Estratégia para análise de vulnerabilidade de software em ambientes corporativos

PAULO MORGADO

ESTRATÉGIA PARA ANÁLISE DE VULNERABILIDADE DE SOFTWARE EM AMBIENTES CORPORATIVOS: UM ESTUDO DE CASO

Palhoça 2014

ESTRATÉGIA PARA ANÁLISE DE VULNERABILIDADE DE SOFTWARE EM AMBIENTES CORPORATIVOS: UM ESTUDO DE CASO

Trabalho de Conclusão de Curso apresentado ao Curso de Graduação em Sistemas de Informação da Universidade do Sul de Santa Catarina, como requisito parcial à obtenção do título de Bacharel em Sistemas de Informação.

Orientador: Prof. Luiz Otávio Botelho Lento, M.e.

Palhoça 2014

ESTRATÉGIA PARA ANÁLISE DE VULNERABILIDADE DE SOFTWARE EM AMBIENTES CORPORATIVOS:

UM ESTUDO DE CASO

Este Trabalho de Conclusão de Curso foi julgado adequado à obtenção do título de Bacharel em Sistemas de Informação e aprovado em sua forma final pelo Curso de Graduação em Sistemas de Informação da Universidade do Sul de Santa Catarina.

Desenvolver um sistema de computador seguro e confiável, pode se tornar um processo lento e caro. Comprar um sistema pronto, supostamente seguro, também pode não ser muito atrativo, aos olhos de um gestor empresarial. O fato é que, mesmo com a escolha de uma das opções, não se tem garantia de que os dados estarão seguros. Esse fato pode ser observado, através dos noticiários, que frequentemente relatam casos de invasão de privacidade, roubo de informações sigilosas ou desvio de dinheiro através da Internet. Por conta deste problema, desenvolve-se neste trabalho de conclusão de curso, uma estratégia que norteia os passos a serem seguidos, por organizações que necessitam analisar vulnerabilidades em seus softwares. O objetivo é o desenvolvimento de diretrizes, voltadas a gestão de vulnerabilidades de software. E, para conquistá-lo, leituras de pesquisas científicas na área de segurança da informação e um estudo de caso, são as atividades necessárias. Pode-se notar, ao longo do texto, que referências internacionalmente conhecidas, formam a base para a construção e fundamentação da estratégia. Por fim, pode-se dizer que, se utilizada em conjunto com modelos diferentes de análise de vulnerabilidade de software, de acordo com a necessidade de cada um, a estratégia é de grande utilidade e um diferencial, na manutenção da segurança das informações organizacionais.

Figura 1 – Processo de Gestão de Vulnerabilidades de software ... 51

Figura 2 - Estratégia para análise de vulnerabilidade de software ... 51

Figura 3 - Análise de Código Fonte ... 57

Figura 4 - Ferramentas utilizadas ... 63

Figura 5 - Tela inicial do ZAP ... 64

Figura 6 - Identificação de vulnerabilidades ... 65

Figura 7 - Cookies sem flag HTTPOnly ... 66

Figura 8 - Senhas auto completadas no navegador Web ... 67

Figura 9 - Falta de utilização do X-Frame-Options HTTP ... 68

1 INTRODUÇÃO ... 9 1.1 PROBLEMÁTICA ...9 1.2 OBJETIVOS ...10 1.2.1 Objetivo geral ...10 1.2.2 Objetivos específicos: ...10 1.3 JUSTIFICATIVA ...11 1.4 ESTRUTURA DO TRABALHO ...12 2 REVISÃO BIBLIOGRÁFICA ... 13 2.1 SEGURANÇA DA INFORMAÇÃO ...13

2.1.1 Propriedades e objetivos da Segurança ...14

2.1.1.1 Integridade ... 14 2.1.1.2 Confidencialidade... 15 2.1.1.3 Autenticidade ... 15 2.1.1.4 Rastreabilidade ... 16 2.1.1.5 Supervisão ... 17 2.1.1.6 Recuperação ... 17 2.2 CRIPTOGRAFIA ...18 2.2.1 Tipos de Criptografia ...18 2.2.1.1 Criptografia Simétrica ... 18 2.2.1.2 Criptografia Assimétrica ... 19 2.2.1.3 Criptografia de Hash ... 20 2.2.1.4 Esteganografia ... 20 2.2.2 Utilização da Criptografia ...21 2.2.2.1 Segurança de e-mail ... 21 2.2.2.1.1 PGP ...22 2.2.2.1.2 S/MIME ...23 2.2.2.2 Segurança de IP ... 23 2.2.3 Protocolos de Criptografia ...24 2.2.3.1 IPSec ... 24 2.2.3.2 SSL ... 25 2.2.3.3 SET ... 25

2.3 GESTÃO DE SEGURANÇA DA INFORMAÇÃO ...26

2.3.1 Mecanismos de defesa ...26

2.3.1.1 Monitoramento e controle de acesso ... 27

2.3.1.1.1 IDS/IPS ...27

2.3.1.2 Proteção de Dados Armazenados ... 28

2.3.1.3 Proteção de Dados em Trânsito ... 28

2.3.1.3.1 Filtragem de Pacotes ...29 2.3.1.3.2 Proxy ...29 2.3.1.3.3 VPN ...30 2.3.2 Administração da Informação ...30 2.3.2.1 Planejamento ... 30 2.3.2.2 Execução ... 31 2.3.2.3 Monitoramento ... 32 2.3.2.4 Ações corretivas ... 32

2.3.3 Política de Segurança nas Organizações ...33

2.3.3.1.4 Atitude ...35

2.3.3.2 Atividades de proteção ... 35

2.3.3.2.1 Identificar inimigos e pontos fracos ...36

2.3.3.2.2 Contabilizar valores...36

2.3.3.2.3 Examinar hipóteses ...37

2.3.3.3 Implementação da Política de Segurança ... 37

2.3.3.3.1 Política de senhas ...37

2.3.3.3.2 Ataques que envolvem senhas ...38

2.3.3.3.3 Boas práticas na política de senhas ...39

2.3.3.3.4 Política de backup...40

2.4 VULNERABILIDADES DE SOFTWARE EM AMBIENTES WEB ...40

2.4.1 Cross Site Scripting (XSS)...41

2.4.2 Falhas de Injeção ...42

2.4.3 Execução Maliciosa de Arquivo ...43

2.4.4 Referência Insegura Direta a objeto...44

2.4.5 Cross Site Request Forgery (CSRF) ...44

2.4.6 Vazamento de Informações e Tratamento de Erros Inapropriado ...45

2.4.7 Furo de Autenticação e Gerência de Sessões ...45

2.4.8 Armazenamento criptográfico inseguro ...46

2.4.9 Comunicações Inseguras ...46

2.4.10 Falha ao Restringir Acesso À URLs ...47

3 MÉTODO... 48

3.1 TIPO DE PESQUISA ...48

3.2 OBJETO DE ESTUDO ...48

3.3 ATIVIDADES ...49

3.3.1 Desenvolvimento das diretrizes para análise de vulnerabilidades de software ...49

3.3.2 Aplicação das diretrizes na organização selecionada para estudo de caso ...49

3.3.3 Avaliação qualitativa das diretrizes com base no estudo de caso ...49

3.4 DELIMITAÇÕES ...50

4 ESTRATÉGIA PARA ANÁLISE DE VULNERABILIDADE DE SOFTWARE ... 51

4.1 CONCEITO DE ESTRATÉGIA ...51

4.2 GERENCIAMENTO DE VULNERABILIDADES DE SOFTWARE ...51

4.2.1 Escopo ...53

4.2.2 Ferramenta ...53

4.2.3 Identificação ...54

4.2.4 Análise ...54

4.2.4.1 Análise de código fonte ... 55

4.2.4.2 Análise de resultados com base em um conjunto de entradas ... 55

4.2.4.3 Verificação de portas abertas ... 55

4.2.5 Correção ...56

4.2.6 Validação ...56

4.2.7 Relatórios ...57

4.2.8 Monitoramento ...57

4.3 ANÁLISE DE CÓDIGO FONTE ...57

4.3.1 Detectar falha ...58 4.3.2 Analisar detecção ...58 4.3.3 Falha e Vulnerabilidade ...59 4.3.4 Corrigir falha ...59 4.3.5 Validar correção...59 4.4 TECNOLOGIAS SUGERIDAS ...60

4.4.1.4 Nikto ... 62 4.4.1.5 Netsparker ... 62 5 APLICAÇÃO DA ESTRATÉGIA ... 63 5.1 FERRAMENTAS TECNOLÓGICAS ...63 5.2 DESCRIÇÃO DA EMPRESA ...64 5.3 APLICAÇÃO DA ESTRATÉGIA ...64 5.3.1 Escopo do sistema ...64 5.3.2 Ferramenta ...65 5.3.3 Identificação ...65 5.3.4 Análise ...66

5.3.4.1 Cookies sem flag HTTPOnly ... 67

5.3.4.2 Senhas auto completadas no navegador Web ... 67

5.3.4.3 Falta de utilização do X-Frame-Options HTTP ... 68

5.3.5 Correção ...69 5.3.6 Validação ...70 5.3.7 Relatórios ...70 5.4 AVALIAÇÃO DA ESTRATÉGIA ...71 5.4.1 Objetivo ...72 5.4.2 Modelo da avaliação ...72 5.4.3 Público alvo ...72 5.4.4 Aplicação da avaliação ...72

5.4.5 Resultados obtidos com a aplicação da estratégia ...73

6 CONCLUSÕES E TRABALHOS FUTUROS... 74

6.1 CONSIDERAÇÕES ...74

6.2 TRABALHOS FUTUROS ...75

REFERÊNCIAS ... 76

APÊNDICES ... 80

1 INTRODUÇÃO

Os dados das organizações do século XXI tornam-se cada vez mais valiosos, esses dados, organizados e classificados transformam-se em informação. Quanto mais as empresas utilizam informações a seu favor, melhores são os resultados e maior o crescimento. Contudo, é necessário que os dados das organizações sejam armazenados em um lugar seguro e ao mesmo tempo acessível. A “Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio”. (ABNT, 2005).

É válido dizer que a segurança da informação em ambientes corporativos é de suma importância, pois, conforme consta em estudo, há uma demanda enorme de profissionais neste ramo, que não é, e não está nem perto de ser, suprida. (ISC², 2011).

Neste capítulo, será exposto o cenário atual do ambiente corporativo brasileiro, objetivando-se esclarecer os pontos mais importantes em relação ao tema do trabalho. Também serão citados o objetivo geral e objetivos específicos, a fim de esclarecer o que será abordado durante o desenvolvimento da estratégia, que será usada para análise de vulnerabilidade de software.

1.1 PROBLEMÁTICA

A informação se torna cada vez mais valiosa para as organizações de diversos setores. E, como tudo o que é valioso, atrai o interesse e a cobiça das mais diferentes áreas e pessoas no mundo globalizado. Todavia, as informações diferentemente de joias, dinheiro e outros bens concretos, não podem ser guardadas em um cofre de aço.

A forma de se armazenar as informações de uma organização, segundo Ciência da Informação (1993), pode ser diferenciada, como um banco de dados, um servidor físico ou mesmo na nuvem, o problema é que ela pode não estar segura.

Albuquerque e Ribeiro (2002), afirmam que não se pode confiar que os sistemas computacionais sejam seguros, pois os mesmos possuem vulnerabilidades, e é via essas vulnerabilidades, que “bandidos da internet” os exploram, causando danos aos mesmos, ou realizando o roubo de informações e dinheiro, sem que ninguém perceba, ou, caso seja percebido, já é tarde. Apesar de haverem leis e penas definidas em relação a crimes realizados pela Internet, a sensação de impunidade serve de incentivo para continuar a prática destes.

Dentro deste contexto, faz-se necessária uma estratégia de proteção às informações e ativos de um sistema computacional bem fundamentada, que possa ser usada por organizações de qualquer porte. Faz-se, então, o seguinte questionamento: Será possível desenvolver uma estratégia voltada à segurança da informação dos ambientes corporativos no Brasil?

1.2 OBJETIVOS

Aqui serão citados o objetivo geral e objetivos específicos deste trabalho.

1.2.1 Objetivo geral

O objetivo geral deste trabalho de conclusão de curso é desenvolver uma estratégia para analisar as vulnerabilidades de sistemas corporativos. Para isso, o modelo de pesquisa escolhido, é o estudo de caso, pois é um tipo de pesquisa em que, o trabalho pode ser avaliado na prática.

1.2.2 Objetivos específicos:

 estudar técnicas de segurança na Internet;  analisar diferentes tipos de ataques cibernéticos;

 pesquisar políticas de segurança para ambientes corporativos;  estudar criptografia de dados;

 elaborar um conjunto de diretrizes para análise de vulnerabilidades;  avaliar as diretrizes através de um estudo de caso.

1.3 JUSTIFICATIVA

Há pessoas que se dedicam a defender a integridade dos sistemas, no entanto, há outras que se dedicam a invadi-los. Em cada nova tecnologia desenvolvida para facilitar a vida das pessoas, há alguma vulnerabilidade, que pode ser explorada por pessoas mal intencionadas. Essas pessoas, segundo Dias (2000, p. 78), “têm um conhecimento infinitamente maior de como os sistemas são realmente invadidos”.

Mais do que um bom antivírus e/ou uma configuração adequada de Firewall, as empresas brasileiras necessitam de uma estratégia bem fundamentada para garantir a segurança de seus dados, talvez, até personalizada especialmente para o seu tipo de negócio. Segundo Sêmola (2003, p. 33), “Mapear as necessidades e as relações da empresa associadas ao manuseio, armazenamento, transporte e descarte de informações” são importantes atividades no mapeamento de segurança.

Supõe-se que as grandes organizações, têm condições de pagar por consultorias de segurança da informação, bem como programar políticas de acesso adequadas ao seu negócio, o que ainda não garante totalmente a integridade das informações internas. Isto se deve ao fato de que o conhecimento está disseminado entre os colaboradores da organização, para Gomes (2000), as pessoas também são consideradas fatores de risco, no que se trata de segurança nos negócios.

Desta maneira, é essencial que exista uma estratégia para nortear as empresas que desejam manter o sigilo de seus negócios e planos. O presente trabalho visa a proporcionar uma forma de auxiliar as organizações a analisarem vulnerabilidades em seus sistemas, tendo as vulnerabilidades identificadas, é possível planejar processos de minimização de riscos. E, assim, prevenir a perda de informações e conseguintemente deixar de perder dinheiro por falta de segurança.

1.4 ESTRUTURA DO TRABALHO

O trabalho está dividido em seis capítulos, no capítulo 1, foi apresentada uma breve introdução ao assunto, assim como o objetivo geral e objetivos específicos. Também foi abordada a problemática do tema em questão. Por fim, foi elaborada uma justificativa para mostrar a importância da realização desta monografia.

No capítulo 2, tem-se a revisão bibliográfica, que nada mais é do que a apresentação

das definições sobre a segurança da informação e quem as definiu.

Já, no capítulo 3, é apresentado o método utilizado para alcançar os objetivos propostos no início, este método inclui a proposta de solução, etapas presentes no cronograma e as delimitações do trabalho.

O capítulo 4 apresenta o desenvolvimento da estratégia proposta e suas etapas. Já no capítulo 5, é apresentado o estudo de caso para avaliar a estratégia desenvolvida. O último capítulo do trabalho mostra as considerações finais e trabalhos futuros.

2 REVISÃO BIBLIOGRÁFICA

Neste capítulo, é abordado o que a literatura abrange sobre a segurança da informação. O enfoque é proporcionar um embasamento teórico sobre o assunto. Faz-se necessário ressaltar, aqui, a importância de uma boa base de conhecimento no que se refere às afirmações presentes. Cada tópico abordado foi escolhido cuidadosamente, a fim de aglomerar informações que proporcionam relevância ao tema do trabalho.

O enfoque deste trabalho de conclusão de curso é a segurança da informação, mais precisamente a segurança das informações corporativas. Procurou-se atingir embasamento teórico suficiente para elaboração dos textos, cujo objetivo é proporcionar entendimento claro e exemplificado através de situações cotidianas.

2.1 SEGURANÇA DA INFORMAÇÃO

Para entender o que é Segurança da Informação, é necessário entender primeiro o que é segurança. Um dos significados de segurança encontrados no dicionário da língua portuguesa é: “Estado, qualidade ou condição de seguro” (FERREIRA, 2010). A mesma fonte afirma que seguro é algo livre de perigo ou de risco, desta forma, pode-se dizer que Segurança da Informação é deixar a informação livre de perigo ou de risco.

Para que a informação seja livre de perigo ou risco, é preciso muito cuidado, principalmente nos ambientes corporativos, onde a informação, se revelada espontaneamente ou não às pessoas erradas, pode levar a organização ao fracasso.

O foco da Segurança da Informação é manter a integridade, confidencialidade e autenticidade das informações disponibilizadas em alguma forma de mídia física ou nas redes de computador (REVISTA ECONOMIA & TECNOLOGIA, 2005).

2.1.1 Propriedades e objetivos da Segurança

Integridade, confidencialidade e autenticidade, citadas anteriormente, são algumas das propriedades da Segurança da Informação. Para Dias (2000), essas são as mais importantes, entretanto, há outras que podem auxiliar na segurança de um sistema, mais adiante explica-se detalhadamente cada uma dessas propriedades e seus objetivos.

2.1.1.1 Integridade

A integridade da informação está relacionada com a não alteração da mesma, seja por pessoas não autorizadas, seja por defeitos de hardware ou software, isto é, os dados para serem íntegros não podem ser corrompidos. É preciso “garantir a exatidão da informação, assegurando que pessoas não autorizadas possam modificá-la, adicioná-la ou removê-la” de forma intencional ou acidental, afirma Jistem - Journal Of Information Systems And Technology Management (2007).

No mundo empresarial, a integridade das informações é muito importante. Em ambientes corporativos, há muita troca de e-mails entre colaboradores e, também, entre empresa e fornecedor ou empresa e clientes. As informações trocadas nestes e-mails normalmente em texto claro, ou seja, não criptografada, podem conter dados de clientes ou da própria organização. Essa troca de e-mails pode ser interceptada e modificada, comprometendo, assim, a integridade das informações (JISTEM - JOURNAL OF INFORMATION SYSTEMS AND TECHNOLOGY MANAGEMENT, 2007).

Segundo Ferreira (2003), a integridade pode ser definida como salvaguarda da exatidão da informação e dos métodos de processamento, sem que haja alguma interceptação. Para que não haja interceptação do que está sendo trocado entre as partes, é essencial a segurança do todo, o que gera uma complexidade maior do que se imagina. Além de se preocupar com a integridade da rede interna da organização e seus ativos, os gestores também precisam cuidar das pessoas, um fator de risco complexo de ser analisado. Segundo a norma ISO/IEC 27001 (2006), ativo é “qualquer coisa que tenha valor para a organização”, logo, as informações também podem ser consideradas como ativos da organização.

2.1.1.2 Confidencialidade

A privacidade até mesmo em ambientes familiares é essencial para a boa convivência de seus membros. A confidencialidade no que se trata de Segurança da Informação é a propriedade que garante a privacidade dos dados e informações.

A confidencialidade das informações corporativas garante que seus concorrentes não irão copiar um produto que ainda está sendo criado. O concorrente de posse de informações confidenciais pode lançar o produto no mercado antes mesmo da empresa que o criou, roubando assim seus clientes.

Quando se deseja que a confidencialidade não seja quebrada, pode haver a necessidade de desenvolver equipes cada vez mais especializadas para a implementação da segurança em uma organização, salienta Ferreira (2003).

Para Revista Economia & Tecnologia (2005), a confidencialidade é a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso. Essa proteção pode ser adquirida através do controle de acesso aos sistemas corporativos. Controle este que deve ser administrado por alguém com permissões privilegiadas dentro da organização.

2.1.1.3 Autenticidade

O objetivo da autenticidade é verificar a origem dos dados, se realmente foram enviados por quem supostamente os enviou. É uma importante propriedade e deve ser empregada sempre. A confiança de que a informação é verdadeira, muitas vezes, está atrelada à fonte que a remeteu. Conforme cita Stallings (2008), a função de um serviço de autenticação é garantir ao destinatário que a mensagem é proveniente de onde ela afirma ter vindo.

A mesma fonte afirma que, a autenticação da fonte da informação na Internet pode ser garantida por autoridades certificadoras, isto ocorre através de certificados digitais, que possuem uma data de início e fim. Os navegadores da Web estão programados para verificar estes certificados e informar o usuário sobre sua autenticidade.

Ao fazer compras pela Internet, é extremamente importante verificar a autenticidade das informações, avaliando o site em que se disponibilizarão dados pessoais. Clonagem de sites de bancos é uma das formas de roubar dinheiro das pessoas, que, muitas vezes, sem conhecimento acreditam estar seguras (SÊMOLA, 2003).

Em se tratando de ambientes corporativos, Sêmola (2003) afirma que “usuários que necessitem ter acesso a recursos da empresa devem ser identificados e autenticados”, a identificação pode ocorrer através do nome de usuário que um colaborador utilize para entrar no sistema, já a autenticação ocorre por meio da senha deste usuário, se a senha for válida, o sistema permite acesso àquele colaborador.

2.1.1.4 Rastreabilidade

A rastreabilidade é um dos objetivos da segurança em softwares. Consiste na “capacidade de rastrear uma ação ao responsável por esta” (ALBUQUERQUE e RIBEIRO, 2002).

A rastreabilidade ajuda a definir a quem atribuir a responsabilidade por uma ação em um sistema, geralmente usada em investigações criminais na Internet, como pedofilia ou acesso a dados pessoais, fotos íntimas de famosos ou montagens espalhadas pelas redes sociais (ALBUQUERQUE e RIBEIRO, 2002).

Em uma organização, rastrear uma ação é importante para saber se as informações estão sendo acessadas indevidamente por colaboradores não autorizados ou até mesmo invasores.

2.1.1.5 Supervisão

Um sistema corporativo deve ser capaz de fornecer meios para sua auditoria. Auditar um sistema significa verificar quem fez o que e quando, assim sendo, a supervisão deve ser um dos objetivos já no desenvolvimento do software.

É através da supervisão que se obtém o controle e monitoramento de uma rede em uma organização. Para Jistem - Journal Of Information Systems And Technology Management (2007), supervisionar o uso de um sistema é tão importante quanto o mesmo funcionar do jeito que foi projetado para tal.

2.1.1.6 Recuperação

A recuperação é a capacidade de um sistema se recuperar de uma perda completa (GOMES, 2000). Desastres naturais podem acontecer e, com eles, a perda total de dados. Se há uma política de backup bem definida na organização, a recuperação pode ser rápida o suficiente para a empresa voltar ao trabalho. Caso contrário, a recuperação parcial dos dados ajuda, mas não resolve o problema de haver retrabalho. No pior dos casos, a perda definitiva é total, desse modo, a recuperação da organização pode se tornar mais difícil.

Além das catástrofes, as organizações têm outros inimigos, que, muitas vezes, nem sabem o que estão fazendo, como, por exemplo, adolescentes curiosos testando ferramentas desenvolvidas para a invasão de sistemas. Gomes (2000) cita em seu livro que hackers criam ferramentas para invadir sistemas apenas para aplicar seus conhecimentos, se superar ou divertir-se, mas nunca danificam um sistema. Todavia, esses programas, de alguma forma, “caem” nas mãos de curiosos, que acabam por utilizá-los de forma a trazer algum prejuízo.

2.2 CRIPTOGRAFIA

A criptografia se faz necessária quando se deseja enviar uma mensagem que só o destinatário possa ler. Criptografar uma mensagem é o ato de torná-la ilegível a quem não possua a chave decodificadora (THOMPSON, 2002). Desse modo, entende-se como chave decodificadora, o segredo pelo qual se descobrirá a mensagem original.

2.2.1 Tipos de Criptografia

Há três tipos de criptografia: simétrica, assimétrica e criptografia de hash, todas têm suas vantagens e desvantagens. A aplicação de cada uma ou de um conjunto delas depende do contexto e do objetivo.

2.2.1.1 Criptografia Simétrica

Na criptografia simétrica, também chamada de criptografia de chave secreta, ambas as partes da comunicação, remetente e destinatário, utilizam a mesma chave. Esta chave deve ser enviada através de um canal seguro para que o destinatário possa decifrar a mensagem. Nakamura (2007) afirma que um canal seguro, neste contexto, pode ser estabelecido através de telefone, correio comum ou conta de e-mail diferente da conta em que se envia a mensagem criptografada, se assim for o modo de envio.

A chave de decodificação enviada pelo canal seguro não é criptografada, pois o destinatário precisa saber o segredo pelo qual a mensagem será decifrada (STALLINGS, 2008). O canal pelo qual se envia a chave não é totalmente seguro, pois, se assim fosse, a própria mensagem seria enviada por ele sem criptografia nenhuma. Entretanto, o envio por canais de comunicação diferentes garante o sigilo. Se a mensagem for interceptada, não poderá ser compreendida, assim como a chave, se descoberta, não fará sentido algum sem uma mensagem.

Fazendo uma analogia para comparar o mundo real com o virtual, pode-se dizer que a criptografia de chave secreta é como uma casa. Nesta casa residem duas pessoas, cada uma delas possui uma cópia da chave, esta chave fornece acesso ao interior da residência, que contém os móveis e bens materiais. A chave da casa é como se fosse a chave secreta da criptografia, a fechadura da porta é a cifra da mensagem, a casa é a mensagem e os móveis e bens materiais são a informação contida na mensagem.

Stallings (2008) afirma que a vantagem de se utilizar criptografia simétrica é a facilidade para decifrar as mensagens recebidas com a chave decodificadora, o que não leva muito tempo. A desvantagem é a necessidade de um canal seguro para realizar o compartilhamento da chave.

2.2.1.2 Criptografia Assimétrica

Na criptografia assimétrica, também chamada de criptografia de chave pública, há duas chaves para garantir a segurança das informações trocadas. Neste modelo de criptografia, uma chave secreta pertencente ao remetente é gerada, somente ele possui o conhecimento desta chave (STALLINGS, 2008).

O remetente, além de sua chave privada, também pode gerar uma chave pública, que é assim chamada, porque o seu dono publica a quem ele quiser. Deste modo, se alguém quiser enviar uma mensagem cifrada, irá codificá-la, utilizando a chave pública do destinatário, assim somente pode decifrá-la quem possuir a chave privada deste.

Stallings (2008) explica que a criptografia assimétrica transforma o texto claro em texto cifrado, isto é, transformando-o de forma que fique ilegível, usando uma de duas chaves e um algoritmo de criptografia. Algoritmo é uma sequência de passos para se resolver um problema, neste caso, o problema é criptografar o texto claro.

Se a mensagem é cifrada com a chave pública, deve ser decifrada com a chave secreta e vice-versa. Computacionalmente, é inviável determinar a chave decodificadora, mesmo com o conhecimento da chave e do algoritmo de criptografia.

A mesma fonte, destaca que a vantagem em se usar este tipo de criptografia, é o aumento da segurança, pois é mais difícil descobrir as informações, a desvantagem é que se leva mais tempo e consomem-se mais recursos computacionais para criptografar e decriptografar as mensagens.

2.2.1.3 Criptografia de Hash

A criptografia de hash consiste em mapear textos de tamanho variável em um texto criptografado de tamanho não variável. Essa técnica é utilizada para verificar se houve alterações na mensagem durante a sua transação.

Moraes e Cirone (2003) explicam que, na criptografia de hash, o texto da mensagem original é dividido em tamanhos fixos, a cifra dos textos é obtida através de um conjunto de caracteres que representam uma parte texto.

Por exemplo, a frase “a criptografia é utilizada para criptografar.” poderia ser dividida em blocos de tamanho fixo (3), logo, os blocos seriam “a c”, “rip”, “tog”, “raf”, “ia ”, “é u”, “til”, “iza”, “da ”, “par”, “a c”, “rip”, “tog”, “raf”, “ar.”. Após dividir a mensagem em blocos devem-se associar caracteres para eles:

“a c” = $ “rip” = % “tog” = # “raf” = & “ia ” = @ “é u” = ) “til” = ( “iza” = ! “da ” = 2 “par” = 3 “ar.” = 4

A mensagem cifrada seria “$%#&@)(!23$%#&4”

2.2.1.4 Esteganografia

Ao realizar uma análise mais detalhada sobre mensagens criptografadas, pode-se chegar à conclusão de que esteganografia não é bem um tipo de criptografia. No entanto, também é uma maneira de manter o sigilo de informações.

A esteganografia, na visão de Strebe e Perkins (2002), é o processo de ocultar arquivos criptografados em que é improvável que alguém os procure. Já, para Nakamura (2007), consiste em ocultar uma mensagem dentro de outra. Há várias formas de fazer isto, uma mensagem aparentemente comum pode conter outra, porém oculta, formada pela junção das primeiras letras das palavras da mensagem comum.

Outra forma de esteganografia é através de tinta invisível, podem ser usadas várias substâncias para se escrever a mensagem, mas somente com alguma química aplicada ao papel pode-se visualizar o que foi escrito.

Além da tinta invisível, pode-se utilizar perfurações em papel, alguns furos em letras selecionadas dentro da mensagem comum são invisíveis ao lê-la, apenas, com uma fonte de luz ao fundo da folha, consegue-se enxergar as perfurações.

2.2.2 Utilização da Criptografia

A utilização da criptografia pode ser evidenciada nas mensagens transmitidas via e-mail. Para Schneier (2001), criptografar mensagens de e-mail e outras informações transmitidas em redes de computadores é uma atividade importante para garantir a segurança nas organizações.

Quanto à segurança de e-mail e também de IP, que é o protocolo padrão da Internet, há alguns softwares muito recomendados pela literatura das áreas de segurança da informação e segurança de redes. Estes programas são explicados com mais detalhes a frente desta seção.

2.2.2.1 Segurança de e-mail

Ao enviar um e-mail a alguém ou grupo, cujo tema seja pessoal ou profissional, normalmente espera-se que somente a pessoa ou grupo receba e leia esta mensagem.

Não é desejável, por exemplo, que um e-mail romântico seja lido por alguém que não seja a pessoa amada. Ainda, mais revoltante seria se informações sigilosas sobre uma doença fossem descobertas e espalhadas em uma rede de computadores ou grupo de e-mails diversos.

No caso de uma mensagem profissional, como informações sobre clientes de uma organização, trocadas por e-mail, mesmo que internamente, é extremamente necessário manter o sigilo. Afinal, dados de clientes são muito úteis para conhecê-los melhor, tirar proveito de informações que os concorrentes não possuam e ganhar mais espaço no mercado (STREBE E PERKINS, 2002)

Para garantir a segurança no envio e recebimento de mensagens por e-mail, existem softwares e técnicas padrões, que incorporam funcionalidades necessárias e seguras. Stallings (2008) mostra que um bom exemplo de software de criptografia para se utilizar em e-mails é o Pretty Good Privacy (PGP).

2.2.2.1.1 PGP

Pretty Good Privacy, segundo Stallings (2008), é um pacote de software de código-fonte aberto, gratuito, utilizado na segurança de e-mail. Este programa fornece autenticação por meio da assinatura digital, a criptografia simétrica garante a confidencialidade. Também é utilizado para armazenar arquivos.

Stallings (2008) menciona que a composição do PGP se dá pela seleção dos melhores algoritmos de criptografia, esses algoritmos são integrados em uma aplicação de uso geral. Não depende de nenhum sistema operacional ou processador, a aplicação é baseada em um pequeno conjunto de comandos fáceis de usar.

Para organizações que desejam padronizar um esquema e criptografar seus e-mails e arquivos, o PGP é uma excelente solução (STALLING, 2008). É baseado em algoritmos considerados extremamente seguros, como RSA, DSS e Diffie-Hellman para a criptografia assimétrica, assim como CAST-128, IDEA e 3DES para criptografia de chave secreta.

2.2.2.1.2 S/MIME

Utilizada para a mesma funcionalidade do PGP, a S/MIME (Secure/Multipurpose Internet Mail Extension) é uma técnica padrão da Internet para segurança de e-mails. Consiste em um mecanismo de segurança padrão de formato de e-mail MIME da Internet.

Multipurpose Internet Mail Extension (MIME) é uma extensão da estrutura da RFC 822, que define um protocolo especificando a representação de mensagem em detalhes sobre cabeçalhos de mensagens e como mostrar o conteúdo das mensagens (IETF, 2013).

Esse conjunto de documentos, chamados coletivamente de Multipurpose Internet Mail, redefine o formato das mensagens enviadas através de correio eletrônico.

Request for Change (RFC) é um documento que descreve os padrões de cada protocolo da Internet a ser considerado um padrão, a instituição que desenvolve as RFCs é o IETF (Internet Engineering Task Force), que é uma atividade organizada da Internet Society, que, por sua vez, consiste em uma organização dedicada a garantir que a Internet permaneça aberta e transparente (IETF, 1997).

Stallings (2008) cita que alguns dos problemas encontrados no envio de e-mails, são a truncagem ou quebra de linha maior do que 76 caracteres, remoção de espaços em branco no final da linha e conversão de caracteres de tabulação em vários caracteres de espaço. Esses problemas podem afetar a interpretação correta da mensagem que se envia por meio da Internet.

2.2.2.2 Segurança de IP

O IP (Internet Protocol) é o protocolo da Internet, cada computador inserido em uma rede no mundo, possui um endereço IP, assim como as redes, cada rede possui um IP, até mesmo a Internet tem um (COMER, 1999).

É através deste protocolo, em conjunto com outros, que se pode navegar na Internet, porém, pessoas com más intenções e conhecimentos específicos podem se aproveitar de vulnerabilidades existentes ao nível do IP.

A segurança ao nível do IP em uma organização, segundo Gomes (2000), pode garantir a segurança de sua rede, mas também de aplicações internas que não possuem segurança alguma. Para se obter a segurança desejada na utilização da Internet, utiliza-se um protocolo chamado IPSec.

2.2.3 Protocolos de Criptografia

Os protocolos de criptografia mais populares, segundo Albuquerque (2001), são IPSec, SSL e SET. Para saber qual deles utilizar, é necessário conhecê-los melhor. A seguir, explica-se um pouco de cada um destes protocolos.

2.2.3.1 IPSec

O IPSec é um protocolo que compreende áreas diretamente relacionadas com a criptografia, são elas autenticação, confidencialidade e gerenciamento de chaves.

A autenticação se dá pelo código de autenticação de mensagens do tipo Hashed Message Authentication Codes (HMAC), já, a confidencialidade é garantida pelo encapsulamento de segurança do payload, que é um formato de criptografia. O gerenciamento de chaves é fornecido através de várias técnicas.

Dois protocolos são utilizados para fornecer a segurança em conjunto com o IPSec, um desses protocolos tem como objetivo a autenticação, ele autentica o cabeçalho do pacote, comentam Bollapragada, Khalid e Wainner (2005). Pacote é o conjunto de informações enviado através do IP. O pacote possui um cabeçalho e um corpo, como se fosse uma carta, por fora do envelope coloca-se o remetente e o destinatário, e dentro está a mensagem.

O outro protocolo utilizado, além do Autentication Header (AH), explicado no parágrafo anterior, é o ESP que faz o encapsulamento de segurança do payload. Os serviços que o IPSec fornece são:

 controle de acesso;  integridade sem conexão;

 autenticação da origem de dados;  rejeição de pacotes repetidos;  confidencialidade.

2.2.3.2 SSL

Secure Sockets Layer (SSL) é um protocolo criptográfico flexível e de uso geral. Ele garante a segurança das informações trocadas entre variadas aplicações (ALBUQUERQUE, 2001).

O SSL é suportado pela maioria dos navegadores da Internet, como é um protocolo de código aberto, pode ser customizado à maneira como se deseja. É um padrão bastante completo, pois utiliza criptografia simétrica para garantir o sigilo das informações e assimétrica, a fim de possibilitar a autenticação, além de certificados digitais.

2.2.3.3 SET

Secure Eletronic Transaction Protocol (SET) é um protocolo desenvolvido em conjunto por duas empresas de cartão de crédito, VISA e MASTERCARD. Ele foi feito para garantir a segurança na troca de informações através de cartões de crédito, a identificação dos clientes e suas compras é feita através de certificados digitais. (MORAES e CIRONE, 2003).

Com a alta demanda de compras pela Internet, através de cartões de crédito, o SET e também o SSL são protocolos fundamentais para garantir a segurança das informações dos clientes. No entanto, há diversos roubos de números de cartões de crédito e consequentes compras com valores altíssimos, realizadas por carders, termo definido para criminosos especializados em cartões de crédito, define Gomes (2000).

2.3 GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Para Wadlow (2001), a gestão da segurança da informação é um processo, que pode ser realizado com o auxílio de ferramentas computacionais e sub processos, que, em conjunto, ajudam na manutenção do processo macro. À medida que novas tecnologias surgem, organizações as utilizam conforme a necessidade e avaliação do possível retorno financeiro. Contudo, novas tecnologias podem trazer novas vulnerabilidades, a minimização de riscos para que as vulnerabilidades não sejam exploradas, dá-se pela adaptação por parte da gestão da segurança.

A segurança é um processo. Pode-se aplicar o processo seguidamente à rede e à empresa que a mantêm e, dessa maneira, melhorar a segurança dos sistemas. Se não iniciar ou interromper a aplicação do processo, sua segurança será cada vez pior, à medida que surgem novas ameaças e técnicas. (WADLOW, 2001).

Baseando-se nessa visão, a presente seção tem como objetivo explicar as atividades envolvidas na gestão da segurança da informação e apresentar mecanismos de defesa das organizações, como o planejamento e implementação de uma política de segurança, por exemplo.

2.3.1 Mecanismos de defesa

Além da criptografia, já explicada neste capítulo, existem outros mecanismos de defesa contra invasões em sistemas corporativos. Podem ser classificadas como mecanismos de defesa algumas atividades que dão apoio à segurança da informação, são elas: monitoramento e controle de acesso, proteção de dados armazenados e proteção de dados em trânsito.

2.3.1.1 Monitoramento e controle de acesso

Monitorar e controlar acesso significa saber se o indivíduo que acessa a alguma parte do sistema tem autorização para isso. Em caso positivo, é necessário conhecer os motivos pelos quais aquela pessoa precisa visualizar ou alterar determinado tipo de informações (THOMPSON, 2002).

Esse mecanismo de defesa, muitas vezes, não presente nas organizações, ou apenas utilizado em parte, é importante não só para prevenir ataques, mas também para diagnosticar atividades incomuns e que tragam, de alguma forma, risco para a organização.

Em uma empresa, o mecanismo de monitoramento e controle de acesso pode ser personificado em um sistema de registros, o qual registrará tanto eventos cotidianos quanto tentativas de ataque à rede da empresa. Observa-se que, no caso de um ataque obter sucesso, possivelmente o sistema de registros não irá registrá-lo, apenas armazenará um relatório de eventos.

Conforme configuração prévia, o sistema pode detectar eventos de padrões pouco comuns, alertando, assim, o administrador da rede corporativa. (WADLOW, 2001).

2.3.1.1.1 IDS/IPS

Intrusion Detection System (IDS) e Intrusion Prevention System (IPS) são termos usados para representar processos de monitoramento e controle de acesso, a fim de prevenir ou detectar invasões em um sistema de computador.

Moraes e Cirone (2003) entendem que, para garantir a segurança de uma rede, é preciso prevenir, detectar e reagir. Para prevenir, pode-se utilizar da criptografia, já, para detectar, usa-se auditoria e, para reagir, é necessário analisar as circunstâncias dos problemas detectados na auditoria. Uma auditoria pode ser personificada através de programas de monitoramento de rede, que monitoram o tráfego de informações e detectam comportamentos incomuns, segundo uma configuração preliminar.

2.3.1.2 Proteção de Dados Armazenados

Armazenar os dados de forma segura não é uma tarefa fácil, principalmente nas organizações com grandes sistemas, onde a informação se multiplica a cada dia. Entretanto, essa tarefa é essencial para a segurança das informações organizacionais, e, também, dos colaboradores.

Para Ribeiro, Segre e Quintao (2005), uma das formas de proteção dos dados, armazenados em uma organização, pode ser obtida através de antivírus, softwares capazes de detectar e remover arquivos ou programas nocivos, de e-mails e demais recursos lógicos dentro da empresa. Contudo, não se deve descartar a hipótese de realizar cópias dos dados, periodicamente, e guardá-las em local seguro.

2.3.1.3 Proteção de Dados em Trânsito

A transmissão de dados dentro de uma organização, realizada por intermédio de uma intranet, até certo ponto pode ser considerada segura, no entanto, quando se faz uso da internet para comunicação com clientes externos o cuidado tem que ser maior.

O uso de firewalls minimiza a introdução de pacotes indesejados em uma rede de computador. Segundo Strebe e Perkins (2002), firewalls são ferramentas computacionais que se localizam nas fronteiras da rede, eles criam passagens estreitas entre a rede interna e externa para que o tráfego de informações precise passar através de um ponto de controle.

Um firewall utiliza três métodos fundamentais: Filtragem de pacotes, NAT e Serviços de Proxy. A filtragem de pacotes é a rejeição ou aceitação de pacotes TCP/IP, conforme as regras de aceitação destes (STREBE E PERKINS, 2002).

NAT (Network Address Translation), traduzida como conversão de endereços de rede, é utilizada para ocultar endereços de rede internos de qualquer monitoração externa, protegendo, assim, a rede da organização.

Os serviços de Proxy agem conforme regras pré-estabelecidas, quebram completamente a conexão entre computadores internos e externos, se essa conexão for indesejada. Mais mecanismos de proteção são estudados a frente, nesta seção.

2.3.1.3.1 Filtragem de Pacotes

Filtragem de Pacotes é uma técnica utilizada para impedir que cada computador em uma rede acesse a outros computadores ou serviços arbitrários. (COMER, 1999).

A mesma fonte explica que um filtro de pacote opera no exame de campos do cabeçalho de um pacote, que pode ser configurado para especificar quais campos examinar e de que forma interpretar os valores examinados. E, com isso, bloquear ou permitir a passagem desses pacotes.

2.3.1.3.2 Proxy

Proxy é um servidor que faz a intermediação da comunicação entre um equipamento de uma rede interna com um equipamento na rede externa. (MORAES e CIRONE, 2003).

Os mesmos autores afirmam que, proxies podem ser transparentes ou não, no primeiro caso, não existe nenhum tipo de configuração nas máquinas clientes, já no segundo, sim. Existem os proxies, em nível de circuito, que utilizam associações entre cliente e servidor, em que o cliente é quem solicita a informação e o servidor é quem a fornece. Também, há os proxies de aplicação, que executam processamento de protocolos na camada de aplicação, ou seja, a camada do protocolo TCP/IP que faz interação com o usuário.

Além dos proxies de circuito e aplicação, existem os proxies reversos e de cache, os reversos permitem acesso a recursos internos, os de cache armazenam informações sobre os sites mais usados, para, futuramente, reusá-los sem uma conexão direta com a Internet.

2.3.1.3.3 VPN

Virtual Private Network (VPN) é uma rede virtual privada. Uma organização com várias filiais pode utilizar uma VPN para transmitir informações entre elas com segurança.

Uma VPN, segundo Comer (1999), é configurada em cada filial da organização, deste modo, quando uma filial desejar enviar alguma informação para outra, essa informação irá ingressar no sistema VPN local de origem, então, é cifrada e enviada para o sistema VPN local de destino através da rede pública. Contudo, somente a filial que receber a informação poderá interpretá-la, já que os dados são criptografados.

2.3.2 Administração da Informação

Quando se fala em administração, seja de informação ou não, logo remete-se ao ciclo PDCA (Plan–Do–Check–Action). Este ciclo, conhecido também como Ciclo de Deming, por conta de William Edward Deming, seu principal difusor, é aplicado para estruturar todos os processos de um sistema de gerenciamento de segurança da informação. (ISO/IEC 27001, 2006).

2.3.2.1 Planejamento

A etapa de planejamento exige muita cautela e atenção por parte da gestão de segurança da informação, é nesta etapa que são estabelecidas as políticas, objetivos, processos e procedimentos relacionados à segurança das informações.

O planejamento precisa estar de acordo com os objetivos globais da organização, os processos documentados nesta fase devem ter alto grau de relevância para a gestão de riscos. Gestão de riscos é uma parte da engenharia de software que se dedica a prevenir que riscos se tornem realidade, para isso, é necessário detalhamento e clareza no planejamento (WADLOW, 2001).

Wadlow (2001) propõe alguns propósitos para a etapa de planejamento:  descrever o que está sendo protegido e por quê;

 definir prioridades sobre o que precisa ser protegido em primeiro lugar e com qual custo;

 permitir estabelecer um acordo explícito com várias partes da empresa em relação ao valor as segurança;

 fornecer ao departamento de segurança um motivo válido para dizer “não”, quando necessário;

 proporcionar ao departamento de segurança a autoridade necessária para sustentar o “não”;

 impedir que o departamento de segurança tenha um desempenho fútil

2.3.2.2 Execução

Esta etapa do Ciclo de Deming (Do) está fundamentada no sentido de fazer/executar, colocar a teoria em prática. Em uma organização, a execução de tarefas ocorre o tempo todo, contudo, deve-se atentar para as questões de segurança das informações trocadas durante o cumprimento de atividades diversas.

Execução, conforme a ISO/IEC 20001 (2006), nada mais é do que fazer, implementar o que foi escrito na etapa de planejamento, através de processos, políticas e procedimentos.

2.3.2.3 Monitoramento

Monitorar é analisar cada processo com uma visão crítica, verificar se as medidas de segurança escritas no planejamento estão sendo utilizadas. O monitoramento na gestão da segurança em uma organização é constante, através dele é verificado se há alguma irregularidade e a necessidade de tomar ações corretivas.

Mülbert (2006) defende que, para um bom monitoramento e controle de riscos, são necessários relatórios de eventos, sempre relacionados com a segurança das informações. Por isso, pode-se dizer que não basta tentar impedir que os riscos se tornem realidade, mas também elaborar documentos que evidenciem a ocorrência ou não de atividades que ameacem o sigilo dos dados de uma organização.

2.3.2.4 Ações corretivas

Esta fase do ciclo PDCA consiste em arrumar o que está errado ou re-planejar algo que não foi previsto na fase de planejamento.

No monitoramento, faz-se uma análise crítica da situação da segurança organizacional, dessa forma, através dessa análise, é possível planejar a tomada de ações corretivas. Ciência da Informação (1993), em um artigo publicado pelo IBICT (Instituto Brasileiro de Informação em Ciência e Tecnologia), diz que o “A” do ciclo PDCA significa “estudar os resultados a fim de detectar as falhas e executar as correções definitivas, evitando que o problema volte a ocorrer”.

2.3.3 Política de Segurança nas Organizações

O objetivo deste tópico é explicar como planejar e implementar uma política de segurança, no contexto dos ambientes corporativos. Para isso, procuraram-se mostrar as ferramentas mais utilizadas e detalhar os elementos mais importantes deste processo.

2.3.3.1 Planejamento e fatores de proteção

Planejar é uma importante atividade no desenvolvimento de uma organização, em Segurança da Informação não é diferente, desenvolver e planejar uma política de segurança é o primeiro e o principal passo na estratégia de segurança das organizações.

A organização, seja ela informatizada ou não, necessita de uma política de segurança, contudo, como o mundo está cada vez mais globalizado, o enfoque do trabalho se dá para as empresas que já possuem ou irão instalar sistemas para facilitar seus processos (NAKAMURA, 2007).

Quando se trata de software, prevenir é melhor do que remediar, ou seja, uma abordagem proativa é mais eficaz do que uma abordagem reativa. A organização tem de estar preparada para prevenir ataques e não apenas sobreviver a eles. Com base nisso, afirma-se que a política tenha um peso significativo para os gestores e liderados que a irão utilizar.

Os gestores e liderados precisam entender a importância de cumprir as regras definidas e segui-las a risca, mesmo que não concordem ou se sintam desconfortáveis, (NAKAMURA, 2007), pois se as informações de sua empresa estiverem desprotegidas, seus empregos também podem estar.

Para saber como se proteger há alguns fatores, definidos pela mesma fonte, que podem auxiliar os gestores das organizações, os fatores de proteção são os elementos que uma política de segurança adequada deve possuir para combater as adversidades, são eles, vigilância, estratégia, tecnologia e atitude.

2.3.3.1.1 Vigilância

Vigilância deve ser um processo regular e consistente, nele estão incluídos monitoramento da rede e dos sistemas. Segundo Nakamura (2007), na descrição deste fator pode ser determinado como agir em relação a alarmes e quando esses alarmes serão acionados. Dentro do fator de vigilância, encontra-se a definição de como vigiar as senhas dos usuários, isso não quer dizer que os gestores devem saber as senhas dos funcionários, apenas que deve ser definido como instruí-los na criação e período de modificação destas.

2.3.3.1.2 Estratégia

Este fator deve levar em consideração a produtividade dos usuários, de modo que a estratégia de defesa, em relação ao acesso ás informações, não seja prejudicial ao andamento dos negócios da organização. Wadlow (2001) julga que a punição a um funcionário que comete uma infração de segurança na empresa pode ser mais prejudicial, dependendo da gravidade da situação, do que apenas uma conversa de alinhamento sobre as regras.

Pode-se afirmar, também, que a criatividade no desenvolvimento da política de defesa contra invasões é importante, além disso, essa política deve ser adaptável às mudanças do ambiente corporativo.

2.3.3.1.3 Tecnologia

A tecnologia é um fator que está em constante evolução, assim como as técnicas de invasão de sistemas (OWASP, 2010), por isso a solução tecnológica a ser utilizada a favor da organização que a adquire não pode estar ultrapassada. Todavia, se a tecnologia está em constante mudança, é provável que a solução sempre esteja ultrapassada.

O que se pode afirmar em relação a isso é que a solução não deve ser um produto e sim uma política de segurança dinâmica, que utiliza várias tecnologias, conforme a necessidade. Consta na norma da ISO/IEC 27001 (2006) que a organização deve “permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme o esperado”. Logo, conclui-se que não basta a utilização de equipamentos de boa qualidade, as pessoas também precisam alinhar-se à direção que a empresa deseja.

2.3.3.1.4 Atitude

A atitude é um fator fundamental para garantir a segurança das informações, porém ela deve ser tomada de forma consciente, com conhecimento (MINTZBERG, 2001). Assim, os funcionários precisam ser treinados para tomarem decisões assertivas em relação à política de segurança. Não adianta possuir uma boa política na teoria, se ela não é utilizada na prática.

A política de segurança deve estar acessível a todos da organização, para que as pessoas, em seu nível de atuação, possam agir de forma correta quando presenciarem algo incorreto.

Na RFC 2196 (1997), consta que os usuários devem ser instruídos sobre como se comportar, o que dizer e o que não dizer para os clientes internos e externos em casos de incidentes de segurança. “Incidentes de segurança são eventos adversos que ocorrem em sistemas e redes de computadores, como resultado do comprometimento ou do desvio dos mecanismos de segurança” (BERNSTEIN e outros, 1997, p. 306).

2.3.3.2 Atividades de proteção

Atividades relacionadas à proteção dos dados das empresas são atitudes que podem prevenir a perda de informações. A seguir, algumas atividades que auxiliam contra possíveis ataques a sistemas corporativos.

2.3.3.2.1 Identificar inimigos e pontos fracos

Para saber como se defender, é necessário conhecer quem são os possíveis adversários, o que eles pretendem e que perigo isso representa para a empresa. Além de conhecer os inimigos, é preciso identificar quais vulnerabilidades eles podem explorar. Fazer um levantamento das fraquezas dos sistemas ajuda a definir o primeiro passo para defendê-los. A análise das ameaças e vulnerabilidades do ambiente de informática deve levar em consideração todos os eventos e adversidades que possam explorar as fraquezas de segurança do sistema. (DIAS, 2000). A mesma fonte conta ainda que o custo de se proteger contra uma ameaça pode ser mais alto do que o dano que esta possa acarretar, portanto, é necessário analisar o custo-benefício antes de tomar decisões.

2.3.3.2.2 Contabilizar valores

Ao planejar uma política de segurança, os gestores das organizações precisam saber que haverá gastos referentes à implantação e ao gerenciamento da mesma. Primeiramente, é preciso saber o que são gastos e o que são custos. Segundo Mülbert (2006), “Gastos são sacrifícios financeiros com os quais uma organização, uma pessoa ou um governo tem que arcar a fim de atingir seus objetivos”, já, os custos são medidas monetárias dos sacrifícios financeiros com os quais uma organização, uma pessoa ou um governo tem que arcar a fim de atingir seus objetivos.

Prever os custos de recursos computacionais e das medidas de segurança e anotá-los em algum lugar, como uma planilha, por exemplo, é fundamental para que não haja surpresas negativas na hora de dar continuidade ao trabalho planejado (MÜLBERT, 2006).

2.3.3.2.3 Examinar hipóteses

Deve-se levantar e avaliar o máximo de situações possíveis para que a segurança não fique comprometida. Nakamura (2007) acredita que, ao descobrir uma nova hipótese, a equipe que está envolvida na política a ser implantada tem que estar ciente, pois esta equipe é diretamente responsável pelo projeto e, consequentemente, pela segurança da organização.

2.3.3.3 Implementação da Política de Segurança

Depois de muito planejamento, após muitas definições, chega à hora de implantar a Política de Segurança, o que não é uma tarefa fácil e pode demorar a se concluir. A dificuldade de colocar em prática se dá por conta da não aceitação e da resistência à mudança (DIAS, 2000). Os usuários dos sistemas nas organizações precisam ser convencidos de que a política passará a fazer parte da cultura da empresa. Tal objetivo pode ser conquistado através do uso de e-mails, painéis e páginas na intranet, se houver uma. Também, pode-se fazer a comunicação através de reuniões de divulgação e conscientização, assim como incorporar a política no programa de integração de novos colaboradores.

Há três princípios básicos para que a política de segurança exista, são eles: prevenir o acesso não autorizado; impedir a quebra da integridade da informação, caso o primeiro princípio seja violado, identificar causas da inconformidade, recuperar perdas e modificar controles para que não se repita a violação da política. (DIAS, 2000).

2.3.3.3.1 Política de senhas

Senha do banco, do cartão de crédito, da rede social, do sistema da empresa, do site de compras coletivas, do celular, etc. De fato, os usuários têm muitas senhas para memorizar, por isso, muitas vezes, acabam utilizando a mesma.

Além das senhas, há também as datas importantes, como aniversário de amigos e parentes, aniversário de namoro ou casamento e tantas outras datas, que misturadas na cabeça das pessoas acabam fazendo parte de suas senhas.

Quando o usuário não utiliza uma senha óbvia e fácil de memorizar, acaba por escrevê-la em algum lugar, um papelzinho que fica em baixo do teclado, uma mensagem de texto salva em seu dispositivo móvel, às vezes, até colada no monitor da estação de trabalho.

Nakamura (2007) afirma que a existência de uma política, que auxilie na escolha de uma senha segura, é de suma importância para garantir que as informações secretas de uma organização não sejam descobertas.

Uma boa política de senhas pode reduzir custos, não somente prevenindo o descobrimento de segredos, mas também na não diminuição da produtividade dos usuários. (NAKAMURA, 2007).

A baixa na produtividade dos usuários pode ser ocasionada pelo esquecimento de uma senha. Se o usuário esquece sua senha de conexão no sistema em que atua para trabalhar, deve haver algum jeito de recuperá-la, o tempo necessário para recuperar a senha esquecida é um tempo perdido de trabalho.

2.3.3.3.2 Ataques que envolvem senhas

Na construção de uma política de senha, devem ser considerados alguns tipos de ataques, que utilizam o descobrimento de senhas para invadir um sistema. Um ataque, neste contexto, é uma tentativa de burlar as regras do sistema (STREBE E PERKINS (2002).

Um ataque já conhecido é o ataque do dicionário, ele é bastante utilizado para descobrir senhas que envolvem apenas letras. Para entender este tipo de ataque, é necessário esclarecer que, em um sistema de computador, um dos modos de armazenar as senhas do usuário é gravá-las em um arquivo.

Um software realiza a codificação de todas as palavras do dicionário e, depois, compara com as senhas do arquivo de senhas, até que a comparação satisfaça uma igualdade. Uma das maneiras de evitar ou minimizar a eficiência deste ataque é utilizar senhas, envolvendo números e caracteres especiais, além de letras. Outra maneira seria o uso de criptografia, que é estudado mais adiante.

Outra forma de descobrir senhas é através da adivinhação, essa técnica é empregada, com sucesso, na descoberta de senhas fracas, isto é, que envolvem nome do cônjuge, nome da empresa, nome do animal doméstico, do time preferido ou datas de aniversário.

Observa-se que, com o aumento do uso de redes sociais, este ataque pode se tornar muito fácil de empregar, pois as pessoas colocam em seus perfis a data de nascimento. Postam fotos com seus animais, amigos e parentes, outras fotos no estádio de futebol do time preferido, em fim, informações relevantes que podem estar empregadas em suas senhas.

Apesar de serem bastante comuns os ataques de adivinhação de senhas, Strebe e Perkins (2002) dizem que é possível defender-se contra eles facilmente.

Um ataque eficiente, porém demorado, é o ataque de força bruta, que consiste em testar todas as possibilidades. Este ataque só é empregado com o auxílio de um software, pois seria inviável alguém tentar todas as combinações possíveis de uma senha apenas digitando. Mesmo com o uso de software, essa técnica pode demorar bastante até obter sucesso.

2.3.3.3.3 Boas práticas na política de senhas

A literatura especifica algumas práticas para serem seguidas, sugestões que auxiliam o usuário a escolher, ou melhor, criar uma senha segura e que ele não esqueça. (NAKAMURA, 2007).

Dentre elas estão:

 redefinir a senha periodicamente;  não utilizar informações pessoais;

 misturar letras, números, caracteres maiúsculos e minúsculos nas senhas;  nunca escrever a senha em lugar algum ou contá-la a alguém;

 não utilizar nomes próprios ou de terceiros;  não utilizar repetição do mesmo dígito ou letra;  utilizar senhas que possam ser digitadas rapidamente;

Já em relação ao sistema que irá gerenciar o acesso dos usuários a bibliografia recomenda:

 armazenar informações dos últimos acessos;

 bloquear acesso se houver mais de 3 ou 5 tentativas falhas, notificando ao administrador do sistema;

 cifrar a transmissão da senha sempre que possível;

 armazenar tentativas com e sem sucesso de mudança de senha.;

 armazenar senhas e informações relativas ao acesso em local diferente da rede interna da organização;

 manter uma forma de contato rápido com os usuários do sistema;

2.3.3.3.4 Política de backup

Para entender o que é uma política de backup, é interessante saber o que é backup, traduzindo do inglês, quer dizer cópia de segurança, caso o original, seja um dado, programa ou informação tenha se perdido ou danificado, há uma cópia para posterior substituição.

Para Ferreira (2012), em uma política de backup, deve ser levado em consideração quais os dados armazenados, a frequência de armazenamento desses dados, que dispositivos de memória armazenam os dados, qual o volume de dados e por quanto tempo precisam ser armazenados. Tudo isso precisa ser analisado e avaliado para saber se a política está sendo seguida, afinal o backup serve para substituição, portanto, tem que ser confiável.

2.4 VULNERABILIDADES DE SOFTWARE EM AMBIENTES WEB

Pode-se dizer que as vulnerabilidades de software em uma organização facilitam os ataques e crimes cibernéticos. Há uma série de fraquezas que um sistema pode possuir.

Essas fraquezas, quando exploradas, causam prejuízo às corporações, no entanto, é possível defender-se. Mas como se defender de algo que não se conhece? Pensando nisso, explica-se nesta sessão, algumas das vulnerabilidades de software mais críticas e utilizadas em ataques de software na Internet, segundo a OWASP (2013).

OWASP é uma comunidade aberta dedicada a capacitar as organizações para conceber, desenvolver, adquirir, operar e manter aplicações confiáveis. Os documentos produzidos por esta organização são elaborados de forma colaborativa semelhante a outros projetos de software de código aberto como o Eclipse, por exemplo.

Frequentemente, em reportagens sobre o futuro da tecnologia, nota-se que há uma tendência de os sistemas empresariais convergirem para a Web. E, dentre as vulnerabilidades de aplicações Web mais críticas, segundo a (OWASP, 2007, 2010, 2013) estão: Cross Site Scripting (XSS), Falhas de Injeção, Execução Maliciosa de Arquivo, Referência Insegura Direta a objeto, Cross Site Request Forgery (CSRF), Vazamento de Informações e Tratamento de erros Inapropriado, Furo de Autenticação e Gerência de Sessão, Armazenamento criptográfico inseguro, Comunicações Inseguras e Falha ao Restringir Acesso À URLs.

2.4.1 Cross Site Scripting (XSS)

Mais conhecido como XSS, Cross Site Scripting é um subconjunto de inserções do tipo HTML, a linguagem interpretada pelos navegadores Web. Se as interações ocorridas entre o usuário e o sistema, através do navegador, não são codificadas ou validadas, um atacante pode se beneficiar disso.

Normalmente, os ataques mais comuns, envolvendo XSS, são realizados através da linguagem Java Script, no entanto qualquer outra linguagem de script pode ser utilizada se o navegador suportá-la (OWASP, 2007). Script é um conjunto de instruções previamente escrito que é executado linha após linha, neste caso pelo navegador Web.

Os três tipos mais conhecidos de XSS são: Refletido, Armazenado e Inserção DOM. O Refletido é o mais fácil de ser explorado, pois a página pode refletir os dados fornecidos pelo usuário como se estivesse retornando diretamente ao mesmo, assim o atacante pode sequestrar a sessão e utilizar os dados contidos nela como bem entender.

O XSS Armazenado é chamado assim porque armazena os dados em alguma estrutura, como arquivo texto ou banco de dados para ser utilizado posteriormente sem filtros (OWASP, 2007). Desta forma, as entradas dos usuários de sistemas Web com muitas sessões, como blogs e fóruns, podem ser utilizadas por outros usuários, o que causará uma inconsistência no sistema.

Já, a Inserção DOM é mais complexa, pois utiliza Java Script, o que aumenta o potencial de uma invasão, pois são muitos recursos a serem utilizados. A manipulação dos dados de entrada do usuário, através do navegador, sem que ele perceba, pode incluir a captura de logins e senhas do sistema em uso. Se o sistema for uma aplicação bancária, o prejuízo pode ser alto. Há atacantes que roubam centavos de várias contas, assim passam desapercebidos.

Geralmente, o que acontece é uma mistura dos três tipos de scripts, não necessariamente um sistema será invadido, apenas, com o uso de XSS, contudo este recurso auxilia no conhecimento das possíveis vulnerabilidades de uma aplicação Web.

2.4.2 Falhas de Injeção

Injeção é termo que se usa para denominar a forma de como os comandos de entrada são realizados nos programas de computador (OWASP, 2010). Essa injeção de dados pode conter falhas. As falhas ocorrem quando os dados entrantes não são adequadamente verificados e corrigidos, ou descartados, se necessário.

Para os softwares em geral, em especial as aplicações Web, existem muitos tipos de injeção: SQL, LDAP, XPath, XSLT, HTML, XML, comando de sistema operacional e muitas outras. A injeção mais conhecida e mais utilizada pelo que se tem dados concretos segundo OWASP (2010), é a injeção SQL. As falhas de injeção do tipo SQL ocorrem quando os dados de entrada inseridos pelo usuário são acrescidos com instruções específicas para determinadas ações de bancos de dados.

SQL é a linguagem utilizada para manipular informações em bancos de dados, há comandos específicos para criar, modificar, excluir ou visualizar dados na forma de tabelas. Entretanto, as aplicações Web, assim como outras aplicações, tratam os dados de entrada do usuário e os utilizam para enviar comandos ao banco de dados. Aí está o problema, quando esses dados não são tratados de forma correta, ocorrem as falhas de injeção.

Alguém com conhecimentos específicos de banco de dados pode preparar comandos em SQL para modificar de forma maliciosa as informações contidas nos sistemas corporativos, ou apenas utilizar-se deste conhecimento para adentrar no código da aplicação e visualizar informações secretas sobre uma determinada organização.

Da mesma maneira, as outras formas de injeção ocorrem, pois, quase sempre, há um interpretador de comandos, que executa o que lhe é repassado, isto é, um software que executa procedimentos conforme os dados de entrada, normalmente, apresenta uma saída. No entanto, este programa não verifica se os dados são maliciosos, apenas confere se os comandos estão escritos de forma correta e na ordem necessária para sua execução. Cabe ao desenvolvedor tratar corretamente as entradas de dados dos usuários e verificar se estas podem ou não prejudicar a aplicação.

2.4.3 Execução Maliciosa de Arquivo

Há aplicações na Web que permitem que o usuário envie arquivos de seu computador ou dispositivo móvel, isso é muito comum em redes sociais, aplicações empresariais que permitem envio de curriculum, imagens e outros tipos de arquivo. No momento de seu desenvolvimento, a parte de envio de arquivos deveria ser planejada para que, antes de transferir totalmente os arquivos, estes fossem lidos e interpretados para garantir que não há nenhum código que possa prejudicar a aplicação.

O que acontece nos ataques que exploram esta vulnerabilidade é a preparação prévia de arquivos, contendo instruções de sistema operacional ou mesmo de comandos para aplicações Web (OWASP, 2007). Este preparo é realizado por pessoas com conhecimentos específicos de software e com intensão de prejudicar a quem recebe o arquivo, que, muitas vezes, não sabe o mal contido dentro dele.

Entre o mal que pode ser causado por um arquivo, contendo código malicioso, pode estar a execução de código remoto, que envia dados pessoais secretamente para o criador do arquivo, instalação de ferramentas para deixar o sistema mais vulnerável e suscetível a invasões futuras, ou até mesmo o comprometimento total do sistema.