Vulnerabilidade, Ameaça e Ataque

Os termos vulnerabilidade, ameaça e ataque estão diretamente, ou indiretamente ligados à gestão do risco da segurança da informação. De seguida será retratado cada um destes itens relativamente ao conceito e significado que cada um representa.

Vulnerabilidade é a característica ou ponto em que um determinado sistema está suscetível a um ataque, ou seja, é uma condição encontrada num determinado ativo (recurso, processo, configuração, etc.), que denota fragilidades e fraquezas que podem ser exploradas por uma ameaça ou mais ameaças e resultar em prejuízo ou danos para a organização ou pessoa. Todos os ambientes são vulneráveis, partindo do princípio de que não existem ambientes totalmente seguros, facilmente podemos concluir que as vulnerabilidades fazem parte do cotidiano das organizações e estão presentes em todas as áreas de actividade de uma organização [7][51][52].

As vulnerabilidades podem estar ligadas às propriedades de um ativo, que podem ser utilizadas de forma ou para um propósito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. É necessário considerar vulnerabilidades resultantes de diferentes fontes, como por exemplo; as intrínsecas ao ativo e as extrínsecas [51][52].

Para cada uma das vulnerabilidades existentes podem ocorrer determinados incidentes de segurança por concretização das ameaças a que cada uma pode estar sujeita. Desta forma, podemos concluir que as vulnerabilidades são as principais causas de ocorrências de incidentes de segurança, conforme esquema representado na figura 15.

44 figura 15: - Vulnerabilidade, principal causa de incidentes de segurança da informação.

A evolução tecnológica tem permitido que cada vez mais haja maior capacidade de armazenamento de informação em formato eletrónico (suporte digital), aumentando desta forma a sua exposição e vulnerabilidade a muito mais tipos e variedade de ameaças do que existe ou ‘existia’ quando a informação estava no formato manual (papel, etc.). A relação de dependência em muitas organizações dos sistemas de informação com as telecomunicações permite que as mesmas, em diferentes localidades possam estar interligadas por meio de redes de telecomunicações entre filiais ou organizações do grupo, ou entre clientes e fornecedores, veio esta relação ampliar ainda mais essas vulnerabilidades. De entre as várias vulnerabilidades, esta relação aumenta o potencial de ameaças por acesso não autorizado, por abuso ou fraude, não ficando limitada a um único lugar, mas podendo ocorrer em qualquer um dos pontos de acesso à rede. Para complementar este cenário, são exigidos cada vez mais, complexas e diversas configurações de hardware, software, pessoas e processos organizacionais para as redes de telecomunicações que permitem a criação de novas áreas e oportunidade de invasão e manipulação, tal como por exemplo as redes sem fio, que baseadas em tecnologia rádio são mais vulneráveis à invasão, as redes de telecomunicações são altamente vulneráveis a falhas de hardware, software, e a fenómenos naturais [53]. Estão ilustrados na figura 16, alguns exemplos de vulnerabilidades das redes de telecomunicação.

45 figura 16: - Alguns exemplos de vulnerabilidades das redes de telecomunicação [7]. No anexo D.1, é apresentada a interligação entre a utilização da internet e a sua implicação nas vulnerabilidades dos sistemas.

Ameaça, pode ser definida como qualquer ação, acontecimento ou entidade que pode atuar sobre um ativo, processo ou pessoa, através de uma possível vulnerabilidade e consequentemente provoca um determinado impacto, prejuízo ou dano. Só existe uma ameaça se existirem uma ou mais vulnerabilidades que possam ser exploradas [7][52]. Outro conceito é de ”ameaça inteligente”, que é definida como a circunstância em que uma determinada entidade tem potencialidade técnica e operacional para detetar e explorar uma vulnerabilidade de um determinado sistema [7].

A tendência atual é que, as ameaças à segurança da informação continuam a crescer não apenas em número de ocorrências, mas também em velocidade, complexidade e alcance, tornando o processo de prevenção e de mitigação de incidentes cada vez mais difícil e sofisticado, figura 17 [6].

46 figura 17: - Evolução do número de ameaças em relação as TIC [6].

Não são apenas as ameaças externas que representam riscos numa corporação organização, os próprios funcionários representam um alto risco quando mal-intencionados ou quando não têm consciência dos riscos envolvidos na manipulação da informação [6][7]. As ameaças podem ser classificadas pela sua intencionalidade e ser divididas em grupos [4] [51]:

 Naturais: – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, etc.

 Acidental / Involuntárias: – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, incêndio, falha de hardware ou software, problemas elétricos, alterações no programa/aplicação, etc.

 Intencional / Voluntárias: – Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários, falha de hardware ou software, invasão pelo terminal de acesso, roubo de dados e equipamentos, problemas elétricos, alterações no programa/aplicação, problemas de telecomunicação, etc.

47 As ameaças podem ter origem em fatores técnicos, organizacionais e Ambientais, e podem ser agravadas por más decisões administrativas [53].

A norma ISO/IEC 27005:2008 tipifica no seu anexo C, o exemplo de ameaças mais comuns que estão associados aos Sistemas de Informação, transcritas neste documento no anexo F.3 (Catálogo Ameaças mais comuns “Tipo e Origem”).

Ataque, pode ser considerado um assalto realizado por uma ameaça ou resultante de uma ameaça ‘inteligente’ sobre um sistema de informação. Pode ser considerado um ato inteligente de uma tentativa deliberada, método ou técnica para ultrapassar ou invadir serviços de segurança e comprometer as politicas de segurança do sistema e ou da organização [43][52].

Ataque é um ato de contorno, desvio, passagem pelos mecanismos e controlos de segurança de um sistema de gestão da segurança quebrando os seu princípios e propósitos.

Um ataque pode ser classificado como [9][52]:

 Ativo, quando visa a alteração da informação (ou dados);

 Passivo, quando visa disponibilizar, roubar informação (ou dados);

 Destrutivo, quando visa à negação do acesso a informação (ou dados) ou serviços.

Num sistema de informação podem ocorrer as seguintes classes de ameaças, [7]: - Interceção: acesso a informações por entidades não autorizadas (violação da privacidade e confidencialidade das informações).

- Interrupção: pode ser definida como a interrupção do fluxo normal das mensagens ao destino.

- Modificação: consiste na modificação de mensagens por entidades não autorizadas, violação da integridade da mensagem.

- Personificação: considera-se personificação a entidade que acede a informação e/ou transmite mensagens passando-se por uma entidade autêntica, violação da autenticidade.

48 Do ponto de vista motivacional os ataques podem ter a sua origem por questões: : Desafio, Ego, Rebeldia, Vingança, Status, Dinheiro, Ganho monetário, Destruição de informações, Divulgação ilegal de informações, Utilização de recursos de outro sistema, Alteração de dados não autorizados, Chantagem, Ganho politica, Vantagem competitiva, Espionagem económica e/ou militar e/ou de Serviços de inteligência, Erros e omissões não intencionais [51].