Unidade III – Riscos Envolvendo
Informações
1. Riscos
- Advento do processamento de informações usando
computadores modernos: concentração em um único lugar
de um grande volume de informações.
- Microcomputadores, Redes, Internet: riscos agravados,
devido à disseminação da cultura de informática em
segmentos expressivos da sociedade.
- A mesma facilidade proporcionada pelos computadores
também implica alto risco de violação. O mesmo
programa usado pelo diretor de marketing para emitir um
relatório de projeção de vendas pode ser usado por um
“espião” para emití-lo para a empresa
concorrente.
- Expansão dos microcomputadores: pessoas com pouco ou
nenhum contato anterior com computadores, sem nenhuma
cultura prévia de informática, tratam os computadores
como mais um equipamento de escritório, que supostamente
não exige nenhuma medida especial de proteção.
- Até o início dos anos 80, a segurança de informática
era preocupação maior apenas nos meios militares e
governamentais.
1.1 Concentração de Informações
- Esse problema já existia, mesmo antes ao advento dos
computadores. Porém, os computadores tornaram esse esse
problema muito mais crítico devido à altíssima e
crescente capacidade de armazenamento de informações
dos mesmos.
- Qualquer microcomputador já vem com mídia magnética ou
óptica com capacidade mínima da ordem de gigabytes.
Além disso, um disco rígido de vários gigabytes
pode caber dentro de bolsos.
- A Internet ampliou ainda os riscos ao interligar dezenas
de milhares de sites ao redor do mundo. Um
eventual atacante pode ter acesso a informações não
acessíveis antes da popularização da rede. Além do
roubo de informações, há que se considerar os ataques
de “negação de acesso” (DoS), que podem
restringir a sua capacidade operacional.
- Quanto menor o espaço de armazenamento para o mesmo
volume de informações, mais facilmente elas podem ser
fisicamente destruídas. Os meios de registro
informatizados são todos inflamáveis, não suportando
altas temperaturas por mais do que alguns minutos.
1.2 Acesso Indiscriminado
- Mesmo com a melhoria de condições de segurança física
nos últimos anos, muitos CPDs ou servidores de redes
ainda estão em ambientes de fácil acesso.
- Mais grave ainda é a falta de critério no controle do
acesso lógico às informações. Ainda hoje é muito
comum usuários terem acesso a mais informações do que
as necessárias para executar as suas funções. Há
muitos casos também onde usuários compartilham os
mesmos recursos, sem que haja controle sobre o seu uso
(senhas compartilhadas, por exemplo).
- As redes de microcomputadores agravaram para o problema
do acesso indiscriminado, pois várias redes não possuem
ferramentas de segurança de acesso adequadamente
instaladas. Mesmo onde tais ferramentas existem, muitas
estações, e até servidores, estão em local de fácil
acesso físico, possibilitando o roubo físico dos disco
rígidos das mesmas.
1.3 Obscuridade das Informações
- Devido ao fato das informações não serem
“visíveis” diretamente, as mesmas são de
difícil controle e podem ser mais facilmente roubadas ou
fraudadas.
1.4 Concentração de Funções
- A concentração de funções permite que um mesmo
indivíduo adquira o conhecimento necessário para
executar fraudes e, ao mesmo tempo, saiba como obter
vantagens com as informações que manuseia. Torna a
organização vulnerável ao humor e caráter desses
indivíduos.
1.5 Falta de Controle
- A falta de controle não é conseqüência da
informática, porém a velocidade com que as
informações são processadas e acessadas torna o
problema mais sério.
- Pode implicar a impossibilidade de se descobrir
irregularidades ou a descoberta somente após a
ocorrência das mesmas, quando muito pouco pode ser feito
para remediar a situação.
- A falta de controle em relação aos acessos à Internet,
ou da Internet em relação à rede da organização abre
as portas para milhões de atacantes em potencial, grande
parte deles com interesse em obter lucros financeiros com
suas informações.
1.6 Retenção
- Informações armazenadas em meios de registros
informatizados não são realmente apagadas quando se
elimina o arquivo a elas associado.
- No lapso de tempo entre a eliminação do arquivo e a
real destruição dos dados, um eventual violador com o
conhecimento necessário de computação pode acessar
essas informações.
- Existem diversos programas utilitários capazes de
recuperar arquivos que tenham sido eliminados dos
diretórios dos discos e que são do conhecimento geral
entre usuários de computadores.
1.7 Relacionamento e Combinação de Informações
- Antes do advento da informática, era mais difícil
cruzar informações de diversos arquivos para se obter
uma nova informação. A facilidade de se recuperar e
cruzar informações, principalmente em bancos de dados
relacionais, pode levar à revelação de informações
sigilosas ou até mesmo à invasão de privacidade das
pessoas.
- Informações inocentes armazenadas individualmente e sem
maior proteção, quando combinadas com outras entre si
podem gerar novas informações de natureza altamente
valiosa para empresas e indivíduos.
- No caso da Internet, informações da organização
atacada podem ser combinadas com outras, obtidas de
outros ambientes, ampliando o risco.
1.8 Introdução de Erros
- Velho ditado em informática: "O lixo que entra é o
lixo que sai.". Na realidade, o lixo é muito maior,
pois os computadores têm o poder de multiplicação.
- Um erro introduzido em determinada fase do processamento,
seja através dos dados, seja através de programas, se
não for descoberto a tempo pode se propagar rapidamente,
tornando difícil e cara a sua eliminação.
- Quanto mais aumenta a capacidade dos computadores, mais
grave se torna este risco.
- A introdução de dados espúrios, através de ataques
pela Internet, agrava ainda mais a situação.
1.9 Lealdade dos Profissionais
- É um problema muito sério na área de informática,
devido à concentração de informações vitais em um
único lugar e, às vezes, em um único profissional.
- Não é só uma questão de salários, mas também
envolve o relacionamento humano. Eventuais
descontentamentos nunca devem ser deixados sem solução.
- Funcionários demissionários não devem, em hipótese
nenhuma alguma, continuar a ter acesso a facilidades
computacionais, muito menos acesso externo à rede (por
meio da Internet ou acesso remoto privado).
1.10 Acesso Não Autorizado
- Para todos os efeitos práticos, as tentativas de acesso
não autorizado não se diferenciam do acesso
indiscriminado, entretanto, após o advento do
processamento em tempo real, o problema tornou-se mais
sério.
- Associados ao acesso não autorizado, encontramos alguns
termos que se tornaram comuns até mesmo na imprensa não
especializada. São: os "hackers", os vírus, a
bomba lógica, o cavalo de Tróia e o alçapão
("trap door").
- "Hackers" -
aficionados por informática, normalmente com
alto grau de inteligência e capacitação no
ramo, cuja principal diversão é conseguir
ultrapassar barreiras de acesso aos grandes
sistemas de computação que operam em rede,
principalmente na Internet. O risco envolvido com
"hackers" é crescente, devido não
somente à popularização da Internet, mas
também devido à constante troca de
informações entre os hackers e à própria
divulgação de informações na área de
invasão de sistemas em rede. Encontra-se hoje,
em qualquer livraria ou banca de jornais,
informações sobre técnicas de invasão de
sistemas, antes restritas a uns poucos
"iniciados".
- Vírus - suspeita-se que os
primeiros vírus foram obra de empresas
fabricantes de software, que intentavam proteger
seus produtos contra cópias não autorizadas.
Normalmente, os vírus são raros em computadores
de grande porte, ocorrendo com mais freqüência
em microcomputadores. Podem ser classificadas na
categoria de vírus, a bomba lógica e sua
variante, a bomba-relógio, o cavalo de Tróia e
os alçapões ("trap doors" e
"backdoors").
- Bomba lógica - também
conhecida como bomba-relógio, pois na maioria
dos casos o disparo é efetuado pela data do
sistema, causando danos ao sistema onde foi
instalada. É talvez a forma de modificação
não autorizada mais difícil de ser detectada e
potencialmente mais perigosa. Pode ser obra de
funcionários, ou ex-funcionários, descontentes
com a empresa.
- Cavalo de Tróia - o nome se
deve ao fato de funcionar através de estratégia
similar ao mitológico cavalo da guerra de
Tróia, na Grécia antiga.O meio de infiltração
pode ser através de um jogo interessante ou
desafiador, através de um programa similar aos
sistemas de captação e verificação de senhas
em terminais e estações de trabalho de redes.
Enquanto capturar informações valiosas como o
senha do usuário, o sistema pode estar enviando
essa e outras informações ao seu autor
(provavelmente um "hacker" interessado
em uma posterior invasão ao sistema alvo) e
ainda realizando operações não autorizadas no
sistema, tais como eliminação de arquivos,
alteração de dados, etc.
- Alçapão - modo de acesso ao
sistema que de outra forma não seria permitido;
seu funcionamento é similar às passagens
secretas dos castelos medievais. São também
chamados de "trap doors" ou
"backdoors".
- Atualmente, uma das principais portas de entrada para
acessos não autorizados é a Internet. O controle de
acesso nos dois sentidos deve ser rígido para redes
interligadas à Internet, principalmente no tráfego de
fora para dentro.
1.11 Quebra de Integridade
- Como decorrência do acesso não autorizado ou
indiscriminado, uma organização pode incorrer no risco
de não ter como garantir a integridade das informações
armazenadas em seus computadores.
- É comum, na maioria das organizações, funcionários
terem acesso a mais informações do que as necessárias
para o desempenho de suas funções. Isso pode acarretar
conflitos de acesso, com o risco de dois ou mais
usuários atualizarem a mesma informação de maneira
praticamente simultânea; certamente, a última
sobrepondo a primeira.
2. Técnicas de Defesa
Existe um sem número de técnicas de defesa que podem ser
usadas para prevenir e ou combater os efeitos dos riscos aqui
mencionados. Como tais técnicas vão ser tratadas com maior grau
de detalhes mais adiante neste curso, pode-se citar algumas das
principais:
- Implantação efetiva de uma política de segurança da
informação;
- Manutenção permanente de cultura formal e informal de
segurança;
- Uso de softwares de administração de redes;
- Uso de softwares de segurança (autenticação, firewall,
sistemas de detecção de intrusão, antivírus, etc.);
- Uso de softwares de gerenciamento de configuração de
software;
- Implantar sistema de controle de mídia usada para
cópias de segurança (fitoteca, discoteca);
- Uso de ferramentas de análise de desempenho de sistemas
operacionais;
- Uso de pacotes de administração de espaço em disco;
- Manutenção de disciplina de uso de chaves de acesso
individuais para cada funcionário autorizado a acessar
facilidades computacionais;
- Manutenção de documentação organizada e atualizada,
tanto para a infra-estrutura da plataforma computacional,
quanto para os aplicativos desenvolvidos e instalados
nessa plataforma;
- Evitar ao máximo o acúmulo de responsabilidades e
funções nas mãos de poucas pessoas.
3. Referências Bibliográficas
- CARUSO, Carlos A. A.; STEFFEN, Flávio D. Segurança
em Informática e de Informações. 2ª ed. rev. e
ampl. Senac, São Paulo, 1999.