Segurança Informática de Redes e Sistemas (Abordagem Open-Source)

(1)

Por

Pedro Edgar Bessa Rodrigues

Orientador: Doutor Salviano Filipe Silva Pinto Soares

Co-orientador: Doutor Pedro Miguel Mestre Alves da Silva

Disserta¸c˜ao submetida `a

UNIVERSIDADE DE TR ´AS-OS-MONTES E ALTO DOURO para obten¸c˜ao do grau de

MESTRE

em Engenharia Electrot´ecnica e de Computadores, de acordo com o disposto no DR – I s´erie–A, Decreto-Lei n.o

74/2006 de 24 de Mar¸co e no Regulamento de Estudos P´os-Graduados da UTAD

DR, 2.a

s´erie – Delibera¸c˜ao n.o

(2)

(3)

Por

Pedro Edgar Bessa Rodrigues

Orientador: Doutor Salviano Filipe Silva Pinto Soares

Co-orientador: Doutor Pedro Miguel Mestre Alves da Silva

Disserta¸c˜ao submetida `a

UNIVERSIDADE DE TR ´AS-OS-MONTES E ALTO DOURO para obten¸c˜ao do grau de

MESTRE

em Engenharia Electrot´ecnica e de Computadores, de acordo com o disposto no DR – I s´erie–A, Decreto-Lei n.o

74/2006 de 24 de Mar¸co e no Regulamento de Estudos P´os-Graduados da UTAD

DR, 2.a

s´erie – Delibera¸c˜ao n.o

(4)

(5)

Doutor Salviano Filipe Silva Pinto Soares Professor Auxiliar do

Departamento de Engenharias - Escola de Ciˆencias e Tecnologias Universidade de Tr´as-os-Montes e Alto Douro

Doutor Pedro Miguel Mestre Alves da Silva Professor Auxiliar do

Departamento de Engenharias - Escola de Ciˆencias e Tecnologias Universidade de Tr´as-os-Montes e Alto Douro

Acompanhamento do trabalho :

Engenheiro Rui Pedro Gra¸ca Barros Melo Ferreira

Licenciado em Engenharia Electrot´ecnica e de Computadores do Quality Center

Vers˜ao Integral,Lda

(6)

(7)

”A simplicidade ´e o ´ultimo degrau da sabedoria” Khalil Gibran (1883 - 1931)

Dedicado: A todos aqueles que tornaram poss´ıvel este trabalho. Ao meu irm˜ao Diogo Rodrigues pela motiva¸c˜ao que, inconscientemente, me deu.

(8)

(9)

Os membros do Júri recomendam à Universidade de Trás-os-Montes e Alto Douro a aceita¸cão da disserta¸cão intitulada “ Seguran¸ca Informática de Redes e Sistemas (Abordagem Open-Source)” realizada por Pedro Edgar Bessa Rodrigues para satisfa¸cão parcial dos requisitos do grau de Mestre.

Outubro 2010

Presidente: Doutor Ant´onio Lu´ıs Gomes Valente,

Professor Auxiliar do Departamento de Engenharias - Escola de Ciˆencias e Tecnologia da Universidade de Tr´as-os-Montes e Alto Douro

Vogais do J´uri: Por definir,

Por definir

Doutor Salviano Filipe Silva Pinto Soares,

Professor Auxiliar do Departamento de Engenharias - Escola de Ciˆencias e Tecnologias da Universidade de Tr´as-os-Montes e Alto Douro

Doutor Pedro Miguel Mestre Alves da Silva,

Professor Auxiliar do Departamento de Engenharias - Escola de Ciˆencias e Tecnologias da Universidade de Tr´as-os-Montes e Alto Douro

(10)

(11)

Pedro Edgar Bessa Rodrigues

Submetido na Universidade de Tr´as-os-Montes e Alto Douro para o preenchimento dos requisitos parciais para obten¸c˜ao do grau de

Mestre em Engenharia Electrot´ecnica e de Computadores

Resumo — Durante o decorrer da sua história, o Homem demonstrou sempre um enorme desejo de informa¸cão. Desde o surgimento do primeiro sistema de informa¸cão, a Fala, passando pela Escrita, pelo Livro, pela Imprensa,

at´e ao surgimento do mais revolucion´ario de todos, a Internet, o ser humano

procurou sempre uma partilha global da informa¸c˜ao.

As sucessivas (r)evolu¸cões da informa¸cão mostraram ser capazes de mudar e moldar toda uma sociedade. A Internet não foi excep¸cão. O aparecimento desta provou

que a partilha global da informa¸cão é poss´ıvel e desencadeou uma revolu¸cão de tal ordem, que apenas pode ser comparável com a grande Revolu¸cão Industrial,

trazendo até nós a denominada Sociedade da Informa¸cão e do conhecimento.

Percebendo que através de sistemas computacionais conseguiriam apresentar uma maior produtividade, as empresas come¸caram a aderir às redes informáticas.

Actualmente é muito dif´ıcil encontrarmos empresas que não possuam infra-estruturas informáticas para suprir as suas necessidades. Esta informatiza¸cão das organiza¸cões fez surgir novos conceitos, tais como o de empresa virtual, e-business, home

office, e-commerce, entre outros. A informa¸c˜ao tornou-se, cada vez mais, um

activo important´ıssimo das organiza¸cões capaz de gerar valor, lucros e benef´ıcios. Porém, os computadores e a maneira como se comunicam, não servem apenas para auxiliar as empresas nos seus processos. Com os conhecimentos adequados é poss´ıvel alguém aproveitar o poder computacional para executar os denominados ataques

inform´aticos, com os mais variados objectivos, colocando a informa¸c˜ao em risco.

Provado o enorme valor da informa¸cão para as empresas é de grande necessidade criar medidas e solu¸cões de proteçcão. Esta Disserta¸cão de Mestrado tratará do estudo de uma dessas solu¸cões: o software de auditoria de seguran¸ca, Babel Enterprise. Palavras Chave: Sistema de informa¸cão, Ambiente empresarial, Babel Enterprise, V´ırus, Ataques informáticos, Vulnerabilidades, Amea¸cas, Seguran¸ca informática, Redes informáticas, Internet.

(12)

(13)

Pedro Edgar Bessa Rodrigues

Submitted to the University of Tr´as-os-Montes and Alto Douro in partial fulfillment of the requirements for the degree of Master of Science in Electrical and Computers Engineering

Abstract — During the course of history, man has always shown a great desire for information. Since the emergence of the first information system, the speech,

followed by writing, the book, the press to the emergence of the most

revolutionary of all, the Internet, man has always sought a share of the global

information.

Successive (r)evolutions of the information proved to be able to change and shape the whole society. The Internetwas no exception. The emergence of this proved

that the global sharing of information is possible, sparking a revolution of such order, which can only be comparable with the phenomenon of large Industrial

Revolution, bringing us up today’s society, the so-called information society and

knowledge.

Realizing that through computer systems will be able to provide greater productivity, companies began to join the computer network. Today it is very difficult to find companies that lack IT infrastructure to meet their needs. This informatization of organizations gave rise to new concepts, such as virtual enterprise, home

office, e-business, E-commerce, among others. The information has become

an important asset of organizations to generate value, profits and benefits.

However, the computers and how they communicate, exist not only to help companies in their workflow. With the appropriate knowledge somebody harness the computing power to perform the so-called cyber attacks with the most varied objectives,

putting information at risk. Proved the huge value of the business information is of great need to create measures and protective solutions. This Master Thesis will address the study of one of these solutions. The audit networks tool, Babel Enterprise.

Key Words: Information system, Business environment, Babel Enterprise, Virus, Cyber attacks, Vulnerabilities, Threats, Network security, Internet, Networks.

(14)

(15)

Institucionalmente, os meus agradecimentos ao Magn´ıfico Reitor da Universidade de Trás-os-Montes e Alto Douro, Professor Doutor Carlos Alberto Sequeira, ao seu antecessor Professor Doutor Armando Mascarenhas Ferreira e a toda a Direçcão de Mestrado de Engenharia Electrotécnica e de Computadores, pelas facilidades e solu¸cões concedidas para a realiza¸cão deste trabalho.

Ao Professor Doutor Salviano Filipe Silva Pinto Soares, orientador deste trabalho, pela preciosa ajuda no estabelecimento da parceria UTAD/INOVA-RIA, pelas suas valiosas sugest˜oes, pela sua disponibilidade e orienta¸c˜oes que permitiram atingir os objectivos propostos neste projecto.

Ao Professor Doutor Pedro Miguel Mestre Alves da Silva, co-orientador do projecto, pela sua disponibilidade e apoio, tanto neste trabalho como ao longo de todo o meu percurso acad´emico.

`

A Dra. Regina Maia Sacchetti, da Organiza¸cão e Gestão de recursos do cluster INOVA-RIA, pela sua disponibilidade e dedica¸cão que tornaram poss´ıvel a cria¸cão do estágio que permitiu a realiza¸cão deste trabalho.

Aos Engenheiros Nuno Ferreira e Hugo Rodrigues, na qualidade de administradores da Versão Integral,Lda, pelas facilidades, apoio incondicional e óptimas condi¸cões de trabalho concedidas, imprescind´ıveis para levar a bom porto este projecto.

(16)

facultados, que tanto ajudaram durante a fase de implementa¸cão, ao colaborador Ricardo Esteves pela preciosa ajuda no desenvolvimento da plataforma de testes e ao Engenheiro Jorge Silva pelo seu companheirismo, preocupa¸cão e alto profissionalismo que em muito contribuiu para que me fosse poss´ıvel conseguir encarar as minhas fun¸cões da melhor forma, mesmo quando tudo parecia estar contra.

Um agradecimento especial ao Engenheiro Rui Ferreira, na qualidade de supervisor deste trabalho, pelo seu bom humor, empenho e total dedica¸c˜ao, que viabilizou e tra¸cou de forma significativa, o rumo deste trabalho. O meu apre¸co pela sua amizade e apoio.

Ao meu colega de longos anos Simão Oliveira Cardeal, pelas discussões técnicas, pela cumplicidade, companheirismo e amizade que demonstrou, que em muito contribuiu para ultrapassar os momentos dif´ıceis.

A todos, bem hajam !

UTAD, Vila Real Pedro Edgar Bessa Rodrigues 27 de Outubro, 2010

(17)

Resumo xi

Abstract xiii

Agradecimentos xv

´Indice de tabelas xxi

´Indice de figuras xxiii

Lista de Abreviaturas xxvii

1 Introdu¸cão 1 1.1 Problemática . . . 2 1.2 Metodologia . . . 3 1.3 Objectivo da Disserta¸cão . . . 3 1.4 Organiza¸cão da Disserta¸cão . . . 4 2 Contextualiza¸cão 5 2.1 Conceitos . . . 6 2.2 Contexto Histórico . . . 8 2.2.1 A Fala . . . 9 2.2.2 A Escrita . . . 10 2.2.3 O Livro Escrito . . . 11 xvii

(18)

2.2.7 Reflex˜ao . . . 16

2.3 Sistemas de Informa¸c˜ao nas Empresas. . . 20

2.3.1 Adesão às Redes Informáticas . . . 20

2.3.2 Os conceitos do novo paradigma . . . 22

2.3.3 Ambiente Empresarial . . . 24

2.3.4 Reflex˜ao . . . 27

3 Seguran¸ca em Redes e Sistemas de Informa¸c˜ao 29 3.1 Conceitos e Pressupostos . . . 30

3.2 Vulnerabilidades. . . 33

3.3 Amea¸cas . . . 36

3.3.1 Classifica¸c˜ao das amea¸cas . . . 38

3.3.2 Metodologias de Ataques Inform´aticos . . . 40

3.3.3 Anatomia de um Ataque Inform´atico . . . 55

3.3.4 An´alise e Previs˜oes . . . 57

3.4 Contra-medidas . . . 58

3.4.1 Conselhos B´asicos de Seguran¸ca . . . 60

3.4.2 Ferramentas e Sistemas de Seguran¸ca . . . 63

3.4.3 Pol´ıticas de Seguran¸ca . . . 74

3.5 Enquadramento Legal e Normativo . . . 77

3.5.1 Normas e Crit´erios . . . 77

3.5.2 Enquadramento Legal Portuguˆes . . . 82

3.5.3 Entidades orientadas `a Seguran¸ca Inform´atica . . . 83

4 Gest˜ao do Risco 85 4.1 Processo de Gest˜ao de Risco . . . 87

4.1.1 An´alise e Classifica¸c˜ao do Risco . . . 87

4.1.2 Planeamento e Selec¸c˜ao de Controlos . . . 89

4.1.3 Implementa¸c˜ao de Controlos . . . 92

4.1.4 Avalia¸c˜ao e Monitoriza¸c˜ao . . . 94

4.2 An´alise do Modelo ISO/IEC 13335 . . . 95

4.2.1 Abordagem baseada em boas pr´aticas . . . 96

4.2.2 Abordagem informal . . . 96

4.2.3 Abordagem baseada na an´alise detalhada do risco . . . 96

4.2.4 Abordagem heterog´enea . . . 96

4.3 Metodologia proposta . . . 98

4.3.1 An´alise do Sistema de Informa¸c˜ao Organizacional . . . 98 xviii

(19)

4.3.5 Probabilidade de concretiza¸c˜ao de uma amea¸ca . . . 110

4.3.6 Aplica¸c˜ao do Modelo de Delphi . . . 114

4.3.7 C´alculo do Risco . . . 119

4.3.8 An´alise e Classifica¸c˜ao do Risco . . . 123

4.3.9 Selec¸c˜ao de controlos . . . 123

4.3.10 Esquema proposto . . . 124

5 Implementa¸cão da metodologia proposta 125 5.1 Análise do Sistema de Informa¸cão . . . 125

5.1.1 Descri¸c˜ao da Infraestrutura Inform´atica . . . 126

5.1.2 Identifica¸c˜ao do software da rede . . . 128

5.1.3 Identifica¸c˜ao dos servi¸cos disponibilizados . . . 129

5.1.4 Identifica¸c˜ao de m´aquinas cr´ıticas . . . 130

5.1.5 Conclus˜oes. . . 131

5.2 Elementos de Informa¸c˜ao . . . 132

5.2.1 Identifica¸c˜ao dos elementos de informa¸c˜ao . . . 132

5.2.2 Agrega¸c˜ao dos elementos de informa¸c˜ao . . . 134

5.2.3 C´alculo do Valor da Informa¸c˜ao . . . 135

5.2.4 Conclus˜oes. . . 145

5.3 Probabilidade de ocorrˆencia de Amea¸cas . . . 146

5.3.1 Processos Gen´ericos. . . 146

5.3.2 Identifica¸c˜ao de Amea¸cas . . . 147

5.3.3 C´alculo da probabilidade de ocorrˆencia de amea¸cas . . . 148

5.3.4 Conclusões. . . 153 5.4 O Risco . . . 154 5.4.1 Cálculo do Risco . . . 157 5.4.2 Avalia¸cão do Risco . . . 163 6 Babel Enterprise 165 6.1 Caracter´ısticas . . . 167 6.2 Arquitectura Geral . . . 168

6.2.1 Agentes Babel Enterprise. . . 170

6.2.2 Consola Web . . . 170

6.2.3 Servidor Babel Enterprise . . . 171

6.2.4 Base de Dados . . . 171

6.3 Organiza¸c˜ao l´ogica do Babel Enterprise . . . 172

6.4 Princ´ıpio de Funcionamento . . . 173 xix

(20)

6.5.3 An´alise Cr´ıtica . . . 186

6.5.4 Conclus˜oes. . . 203

6.5.5 Proposta de inova¸c˜ao . . . 206

7 Conclus˜oes Finais 207

Referˆencias bibliogr´aficas 213

A Ranking das piores amea¸cas inform´aticas 219

B Questionário de determina¸cão do valor da informa¸cão 223

C Question´ario de determina¸c˜ao da probabilidade de amea¸cas 229

Sobre o Autor 241

(21)

2.1 Quadro-Resumo das (R)evolu¸c˜oes da Informa¸c˜ao . . . 17

2.2 Estudo da CISI . . . 21

3.1 Probabilidade de ocorrˆencia de amea¸cas . . . 37

4.1 Alpha de Cronbach e o grau de Consenso . . . 106

4.2 Classifica¸c˜ao da informa¸c˜ao segundo a criticidade . . . 109

4.3 Probabilidade de ocorrˆencia de amea¸cas . . . 112

4.4 Escala de resposta de probabilidades . . . 115

4.5 Correspondência entre as classes de amea¸cas e as dimensões de seguran¸ca116 5.1 Grupos genéricos de informa¸cão (Gi) . . . 134

5.2 Resultados para a dimens˜ao Confidencialidade . . . 140

5.3 Resultados para a dimens˜ao Integridade . . . 141

5.4 Resultados para a dimens˜ao Disponibilidade . . . 142

5.5 Resultados Autenticidade/Responsabilidade . . . 143

5.6 Classifica¸c˜ao parcial da informa¸c˜ao . . . 144

5.7 Classifica¸c˜ao geral da informa¸c˜ao . . . 144

5.8 Resultados finais para os Processos do grupo 1 . . . 149

5.9 Resultados finais para os Processos do grupo 2 . . . 149 xxi

(22)

5.21 Classifica¸cão dos ´ındices de risco referentes a cada grupo genérico de informa¸cão Gi . . . 164

6.1 Babel Enterprise Vs OpenVas . . . 205

(23)

2.1 Pirˆamide de Davenport . . . 6

2.2 A primeira forma de partilha de informa¸c˜ao . . . 9

2.3 Exemplos de Escrita . . . 10

2.4 O mundo da Internet . . . 14

2.5 Gr´afico do crescimento daInternet . . . 15

2.6 Ambiente Empresarial e os Sistemas de Informa¸c˜ao . . . 23

2.7 Diagrama dos intervenientes do Ambiente Empresarial . . . 24

2.8 Processo estrat´egico de neg´ocio . . . 25

2.9 Estrutura organizacional de uma empresa. . . 26

2.10 Diagrama de Leavitt . . . 26

2.11 Panorama da actividade empresarial . . . 28

3.1 Utilizador como Elo mais fraco do sistema . . . 35

3.2 Vulnerabilidades dos Sistemas de Informa¸c˜ao (Fonte: Santos (2007)) . 35

3.3 Representa¸c˜ao das Amea¸cas e Vulnerabilidades (Fonte: Santos (2007)) 36

3.4 Classifica¸c˜ao das amea¸cas . . . 38

3.5 T´ecnica DNS Poisoning . . . 45

3.6 T´ecnica Nega¸c˜ao de Servi¸co . . . 46

3.7 Ataque Nega¸c˜ao de Servi¸co Distribu´ıda . . . 47

(24)

3.11 Ataque IP Spoofing . . . 51

3.12 Ataque Man-in-the-Middle . . . 53

3.13 Analogia da multiaplicabilidade das t´ecnicas de ataque . . . 54

3.14 Anatomia de um Ataque Inform´atico . . . 55

3.15 Contra-medidas (Fonte: Santos (2007)) . . . 58

3.16 Actualiza¸c˜ao do Antiv´ırus . . . 60

3.17 Seguran¸ca Vs Usabilidade . . . 74

3.18 Cronologia de Normas e Crit´erios . . . 77

4.1 Processo de Gest˜ao de Risco . . . 87

4.2 Modelo para a Seguran¸ca da Informa¸c˜ao . . . 90

4.3 Risco Residual. . . 91

4.4 Abordagem heterog´enea de Gest˜ao do Risco . . . 97

4.5 Organigrama standard de uma organiza¸c˜ao de TI . . . 110

4.6 Identifica¸c˜ao de amea¸cas . . . 113

4.7 Metodologia proposta . . . 124

5.1 Esquema Geral da Rede Inform´atica em estudo . . . 126

5.2 Esquema da Rede interna . . . 127

5.3 Procedimento de Delphi . . . 136

6.1 Arquitectura Cliente . . . 168

6.2 Arquitectura Servidor . . . 169

6.3 Interface Web de utilizador . . . 171

6.4 Organiza¸c˜ao l´ogica . . . 172

6.5 Princ´ıpio de funcionamento . . . 178

6.6 Arquitectura Interna OpenVas . . . 181

6.7 Interface gr´afica do OpenVas (Cliente) . . . 183

6.8 Dom´ınios Babel Enterprise . . . 187

6.9 Pol´ıticas Babel Enterprise . . . 188

6.10 ´Areas Babel Enterprise . . . 188 xxiv

(25)

6.14 Detec¸c˜ao de vulnerabilidades novas, eliminadas e alteradas . . . 191

6.15 Expressividade dos m´odulos no n´ıvel de risco . . . 196

6.16 Gr´afico de evolu¸c˜ao do ´ındice de risco de cada pol´ıtica de seguran¸ca . 196

6.17 Evolu¸c˜ao dos valores de risco de uma pol´ıtica . . . 197

6.18 Propor¸c˜ao de risco por dom´ınio . . . 197

6.19 Evolu¸c˜ao dos valores de risco dos dom´ınios . . . 198

6.20 Evolu¸c˜ao dos valores de risco das ´areas . . . 198

6.21 Propor¸c˜ao de vulnerabilidades por ´area . . . 199

6.22 N´ıvel de risco por agente (Primeira Auditoria) . . . 199

6.23 N´ıvel de risco por agente (teste final) . . . 200

6.24 Rela¸c˜ao entre ´ındice geral de Risco inicial e final do sistema . . . 201

6.25 Curva de evolu¸c˜ao do ´ındice geral de Risco do sistema . . . 202

C.1 Classifica¸c˜ao das amea¸cas . . . 231

(26)

(27)

Abreviatura Descri¸c˜ao

ACEP Associa¸cão de Comércio Electrónico de Portugal ANACOM Autoridade Nacional de Comunica¸cões

ANCP Agência Nacional de Compras Públicas AS Sistema Autónomo

BHO Browser Helper Objects BSI British Standard Institute BSoD Blue Screen of Death

CB Certificaton Body

CC Common Criteria

CEM Common Evaluation Methodology for Information Technology Security

CERT Servi¸co de Resposta a Incidentes de Seguran¸ca Inform´atica CERIAS Center for Education and Research in Information

Assurence and Security

CESE Comité Económico e Social Europeu CEN Comité Europeu de Normaliza¸cão

CENELEC Comité Europeu de Normaliza¸cão Electrotécnico

CISI Comisão Interministerial para a Sociedade da Informa¸cão (continua na página seguinte)

(28)

CNN Cable News Network

CNPD Comissão Nacional de Proteçcão de Dados

CoP Code of Practice for Information Security Management CVE Common Vulnerabilities and Exposures

DDoS Distributed Denial of Service DDS Decision Support System DLL Dynamic-link library

DNS Domain Name System

DoS Denial of Service

DTI Department of Trade and Industry

ENIAC Electrical Numerical Integrator and Calculator

ENISA Agˆencia Europeia para a Seguran¸ca das Redes de Informa¸c˜ao

EPL Evaluated Products List

ETSI Instituto Europeu de Normaliza¸cão para Telecomunica¸cões EUA Estados Unidos da América

EUROSTAT Gabinete de Estat´ısticas da Uni˜ao Europeia ESS Executive Support System

FEUP Faculdade de Engenharia da Universidade do Porto FTP File Transfer Protocol

GPL General Public License GUI Graphical User Interface HTTP HyperText Transfer Protocol HTTPS HyperText Transfer Protocol Secure

IAPMEI Instituto de Apoio às Pequenas e Médias Empresas e à Inova¸cão

IBM International Business Machines ICMP Internet Control Message Protocol IDN Instituto Nacional da Defesa IDS Intrusion Detection System

IEC International Electrotechnical Commission IETF Internet Engineering Task Force

(continua na p´agina seguinte)

(29)

IKE Internet Key Exchange IP Internet Protocol

IPQ Intituto Portuguˆes de Qualidade ISC Internet Systems Consortium ISDN Integrated Services Digital Network

ISO International Organization for Standardization ISMS Information Security Management System ISRAM Information Security Risk Analysis Method ISSA Information System Security Association

ITSEC Information Technology Security Evaluation Criteria ITSEM Information Technology Security Evaluation Manual LAN Local Area Network

MAC Media Access COntrol address MIS Management Information Systems MIT Massachusetts Institute of Technology MITM Man-in-the-Middle Attack

NASL Nessus Attack Scripting Language NCSC National Computer Security Center

NMAP Network Mapper

NSA National Security Agency

OSVDB Open-Source Vulnerability Database

PC Personal Computer

PGP Pretty Good Privacy PJ Pol´ıcia Judici´aria

PN Programa de Normaliza¸c˜ao

POSIX Portable Operating System Interface PP Perfil de Protec¸c˜ao

RFC Request for Comments RSoD Red Screen of Death SEO Search Engine Optimization

SGBD Sistemas de Gest˜ao de Bases de Dados SI Sistemas de Informa¸c˜ao

(continua na p´agina seguinte)

(30)

SIGNIT Signals intelligence

SIRP Sistema de Informa¸cões da República Portuguesa SIS Servi¸cos de Informa¸cões de Seguran¸ca

SO Sistema Operativo

SPQ Sistema Portuguˆes de Qualidade

SSH Secure Shell

SSL Secure Sockets Layer

ST Security Target

TCP Transmission COntrol Protocol

TCSEC Trusted Computer System Evaluation Criteria TDI Trusted Database Interpretation

TI Tecnologias da Informa¸c˜ao

TIC Tecnologias da Informa¸c˜ao e Comunica¸c˜ao TLS Transport Layer Security

ToE Target of Evaluation

TPS Transaction Processing Systems UE Uni˜ao Europeia

UDP User Datagram PRotocol

UKAS United Kingdom Accreditation Service UMIC Agˆencia para a Sociedade do Conhecimento URL Uniform Resource Locator

VoIP Voice over IP

VPN Virtualk Private Protocol XML eXtensible Markup Language WEP Wired Equivalent Privacy WLAN Wireless Local Area Network WPA Wi-Fi Protected Access

WWW World Wide Web

(31)

1

Introdu¸c˜

ao

Esta Disserta¸cão de Mestrado tem como tema principal a questão da seguran¸ca informática, no contexto empresarial.

Em termos gerais, o tema da seguran¸ca, no campo da computa¸cão, revela-se uma área bastante vasta e abrangente, que possibilita aos analistas considerar inúmeros pontos de vista e adoptar inúmeras abordagens, o que dificulta, de certa forma, a seleçcão dos parâmetros adequados a incluir em cada estudo, que permitam o desenvolvimento de uma explica¸cão simples e clara do tema.

Nesse contexto, esta Disserta¸cão come¸cará por recuar no tempo, aos primórdios dos sistemas de informa¸cão (SI), em busca de respostas que facilitem o entendimento da problemática presente e, a partir desse ponto, seguir um racioc´ınio directo em direçcão à análise do objecto de estudo.

Neste cap´ıtulo introdutório será dada uma breve contextualiza¸cão da problemática que motivou este projecto e da metodologia utilizada para a análise e implementa¸cão da solu¸cão de seguran¸ca proposta. Finalmente serão delimitados os objectivos a atingir com este estudo e justificada toda a divisão estrutural escolhida para a Disserta¸cão.

(32)

1.1 Problem´

atica

A informa¸c˜ao aparece no ambiente empresarial como um activo criador de valor, de lucros e benef´ıcios para as organiza¸c˜oes.

A utiliza¸cão maci¸ca de recursos de processamento e armazenamento de informa¸cão em computadores, nas mais diversas áreas de actividade humana e nos mais variados tipos de negócios e aplica¸cões, tornou aguda a dependência em rela¸cão às infra-estruturas informáticas. Actualmente, é dif´ıcil imaginar os processos operacionais da maioria das organiza¸cões sem o uso destas infra-estruturas. No caso mais extremo estão, por exemplo, os bancos e empresas de telecomunica¸cões, que teriam poucas probabilidades de sobrevivência sem os recursos de computa¸cão.

Porém, mais grave que o aspecto da indisponibilidade dos equipamentos informáticos é a perda, indisponibilidade e viola¸cão da informa¸cão que estes suportam. É comum aparecerem nos meios de comunica¸cão social not´ıcias relacionadas com crimes e fraudes cometidas com o uso do poder computacional. Estes crimes informáticos acontecem diariamente em todo o mundo, com os mais variados objectivos, a uma razão de vários ataques por minuto, colocando frequentemente em risco a informa¸cão sigilosa de uma alta gama de organiza¸cões.

A consciencializa¸cão entre os empresários quanto ao seu grau de dependência e de vulnerabilidade em rela¸cão ao volume e valor da informa¸cão tem aumentado. E essa tendência continuará à medida que as empresas vão ficando cada vez mais dependentes das redes informáticas para a execu¸cão das suas tarefas de negócio e competitividade.

Conforme demonstram as estat´ısticas a n´ıvel mundial, menos de um quarto das empresas que sofrem um sério ataque ao seu sistema informático continuam a operar, mas mais de três quartos deixam de existir ou acabam por ser compradas por outras empresas.

´

E, então, importante que haja cada vez mais consciência acerca de todo o tipo de amea¸cas a que os sistemas de informa¸cão estão sujeitos e, acima de tudo, que se criem e estudem solu¸cões cada vez mais eficazes para o controlo do risco que estas amea¸cas representam para os activos organizacionais.

(33)

1.2 Metodologia

Esta Disserta¸cão de Mestrado concentra-se, fundamentalmente, no estudo de uma solu¸cão de seguran¸ca informática, denominada Babel Enterprise, capaz de realizar auditorias de seguran¸ca a sistemas, com o objectivo de alertar o administrador sobre as vulnerabilidades que estes apresentam, calculando também o seu ´ındice de risco. Visto isto, a metodologia a implementar neste projecto terá vários pontos de análise, fundamentais para a bom entendimento desta temática.

Inicialmente será proposto o levantamento das vulnerabilidades mais comuns dos sistemas informáticos, quais as suas principais origens e a que tipo de ataques podem levar. A compreensão das fontes de vulnerabilidades e das várias metodologias de ataque é vital para um planeamento eficaz das medidas de seguran¸ca a implementar no sistema. Para além disso, será igualmente importante identificar os diferentes tipos de solu¸cões de seguran¸ca que podem ser usadas a nosso favor.

A segunda fase consistirá na análise de alguns modelos de gestão do risco, terminando no desenvolvimento e implementa¸cão de um modelo anal´ıtico de gestão de risco adequado às caracter´ısticas espec´ıficas da rede em estudo.

Por último, a terceira fase terá o propósito de determinar que tipo de contributo o Babel Enterprise pode dar ao processo de análise de risco, através da cria¸cão de um caso de estudo, baseado em vários cenários, que proporcionará uma aplica¸cão prática desta ferramenta, utilizando um software de referência, denominado OpenVas. O estudo terminará com a compara¸cão dos resultados das várias abordagens.

1.3 Objectivo da Disserta¸c˜

ao

Devido à variedade de plataformas de seguran¸ca dispon´ıveis no espa¸co virtual, é crucial existirem estudos que identifiquem as vantagens e desvantagens de algumas dessas ferramentas, e testem a sua eficácia.

O presente estudo terá, então, como principal objectivo apresentar e explorar a solu¸cão Babel Enterprise, identificando os seus pontos fracos, pontos fortes, e os cenários em que esta poderá, eventualmente, prestar um contributo mais eficaz.

(34)

1.4 Organiza¸c˜

ao da Disserta¸c˜

ao

Esta Disserta¸c˜ao de Mestrado est´a dividida em 7 cap´ıtulos.

O primeiro cap´ıtulo constitui o cap´ıtulo introdutório que apresenta os parâmetros principais deste estudo, nomeadamente a problemática que o motivou e a metodologia proposta para a condu¸cão do trabalho, assim como os objectivos a atingir.

No segundo cap´ıtulo é feita a contextualiza¸cão da temática em estudo. O grande objectivo deste cap´ıtulo é dar a perceber ao leitor a evolu¸cão dos SI ao longo da história e como estes acabaram por influenciar e revolucionar a sociedade mundial, principalmente com o aparecimento da Internet. A ideia principal a transmitir

será o enorme valor que a informa¸cão representa para as empresas, com o propósito de justificar a necessidade da sua proteçcão, pois as coisas valiosas são, geralmente, alvo de proteçcão.

O terceiro cap´ıtulo, constitui o levantamento do estado da arte, onde se inicia

uma análise mais técnica a toda a problemática. Nesta seçcão são analisadas as vulnerabilidades mais comuns dos SI e os tipos de ataques de que estes podem ser alvo. Para além disso, é feito o levantamento dos vários tipos de ferramentas orientadas à seguran¸ca informática, de modo a que o leitor possa conhecer que tipo de solu¸cões de seguran¸ca existem e que tipo de funcionalidades executam.

No quarto cap´ıtulo é introduzida a fase de implementa¸cão, através do estudo dos vários métodos anal´ıticos de gestão de risco, resultando na elabora¸cão de um modelo de gestão de risco, adequado às caracter´ısticas espec´ıficas da rede informática onde serão implementados os vários cenários de teste.

O quinto cap´ıtulo, por sua vez, consiste essencialmente numa descri¸cão aprofundada da implementa¸cão do modelo de gestão de risco proposto no cap´ıtulo anterior, resultando da´ı os valores teóricos de risco que servirão de referência aos resultados obtidos na fase de testes.

No sexto cap´ıtulo é, finalmente, apresentado o Babel Enterprise e descrita toda a fase de testes, desde os cenários propostos para a implementa¸cão, passando pela apresenta¸cão do software de referência, até à análise dos resultados..

(35)

2

Contextualiza¸c˜

ao

Em qualquer projecto, de qualquer área cient´ıfica, é vital que o autor crie uma base sólida de trabalho para que não se gerem ambiguidades que, no futuro, poderão dificultar a compreensão e/ou a evolu¸cão das fases seguintes do trabalho. Foi neste sentido que decidi realizar e direccionar algum trabalho de investiga¸cão para a contextualiza¸cão da temática desta Disserta¸cão.

Este cap´ıtulo terá, portanto, como principais objectivos definir alguns conceitos básicos que possam levantar dúvidas e contextualizar gradualmente a temática em estudo, no tempo e no espa¸co, tentando colocar questões pertinentes que comecem a incutir desde cedo, no leitor, açcões de reflexão sobre o assunto.

Nesse ˆambito, preocupei-me em dar uma perspectiva hist´orica dos Sistemas de

informa¸cão, explicando todas as suas (R)evolu¸cões, até chegar aos Sistemas de

informa¸c˜aomais complexos que caracterizam a sociedade actual, catalogada como Sociedade da Informa¸c˜ao e do conhecimento.

O estudo de todo este contexto histórico, na minha perspectiva, é essencial para o entendimento global de como se formou o modelo da nossa sociedade, tão dependente de infra-estruturas informáticas, permitindo-nos tirar várias conclusões importantes, que nunca conseguir´ıamos deduzir de outra forma.

(36)

2.1 Conceitos

Durante a longa fase de pesquisa tive contacto com artigos cient´ıficos, Disserta¸cões de Mestrado, Teses de Doutoramento, entre outros documentos de ordem cient´ıfica que abordam a temática da Seguran¸ca em Redes e Sistema de informa¸cão. Durante

a leitura de alguns desses documentos constatei que era frequente a confusão entre determinados conceitos, tanto pela falta de cuidado e clareza por parte dos autores, como pela facilidade em haver uma má interpreta¸cão por parte dos leitores. Nesse sentido, tive dificuldade em compreender certas abordagens de determinados autores, pois, por vezes, era dif´ıcil discernir, por exemplo, que nomenclaturas diferentes se referiam exactamente ao mesmo aspecto, como é o caso dos termos Redes

inform´aticas e Sistemas de informa¸c˜ao.

Para evitar que esta falta de clareza perturbe a boa interpreta¸cão do que vai sendo explicado nesta Disserta¸cão, irei definir e delimitar, neste ponto, alguns conceitos básicos normalmente confundidos.

Uma das confus˜oes mais frequentes ocorre entre os termosdados,informa¸c˜aoe conhecimento. Neste sentido, Prusak and Davenport (1998) refere que os dados

têm, erradamente, sido referidos como informa¸cão e actualmente a informa¸cão é designada como conhecimento. Contudo o autor tenta delimitar este termos, através do exemplo de uma pirâmide:

(37)

Segundo Prusak and Davenport(1998), na base da pirâmide encontram-se os dados em bruto, que são simples observa¸cões sobre o estado do mundo, no n´ıvel intermédio encontra-se a informa¸cão, que são dados dotados de relevância e propósito. Por fim, no topo da pirâmide está o conhecimento, informa¸cão valiosa para a mente humana. Para o autor, este processo de transforma¸cão de dados em informa¸cão e de informa¸cão em conhecimento só é poss´ıvel mediante a interven¸cão humana, pois quem transforma a informa¸cão em conhecimento é o homem e não a tecnologia. Noutro ponto de vista, Vieira and Castanho (2008) que a informa¸cão prosperou

como conceito filosófico na era clássica, denotando a imposi¸cão de uma forma, ideia ou principio, que assim se tornavain-formadaou apenasformada. Depois, por

s´eculos, segundo o mesmo autor, o uso do termoinforma¸c˜aofoi monopolizado por

jornalistas, o que causou ambiguidades na interpreta¸cão dos seus múltiplos sentidos como, por exemplo, comunicar/informar ou not´ıcia/informa¸cão.

Outra confusão frequente ocorre entre os conceitos sistemas de informa¸cão e tecnologias da informa¸cão.

Segundo Santos et al. (2007), um sistema de informa¸cão (SI) é um sistema automatizado (ou sistema computorizado), ou mesmo manual, que abrange pessoas, máquinas e/ou métodos organizados para colectar, processar, transmitir e disseminar dados que representam informa¸cão para o utilizador.

Embora esta defini¸cão seja válida e bem enquadrada no paradigma da sociedade actual, este termo poderá ser facilmente confundido com Tecnologias de Informa¸cão (TI). Contudo, enquanto os SI são sistemas globais que permitem a transmissão da informa¸cão a partir da açcão humana, tal como a fala, a escrita ou as Redes Informáticas (na sua forma mais abrangente, aInternet), as TI são equipamentos

tecnológicos que suportam e auxiliam essa transmissão de informa¸cão (televisão, rádio, telefone, computador, entre outros).

Numa analogia podemos considerar que as TI são o Hardware e os SI o Software do processo de transmissão de informa¸cão.

(38)

2.2 Contexto Hist´

orico

Hoje em dia, vivemos e estamos enquadrados na designadasociedade da informa¸c˜ao

e do conhecimento, associada a um desenvolvimento social e econ´omico em que a

aquisi¸cão, armazenamento, processamento, valoriza¸cão, transmissão, distribui¸cão e dissemina¸cão de informa¸cão conduz à cria¸cão de conhecimento e à satisfa¸cão das necessidades dos cidadãos e das empresas, tendo um papel central na actividade económica, na cria¸cão de riqueza, na defini¸cão de qualidade de vida dos cidadãos e das suas práticas culturais (Morais, 1999).

Neste contexto surgem algumas quest˜oes pertinentes:

A informa¸cão sempre teve esta importância e influência? Sempre existiu este modelo de Sociedade?

Deste quando existem sistemas de informa¸c˜ao?

Não é necessário recuarmos muitos anos para percebermos que o conceito de SI e de

Sociedade da Informa¸c˜ao e do Conhecimento s˜ao conceitos muito recentes, sobre

os quais n˜ao costumamos reflectir muito, talvez por nos parecerem termos naturais da evolu¸c˜ao do homem ou porque fazem parte do nosso quotidiano.

No entanto, se olharmos para o passado da humanidade, vemos claramente que os SI, embora num contexto mais simplificado, existiram desde sempre, muito antes da era Digital, muito antes do conceito de empresa como o conhecemos hoje, e

muito antes até da era de Jesus Cristo ou da cria¸cão de qualquer religião.

A informa¸cão existe desde que nos conhecemos como Homens, interpretes do mundo exterior, e tem evolu´ıdo através e junto com a história, modificando significados e impactando indiv´ıduos, sociedades e organiza¸cões, funcionando como um dos elementos impulsionadores da evolu¸cão do Homem (Calazans, 2006).

Através do histórico será poss´ıvel visualizar como as inven¸cões tecnológicas do homem influenciaram as mudan¸cas no uso e/ou transmissão da informa¸cão, que hoje caracterizam tanto o actual paradigma (Vieira and Castanho, 2008) .

´

E fundamental encontrarmos o passado para percebermos as linhas de for¸ca que podem pautar o futuro e termos a capacidade de moldar o presente (Borges, 2002).

(39)

2.2.1 A Fala

Segundo vários autores, para encontrarmos o primeiro SI temos que recuar ao in´ıcio da existência da espécie humana, onde os nossos antepassados tiveram a necessidade de encontrar uma forma eficaz para se comunicarem. É nesse processo que surge a

Fala, ou Linguagem oral, onde a informa¸cão é transmitida através da palavra

falada, sendo, até aos dias de hoje, a nossa forma de partilha de informa¸cão mais comum. Nesse sentido, Durval (2007) refere que “a primeira forma de transmissão de informa¸cão foi a Fala, a partir da qual nos tornamos realmente humanos,

capazes de pensar, produzir e transmitir conhecimento”. Refor¸cando essa id´eia,

Borges (2002) refere também que “lidamos com a informa¸cão ou, se preferirmos, com a sua representa¸cão desde que nos conhecemos como humanos”.

Visto que nas sociedades primitivas não existiam registos escritos, a informa¸cão e comunica¸cão eram abordadas por diferentes formas de linguagem (rito, mito, rela¸cões de parentesco e comunica¸cão pictórica). Como testemunho disso temos as gravuras encontradas em escava¸cões arqueológicas (Vieira and Castanho,2008).

Figura 2.2 – A primeira forma de partilha de informa¸c˜ao

Porém, embora o surgimento da fala tenha sido um passo important´ıssimo para a nossa evolu¸cão, esta revelou ter muitas limita¸cões, pois a partilha de informa¸cão está restrita ao contacto imediato e local, atingindo poucas pessoas. Deste modo,Durval

(2007) afirma que a Fala é um SI fantástico mas que o seu meio de transmissão,

(40)

2.2.2 A Escrita

Para colmatar as limita¸cões da fala, o ser humano teve necessidade de evoluir. Dessa evolu¸cão, acaba por nascer, há 5000 anos na Mesopotâmia, milhares de anos mais tarde na China e depois pelos Maias na América Central, a Escrita.

Embora a fala tenha sido a primeira forma de transmiss˜ao de informa¸c˜ao, a

capacidade de a transferir, inalterável, ao longo do tempo está intrinsecamente ligada ao registo, à Escrita, com principal destaque para a escrita alfabética. Com

esta conseguimos trasladar todo um discurso separado da fonte da sua produ¸c˜ao no espa¸co e no tempo (Borges, 2002). Deste modo, a inven¸c˜ao da Escrita foi a

primeira grande (R)evolu¸c˜ao da informa¸c˜ao (Oliveira, 2003).

Na figura 2.3 podemos ver alguns s´ımbolos utilizados no registo escrito.

Figura 2.3 – Exemplos de Escrita

Contudo, ainda que o aparecimento da Escrita tenha sido um passo importante

para a evolu¸cão do Homem, este acabou por lhe conhecer sérias limita¸cões.

A Escrita revelou ser insuficiente para um aumento significativo da partilha da

informa¸cão, pois existiam poucos exemplares de cada registo escrito, o que não permitia que a informa¸cão chegasse a um número significativo de pessoas, ficando apenas restrita à popula¸cão local. Corroborando esta ideia, Durval (2007) afirma que “a escrita deu um enorme impulso ao desenvolvimento do conhecimento, mas não permitia a sua multiplica¸cão para atingir um grande número de pessoas”.

(41)

2.2.3 O Livro Escrito

De acordo comDrucker (1999), a segunda (R)evolu¸c˜ao da informa¸c˜ao foi provocada pelo Livro escrito, primeiro na China, por volta de 1300 a.C e depois, 800 anos

mais tarde, na Grécia, onde Peisistratos, o tirano de Atenas, mandou copiar em livros os épicos de Homero, até então apenas recitados.

Contudo, oLivro escritosofreu várias restri¸cões na sua açcão de levar a informa¸cão

a um conjunto maior de pessoas.

O seu primeiro entrave foi o facto de estarem vedados a grande parte da popula¸cão, sendo apenas exclusivos do Clero e da Nobreza, pois o controlo das fontes de informa¸cão significava, no contexto dessa época, o controlo das ideias, da cultura e da sociedade. Vieira and Castanho(2008) afirma que “antes do século XV, embora limitados, os livros eram um meio de massa ainda restrito. As pessoas do poder não estavam particularmente interessadas que as massas pudessem ler e as necessidades económicas não pediam uma for¸ca de trabalho alfabetizada”.

Noutro sentido, Santos and Maranhão (2008) afirma que “nos seus primórdios, os livros eram escritos à mão, em geral por religiosos, num processo bastante demorado e com custos muito elevados, permitindo que apenas algumas pessoas (muito poucas) tivessem acesso à informa¸cão. Esse processo consistia em milhares de mosteiros, que abrigavam centenas de monges altamente competentes, que trabalhavam desde o alvorecer até ao pôr-do-sol, seis dias por semana, a copiar livros à mão. Um monge dedicado podia fazer quatro páginas por dia (mais de 1200 páginas anuais)”. Com o livro, o registo escrito melhorou bastante, pois foi poss´ıvel estruturá-lo, organizá-lo e armazená-lo no interior de um único objecto móvel. Contudo, o livro apenas resolveu um dos problemas da Escrita, isto é, o problema da mobilidade

organizada da informa¸cão, que passou a ser poss´ıvel. Porém, continuou a existir um número insuficiente de cópias do mesmo registo, ou neste caso, do mesmo livro, continuando assim a não ser poss´ıvel fazer chegar a informa¸cão a um número considerável de pessoas.

(42)

2.2.4 A Imprensa

Entretanto, em meados de 1455, o ourives alemão Johannes Gutenberg, após anos de pesquisas e trabalho duro, colocou nas mãos o seu grande trunfo em forma de livro, impresso com uma técnica inédita e infal´ıvel: a prensa de tipos móveis.

A impressão em massa, possibilitada a partir da´ı, transformou a cultura ocidental para sempre, através do enorme aumento do volume de informa¸cão, em forma de livros, revistas, jornais, etc.

As redu¸cões de custos de produ¸cão dos livros foram enormes (em 1424 o pre¸co de cada livro equivalia ao de uma fazenda ou vin´ıcola), incentivando o acesso à informa¸cão, viabilizando a populariza¸cão do conhecimento e desencadeando um aumento significativo da alfabetiza¸cão de uma sociedade carente de cultura, mudando a maneira de pensar e agir das pessoas (Vieira and Castanho, 2008; Durval, 2007). Em pouco tempo, a imprensa, provocou a chamada terceira (R)evolu¸cão da

informa¸cão, mudando as institui¸cões, incluindo todo o sistema educacional, que passou a ser orientado não só ao clero e ao estudo da Teologia, mas também para os leigos, possibilitando o estudo da Matemática, Direito, Filosofia, etc.

Reflex˜ao:

Sem a imprensa, que veio tornar a informa¸c˜ao mais acess´ıvel, o que seria

das Universidades? Teria surgido a Internet? Teriamos evolu´ıdo tanto?

Provavelmente nunca saberemos estas respostas. O que é certo é que ter´ıamos, com certeza, uma evolu¸cão diferente, pois esta (R)evolu¸cão foi de tal forma importante que é bem provável que sem ela não estivéssemos, hoje em dia, num n´ıvel tão avan¸cado de conhecimento, de inova¸cão social e tecnologicamente tão evolu´ıdos. Contudo, o Homem, mais uma vez, concluiu que este passo não foi suficiente, pois acabaram por surgir novos problemas. Depois da imprensa, a humanidade

produziu montanhas de livros, revistas e jornais, mas o acesso a esse enorme volume de informa¸cão tornou-se inviável, até mesmo pela quantidade (Durval, 2007). Apesar disso, t´ınhamos dado, mais um passo importante a caminho da Partilha

(43)

2.2.5 Revolu¸c˜

ao da Informa¸c˜

ao Vs Revolu¸c˜

ao Industrial

Para impulsionar ainda mais a revolu¸cão da informa¸cão surge outro factor que mudou a concep¸cão da sociedade para sempre: A Revolu¸cão Industrial.

A partir do século XIX, a Revolu¸cão Industrial tomou grandes propor¸cões, quebrando totalmente a linha do Feudalismo1_{, levando toda uma sociedade para uma revolu¸cão}

de pensamentos, ideologia e ritmos de vida. Estava a surgir aSociedade Industrial,

desenvolvida pela tecnologia da m´aquina a vapor (Magno,2010).

Com esta revolu¸cão surgem novas indústrias e a inevitável evolu¸cão tecnológica, fazendo nascer as TI. Desta forma, as comuns comunica¸cões escritas não conseguiram competir com a rapidez da transmissão de mensagens electrónicas, usadas nos meios interactivos da telegrafia e telefonia (Vieira and Castanho,2008).

Nos anos 20 o rádio tornou-se um meio bastante popular, inclusive nas áreas rurais, transmitindo músicas e programas. Por sua vez, uns anos mais tarde, a descoberta acerca da conversão e transmissão de imagens em sinais eléctricos ocasionou a inven¸cão da caixa que mudou o mundo: A Televisão.

Apesar dos novos meios de comunica¸cão terem influenciado muito a nova sociedade, o que mudou definitivamente a vida do Homem em rela¸cão ao uso e troca de informa¸cão nasceu em 1946, nos EUA: o Computador (Vieira and Castanho,2008). Referindo-se ao computador, Grego(2009) afirma que “o aparecimento de um novo sistema de comunica¸cão universal digital promoveu a integra¸cão global da produ¸cão e dissemina¸cão de palavras, sons e imagens, criando novas formas de comunica¸cão, moldando a vida e sendo moldado por ela, visto que essa nova tecnologia vem moldando comportamentos, transformando a economia, sociedade e cultura”. Para Drucker (2000) o computador está para a (R)evolu¸cão da Informa¸cão como a máquina a vapor está para a Revolu¸cão Industrial, ou seja, o seu gatilho, mas também e, sobretudo o seu s´ımbolo. A quarta (R)evolu¸cão da informa¸cão come¸cou, então, a ser desenhada através das máquinas de processamento, que codificam a informa¸cão em sinais f´ısicos de diferentes espécies para os armazenar, transmitir (rádio, televisão) ou combinar de diferentes formas (computadores) (Durval, 2007).

1

O feudalismo foi um modo de organiza¸cão social baseada nas rela¸cões servo-contratuais, onde as pessoas viviam nos campos, a trabalhar para ter apenas o que comer. Os Vassalos ofereciam aos Senhores Feudais fidelidade e trabalho em troca de proteçcão e um lugar para produzir.

(44)

2.2.6 A Internet

Os computadores, por si só, não foram suficientes para impulsionar o come¸co da quarta revolu¸cão. Foi no crescimento da quantidade de computadores e da sua capacidade computacional, de comunica¸cão e de interliga¸cão, que nasceu o factor que motivou a nova (R)evolu¸cão: A Internet (ime,1999).

Após a grande revolu¸cão tecnológica da década de 80, na qual o computador foi o expoente máximo, assiste-se a um fenómeno ainda maior: a segunda vaga da revolu¸cão informática, com a Internet e a www (Morais, 1999).

Figura 2.4 – O mundo daInternet

Segundo ime (1999), foi em 1969 que o Pentágono promoveu a cria¸cão da primeira rede de computadores, a qual interligava quatro computadores geograficamente distantes, localizados em quatro Universidades Americanas, chamada Arpanet. Desde então, o número de computadores na Arpanet/Internet cresceu de forma exponencial (figura 2.5), rondando na actualidade os 1,73 biliões.

Para termos uma ideia do quão grande é a velocidade de crescimento da Internet, fa¸camos uma compara¸cão com as taxas de crescimento da popula¸cão mundial, que obedece também a uma fun¸cão exponencial. Segundo o estudo apresentado por ime

(1999), temos que a utiliza¸cão da Internet dobra a cada 15 meses e que a popula¸cão dobra, em média, a cada 30 anos. Ao fazer-se a rela¸cão entre estes dados temos:

30anos 15meses =

360meses

15meses = 24etapas

Ou seja, no per´ıodo de tempo que a popula¸c˜ao mundial duplica apenas uma vez (30 anos), a Internet duplica 24 vezes.

(45)

Figura 2.5 – Gr´afico do crescimento da Internet(Fonte: Vieira and Castanho(2008) )

Como poderemos constatar, a Internet cresceu a um ritmo impressionante, atingindo uma escala gigantesca, mudando a forma de ver o mundo para sempre e ampliando as possibilidades de uso do computador como fonte de informa¸cão e comunica¸cão. Gra¸cas às potencialidades da Internet, actualmente não existem mais barreiras geográficas para a dissemina¸cão da informa¸cão. A velocidade como a transmissão da informa¸cão se processa é grandiosa. Basta analisarmos como a velocidade dos computadores é medida em milionésimo de segundos e como os satélites atingem em segundos uma larga escala geográfica (Oliveira, 2003).

Nesta l´ogica,Oliveira(2003) defende a ideia de que “os processos de comunica¸c˜ao e a tecnologia transformaram o mundo, que passou de um grande universo desconhecido para um mundo conhecido e pequeno”.

A Internet surge assim como uma das maiores inven¸c˜oes do Homem.

A Internet ´e interactiva, cheia de virtualidades todas reunidas num ´unico lugar, o

espa¸co virtual, que representa uma espécie de simula¸cão da consciência humana

global que afecta realmente essa consciência, tal como fizeram o fogo, a linguagem, a religião, a arte e a escrita, cada etapa integrando as precedentes e levando-a mais longe ao longo de uma evolu¸cão com ritmo exponencial (Lévy, 2001).

´

E com esta quarta (R)evolu¸cão da informa¸cão, que come¸ca a enraizar-se a forte rela¸cão de dependência entre a sociedade e as infra-estruturas informáticas.

(46)

2.2.7 Reflex˜

ao

A cada (R)evolu¸cão, o Homem cresceu como ser intelectual, social e dotado de inteligência. Com a Fala deu o primeiro passo para a comunica¸cão, com a Escritacriou um sistema de registo que possibilitou o transporte da informa¸cão no

tempo e no espa¸co, com o Livro escritoo registo ficou estruturado e organizado,

com a Imprensa o volume de informa¸c˜ao aumentou radicalmente, e por fim com

a Internet o Homem eliminou qualquer barreira geogr´afica para a transmiss˜ao e

dissemina¸c˜ao de informa¸c˜ao, possibilitando a sua partilha global.

No entanto, o leitor poder´a ter algumas quest˜oes pertinentes em mente!

A quarta (R)evolu¸cão da Informa¸cão já terminou?

Qual será a próxima (R)evolu¸cão da Informa¸cão? Irá mesmo existir ou o Homem parou por aqui, já que conseguiu instituir a partilha global da Informa¸cão? Será essa partilha o objectivo final ou o Homem pretende atingir outra meta ainda não identificada?

Depois da Sociedade Industrial e da Sociedade da Informa¸c˜ao, que

paradigma de sociedade vir´a a seguir?

Que tipo de ser humano criar´a esta quarta revolu¸c˜ao?

Respondendo a algumas destas quest˜oes, Wisetel (1998) refere que “durante os ´

ultimos anos, a (r)evolu¸cão da informa¸cão centrou-se nos dados, preocupando-se com a sua recolha, armazenamento, transmissão, análise e apresenta¸cão, ou seja, mais centrada no T (tecnologias) da abreviatura TI. A próxima (r)evolu¸cão da

informa¸cão centrar-se-á noI(informa¸cão), o que possivelmente levará rapidamente

à redefini¸cão de tarefas de troca de informa¸cão e das organiza¸cões que as executam”. ´

E válido para todos que esta quarta (R)evolu¸cão trouxe muitas mudan¸cas e permitiu grandes avan¸cos nas várias vertentes da sociedade. Vários autores, como Durval

(2007), afirmam que esta ainda está em curso e que ainda não está claro o caminho a que ela nos levará nem o tipo de ser humano que ela produzirá.

(47)

De seguida é apresentado um quadro resumo das 4 (R)evolu¸cões da Informa¸cão:

Tabela 2.1 – Quadro-Resumo das (R)evolu¸c˜oes da Informa¸c˜ao

Factor Vantagens Problemas

A Fala

1a

Forma de comunica¸c˜ao que o Homem encontrou e que possibilitou dar um grande passo na sua evolu¸c˜ao.

Atrav´es da Fala a informa¸c˜ao

não podia ser registada nem transportada no tempo e no espa¸co; “A propaga¸cão das ondas sonoras no ar é volátil e de curto alcance”.

1a

Revolu¸c˜ao da Informa¸c˜ao:

A Escrita

Permite o registo da informa¸cão através de uma sequência de s´ımbolos. E poss´ıvel transportar´ a informa¸cão no tempo e no espa¸co. Nascimento do mundo letrado e de um enorme impulso ao desenvolvimento do conhecimento.

A escrita, por si s´o, n˜ao

conseguiu transmitir a informa¸cão a um vasto número de pessoas, pois só existiam um ou dois exemplares de cada registo escrito.

2a

O Livro

Permitiu estruturar, organizar e armazenar o registo escrito dentro de um ´unico objecto m´ovel.

Continuaram a existir poucas cópias do mesmo registo, pois era um processo lento e caro. Nos seus primórdios, era um bem exclusivo do Clero e da Nobreza. 3a Revolu¸cão da Informa¸cão: A Imprensa Aumentou exponencialmente o volume de informa¸cão. O Livro deixou de ser exclusivo. A informa¸cão atinge um grande número de pessoas.

“O acesso ao enorme volume de informa¸cão tornou-se inviável, até mesmo pela quantidade.”

Revolu¸c˜ao Industrial

As pessoas come¸cam a interessar-se pela informa¸cão. Come¸ca a dar-se a grande evolu¸cão tecnológica.

4a

A Internet

Deixaram de haver barreiras geográficas para a Informa¸cão. A partilha global da informa¸cão passou a ser poss´ıvel. Surgem novos conceitos e redefinem-se alguns já existentes.

Os Sistemas Informáticos possuem vulnerabilidades f´ısicas e lógicas. A informa¸cão passou a poder ser atacada remotamente através da rede, logo, é importante garantir a: Seguran¸ca da Informa¸cão e dos Sistemas que a suportam.

(48)

Se olharmos atentamente para a importância que estas (R)evolu¸cões da Informa¸cão tiveram na evolu¸cão do Homem, podemos tirar várias conclusões relevantes para um melhor entendimento da necessidade e importância deste estudo:

1. O Homem, consciente ou inconscientemente, sempre procurou, ao longo da hist´oria, enquanto ser soci´avel e comunicativo, o caminho para a Partilha

Global da Informa¸c˜ao, tentando sempre encontrar recursos que eliminassem

os obst´aculos que o impediam de atingir esse objectivo. Hoje sabemos que essa aposta foi ganha;

2. Desde o surgimento daFalaaté à cria¸cão da Internetpudemos constatar

que cada solu¸cão, poss´ıvel e viável, que apareceu para resolver um problema ou para complementar uma necessidade existente no campo da informa¸cão acabou por gerar novos problemas, que impulsionaram a procura por novas solu¸cões, que se traduziram em novas revolu¸cões, levando o Homem a aperfei¸coar-se e a evoluir. Este facto deverá alertar-nos para os problemas patentes na actual (R)evolu¸cão da Informa¸cão, pois se analisarmos a história, podemos facilmente deduzir que, mais tarde ou mais cedo, o Homem poderá descobrir algumas solu¸cões eficazes para esses problemas, que, por sua vez, poderão desencadear a quinta (R)evolu¸cão da Informa¸cão. Logo, teremos que estar conscientes que poderemos não ficar por aqui em termos de (R)evolu¸cões.

3. Podemos também constatar que todos os SI implantados pelas sucessivas (R)evolu¸cões, desde a Fala até à Internet, ainda estão presentes no

nosso quotidiano. Isto leva a concluir que cada um desses SI apenas serviu como complemento do SI anterior e nunca como seu substituto. Este facto deverá dar-nos maior conviçcão para resolver os problemas introduzidos pela

Internet, ou se quisermos, pelas redes inform´aticas, de forma a

protege-las e a aperfei¸coa-protege-las, pois pela análise histórica, temos indicadores de que, mesmo que surja um novo SI que impulsione uma nova (R)evolu¸cão, muito possivelmente, este virá apenas complementar as necessidades actuais das redes informáticas e nunca substitu´ı-las.

(49)

4. O ponto principal, no entanto, é o constatar de que o Homem nunca teve a preocupa¸cão doentia com a seguran¸ca da sua informa¸cão ou dos sistemas

que a suportam. A Fala, a Escrita e a Imprensa raramente foram

alvo de ataques expl´ıcitos e constantes, salvo o ataque `a liberdade de

expressão por parte de governos ditadores que embora limitem a dissemina¸cão da informa¸cão, não a destroem. O Livro escrito, por sua vez, chegou a ser exclusivo da Nobreza e do Clero, sendo vedado às restantes classes sociais, contudo a informa¸cão que continha estava protegida. Exceptuando algum desastre natural, como por exemplo incêndios e inunda¸cões, ou algum propósito malicioso, intencional e pontual, nunca existiu uma amea¸ca clara e frequente a qualquer tipo de SI. Mesmo que existisse uma inten¸cão de ataque, este teria que ser feito no local onde se encontrava a informa¸cão.

Com o aparecimento da Internet, o conceito de seguran¸ca foi alterado

radicalmente, pois esta trouxe consigo a possibilidade de realizar ataques remotos e frequentes à informa¸cão, a partir de qualquer parte do mundo. Desta forma, o termo Seguran¸ca da Informa¸cão passa a ter um significado mais

intenso e a fazer parte da lista das principais preocupa¸c˜oes do Homem.

Tal como afirma Borges (2002), “a informa¸cão assume outros tons, não apenas texto mas sobretudo imagem, fixa ou animada, multimédia, entre outros formatos. Esta reunião ou vertigem de formas que desaguam no ciberespa¸co implica encontrar solu¸cões para novos e velhos problemas”.

O futuro é ainda uma incógnita, porém, através da análise histórica, facilmente percebemos que esta (R)evolu¸cão, ainda em curso, será um processo lento e que teremos que lidar com isso naturalmente, tentando encontrar, tal como os nossos antepassados, formas de resolver o principal problema que esta (R)evolu¸cão deixou em aberto: Seguran¸ca dos Sistemas e Redes informáticas.

´

(50)

2.3 Sistemas de Informa¸c˜

ao nas Empresas

Para além da análise à evolu¸cão dos SI ao longo da história, é igualmente importante que saibamos onde esta (R)evolu¸cão está a provocar mais impacto e onde nos situamos nós, enquanto cidadãos e enquanto profissionais ao servi¸co da tecnologia. Há que parar, reflectir sobre o real, sobre a nossa condi¸cão de incertezas dentro dos acelerados processos de avan¸cos tecnológicos imediatistas. Perscrutar a história, o que foi dito e o que está submetido e não-dito, é uma maneira de encontrar novas respostas (Ugarte, 2004).

Segundo Morais (1999), “a integra¸cão da informática com a comunica¸cão está a provocar profundas altera¸cões na sociedade em geral e nas empresas em particular”. Já Wisetel (1998) refere que “a revolu¸cão da informa¸cão, ainda em curso, vai abranger todas as organiza¸cões importantes da sociedade moderna. Porém, come¸cou e teve um impacto mais profundo no terreno dos negócios”.

Mas até que ponto as redes informáticas estão presentes nas empresas?

2.3.1 Ades˜

ao `

as Redes Inform´

aticas

Até há bem pouco tempo, os SI nas organiza¸cões baseavam-se basicamente na utiliza¸cão de grandes arquivos, manipulados por um arquivista, responsável por organizar os dados, registá-los, catalogá-los e recuperá-los quando necessário. O aumento gradual do volume de informa¸cão nas empresas e a necessidade das áreas trabalharem de forma integrada tornou o armazenamento, recupera¸cão e integra¸cão da informa¸cão uma tarefa dif´ıcil e não muito confiável.

No entanto, com o surgimento dos computadores nasceu a possibilidade de um acesso rápido e confiável às informa¸cões (Santos and Maranhão, 2008).

A prolifera¸cão dos computadores e a crescente facilidade de uso gerada pela evolu¸cão tecnológica vieram colocar os computadores em novos papéis. Antes utilizados exclusivamente para automatizar rotinas operacionais, os computadores ampliaram as suas áreas e n´ıveis de actua¸cão, informatizando as organiza¸cões (Freitas, 2010).

(51)

Segundo o estudo apresentado pela CISI, com o temaInquérito à utiliza¸cão das TI

nas empresas 2000-2001, exposto em Sapo (2002), podemos constatar a abertura

das empresas `as novas tecnologias, e a novos modelos de neg´ocio (tabela 2.2).

Tabela 2.2 – Estudo da CISI (Fonte: Sapo(2002))

Factor 2000 2001

Empresas com, pelo menos, um computador 82% 85% Empresas que usam e-commerce2 _{ou e-business}3

para adquirir ou vender bens e servi¸cos 8% 18% Empresas com liga¸c˜ao `a Internet 55% 75% Empresas com presen¸ca na Internet 26% 37%

Empresas com Intranet4 _25% _36%

Pela tabela 2.2, podemos constatar que, j´a em 2001, a percentagem de empresas informatizadas era bastante significativa, na ordem dos 85%.

Percebendo a utilidade e potencialidades da Internet, 75% já possu´ıam uma liga¸cão, 36% já tinham desenvolvido uma rede privada, e 37% constavam do mercado virtual. Se analisarmos a evolu¸cão das percentagens de 2000 para 2001, certamente que actualmente os números serão bastante mais expressivos.

O dado mais importante a retirar deste estudo é o facto de empresas apontarem a inseguran¸ca informática como a maior dificuldade na utiliza¸cão da Internet. Este factor de preocupa¸cão com a inseguran¸ca vem refor¸car a motiva¸cão do estudo desta Disserta¸cão de Mestrado.

2

E-commerce ou comércio electrónico, ou ainda comércio virtual, é um tipo de transaçcão comercial feita especialmente através de um equipamento electrónico, como por exemplo, um computador. O acto de vender ou comprar pela Internet é um bom exemplo de comércio electrónico.

3

E-Business, acrónimo do Inglês Electronic Business (negócio electrónico), é o termo que se utiliza para identificar os negócios efectuados por meios electrónicos, geralmente na Internet.

4

(52)

2.3.2 Os conceitos do novo paradigma

Toda esta informatiza¸cão, dá-nos a sensa¸cão de que esta quarta (R)evolu¸cão é de ordem tecnológica, o que não é totalmente falso, pois foi a tecnologia que lhe deu forma e propósito, contudo esta está a dar-se, sobretudo, a n´ıvel de conceitos. Nesse sentido, Wisetel (1998) afirma que esta revolu¸cão não se trata de uma revolu¸cão tecnológica, de maquinaria, de software ou velocidade, mas sim de conceitos. A alta informatiza¸cão das empresas possibilitou que as empresas se reinventassem vezes sem conta, pois abriu novas oportunidades de negócio, o que tornou poss´ıvel a cria¸cão de novos paradigmas na estrutura empresarial. A evolu¸cão tecnológica acabou por nos guiar até à era digital, e ao conceito do espa¸co virtual e as

novas tecnologias que, entretanto, v˜ao surgindo transformam-se rapidamente num po¸co de oportunidades para as empresas.

Neste sentido, segundo Pinsdorf (2009), as empresas, actualmente usam solu¸c˜oes VOIP5 _{para eliminar, praticamente, contas telef´onicas.} _{Adicionalmente podem}

também utilizar v´ıdeo conferência através do uso de webcams. Por sua vez, as empresas aéreas podem reduzir os seus custos oferecendo via Internet, não só a venda de bilhetes, como a reserva de acentos e check-in. Outro bom exemplo é a computa¸cão nas nuvens ou, em inglês Cloud Computing6_{, que proporciona redu¸cão}

de custos com licen¸cas, capacidade de hardware, disponibilidade da informa¸cão e backup, pois todos os softwares aplicativos e ficheiros são armazenados fora da empresa, bastando um navegador (browser) para aceder ao seu conteúdo.

Também no espa¸co das profissões esta (R)evolu¸cão teve impacto. Tal como a revolu¸cão da imprensa criou uma nova classe de técnicos (os primeiros impressores), a recente revolu¸cão também deu origem a uma série de profissões: engenheiros informáticos, designers de software, gestores de sistemas, entre outrosWisetel(1998).

5

VoIP (Voice over Internet Protocol) ou em português Voz sobre IP, é um termo genérico para uma fam´ılia de tecnologias de transmissão para a entrega de comunica¸cões de voz sobre redes IP como a Internet.

6

Cloud computing é um conjunto de servi¸cos acess´ıveis pela Internet que visam fornecer os mesmos servi¸cos de um Sistema Operativo. Esta tecnologia consiste em compartilhar ferramentas computacionais pela interliga¸cão dos sistemas, semelhantes às nuvens no céu, ao invés de ter essas ferramentas localmente. O uso deste modelo é mais viável do que o uso de unidades f´ısicas.

(53)

O home Office, como o pr´oprio nome indica trabalho em casa, ´e hoje outro

conceito implementado pela quarta (R)evolu¸cão da informa¸cão, que além de diminuir custos com aluguer de prédios e salas comerciais, aumenta a qualidade de vida dos colaboradores. Os telemóveis com fun¸cões de Internet colocam o colaborador automaticamente conectado com a empresa em regime 24/7 (24 horas por dia, 7 dias por semana), reduzindo os custos, muitas vezes, por uma tomada de decisão ágil ou mesmo evitando deslocamentos.

Os profissionais de marketing podem também reduzir custos utilizando os benef´ıcios e potencialidade da chamada Web2.0 (blogs, sites de relacionamento, second life, wikis, spam, redes sociais, etc.), pois através da Internet surgem grandes oportunidades comerciais, pois é dada a possibilidade a qualquer empresa de se dar a conhecer, de publicitar os seus produtos e servi¸cos a uma vasta gama de potenciais consumidores e com custos reduzidos (Morais, 1999).

Há 50 anos, ninguém poderia imaginar a existência de um programa de computador que organiza-se globalmente as opera¸cões de uma empresa atendendo em tempo real às necessidades dos seus clientes. Hoje, isso é realidade (Ribeiro, 2005).

O conceito actual de empresa representa um paradigma de negócio computorizado, cujo funcionamento recorre crescentemente a redes digitais de informa¸cão assumindo esta última o papel de matéria-prima. No entanto, a rela¸cão de dependência entre as empresas e as infra-estruturas informáticas tornou-se grande e preocupante.

(54)

2.3.3 Ambiente Empresarial

Percebendo que a redu¸cão de espa¸co e tempo permite uma opera¸cão mais ampla as empresas informatizam-se, tornando a Internet o seu campo infinito de informa¸cão. Porém, tal como é referido por Oliveira (2003), “no meio de tanta informa¸cão que surge diariamente, a gestão desta é essencial para que seja poss´ıvel organizar informa¸cões relevantes, estimular discussões que gerem novos conhecimentos e por fim disponibilizar essa informa¸cão para que seja bem utilizada pelos intervenientes do ambiente empresarial (figura 2.7), sempre que necessário”.

Figura 2.7 – Diagrama dos intervenientes do Ambiente Empresarial (Fonte: Serr˜ao(2009))

Desta forma, pela figura 2.7, podemos constatar que os SI representam o cora¸cão, ou se quisermos, o ponto central de toda a actividade e estrutura de negócio de uma empresa, dando um contributo vital para a gestão eficaz de toda a informa¸cão envolvida nos processos organizacionais. Desta forma, segundo Oliveira (2003), quando apreendida, organizada, transformada, aplicada, preservada e gerida, a informa¸cão transforma-se numa clara e efectiva vantagem competitiva, constituindo um elemento fundamental para o desenvolvimento das organiza¸cões.