Conceitos de Controle de acesso e segurança:

4.3.1 Noções de segurança de sistemas

O uso de sistemas de informações e redes mudou de maneira drástica com o ad- vento da Internet. Atualmente, infraestruturas críticas são suportes sobre a In-

ternet como o gerenciamento de energia, sistemas de transporte, coordenação

de finanças, etc. Isto influencia diretamente a maneira como as companhias re- alizam negócios, como os governos disponibilizam seus serviços aos cidadãos e como as pessoas trocam informações e se comunicam. Tudo isto influi na natureza da informação trocada.

A quantidade de dispositivos com conexões “always on” (sempre conecta- dos) também aumentou significativamente. Assim, houve um aumento da in- terconectividade e os sistemas de informações e redes tendem a ficar expostos cada vez mais a um maior número de ameaças e vulnerabilidades.

As questões relativas à segurança de informações não se aplicam apenas a sistemas informatizados. No entanto, a informatização trouxe novas questões a serem discutidas. Se voltássemos cerca de um século (ou um pouco mais) no tempo e verificássemos como era a segurança de sistemas bancários, percebe- ríamos que você precisaria invadir fisicamente um banco para roubá-lo. Hoje, isto não é necessário. Atacantes do mundo todo podem tentar burlar a segu- rança em sistemas bancários, pois estes sistemas estão conectados à Internet.

É necessário discutir questões novas sobre segurança e formar uma “cultu- ra de segurança”.

Os armários e as fechaduras para arquivos confidenciais hoje são digitais. Nós temos, basicamente, dois cenários para discutir a segurança digital: •  a segurança do computador ou sistema computacional;

•  a segurança de rede ou na comunicação (conexão) entre elementos com- putacionais.

As duas áreas são de extrema importância. Devido a conectividade dos sis- temas atuais, a primeira área não fica separada da segunda. Assim, vamos dis- cutir a segurança num aspecto geral, fazendo as ressalvas quanto a estas áreas. Mas, posso adiantar: você verá que elas são muito misturadas!

Vamos entender o que pode sofrer um sistema computacional. De acordo com a RFC 2828 (disponível em www.ietf.org/rfc/rfc2828.txt):

•  Ameaça: potencial para violação da segurança quando há uma circuns- tância, capacidade, ação ou evento que pode quebrar a segurança e cau- sar danos. Ou seja, uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.

•  Ataque: derivado de uma ameaça inteligente, uma tentativa de burlar os serviços de segurança e violar as políticas de segurança de um sistema, usando um método ou técnica com eficiência e eficácia consideráveis.

4.3.2 Estatísticas sobre incidentes de segurança

O “Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil” (CERT.br) é um grupo de resposta a incidentes de segurança para inter-

net brasileira mantido pelo NIC.br do Comitê Gestor da Internet no Brasil. O

Cert.br faz o acompanhamento estatístico sobre incidentes de segurança. São exemplos de incidentes de segurança:

•  tentativas de ganhar acesso não autorizado a sistemas ou dados; •  ataques de negação de serviço;

•  uso ou acesso não autorizado a um sistema;

•  modificações em um sistema, sem o conhecimento, instruções ou con- sentimento prévio do dono do sistema;

•  desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.

ATENÇÃO

O que é um incidente de segurança segundo o Cert.br? Incidentes (www.cert.br):

Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.

114

•

capítulo 4

A seguir, temos um gráfico do CERT sobre os incidentes reportados de 1999 a 2009.

Total de incidentes reportados ao CERT.br por ano 320000 280000 240000 200000 160000 120000 80000 40000 0 1999 3107 5997 12301 25092 54607 75722 68000 197892 160080 222528 298181 2000 2001 2002 2003 Ano (1999 a junho de 2009)2004 2005 2006 2007 2008 2009 Figura 5 – Incidentes reportados por ano.

Fonte: <www.cert.br>

Veja que em 10 anos (2000 a 2009) o número de incidentes foi multiplicado por 50 (cerca de 6 mil para cerca de 300 mil)!

A seguir, temos outro gráfico que representa os tipos de incidentes reportados.

CERT.br: Incidentes Reportados (Tipos de ataque acumulado)

Incidentes Reportados 0 01/04 15/04 01/05 15/05 2009 01/06 15/06 30/06 10000 20000 30000 40000 50000 60000 70000 80000 Total scan web invasão dos outros fraude Figura 6 – Incidentes reportados por tipo de ataque em 2009.  Fonte: <www.cert.br>

A grande maioria dos incidentes reportados diz respeito a fraudes. Pode- mos definir os tipos reportados como segue:

•  dos (DoS - Denial of Service): notificações de ataques de negação de servi- ço, onde o atacante utiliza um computador ou um conjunto de computa- dores para tirar de operação um serviço, computador ou rede.

•  invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.

•  web: um caso particular de ataque visando especificamente o compro-

metimento de servidores web ou desfigurações de páginas na Internet. •  scan: notificações de varreduras em redes de computadores, com o intui-

to de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnera- bilidades aos serviços habilitados em um computador.

•  fraude: segundo Houaiss, é “qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro”. Esta categoria engloba as notificações de tentativas de frau- des, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem. •  outros: notificações de incidentes que não se enquadram nas categorias

anteriores.

Obs.: vale lembrar que não se deve confundir scan com scam. Scams (com

“m”) são quaisquer esquemas para enganar um usuário, geralmente, com fina- lidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.

Dentre as fraudes reportadas, aquelas referentes à violação de direitos au- torais é a mais frequente. Falaremos um pouco mais sobre direitos autorais nesse capítulo.

116

•

capítulo 4 Incidentes reportados (tipos de ataque) Fraude (74,95%) Scan (16,55%) Worm (4,37%) Web (4,37%) Invasão (0,06%) Dos (0,86%) Outros (1,37%)

Figura 7 – Tipos de fraudes reportadas. Fonte: <www.cert.br>

•  Cavalos de Troia: tentativas de fraude com objetivos financeiros envol- vendo o uso de cavalos de troia.

•  Páginas Falsas: tentativas de fraude com objetivos financeiros envolven- do o uso de páginas falsas.

•  Direitos Autorais: notificações de eventuais violações de direitos autorais. •  Outras: outras tentativas de fraude.

Outra análise interessante é o número de incidentes reportados por dia da semana.

Veja que os “picos” acontecem nas quartas e quintas feiras, principalmente.

CERT.br: Incidentes reportados (por dia da semana) Incidentes reportados

Incidentes reportados

Domingo Segunda Terrça Quarta

Dia da Semana

Quinta Sexta Sábado

0 2000 4000 6000 8000 10000 12000 14000 16000 18000

Figura 8 – Incidentes reportados por dia da semana. Fonte: <www.cert.br>

Por fim, outra característica interessante dos incidentes relatados no CERT é a origem dos ataques. A grande maioria dos incidentes reportados tem ori- gem no Brasil.

CERT.br: Incidentes reportados (Top 10 CCs origem de ataques) Incidentes reportados Incidentes reportados BR 82.15% 60000 50000 40000 30000 20000 10000 0 US 3.95% 3.56%CN 1.11%PE 0.79%CO 0.67%KR 0.63%IT 0.51%DE 0.51%RU 0.47%FR Figura 9 – Incidentes reportados por origem de ataque.  Fonte: <www.cert.br>

No documento Fundamentos de Sistema Da Informação 2017 (páginas 112-117)