta de espírito de equipe – falta de coordenação, onde cada funcionário trabalha individualmente; risco de omissão ou duplicação de procedimentos
• Inveja pessoal/profissional – podem levar um profissional a alterar ou destruir dados de outro funcionário
• Rixas entre funcionários, setores, gerências, diretorias – mesmo caso do item anterior, porém de conseqüências mais intensas
Ação criminosa
• Furtos e roubos – conseqüências imprevisíveis, podem inviabilizar completamente os negócios da empresa
• Fraudes – modificação de dados, com vantagens para o elemento agressor
• Sabotagem – modificação deliberada de qualquer ativo da empresa
• Terrorismo – de conseqüências imprevisíveis, pode causar mortes, a destruição total dos negócios ou de mesmo de toda a empresa
• Atentados – uso de explosivos, com as mesmas conseqüências do item anterior
• Seqüestros – ação contra pessoas que tenham alguma informação
• Espionagem industrial – captação não autorizada de software, dados ou comunicação
• Cracker – indivíduo que conhece profundamente um computador e um sistema operacional e invade o site com finalidade destrutiva
Incidentes variados
• Erros de usuários – de conseqüências imprevisíveis, desde problemas insignificantes até a perda de um faturamento inteiro; erros de usuários costumam contaminar as cópias de segurança (backup) quando não detectados a tempo
• Erros em backups – risco sério de perda de dados; o backup sempre deve ser verificado
• Uso inadequado dos sistemas – normalmente ocasionado por falta de treinamento, falta de documentação adequada do sistema ou falta de capacidade de quem utiliza o sistema de forma inadequada, tem os mesmos riscos do item Erros de usuários
• Manipulação errada de arquivos – costuma causar perda de arquivos e pode contaminar as cópias de segurança
• Treinamento insuficiente – inevitavelmente causa erros e uso inadequado
• Ausência/demissão de funcionário – é problemático se a pessoa ausente for a única que conhece determinados procedimentos
• Estresse/sobrecarga de trabalho – uma pessoa sobrecarregada é mais propensa a cometer erros e adotar atitudes anti-sociais
• Equipe de limpeza – deve receber o treinamento adequado sobre segurança
Contaminação eletrônica
• Vírus – programa que insere uma cópia sua em outros programas executáveis ou no setor de boot; os vírus se replicam através da execução do programa infectado
• Bactéria – programa que reproduz a si próprio e vai consumindo recursos do processador e memória
• Verme – programa que se reproduz através de redes
• Cavalo de Tróia – programa aparentemente inofensivo e útil, mas que contém um código oculto indesejável ou danoso
• Ameba – usuário que, sem ter conhecimento para tanto, mexe na configuração do computador ou do software, causando problemas, perda de dados, travamento da máquina, etc.
• Falhas na segurança dos serviços – os serviços da Internet são potencialmente sujeitos a falhas de segurança, basicamente devido ao fato de o UNIX ter sido gestionado em ambiente universitário, que visava um processamento cooperativo e não a segurança; além disto, o UNIX é muito bem conhecido por hackers e crackers
OS PREJUÍZOS
A Informática é o centro nevrálgico da empresa. Qualquer pequeno problema no(s) servidor(es) corporativo(s) ou em algum servidor departamental pode paralisar vários ou mesmo todos os departamentos da empresa. Quanto maior o grau de integração dos sistemas, quanto maior o volume e a complexidade dos negócios, maior será a dependência em relação à Informática.
Graus de severidade. Podemos classificar os prejuízos decorrentes de problemas com segurança em graus de severidade, conforme a abrangência dos danos e as providências tomadas para retornar à normalidade:
• INSIGNIFICANTES – casos em que o problema ocorre, é detectado e corrigido sem maiores repercussões. São problemas isolados, sem nenhuma repercussão na estrutura computacional da empresa. O maior prejuízo é a despesa com a mão de obra alocada, ou algum suprimento desperdiçado. Um exemplo é a presença de vírus em um computador, que é prontamente detectado e exterminado. Certamente é necessário um grande investimento em segurança para que os problemas possam ser prontamente resolvidos e os prejuízos minimizados;
• PEQUENOS – o problema ocorre, existe uma pequena repercussão na estrutura computacional e organizacional da empresa (atrasos, bloqueio de sistema, perdas de movimentação, etc.), e o problema é resolvido. Um exemplo é a perda dos dados corporativos, a recuperação via backup da posição anterior e a necessidade de redigitação da movimentação de um dia. Ou, então, a destruição física, acidental ou proposital, de um servidor corporativo, com a necessidade de substituição emergencial, mas sem perda dos dados. Os prejuízos são restritos ao âmbito da empresa, sem repercussões nos seus negócios e sem interferências com seus clientes;
• MÉDIOS – o problema ocorre, provoca repercussão nos negócios da empresa e interfere com os seus clientes, mas a situação consegue ser resolvida de maneira satisfatória, normalmente com um grande esforço e com maior ou menor desgaste interno e externo da empresa. Exemplos: erros graves no faturamento, perda de dados sem backup;
• GRANDES – repercussões irreversíveis de caráter interno ou externo, com perda total de dados, prejuízo financeiro irrecuperável, perda de clientes, perda de imagem e posição no mercado;
• CATASTRÓFICOS – prejuízos irrecuperáveis, que podem dar origem a processos judiciais e falência da empresa.
O que causa muita preocupação é que, via de regra, o tipo de erro não tem relação com o grau de severidade dos prejuízos. A perda total de um servidor corporativo (incêndio, queda de escombros, etc.) pode, se houver backups atualizados, causar um prejuízo equivalente apenas ao valor do conserto ou substituição da máquina, ao passo que um pequeno erro de programação (um if mal posicionado ou um comentário em uma linha de programa que deveria estar ativa, erros de fácil correção) podem, facilmente, provocar prejuízos catastróficos.
Prejuízos em função do tempo. Quando ocorre algum problema que provoque uma paralisação, os prejuízos menos importantes são percebidos imediatamente. Outros, normalmente os maiores, somente serão percebidos posteriormente, e será muito difícil, ou mesmo impossível, repará-los.
Problemas de segurança com graus de severidade INSIGNIFICANTE e PEQUENO somente causam prejuízos imediatos, tais como:
• Paralisação das atividades normais da empresa
• Danos materiais, variáveis conforme o problema ocorrido
• Sobrecarga na estrutura da empresa, que deve mobilizar os seus recursos, normalmente exíguos, para a tentativa de recuperação dos problemas decorrentes do erro
• Atritos internos em função da responsabilização pelo erro
Normalmente problemas com grau de severidade MÉDIO causam poucos prejuízos a médio e longo prazos, que são:
• Desvio nos objetivos da empresa
• Perda de mercado
• Perda de imagem
• Perda de credibilidade
• Desânimo e perda de funcionários
• Atritos internos extremamente sérios e atritos externos em função da responsabilização pelo erro
Problemas com grau de severidade GRANDE e CATASTRÓFICO certamente causam os supra citados prejuízos a médio e longo prazo, podendo causar o encerramento das atividades da empresa e pendências com a Justiça para seus diretores e funcionários.
A queda na eficiência dos negócios da empresa após um acidente sério com informática é drástica, como indica o gráfico abaixo. Nas ordenadas, temos a eficiência da empresa; nas abcissas, o intervalo em dias após o evento.
É óbvio que, em certos casos extremamente sérios, a eficiência cai a zero imediatamente após o acidente.
Fonte: University of Minnesota, citado no catálogo “Segurança em Informática” da ACECO
Custos da reposição de informações. Podem ocorrer prejuízos altíssimos em caso de problemas sérios, considerando, entre outros, alocação de recursos humanos adicionais, busca de documentos, redigitação das informações, reconstrução do local e reposição de hardware e software, multas, etc.
Multas: Além de todos os demais prejuízos, também existem multas pesadas!
A Instrução Normativa da SRF n. 068/95 de 27/12/95, baseada na Lei n. 8.218/91 e a Portaria n. 13 de 28/12/95 da Secretaria da Receita Federal exigem a preservação dos arquivos magnéticos e prevêem a aplicação de multa de 5% sobre o valor das operações comerciais, fiscais e contábeis aos contribuintes que omitirem ou prestarem informações incorretas em arquivos magnéticos.
É exigido (transcrito do catálogo “Segurança em Informática” da ACECO):
• Preservação dos arquivos magnéticos: todas as pessoas jurídicas (com exceção das fiscalizadas pelo Banco Central), com patrimônio líquido acima de 2 milhões de UFIRs (aproximadamente R$ 1,7 milhões no final de 1995) e que utilizem computadores (próprios ou através de terceiros), devem preservar seus arquivos magnéticos durante o período decadencial de guarda de documentação contábil e fiscal, previsto na legislação tributária.
• Descrição dos arquivos magnéticos a serem preservados: Contabilidade, Fornecedores/Clientes, Documentos Contábeis/Fiscais, Controle de Estoque/Registro de Inventário, Correção Monetária de Balanço e Controle Patrimonial, Folha de Pagamento, Relação Insumos/Produtos, Cadastro de Pessoas Físicas e Pessoas Jurídicas aplicado aos arquivos fornecidos, Tabelas de Códigos aplicados aos arquivos fornecidos.
Outras informações:
• A apresentação dos arquivos magnéticos é feita mediante Termo de Intimação Fiscal, portanto não há periodicidade para o envio dos arquivos à Secretaria da Receita Federal.
• Os arquivos magnéticos para a fiscalização devem ser apresentados nos formatos descritos detalhadamente na Portaria n. 13.
• A preservação dos arquivos magnéticos à disposição da fiscalização começou em 1994, através da SRF 65/93. A Portaria n. 13 apenas reformatou a apresentação dos arquivos magnéticos.
• A obrigatoriedade da entrega dos arquivos não dispensa a emissão de livros prevista na legislação comercial e fiscal.
Exemplos de multa:
• Os arquivos magnéticos que continham informações sobre faturamento/saídas de mercadorias dos últimos 3 anos foram destruídos por sabotagem ou incêndio, e portanto não foram apresentados. Cálculo da multa: supondo que o faturamento durante os últimos 3 anos foi de 100 milhões, a multa será de 5 milhões por omissão das informações solicitadas.
• Os arquivos magnéticos que continham dados sobre as compras (entrada de mercadoria) dos últimos 5 anos não puderam ser apresentados. Supondo que as compras foram 50 milhões durante os últimos 5 anos, a multa será de 2,5 milhões.
Como se pode ver, a questão da Segurança em Informática não é meramente conceitual ou acadêmica. Trata-se de uma questão estratégica que, se negligenciada, pode causar todo e qualquer tipo de dano à empresa.
LEIS
Projeto de Lei 1.713 – Substitutivo – versão final – Dez
Dispõe sobre os crimes de informática e dá outras providências
O Congresso Nacional decreta:
CAPÍTULO I
DOS PRINCÍPIOS QUE REGULAM A PRESTAÇÃO DE
SERVIÇO POR REDES DE COMPUTADORES
Art. 1º. O acesso, o processamento e a disseminação de informações através das redes de computadores devem estar a serviço do cidadão e da sociedade, respeitados os critérios de garantia dos direitos individuais e coletivos e de privacidade e segurança de pessoas físicas e jurídicas e da garantia de acesso às informações disseminadas pelos serviços da rede.
Art. 2º. É livre a estruturação e o funcionamento das redes de computadores e seus serviços, ressalvadas as
disposições específicas reguladas em lei.
CAPÍTULO II
DO USO DE INFORMAÇÕES DISPONÍVEIS EM
COMPUTADORES OU REDES DE COMPUTADORES
Art. 3º. Para fins desta lei, entende-se por informações privadas aquelas relativas a pessoa física ou jurídica identificada ou identificável.
Parágrafo Único: É identificável a pessoa cuja individuação não envolva custos ou prazos desproporcionados.
Art. 4º. Ninguém será obrigado a fornecer informações sobre sua pessoa ou de terceiros, salvo nos casos previstos em lei.
Art. 5º. A coleta, o processamento e a distribuição, com finalidades comerciais, de informações privadas ficam sujeitas à prévia aquiescência da pessoa a que se referem, que poderá ser tornada sem efeito a qualquer momento, ressalvando-se o pagamento de indenizações a terceiros, quando couberem.
§ 1º. A toda pessoa cadastrada dar-se-á conhecimento das informações privadas armazenadas e das respectivas fontes.
§ 2º. Fica assegurado o direito à retificação de qualquer informação privada incorreta.
§ 3º. Salvo por disposição legal ou determinação judicial em contrário, nenhuma informação privada será mantida à revelia da pessoa a que se refere ou além do tempo previsto para a sua validade.
§ 4º. Qualquer pessoa, física ou jurídica, tem o direito de interpelar o proprietário de rede de computadores ou provedor de serviço para saber se mantém informações a seu respeito, e o respectivo teor.
Art. 6º. Os serviços de informações ou de acesso a bancos de dados não distribuirão informações privadas referentes, direta ou indiretamente, a origem racial, opinião política, filosófica, religiosa ou de orientação sexual, e de filiação a qualquer entidade, pública ou privada, salvo autorização expressa do interessado.
Art. 7º. O acesso de terceiros, não autorizados pelos respectivos interessados, a informações privadas mantidas em redes de computadores dependerá de prévia autorização judicial.
CAPÍTULO III
DOS CRIMES DE INFORMÁTICA
Dano a dado ou programa de computador
Art. 8º. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador, de forma indevida ou não autorizada.
Pena: detenção, de um a três anos e multa.
Parágrafo único. Se o crime é cometido:
I – contra o interesse da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;
II – com considerável prejuízo para a vítima;
III – com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV – com abuso de confiança;
V – por motivo fútil;
VI – com o uso indevido de senha ou processo de identificação de terceiro; ou
VII – com a utilização de qualquer outro meio fraudulento.
Pena: detenção, de dois a quatro anos e multa
Acesso indevido ou não autorizado
Art. 9o. Obter acesso, indevido ou não autorizado, a computador ou rede de computadores.
Pena: detenção, de seis meses a um ano e multa.
Parágrafo primeiro. Na mesma pena incorre quem, sem autorização ou indevidamente, obtém, mantém ou fornece a terceiro qualquer meio de identificação ou acesso a computador ou rede de computadores.
Parágrafo segundo. Se o crime é cometido:
I – com acesso a computador ou rede de computadores da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;
II – com considerável prejuízo para a vítima;
III – com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV – com abuso de confiança;
V – por motivo fútil;
VI – com o uso indevido de senha ou processo de identificação de terceiro; ou
VII – com a utilização de qualquer outro meio fraudulento.
Pena: detenção, de um a dois anos e multa.
Alteração de senha ou mecanismo de acesso a programa de computador ou dados
Art. 10o. Apagar, destruir, alterar, ou de qualquer forma inutilizar, senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, de forma indevida ou não autorizada.
Pena: detenção, de um a dois anos e multa.
Obtenção indevida ou não autorizada de dado ou instrução de computador
Art. 11o. Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou instrução de computador.
Pena: detenção, de três meses a um ano e multa.
Parágrafo único. Se o crime é cometido:
I – com acesso a computador ou rede de computadores da União, Estado, Distrito Federal, Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;
II – com considerável prejuízo para a vítima;
III – com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV – com abuso de confiança;
V – por motivo fútil;
VI – com o uso indevido de senha ou processo de identificação de terceiro; ou
VII – com a utilização de qualquer outro meio fraudulento.
Pena: detenção, de um a dois anos e multa
Violação de segredo armazenado em computador, meio magnético de natureza magnética, optica ou similar
Art. 12o. Obter segredos, de indústria ou comércio, ou informações pessoais armazenadas em computador, rede de computadores, meio eletrônico de natureza magnética, óptica ou similar, de forma indevida ou não autorizada.
Pena: detenção, de um a três anos e multa.
Criação, desenvolvimento ou inserção em computador de dados ou programa de computador com fins nocivos
Art. 13o. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de computadores, de forma indevida ou não autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dado ou programa de computador ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou rede de computadores.
Pena: reclusão, de um a quatro anos e multa.
Parágrafo único. Se o crime é cometido:
I – contra a interesse da União, Estado, Distrito Federal. Município, órgão ou entidade da administração direta ou indireta ou de empresa concessionária de serviços públicos;
II – com considerável prejuízo para a vítima;
III – com intuito de lucro ou vantagem de qualquer espécie, própria ou de terceiro;
IV – com abuso de confiança;
V – por motivo fútil;
VI – com o uso indevido de senha ou processo de identificação de terceiro; ou
VII – com a utilização de qualquer outro meio fraudulento.
Pena: reclusão, de dois a seis anos e multa.
Veiculação de pornografia através de rede de computadores
Art. 14o. Oferecer serviço ou informação de caráter pornográfico, em rede de computadores, sem exibir, previamente, de forma facilmente visível e destacada, aviso sobre sua natureza, indicando o seu conteúdo e a inadequação para criança ou adolescentes.
Pena: detenção, de um a três anos e multa.
CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS
Art. 15o. Se qualquer dos crimes previstos nesta lei é praticado no exercício de atividade profissional ou funcional, a pena é aumentada de um sexto até a metade.
Art. 16o. Nos crimes definidos nesta lei somente se procede mediante representação do ofendido, salvo se cometidos contra o interesse da União, Estado, Distrito Federal Município, órgão ou entidade da administração direta ou indireta, empresa concessionária de serviços públicos, fundações instituídas ou mantidas pelo poder público, serviços sociais autônomos, instituições financeiras ou empresas que explorem ramo de atividade controlada pelo poder público, casos em que a ação é pública incondicionada.
Art. 17o. Esta lei regula os crimes relativos à informática sem prejuízo das demais cominações previstas em outros diplomas legais.
Art. 18o. Esta lei entra em vigor 30 (trinta) dias a contar da data de sua publicação.
Art. 19o. Revogam-se todas as disposições em contrário.
USUÁRIOS & SENHAS
Regras para Usuários e Senhas
Usuários
• não usar a conta do superusuário ou administrador para outros setores/funcionários
• criar grupos por setores/áreas afins
• criar contas dos usuários de acordo com seus nomes, dentro dos grupos
Senhas – não usar
• mesmo nome do usuário (login)
• senha em branco
• palavras óbvias, como “senha”, “pass” ou “password”
• mesma senha para diversos usuários
• primeiro e último nome do usuário
• nome da esposa/marido, pais ou filhos
• informação sobre si mesmo (placa do carro, data de nascimento, telefone, CPF)
• somente números
• palavra contida em dicionário (tanto português quanto inglês)
• palavra com menos de 6 caracteres
Senhas – usar
• letras minúsculas e maiúsculas
• palavras com caracteres não alfabéticos (números ou sinais)
• fácil de lembrar para não ter que escrever
• fácil de digitar (sem ter que olhar o teclado)
Exemplos de senhas
• primeira ou segunda letra de cada palavra de um título ou frase fácil de memorizar
• concatenação de duas palavras curtas com sinal de pontuação
• concatenação de duas palavras pequenas de línguas diferentes
Troca de senha
• periodicidade ideal: 3 meses
• periodicidade máxima: 6 meses
• sempre que houver suspeita de vazamento
Dicas
• a senha de cada usuário é pessoal e intransferível, devendo ser rigorosamente proibida a sua cessão a outra pessoa
• o responsável por cada setor (ou gerente geral) deverá ter as senhas dos seus funcionários, em local seguro, para uso em caso emergencial
• JAMAIS escreva a senha num pedaço de papel e cole o mesmo no seu teclado ou monitor, nem coloque na sua gaveta deschaveada
CASOS REAIS DE SEGURANÇA E INSEGURANÇA (EXEMPLOS)
Pára-raios Uma empresa situada às margens de um rio comprou dois computadores S-700 da Prológica, lá pelo início da década de 80. Toda a instalação foi feita de forma adequada, com aterramento, tomadas de 3 pinos e até estabilizador (fato não muito comum na época). No dia seguinte ao primeiro temporal, constatou-se a queima (“torrefação”) total das fontes, placas e demais componentes dos dois computadores, com perda total dos equipamentos. Motivo: o pára-raios e o aterramento haviam sido feitos muito próximos um ao outro, e o sub-solo encharcado provocou o retorno de um raio para o aterramento.
Backup em disquete Certa empresa realizava religiosamente seus backups. Todo dia. A funcionária encarregada da Informática (digitadora, operadora, conferente de slips e responsável pelo setor de cadastro) ficava após o expediente e gravava os dados em mais de 70 disquetes. Isto mesmo, 70 disquetes. Certo dia, o inevitável aconteceu. Numa tarde de sábado, na tentativa de recuperar o backup, o velho 386 SX operando em XENIX refugou o disco sessenta e poucos. Foram feitas 3 tentetivas de recuperação (toda a seqüência de mais de 70 discos de cinco e um quarto). Sempre no mesmo disquete a máquina engasgava. A solução foi a redigitação de parte do cadastro. Não houve perda de dados, mas uma despesa grande em retrabalho.
Equipe de limpeza Todas as manhãs o operador constatava a parada do servidor, lá pelas 2 e meia da madrugada, quando não havia ninguém no CPD. Foram feitas auditorias no sistema operacional, no servidor, a crontab (tabela do UNIX que dispara processos automaticamente em horários pré-determinados) foi revisada e alterada, mas nada resolvia. Não havia registros de invasão do prédio. Até que o gerente do setor resolveu passar uma noite escondido no CPD. O que se descobriu é que, lá pelas 2 e meia, vinha uma equipe terceirizada realizar a limpeza do prédio, e uma senhora cuidadosamente desligava o servidor da tomada, limpava, e religava a pobre máquina.
Servidores de baixo custo O velho servidor 486 (montado) já não tinha mais espaço em disco, e foram feitas cotações para mais um Winchester IDE. A opção mais barata era de uma marca boa, mas diferente do disco já instalado; tempo de acesso e capacidade também diferentes. A máquina já apresentava algumas manias irritantes, como perder a data e a hora, mas nada que comprometesse o funcionamento. O operador resolvia. Numa manhã de sexta-feira, num bonito dia de inverno, o 486 resolveu que não queria mais ler os discos rígidos. Perda total dos dados, sistemas aplicativos e sistema operacional. O operador, que resolvia todos os “pepinos” da máquina, era precavido: havia backup.
Assistência técnica barata A máquina aceitava o UNIX sem grandes problemas. De vez em quando, no entanto, a mensagem de PANIC. Se o computador emite uma mensagem de PANIC, imagine-se o estado do seu usuário. A assistência técnica foi chamada, e foi aí que a confusão realmente começou: o diagnóstico mudava a cada novo erro, peças eram trocadas aleatoriamente, e no fim a empresa ficou um mês (isto mesmo, um mês!) sem o tal computador. A solução foi a troca da mother board por 3 ou 4 vezes. Como estava na garantia, o prejuízo financeiro (grande) foi da assistência técnica…
Assaltos O CP-500 era uma máquina baseada no Z-80, e não tinha disco rígido. Na sua configuração mais comum, tinha dois drives de 5¼”, com capacidade de 180 KBytes cada. Num drive se colocava o disco com o sistema operacional mais o aplicativo, no outro o disco com os dados. Os discos estavam criteriosamente cadastrados e guardados, com cópias de segurança em outro armário no mesmo ambiente. Numa madrugada de sábado, ocorreu o assalto. Os ladrões, aparentemente, tiveram pouco tempo, mais quebraram do que roubaram. Entre os objetos roubados, todos os discos dos sistemas e dos dados do CP-500. Por precaução, havia cópias de segurança. Por sorte, não foram roubadas, pois estavam no mesmo ambiente.
Vírus Aí existem dezenas de histórias. Vai uma interessante: pois tinha aquele estudante, hacker frustrado, óculos de fundo de garrafa, que gostava de colecionar software – todo e qualquer software, principalmente qualquer coisa que pudesse representar algo doentio e desviante. Quando apareceu o primeiro vírus no laboratório foi aquela festa. Enquanto o funcionário responsável se desdobrava em mil para descontaminar os PC XT e alertar os usuários, o nosso reptílico aprendiz de malfeitor contaminava seus próprios discos e recontaminava as máquinas.
Transporte A vítima, um Pentium 75 novinho. A insistência em levar a máquina para um passeio de caminhonete, junto com malas e outras tralhas, gerou a ira do responsável pela informática. No entanto, ordens são ordens, e lá se foi o Pentium desktop conhecer outros ares (quase 2.000 km de estrada, ida e volta). Não havia backup de nada. Por sorte, uma grande sorte, apenas o mouse e o teclado foram quebrados (esmagados) na viagem…
Senhas (1) A informática insistia em atribuir senhas complicadas aos pobres usuários, que nem sabiam prá que precisava de senha, pois já tinham de digitar o nome… Aqueles teimosos da informática não aceitavam senhas simples, como as inicias do setor ou do usuário, datas de nascimento ou senhas em branco. Pura má vontade. Aí os usuários resolveram o problema de uma forma simples e eficiente: colaram os papeizinhos com as senhas no teclado (não na parte de baixo, na parte de cima mesmo).
Senhas (2) O operador, responsável pelo cadastro, pela operação, etc., nunca entendeu direito esta história de administração de usuários. Todo mundo usava a senha do root (supervisor). Por sorte, a situação foi detectada antes de acontecer o óbvio.
Incêndios A loja estava progredindo, e estava conseguindo se informatizar. Já tinha comprado um controle de estoque e uma contabilidade, nada integrado, mas servia bem. A instalação do CPD era bem precária. Todos os dados no 386, e backup na mesma sala. Um curto-circuito seguido de incêndio acabou com a informática da loja, e quase acabou com a própria loja.
Fumaça A loja do lado também tinha computador. O incêndio da outra loja provocou tanta fumaça que inutilizou todos os disquetes desta loja.
Vandalismo Certa empresa andava com uns probleminhas, e o CPD tinha, nos discos, provas incriminadoras. A solução foi fácil: num fim de semana, quando não havia nenhum funcionário de plantão, os backups foram sistematicamente destruídos. Segunda-feira, surpresa geral…
Falta de energia elétrica Dia de faturamento, mais de um milhão de dólares a receber, e a maldita luz acabou. Havia prazos bastante rígidos a cumprir, sem segunda chance. O no-break senoidal inteligente de alguns KVA, que pareceu caro demais na hora da compra, agora tinha de mostar seu valor. Corre-corre, desligados todos os computadores não essenciais, apenas o servidor Pentium 100 ligado, processando. Quando a energia voltou, mais de 4 horas depois, o faturamento estava pronto. Sem no-break não haveria mais tempo, e o faturamento não teria sido emitido.
Inundação Aquela repartição pública, naquele velho prédio histórico cheio de goteiras, o computador (um 486 novinho) na mais pré-histórica das salas históricas, no gabinete da autoridade. Chove no fim de semana. Na segunda feira, o técnico é chamado com urgência porque o computador não quer funcionar, apesar de ser novo e de ter sido comprado com o dinheiro do contribuinte. A solução, após mandar consertar a goteira que ficava exatamente acima do vídeo do computador, foi desmontar o pobre coitado, lavar as placas e secá-las no ar condicionado. Não houve perda de dados porque o computador era novo e não havia dados…
Estresse Fim de mês, o faturamento precisava sair de qualquer maneira, e o pessoal trabalhando dia e noite para cumprir a tarefa. Os dedos a mil nos velhos terminais a caracter, o servidor Pentium triturando os dados, e a margem de erro da digitação aumentando sem parar. No fim da empreitada, mais correções do que digitação. Mas, o objetivo, mais uma vez, foi alcançado.
Dono do conhecimento (esta não chegou a acontecer ainda, mas pode estar ocorrendo neste exato instante). O fulano era a informática viva da empresa. Atendia a todas as solicitações, por mais esdrúxulas que fossem. Nada destas frescuras de documentação, toda a empresa estava na sua cabeça. Configuração de UNIX era com ele mesmo. TCP/IP tranqüilo. Três ou quatro servidores Pentium interligados, cento e tantos terminais, tudo na cabeça. O sistema, a linguagem, tudo na cabeça. Um dia, o infeliz se excedeu no álcool e teve uma amnésia…
Bomba eletrônica Uma empresa com seu PC-XT e um programador que, para se proteger, criptografava os códigos-fonte que desenvolvia. Ninguém tinha acesso aos fontes. Em conseqüência, houve o desligamento da empresa, e o problema do próximo programador, que não tinha estes hábitos. Solução: deletar tudo o que o desgraçado tinha feito e recomeçar. Em função da detecção prematura do problema, houve pouco retrabalho e nenhuma perda.
Temperatura e umidade Verão, meio da tarde, mais de 35 graus, a umidade lá pelos 80%. Parece que vai chover. Não há dinheiro para o ar condicionado, abrem-se todas as janelas, ligam-se dois ou três ventiladores, a papelada voa, e o sujeito triturando aquele pobre 386 com o impiedoso Corel Draw. O led do winchester nem pisca mais, está sempre aceso, e o inclemente operador resolve abrir o Page Maker para fazer outro trabalho, o cliente está no telefone enchendo o saco. De repente, o inevitável, que até estava demorando. Pára tudo.
Self made man Esta é a história do office-boy que tinha jeito prá coisa. Foi subindo, subindo, subindo, passou pelo financeiro, contabilidade, até que acabou virando programador, e para virar analista foi só uma questão de tempo. Primeira prostituta aos 13 anos. Nada desta boiolice de estudar, se formar, pois se garantia, era acadêmico da Faculdade da Vida. Muita ousadia, muita iniciativa, um tanto de bajulação quando necessário, sabia se virar. Confiava no taco. Até que, um dia, aconteceu o óbvio: a falta de conhecimento teórico, a falta de metodologia, a inexperiência, os problemas não resolvidos, a tentativa de levar no papo, a demissão, o prejuízo para a empresa.
Anapropégua Ou: analista- programador-operador-digitador-responsável pelo cadastro, secretário e égua. De tanta coisa que faz ao mesmo tempo, acaba se estressando e deixando tudo pela metade. Não pode tirar férias, não pode ficar doente, sem fim de semana, mal sobra tempo para tomar as pastilhas anti-ácido e as vitaminas. Situação potencialmente explosiva, e que costuma realmente explodir.
Linguagens O velho CLIPPER piratão, que funcionava tão bem no WINDOWS 3.11, se recusou a trabalhar com o WINDOWS 95. Mas que droga, parece que o Bill Gates conspira contra a humanidade… Volta o 3.11 ou tenta mexer nos fontes? E quem garante que não haverá novo estouro de memória numa situação não testada? E as perdas de índices? E os arquivos corrompidos?
Vaso A secretária não abria mão de colocar o bendito vasinho com uma rosa bem do lado do computador; misturava um pouco de açúcar na água, sabe Deus por quê. Apesar de todos os alertas, não houve santo que a fizesse mudar de idéia. Um dia, aconteceu o óbvio. Engraçado, parece que o óbvio sempre acaba por acontecer… Por sorte, foi apenas o teclado que tomou um banho de água doce (literalmente), teve de ser desmontado, lavado e secado.
Cabeamento inadequado Um servidor Pentium 100 SCSI rodando o WINDOWS NT conectado, via TCP/IP, a outro servidor igual, que rodava SCO UNIX. Vinte terminais no UNIX, umas dez máquinas em rede com o NT; diversas impressoras compartilhadas. Uma beleza. O único problema era o famigerado cabeamento coaxial. Cada vez que uma máquina parava, toda a rede saía do ar (somente do lado NT, o lado UNIX não era afetado). Dois ou três técnicos de quatro no chão, tentando localizar o problema, normalmente mau contato. Nunca chegou a ocorrer perda de dados, porque a equipe estava consciente do problema, mas a perda de tempo era irritante e a situação era potencialmente de risco. O final feliz, obviamente, foi a instalação de um cabeamento estruturado, estupidamente mais caro, mas com uma confiabilidade e controlabilidade que compensam largamente o custo.
Seqüência de erros O aplicativo foi instalado no diretório do grupo, e não no diretório do usuário, como seria o procedimento mais correto. O usuário passou a senha a outra pessoa, que acidentalmente deletou os arquivos de dados. Sem problemas, porque havia backup em fita DAT. Embora não fosse feita a verificação sistemática do backup, todo mundo sabia que os dados estavam a salvo. Pois não estavam. Na hora de voltar o tal backup, justamente os arquivos deletados não puderam ser recuperados. Pânico. Alguém teve a idéia de passar um fax ao fabricante do software de backup, enquanto a caça às bruxas corria solta. Dois dias depois, a resposta do fax com a solução: fora executado um patch no sistema operacional (Novell), adaptando-o à máquina multiprocessada, que trazia problemas para a recuperação do backup. A partir daí, conseguiu-se tomar as providências para recuperar os tais arquivos deletados.
Cito também alguns casos clássicos de invasão eletrônica:
Verme (worm) na Internet Um aluno de graduação da Universidade de Cornell, Robert Morris Jr., paralisou cerca de 3.000 computadores conectados à Internet em 02 de novembro de 1988 (cerca de 50% da Internet na época). Embora o verme não tivesse efeitos destrutivos, a rede só conseguiu voltar ao normal alguns dias depois. O estudante foi sentenciado, em 1990, a 3 anos de prisão, mais multa de U$ 10.000,00, mais 400 horas de serviço comunitário.
Conexão KGB Em 1988, um espião da Alemanha Oriental tentou violar 450 computadores na área acadêmica e militar; vendia as informações para a KGB.
Caso Kevin Mitnick Causou danos à DEC, com o roubo de um sistema de segurança secreto; roubou cerca de 20.000 números de cartão de crédito; atacou o computador de um especialista de segurança em informática (no Natal); perseguido pelo FBI, foi preso em 1995, e pode pegar até 20 anos de prisão, além de multa de U$ 500.000,00.
BACKUP
Backup é uma cópia dos arquivos que julgamos ser mais importante para nós, ou aqueles arquivos chaves (fundamentais) para uma empresa.
Com o uso cada vez mais constante de computadores, um sistema de backup que garanta a segurança e disponibilidade full-time dos dados corporativos é fundamental.
Apesar de ser uma medida de segurança antiga, muitas empresas não possuem um sistema de backup ou, o fazem de maneira incorreta.
Montar um sistema de backup requer um pouco de cautela. É importante por exemplo, saber escolher o tipo de mídia para se armazenar as informações, como fitas magnéticas,discos óticos ou sistemas RAID. No Brasil, como em outros países o dispositivo mais usado é o DAT (Digital Audio Tape), pois oferece capacidade de armazenamento de até 16GB, a um custo médio de um centavo por megabyte.
Para pessoas físicas e pequenas empresas, não é necessário um grande investimento para implantar um sistema de backup. Os mais usados trabalham com drives externos -Zip e Jaz-, equipamentos que possuem preço bem mais em conta, embora possuam menor capacidade de armazenamento, que já é suficiente para estes casos.
Embora as mídias óticas se mostrem como última palavra em backup, não são muito viáveis, pois possuem capacidade de armazenamento relativamente pequena (cerca de 600 MB em um CD)e, em muitos casos não são regraváveis. Um ponto a favor das mídias óticas é a segurança, porém atualmente estão sendo utilizadas para a criação de uma biblioteca de dados, o que caracteriza armazenamento de dados e não, backup.
A tecnologia RAID, consiste num conjunto de drives que é visto pelo sistema como uma única unidade, continuando a propiciar acesso contínuo aos dados, mesmo que um dos drives venha a falhar. Os dados são passam pelo nível 1, que significa espelhamento de drives ou servidores (cópia dos dados de drives ou servidores), até o nível 5, que é o particionamento com paridade (o mesmo arquivo repetido em diferentes discos). Esta tecnologia é uma opção segura e confiável, sendo muito utilizada em empresas que possuem rede non-stop e que não podem perder tempo interrompendo o sistema para fazer backup.
Após a escolha da mídia para armazenamento, é muito importante decidir qual software de backup é mais adequado para atender às necessidades do usuário. São três os requisitos básicos que devem ser observados:
• Facilidade de automatização;
• Recuperação;
• Gerenciamento.
Isto significa que a ferramenta deve realizar, sem a intervenção humana, determinadas rotinas, como abrir e fechar a base de dados ou copiar somente os arquivos alterados. É importante que o produto também realize o gerenciamento centralizado, permitindo fazer o backup tanto dos arquivos quanto do banco de dados através da mesma interface.
Como escolher um sistema de backup:
• Procure o tipo de mídia de armazenamento adequado ao volume de dados e às necessidades de sua empresa;
• O ramo de atividade da empresa também é determinante. Companhias com sistemas non-stop necessitam de sistemas rápidos e seguros;
• O software de backup deve realizar tarefas automatizadas, como cópia periódica dos dados e atualização dos arquivos que foram modificados;
• Se a empresa possuir banco de dados, é importante que a ferramenta gerencie através da mesma interface tanto o backup de arquivos quando do próprio banco de dados;
• É muito mais prático um software que permita o gerenciamento centralizado de toda rede, mesmo em redes heterogêneas.
Falando em Internet, um mercado que vem surgindo é justamente o de backup via Web. O usuário pode alugar um espaço no servidor para armazenar o backup de seus dados, podendo atualizá-los ou carregá-los quando bem entender. A prestadora do serviço é responsável pela segurança.
Porém, este serviço de backup via Internet ainda não é uma solução adequada para as empresas, devido a dois problemas básicos: falta de infra-estrutura e de segurança. Nenhuma empresa deseja ter seus dados armazenados em um lugar qualquer (indefinido) na Internet.
Outro ponto muito importante e que é sempre bom lembrar, é que a maioria de falhas na rede corporativa são frutos de erro humano. Isto significa que é necessário um treinamento dos envolvidos, para que estes possam agir de maneira correta em caso de emergência (restauração do backup).
Entre as falhas mais comuns, além da falta de preparo dos envolvidos, é o armazenamento dos disquetes ou outra mídia de armazenamento no próprio local onde se localiza o computador, o que no caso de qualquer desastre (incêndio,enchente), levará a perda total dos dados.
Concluindo, deve se ter um plano de ação para montar um sistema de backup, ou seja, as estratégias tanto de emergência quanto as da própria rotina devem ser estudadas e padronizadas para que todos estejam preparados.
SEGURANÇA DE REDES
INTRODUÇÃO
A segurança em uma rede de computadores está relacionada à necessidade de proteção dos dados, contra a leitura, escrita ou qualquer tipo de manipulação, intencional ou não, confidencial ou não, e a utilização não autorizada do computador e seus periféricos.
Quando você envia dados através da rede, a comunicação pode ser interceptada e seus dados caem nas mãos do interceptador. Embora isso seja difícil de fazer, é possível. É assim que os crackers conseguem os números de cartões de crédito dos outros, por exemplo.
O maior perigo para as jóias intelectuais de uma companhia, segredos comerciais, planos de preços e informações sobre consumidores, vem de companias rivais.
Alguns especialistas afirmam que o problema é que a natureza efervescente dos dados eletrônicos pode amenizar, ou até mesmo apagar, os sentimentos de culpa. As pessoas fazem coisas no ambiente do computador que nunca fariam fora dele. A maior parte das pessoas não pensaria em entrar num escritório, na calada da noite, para remexer em um arquivo confidencial. Mas, e se isso puder ser feito de forma muito mais cômoda, entretanto no e-mail de uma outra pessoa a partir da própria mesa de trabalho no escritório? Então, para proteger a comunicação, inventaram a criptografia e o firewall, soluções para combater os hackers, porém, antes as empresas devem adotar uma política de segurança específica e personalizada. Um caminho que pode fazer com que uma empresa elimine os seus pontos vulneráveis, seria implantar um plano baseado em três pilares: difusão da cultura de segurança, ferramentas para garantir a execução do projeto e mecanismo de monitoração.
AMEAÇAS E ATAQUES
Algumas das principais ameaças as redes de computadores são :
• Destruição de informação ou de outros recursos.
• Modificação ou deturpação da informação.
• Roubo, remoção ou perda da informação ou de outros recursos.
• Revelação de informações.
• Interrupção de Serviços.
As ameaças podem ser acidentais, ou intencionais, podendo ser ambas ativas ou passivas.
Ameaças acidentais são as que não estão associadas à intenção premeditada.
Exemplo :
Descuidos operacionais.
Bugs de Software e Hardware
Ameaças intencionais são as que estão associadas à intenção premeditada.
Exemplos:
Observação de dados com ferramentas simples de monitoramento da redes.
Alteração de dados, baseados no conhecimento do sistema
Ameaças Passivas são as que, quando realizadas não resultam em qualquer modificação nas informações contidas em um sistema.
Ameaças Ativas envolvem alterações de informações contidas no sistema, ou modificações em seu estado ou operação.
Os principais ataques que podem ocorrer em um ambiente de processamento e comunicação de dados são os seguintes:
Personificação: uma entidade faz-se passar por outra. Uma entidade que possui poucos privilégios pode fingir ser outra, para obter privilégios.
Replay: Uma mensagem, ou parte dela, é interceptada, e posteriormente transmitida para produzir um efeito não autorizado.
Modificação: O conteúdo de uma mensagem é alterado implicando em efeitos não autorizados sem que o sistema consiga identificar a alteração.
Exemplo: Alteração da mensagem “Aumentar o salário do José para R$300,00”
para “Aumentar o salário do José para R$3000,00”
Recusa ou Impedimento de Serviço: ocorre quando uma entidade não executa sua função apropriadamente ou atua de forma a impedir que outras entidades executem suas funções.
Exemplo: Geração de mensagens com o intuito de atrapalhar o funcionamento de algoritmos de roteamento.
Ataques Internos: Ocorrem quando usuário legítimos comportam-se de modo não autorizado ou não esperado.
Armadilhas (Trapdoor): ocorre quando uma entidade do sistema é alterada para produzir efeitos não autorizados em resposta a um comando (emitido pela entidade que está atacando o sistema) ou a um evento, ou seqüência de eventos, premeditado.
Exemplo: A modificação do processo de autenticação de usuários para dispensar a senha, em resposta a uma combinação de teclas específicas.
Cavalos de Tróia: Uma entidade executa funções não autorizadas, em adição às que está autorizado a executar.
Exemplo: Um login modificado, que ao iniciar a sua sessão, grava as senhas em um arquivo desprotegido.
POLÍTICA DE SEGURANÇA
Uma política de segurança é um conjunto de leis, regras e práticas que regulam como uma organização gerência, protege e distribui suas informações e recursos.
Uma política de segurança deve incluir regras detalhadas definindo como as informações e recursos da organização devem ser manipulados, deve definir, também, o que é, e o que não é permitido em termos de segurança, durante a operação de um dado sistema.
Existem dois tipos de políticas:
Política baseada em regras: As Regras deste tipo de política utilizam os rótulos dos recursos e dos processos para determinar o tipo de acesso que pode ser efetuado. No caso de uma rede de computadores, os dispositivos que implementam os canais de comunicação, quando é permitido transmitir dados nesses canais etc..
Política baseada em segurança: O objetivo deste tipo de política é permitir a implementação de um esquema de controle de acesso que possibilite especificar o que cada indivíduo pode ler, modificar ou usar.
SERVIÇOS DE SEGURANÇA
Os serviços de Segurança em uma rede de computadores tem como função:
Confidencialidade: proteger os dados de leitura por pessoas não autorizadas.
Integridade dos dados: evitar que pessoas não autorizadas insiram ou excluam mensagens.
Autenticação das partes envolvidas: verificar o transmissor de cada mensagem e tornar possível aos usuários enviar documentos eletronicamente assinados.
MECANISMOS DE SEGURANÇA
Uma política de segurança e seus serviços podem ser implementados através de vários mecanismos de segurança, entre eles, criptografia, assinatura digital, etc.
Criptografia
A criptografia é um método utilizado para modificar um texto original de uma mensagem a ser transmitida (texto normal), gerando um texto criptografado na origem, através de um processo de codificação definido por um método de criptografia. O texto criptografado é então transmitido e, no destino, o inverso ocorre, isto é, o método de criptografia é aplicado agora para decodificar o texto criptografado transformando-o no texto original.
Existem também a criptografia que utiliza uma chave de codificação. Isto é, para um mesmo texto normal e um mesmo método de criptografia, chaves diferentes podem produzir textos criptografados diferentes.
Criptografia com Chaves Secretas (ou Simétricos)
Este método de criptografia, consiste em substituir as letras de uma mensagem pela n-ésima letras após a sua posição no alfabeto. Assim o texto criptografado produzido para um mesmo texto normal pode varia de acordo com o valor de n, que é a chave utilizada nos processos de codificação e decodificação do método.
Data Encryption Standard (DES): é um dos principais métodos de criptografia baseada em chave secreta. Foi desenvolvido pela IBM e adotado pelo governo do EUA como método de criptografia padrão.
O método DES codifica blocos de 64 bits de texto normal gerando 64 bits de texto criptografado. O algoritmo de codificação é parametrizado por uma chave K de 56 bits e possui 19 estágios diferentes.
Criptografia com chave Pública (Assimétricos)
Este método de criptografia baseia-se na utilização de chaves distintas: uma para codificação(E) e outra para a decodificação (D), escolhidas de forma que a derivação de D a partir de E seja em termos práticos, senão impossível, pelo menos difícil de ser realizada.
RSA: o mais importante método de criptografia assimétrico é o RSA, cujo nome deriva das inicia dos autores Rivest, Shamir e Aldeman. O método RSA baseia-se na dificuldade de fatorar números primos muitos grandes.
FireWalls
Firewalls são mecanismos muito utilizados para aumentar a segurança de redes ligadas a Internet, espécies de barreira de proteção, constituídas de um conjunto de hardware e software.
Firewall é um sistema ou um grupo de sistemas que garante uma política de controle de acesso entre duas redes (normalmente a Internet e uma rede local). Em princípio firewalls podem ser vistos como um par de mecanismos: um que existe para bloquear o tráfego e outro que existe para permitir o tráfego. Alguns firewalls dão maior ênfase ao bloqueio de tráfego, enquanto outros enfatizam a permissão do tráfego, o importante é configurar o firewall de acordo com a política de segurança da organização que o utiliza, estabelecendo o tipo de acesso que deve ser permitido ou negado.
Como mencionado anteriormente existem várias soluções para segurança na Internet, e isto também se aplica aos firewalls. Firewalls são classificados em três categorias principais [SOA 95]: filtros de pacotes, gateways de aplicação e gateways de circuitos.
Os filtros de pacotes utilizam endereços IP de origem e de destino, e portas UDP e TCP para tomar decisões de controle de acesso. O administrador elabora uma lista de máquinas e serviços que estão autorizados a transmitir datagramas nos possíveis sentidos de transmissão (entrado ou saindo da rede interna), que é então usada para filtrar os datagramas IP que tentam atravessar o firewall. Um exemplo de política de filtragem de pacotes seria permitir o tráfego de datagramas carregando mensagens de SMTP e DNS nas duas direções, tráfego Telnet só para pacotes saindo da rede interna e impedir todos os outros tipos de tráfego.
A filtragem de pacotes é vulnerável a adulteração de endereços IP e não fornece uma granularidade muito fina de controle de acesso, já que o acesso é controlado com base nas máquinas de origem e de destino dos datagramas.
Na segunda categoria de firewalls, um gateway de circuitos atua como intermediário de conexões TCP, funcionando como um TCP modificado. Para transmitir dados, o usuário origem conecta-se a uma porta TCP no gateway, que por sua vez, conecta-se ao usuário destino usando outra conexão TCP. Para que seja estabelecido um circuito o usuário de origem deve fazer uma solicitação para o gateway no firewall, passando como parâmetros a máquina e o serviço de destino. O gateway então estabelece ou não o circuito, note que um mecanismo de autenticação pode ser implementado neste protocolo.
Firewalls onde os gateways atuam a nível de aplicação utilizam implementações especiais das aplicações desenvolvidas especificamente para funcionar de forma segura. Devido a grande flexibilidade desta abordagem ela é a que pode fornecer maior grau de proteção. Por exemplo, um gateway FTP pode ser programado para restringir as operações de transferência a arquivos fisicamente localizados em um único host de acesso externo (bastion host). Além disso, a aplicação FTP pode ser modificada para limitar a transferência de arquivos da rede interna para a externa, dificultando ataques internos.
Assinatura Digital
O mecanismo de assinatura digital envolve dois procedimentos:
1. Que o receptor possa verificar a identidade declarada pelo transmissor (assinatura).
1. Que o transmissor não possa mais tarde negar a autoria da mensagem (verificação).
O procedimento de assinatura envolve a codificação da unidade de dados completa ou a codificação de uma parte.
O procedimento de verificação envolve a utilização de um método e uma chave pública para determinar se a assinatura foi produzida com a informação privada do signatário.
A característica essencial do mecanismo de assinatura digital é que ele deve garantir que uma mensagem assinada só pode ter sido gerada com informações privadas do signatário. Portanto uma vez verificada a assinatura com a chave pública, é possível posteriormente provar para um terceiro (