Unidade III – Riscos Envolvendo Informações

1. Riscos

• Advento do processamento de informações usando computadores modernos: concentração em um único lugar de um grande volume de informações.
• Microcomputadores, Redes, Internet: riscos agravados, devido à disseminação da cultura de informática em segmentos expressivos da sociedade.
• A mesma facilidade proporcionada pelos computadores também implica alto risco de violação. O mesmo programa usado pelo diretor de marketing para emitir um relatório de projeção de vendas pode ser usado por um “espião” para emití-lo para a empresa concorrente.
• Expansão dos microcomputadores: pessoas com pouco ou nenhum contato anterior com computadores, sem nenhuma cultura prévia de informática, tratam os computadores como mais um equipamento de escritório, que supostamente não exige nenhuma medida especial de proteção.
• Até o início dos anos 80, a segurança de informática era preocupação maior apenas nos meios militares e governamentais.

1.1 Concentração de Informações

• Esse problema já existia, mesmo antes ao advento dos computadores. Porém, os computadores tornaram esse esse problema muito mais crítico devido à altíssima e crescente capacidade de armazenamento de informações dos mesmos.
• Qualquer microcomputador já vem com mídia magnética ou óptica com capacidade mínima da ordem de gigabytes. Além disso, um disco rígido de vários gigabytes pode caber dentro de bolsos.
• A Internet ampliou ainda os riscos ao interligar dezenas de milhares de sites ao redor do mundo. Um eventual atacante pode ter acesso a informações não acessíveis antes da popularização da rede. Além do roubo de informações, há que se considerar os ataques de “negação de acesso” (DoS), que podem restringir a sua capacidade operacional.
• Quanto menor o espaço de armazenamento para o mesmo volume de informações, mais facilmente elas podem ser fisicamente destruídas. Os meios de registro informatizados são todos inflamáveis, não suportando altas temperaturas por mais do que alguns minutos.

1.2 Acesso Indiscriminado

• Mesmo com a melhoria de condições de segurança física nos últimos anos, muitos CPDs ou servidores de redes ainda estão em ambientes de fácil acesso.
• Mais grave ainda é a falta de critério no controle do acesso lógico às informações. Ainda hoje é muito comum usuários terem acesso a mais informações do que as necessárias para executar as suas funções. Há muitos casos também onde usuários compartilham os mesmos recursos, sem que haja controle sobre o seu uso (senhas compartilhadas, por exemplo).
• As redes de microcomputadores agravaram para o problema do acesso indiscriminado, pois várias redes não possuem ferramentas de segurança de acesso adequadamente instaladas. Mesmo onde tais ferramentas existem, muitas estações, e até servidores, estão em local de fácil acesso físico, possibilitando o roubo físico dos disco rígidos das mesmas.

1.3 Obscuridade das Informações

• Devido ao fato das informações não serem “visíveis” diretamente, as mesmas são de difícil controle e podem ser mais facilmente roubadas ou fraudadas.

1.4 Concentração de Funções

• A concentração de funções permite que um mesmo indivíduo adquira o conhecimento necessário para executar fraudes e, ao mesmo tempo, saiba como obter vantagens com as informações que manuseia. Torna a organização vulnerável ao humor e caráter desses indivíduos.

1.5 Falta de Controle

• A falta de controle não é conseqüência da informática, porém a velocidade com que as informações são processadas e acessadas torna o problema mais sério.
• Pode implicar a impossibilidade de se descobrir irregularidades ou a descoberta somente após a ocorrência das mesmas, quando muito pouco pode ser feito para remediar a situação.
• A falta de controle em relação aos acessos à Internet, ou da Internet em relação à rede da organização abre as portas para milhões de atacantes em potencial, grande parte deles com interesse em obter lucros financeiros com suas informações.

1.6 Retenção

• Informações armazenadas em meios de registros informatizados não são realmente apagadas quando se elimina o arquivo a elas associado.
• No lapso de tempo entre a eliminação do arquivo e a real destruição dos dados, um eventual violador com o conhecimento necessário de computação pode acessar essas informações.
• Existem diversos programas utilitários capazes de recuperar arquivos que tenham sido eliminados dos diretórios dos discos e que são do conhecimento geral entre usuários de computadores.

1.7 Relacionamento e Combinação de Informações

• Antes do advento da informática, era mais difícil cruzar informações de diversos arquivos para se obter uma nova informação. A facilidade de se recuperar e cruzar informações, principalmente em bancos de dados relacionais, pode levar à revelação de informações sigilosas ou até mesmo à invasão de privacidade das pessoas.
• Informações inocentes armazenadas individualmente e sem maior proteção, quando combinadas com outras entre si podem gerar novas informações de natureza altamente valiosa para empresas e indivíduos.
• No caso da Internet, informações da organização atacada podem ser combinadas com outras, obtidas de outros ambientes, ampliando o risco.

1.8 Introdução de Erros

• Velho ditado em informática: "O lixo que entra é o lixo que sai.". Na realidade, o lixo é muito maior, pois os computadores têm o poder de multiplicação.
• Um erro introduzido em determinada fase do processamento, seja através dos dados, seja através de programas, se não for descoberto a tempo pode se propagar rapidamente, tornando difícil e cara a sua eliminação.
• Quanto mais aumenta a capacidade dos computadores, mais grave se torna este risco.
• A introdução de dados espúrios, através de ataques pela Internet, agrava ainda mais a situação.

1.9 Lealdade dos Profissionais

• É um problema muito sério na área de informática, devido à concentração de informações vitais em um único lugar e, às vezes, em um único profissional.
• Não é só uma questão de salários, mas também envolve o relacionamento humano. Eventuais descontentamentos nunca devem ser deixados sem solução.
• Funcionários demissionários não devem, em hipótese nenhuma alguma, continuar a ter acesso a facilidades computacionais, muito menos acesso externo à rede (por meio da Internet ou acesso remoto privado).

1.10 Acesso Não Autorizado

• Para todos os efeitos práticos, as tentativas de acesso não autorizado não se diferenciam do acesso indiscriminado, entretanto, após o advento do processamento em tempo real, o problema tornou-se mais sério.
• Associados ao acesso não autorizado, encontramos alguns termos que se tornaram comuns até mesmo na imprensa não especializada. São: os "hackers", os vírus, a bomba lógica, o cavalo de Tróia e o alçapão ("trap door").
  • "Hackers" - aficionados por informática, normalmente com alto grau de inteligência e capacitação no ramo, cuja principal diversão é conseguir ultrapassar barreiras de acesso aos grandes sistemas de computação que operam em rede, principalmente na Internet. O risco envolvido com "hackers" é crescente, devido não somente à popularização da Internet, mas também devido à constante troca de informações entre os hackers e à própria divulgação de informações na área de invasão de sistemas em rede. Encontra-se hoje, em qualquer livraria ou banca de jornais, informações sobre técnicas de invasão de sistemas, antes restritas a uns poucos "iniciados".
  • Vírus - suspeita-se que os primeiros vírus foram obra de empresas fabricantes de software, que intentavam proteger seus produtos contra cópias não autorizadas. Normalmente, os vírus são raros em computadores de grande porte, ocorrendo com mais freqüência em microcomputadores. Podem ser classificadas na categoria de vírus, a bomba lógica e sua variante, a bomba-relógio, o cavalo de Tróia e os alçapões ("trap doors" e "backdoors").
  • Bomba lógica - também conhecida como bomba-relógio, pois na maioria dos casos o disparo é efetuado pela data do sistema, causando danos ao sistema onde foi instalada. É talvez a forma de modificação não autorizada mais difícil de ser detectada e potencialmente mais perigosa. Pode ser obra de funcionários, ou ex-funcionários, descontentes com a empresa.
  • Cavalo de Tróia - o nome se deve ao fato de funcionar através de estratégia similar ao mitológico cavalo da guerra de Tróia, na Grécia antiga.O meio de infiltração pode ser através de um jogo interessante ou desafiador, através de um programa similar aos sistemas de captação e verificação de senhas em terminais e estações de trabalho de redes. Enquanto capturar informações valiosas como o senha do usuário, o sistema pode estar enviando essa e outras informações ao seu autor (provavelmente um "hacker" interessado em uma posterior invasão ao sistema alvo) e ainda realizando operações não autorizadas no sistema, tais como eliminação de arquivos, alteração de dados, etc.
  • Alçapão - modo de acesso ao sistema que de outra forma não seria permitido; seu funcionamento é similar às passagens secretas dos castelos medievais. São também chamados de "trap doors" ou "backdoors".
• Atualmente, uma das principais portas de entrada para acessos não autorizados é a Internet. O controle de acesso nos dois sentidos deve ser rígido para redes interligadas à Internet, principalmente no tráfego de fora para dentro.

1.11 Quebra de Integridade

• Como decorrência do acesso não autorizado ou indiscriminado, uma organização pode incorrer no risco de não ter como garantir a integridade das informações armazenadas em seus computadores.
• É comum, na maioria das organizações, funcionários terem acesso a mais informações do que as necessárias para o desempenho de suas funções. Isso pode acarretar conflitos de acesso, com o risco de dois ou mais usuários atualizarem a mesma informação de maneira praticamente simultânea; certamente, a última sobrepondo a primeira.

2. Técnicas de Defesa

Existe um sem número de técnicas de defesa que podem ser usadas para prevenir e ou combater os efeitos dos riscos aqui mencionados. Como tais técnicas vão ser tratadas com maior grau de detalhes mais adiante neste curso, pode-se citar algumas das principais:

• Implantação efetiva de uma política de segurança da informação;
• Manutenção permanente de cultura formal e informal de segurança;
• Uso de softwares de administração de redes;
• Uso de softwares de segurança (autenticação, firewall, sistemas de detecção de intrusão, antivírus, etc.);
• Uso de softwares de gerenciamento de configuração de software;
• Implantar sistema de controle de mídia usada para cópias de segurança (fitoteca, discoteca);
• Uso de ferramentas de análise de desempenho de sistemas operacionais;
• Uso de pacotes de administração de espaço em disco;
• Manutenção de disciplina de uso de chaves de acesso individuais para cada funcionário autorizado a acessar facilidades computacionais;
• Manutenção de documentação organizada e atualizada, tanto para a infra-estrutura da plataforma computacional, quanto para os aplicativos desenvolvidos e instalados nessa plataforma;
• Evitar ao máximo o acúmulo de responsabilidades e funções nas mãos de poucas pessoas.

3. Referências Bibliográficas

• CARUSO, Carlos A. A.; STEFFEN, Flávio D. Segurança em Informática e de Informações. 2ª ed. rev. e ampl. Senac, São Paulo, 1999.