Vivemos em um país onde cada vez são mais constantes os crimes feitos
na internet, os chamados cibercrimes ou crimes digitais. Essa é uma
técnica que consiste em enganar a segurança de computadores ou redes
empresarias. Tem o papel de executar a distribuição de material obsceno,
fraudes bancárias, transgressão de propriedade intelectual,
disseminação de vírus que coletam e-mails para venda de mailing e uma
infinidade de outros crimes digitais que aparecem a cada dia.
A
instantaneidade, o anonimato e o compartilhamento de informações são
especificidades do uso da internet como mídia. Mas toda essa liberdade
de acesso, produção e envio de dados na rede mundial de computadores,
acaba oferecendo aos usuários a oportunidade de usar a internet para
cometer crimes, como por exemplo, pedofilia, extorsão, adultério,
fraudes financeiras, grampo, falsificação de documentos etc. Como não há
uma legislação específica para coibir esses atos, eles se tornam mais
freqüentes na internet. Em 2002, o Brasil liderou o ranking mundial de
crimes digitais e em 2007, o prejuízo em relação à pirataria de software
foi de US$ 1, 617 bilhão. Já em 2008 o Brasil esteve em primeiro lugar
no ranking de ataques e contas bancárias.
O crime digital pode
acarretar danos tanto pessoais como empresariais. Os danos pessoais são
obtidos no envio de mensagens com conteúdo pejorativo, falso ou pessoal
em nome da pessoa, utilizando somente os dados dos e-mails, na
movimentação de contas bancárias com o intuito de fazer transações,
saques ou até mesmo pagamento de contas, na utilização de dados de
cartão de crédito para fazer compras e na divulgação de fotos ou imagens
com intenção de causar danos morais. As empresas também sofrem com
estas invasões nos seus dados e informações confidenciais. Os crimes
digitais ocasionam não somente danos financeiros, mas também danos
empresariais, visto que as organizações têm que fazer novamente a
manutenção das máquinas danificadas.
É difícil contabilizar o
custo dos crimes digitais devido à dificuldade de haver uma avaliação de
bens, além de a organização ter a sua credibilidade abalada junto aos
seus clientes. Geralmente, estes roubos são executados por pessoas da
própria organização, já que elas sabem onde estão todas as informações
importantes e necessárias.
O criminoso digital é denominado
vulgarmente de hacker, e este pode ser classificado em dois tipos:
interno e externo. Interno são aqueles indivíduos que acessam
indevidamente informações sigilosas de um nível superior. Normalmente
são funcionários da empresa ou servidores públicos. O externo é aquele
que não tem acesso e utiliza um computador ou redes externas,
ressaltando que não tem ligação à organização que ataca. É importante
explicitar também que muitos destes dados são roubados das organizações
para serem repassados aos concorrentes, na intenção de prejudicar a
imagem institucional da empresa diante do mercado.
Nos Estados
Unidos, existe um site criado em parceria entre o FBI (Bureau de
Investigação Federal, em tradução direta) e a NW3C (uma organização
voltada à investigação de crimes "do colarinho branco") chamado de
"Internet Crime Complaint Center", ou, simplesmente, IC3. O site tem por
objetivo registrar denúncias relacionadas a crimes ocorridos na
internet. Isso nos levanta uma questão: e aqui no Brasil? Para onde
corremos quando nossa integridade online é lesada por alguma armação
criminosa? Muita gente não sabe o que fazer a partir do momento em que
se sofre alguma injúria online. Para quem ou onde reclamamos?
Essa
é uma pergunta que milhares de brasileiros fazem todos os dias, e, cabe
a nós, profissionais de informática, ajudar a população e guiá-los
nesse momento conturbado. Esse problema é muito mais cultural do que de
falta de recursos, e no caso de alguém sofrer ação criminosa via
internet - por exemplo, invadirem uma conta no Facebook e denegrirem o
usuário a ponto de causar-lhe transtorno - uma delegacia de polícia
comum pode e deve registrar um Boletim de Ocorrência, para fins de
documentação do caso.
Recentemente, a atriz Carolina Dickman teve
fotos íntimas veiculadas em páginas da internet. Casos como esse terão
pena de dois anos de prisão acrescida em um terço pela utilização da
rede mundial de computadores. Os juristas ainda analisam a penalização
de crimes mais graves, como o acesso indevido de dados comerciais
protegidos. Os juristas também aumentaram penas para qualquer pessoa
que, de posse de informações de processos judiciais que correm em
segredo de Justiça, sejam divulgados à imprensa. A quebra do segredo de
Justiça – como sigilos fiscal, telefônico e bancário – pode passar de
dois a quatro anos de prisão para dois a cinco anos de prisão.
Concluímos
que, apesar da justiça ter dado um passo importante para que crimes
como esse que ocorreu recentemente com a atriz Carolina Dickman, sejam
cada vez mais repugnados e repreendidos, sabemos que somente essa medida
não será suficiente se a população brasileira não cooperar e começar a
mudar os seus conceitos sobre a internet, que pode ser uma ótima
ferramenta para diversão, estudos, trabalhos e, ao mesmo tempo, uma
grande arma nas mãos de quem tem um conhecimento aprofundado e que, ao
invés de utilizar esse conhecimento para fins que ajudem a população e o
governo a se desenvolverem, utilizam para se aproveitar da fragilidade
daqueles que não possuem o conhecimento adequado para estarem utilizando
os meios digitais.
sexta-feira, 12 de abril de 2013
sexta-feira, 29 de março de 2013
Samsung Galaxy S4 é homologado pela Anatel
A última versão do smartphone topo de linha da Samsung, o Galaxy S4, passou pela homologação da Anatel nessa última quinta-feira (28/03), o que significa que o aparelho já pode ser vendido no Brasil. O aparelho virá em duas versões, GT-i9500 e o GT-i9505 uma já equipada para o 4G brasileiro e com o processador Quad Core (Qualcomm Snapdragon 600) e outra com conectividade 3G+ e um processador de oito núcleos (Exynos 5, de fabricação da própria Samsung). A conectividade e processador são as únicas diferenças entre as duas versões, e as demais especificações são as mesmas.
Samsung Galaxy S4 já está com a venda autorizada no Brasil (Foto: Allan Mello/TechTudo))
Entre os maiores destaques do Galaxy S4, podemos citar a tela de cinco polegadas com resolução Full HD (1080 p) protegida por um resistente painel de vidro frontal Gorilla Glass 3, 2 GB de RAM, espaço para cartões Micro SD de até 64 GB, tecnologia de carregamento sem fio e uma câmera de 13 megapixels. O modelo global do S4 tem opções de 16, 32 e 64 GB de memória interna, mas ainda não existem informações sobre quais dessas opções estarão disponíveis para o mercado brasileiro.
Galaxy S4 é o novo smartphone poderoso com Android (Foto: Divulgação)
Além das novidades no hardware, o aparelho virá embarcado com Android 4.1 Jellybean e com novidades exclusivas de software como o Smart Pause, que pausa automaticamente vídeos se você tirar os olhos da tela, e o Smart Scroll, que passa a tela para cima e para baixo se você estiver olhando para o aparelho e incliná-lo na direção desejada ao mesmo tempo.A Samsung se moveu rápido e apenas quinze dias após seu anúncio o modelo top de linha da empresa já está pronto para as lojas brasileiras, com preços sugeridos de R$ 2.399,00 para a versão 3G+ e R$ 2.499,00 para a versão 4G. O aparelho deve ser lançado no Brasil até o final de Abril.
quarta-feira, 27 de março de 2013
Como saber se o seu Windows é 32 ou 64 bits ?
Muitos aplicativos são desenvolvidos para computadores com arquitetura específica de 32 ou 64 bits, o que causa algumas dúvidas nos usuários na hora de fazer um download. Para isso existem versões de sistemas operacionais de 32 e de 64 bits, pois cada uma se adapta a um tipo de sistema físico específico.
É possível rodar uma versão de sistema operacional de 32 bits em um computador com arquitetura de 64 bits, porém não o contrário (sistema de 64 em PC de 32). Então, se você está em dúvida sobre se a versão do Windows instalada em sua máquina é uma ou outra, o Baixaki ensina agora a resolver este problema. É bem simples e rápido.
Windows XP
Para saber se o Windows que você usa é de 32 ou 64 bits é muito simples e você não precisa clicar em nada. Se a versão usada por você está em português, saiba que ela é de 32 bits, pois não existe versão de 64 bits do XP em nosso idioma.
Contudo, para tirar a prova real você pode clicar com o botão direito do mouse sobre o ícone do Meu Computador e ir a “Propriedades”.
Na nova janela vá até a guia “Geral” e lá verifique na seção “Sistema” se há a indicação de que a versão é de 64 bits. Se não constar nada além das versões do XP (Home Edition Service Pack 3, por exemplo), o que você usa é um Windows XP de 32 bits.
Windows 7 e Vista
O procedimento nos Windows 7 e Vista é exatamente o mesmo, portanto, se você é usuário de um dos dois faça o seguinte: vá ao Menu Iniciar e clique com o botão direito do mouse sobre a opção “Computador”.
Na janela que se abre são encontradas várias informações. Na seção “Sistema”, porém, está a que vocêprocura. Na opção “Tipo de sistema” é possível verificar se o seu é de 32 ou 64 bits:
Windows Vista
Windows 7
Feito! Você já sabe qual a versão do seu sistema operacional!
Leia mais em: http://www.tecmundo.com.br/aparelhos-eletronicos/6476-como-saber-se-o-seu-windows-e-32-ou-64-bits-video-.htm#ixzz2OminTVav
Qual a diferença entre IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) ?
Basicamente, IDS (Intrusion Detection System) ou sistema de
detecção de invasão, é uma solução passiva de segurança ao passo que IPS
(Intrusion Prevention System) ou sistema de prevenção de invasão, é uma solução
ativa de segurança.
Em um sistema passivo, O IDS detecta uma potencial violação
da segurança, registra a informação (log) e dispara um alerta. Em um sistema
reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou
reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa
suspeitada.
Já o IPS é, definitivamente, o nível seguinte de tecnologia
de segurança com sua capacidade para fornecer segurança em todos os níveis de
sistemas, desde o núcleo do sistema operacional até os pacotes de dados da
rede. Ele provê políticas e regras para o tráfego de rede - juntamente com o
IDS para emitir alertas para administradores de sistemas e redes em caso de
tráfego suspeito.
Como nasce um hacker?
Primeiramente, temos que definir a palavra HACKER, segundo o
"The New Hacker's Dictionary", hacker é um indivíduo que adora
explorar os detalhes de sistemas programáveis e ampliar suas habilidades, em
oposição à maioria dos usuários que prefere aprender apenas o mínimo
necessário, um indivíduo que desenvolve programas com entusiasmo (e até de
forma obsessiva) ou que prefere programar a se preocupar com os aspectos
teóricos da programação. Muitas pessoas consideram os hackers como um indivíduo
malicioso e intruso que tenta obter acesso a informações confidenciais através
de espionagem.
De posse da informação desejada, cada hacker resolveu fazer
o que bem entendia com isso, e hoje podemos classificá-los como:
White Hats (hackers éticos): Gostam apenas de saber e
conhecer mais das coisas, principalmente as fechadas ao público. Elas gastam
boa parte de seu tempo estudando o funcionamento do que as cerca, como
telefonia, internet e protocolos de rede e programação de computadores. No
mundo da segurança de software, os hackers éticos são os responsáveis por
“informar” as grandes empresas de vulnerabilidades existentes em seus produtos,
portanto não o utiliza para prejudicar outras pessoas ou companhias, a menos
que considere que uma empresa faz mau uso do poder.
Black Hats (hackers mal-intencionados): Também são movidos
pela curiosidade. O que os distingue é o que cada um faz com a informação e o
conhecimento. Eles vêem poder na informação e no que eles sabem fazer. São
aqueles hackers que descobrem uma vulnerabilidade em um produto comercial ou
livre e não contam para ninguém até que eles próprios criem meios de obter
dados sigilosos de outras pessoas e empresas explorando a vulnerabilidade
recém-descoberta. Essa espécie de hacker é responsável por gerar a terceira
espécie, os scripts kiddies.
Script kiddies: São os responsáveis pelas invasões em massa
e por fazer barulho na midia quando invadem sites importantes e alteram sua
página inicial colocando frases de protesto ou quando tiram serviços do ar.
Projeto de Pesquisa sobre CRIMES VIRTUAIS
TEMA
No mundo globalizado que vivemos a
rápida e crescente evolução da tecnologia fez com que as distancias em todo o
mundo fossem encurtadas e as relações entre as pessoas passassem a serem feitas
na maior parte das vezes utilizando equipamentos eletrônicos conectados a uma
chamada rede mundial de computadores, “INTERNET”.
Seguindo essa linha de raciocínio, a
informática oferece ambiente fértil e ilimitado para práticas ilícitas contra
os direitos alheios, tipificados como crimes virtuais. A legislação brasileira,
apesar de ser talvez a maior e mais complexa do mundo, carece de normas
jurídicas que reprimam os diversos aspectos do crime virtual, disseminados em
ciberterrorismo, fraudes online, invasão de sistemas, pornografia eletrônica,
pirataria, etc. Segundo a nossa última pesquisa feita, o Brasil tem quase 80
milhões de internautas, porém o nosso Código Penal nem menciona a palavra
“internet”, na nossa legislação não há previsão legal para punir crimes
virtuais; tudo é muito novo e faltam equipamentos, leis que tipifiquem o crime
virtual, mecanismos tecnológicos de rastreamento a nível mundial e acima de
tudo, informação. Os responsáveis pelos crimes virtuais são denominados Hacker
e Cracker, mas existe uma importante diferença entre os dois tipos: Hacker são
pessoas dotadas de amplo conhecimento de programação e utilizam este
conhecimento para o bem, criando ou melhorando sistemas e buscam superar seus
próprios limites. Cracker são pessoas também dotadas de grande conhecimento de
programação, mas utilizam este conhecimento para atividades ilícitas, invadindo
e destruindo sistemas, roubando informações, praticando transações bancárias
fraudulentas, chantageando, extorquindo e toda série de infrações ao direito
alheio.
A grande maioria dos usuários da
internet desconhece procedimentos de segurança, utilizam sistemas operacionais
piratas, não atualizam o antivírus e deixam informações pessoais gravadas no
HD. De posse destas informações, o hacker pode aproveitar-se delas para
adquirir produtos via cartão de crédito, transferência bancária, chantagem e
outras formas ilícitas de extorsão.
PROBLEMA
Combater os crimes virtuais não é
tarefa das mais fáceis quando a polícia tem à mão um Código Penal escrito em
1940. Enviar um e-mail com uma isca, um "phishing" bancário, não é
crime - a menos que a polícia consiga provar que o programa levou alguém a ter
prejuízo financeiro, caracterizando estelionato. Nesse mundo cibernético de
caminhos tortuosos que é a internet, os cibercriminosos no Brasil estão livres
para fabricar todo tipo de armamento e apontá-lo para suas vítimas, mas só
poderão ser punidos depois que a policia consiga comprovar que realmente o
feito foi prejudicial para alguém, ou esperar que alguns crimes, como os que
vêm ocorrendo recentemente com os famosos, caiam em consentimento da população
e da imprensa.
JUSTIFICATIVA
Tendo em vista que cada vez mais os
crimes digitais vêm ocorrendo e assustando a população brasileira e mundial, esse
projeto de pesquisa tem como fundamento alertar a população sobre uma realidade
crescente e que precisa ser discutida e combatida o quanto antes, pois com leis
antigas e pouco voltadas para a área tecnológica, as brechas são imensas,
fazendo com que muitas das vezes, esses hackers passem impunes.
Segundo pesquisa
da empresa Symantec, 80% dos brasileiros acredita que não haverá punição para
um crime cometido pela internet, nem que sua autoria será identificada. O
estudo é indicativo de que o brasileiro não confia nos meios de repressão ao
crime digital e também que potenciais criminosos sentem-se confortáveis para
praticar seus delitos, sob o véu do anonimato e a certeza da impunidade.
OBJETIVOS
Objetivo Geral:
Estudar e identificar quais são os tipos
mais comuns de crimes virtuais e criar leis competentes para o combate efetivo
a esses delitos.
Objetivos específicos:
Com o agravamento de crimes virtuais
impunes, aliado a um Código Penal
que, por datar da década de 1940, não consegue abranger todos os atos que são
praticados nos meios digitais e tidos como lesivos e criminosos pela sociedade,
a câmara federal deu um importante passo aprovando a primeira lei brasileira
voltada especificamente para punir cibercrimes. Até hoje, o país não tem
mecanismos legais para lidar com crimes cometidos nos meios digitais, e a
justiça tem agido baseada em leis de caráter geral.
Essas novas
leis serão contra: falsificação de dados e cartões, colaboração ao inimigo,
racismo e a criação de delegacias especializadas no combate a crimes digitais. Ficaram
de fora os pontos mais polêmicos, como a guarda de logs por três anos por parte
dos provedores de internet, e a possível criminalização do compartilhamento de
arquivos.
Com um
grande passo voltado a área tecnológica, o governo brasileiro esta se adequando
ao novo mundo, identificando e combatendo um crime que não para de crescer e
que muitas pessoas acham que não serão impunes.
REVISÃO DA LITERATURA
Lévy, em sua obra Cyberdémocracie: Essai
de Philosophie Politique, já havia identificado um crescente aumento por parte
das pessoas que utilizavam a internet, e já previa um aumento substancial,
tendo em vista o desenvolvimento de novas tecnologias, interfaces de
comunicação sem fios, e o uso integrado de dispositivos portáteis.
A Internet é uma Rede de computadores,
integrada por outras redes menores, comunicando entre si, os computadores se
comunicam através de um endereço lógico, chamado de endereço IP, onde uma gama
de informações é trocada, surgindo ai o problema, existe uma quantidade enorme
de informações pessoais disponíveis na rede, ficando a disposição de milhares
de pessoas que possuem acesso à internet, e quando não disponíveis pelo próprio
usuário, são procuradas por outros usuários que buscam na rede o cometimento de
crimes, os denominados Crimes Virtuais.
As denominações quanto aos crimes
praticados em ambiente virtual são diversas, não há um consenso sobre a melhor
denominação para os delitos que se relacionam com a tecnologia, crimes de
computação, delitos de informática, abuso de computador, fraude informática, em
fim, os conceitos ainda não abarcam todos os crimes ligados à tecnologia, e,
portanto, deve-se ficar atento quando se conceitua determinado crime, tendo em
vista que existem muitas situações complexas no ambiente virtual.
Segundo Carla Rodrigues Araujo de Castro
em Crimes de informática e seus Aspectos
Processuais (2003), os Crimes digitais podem ser conceituados como sendo às
condutas de acesso não autorizado a sistemas informáticos, ações destrutivas
nesses sistemas, a interceptação de comunicações, modificações de dados,
infrações a direitos de autor, incitação ao ódio e descriminação, escárnio
religioso, difusão de pornografia infantil, terrorismo, entre outros.
METODOLOGIA
Esse projeto compõe-se de uma pesquisa
descritiva, desenvolvida através de raciocínio dedutivo, onde são analisadas e
compreendidas as condições técnicas e organizacionais do tema pesquisado.
Possui uma abordagem caráter investigativo, contexto social e dialético com
relacionamento de dados de outros pesquisadores.
O material documentado, bem como, as
respectivas análises será organizado em relatório de pesquisa componente do
estudo monográfico que se pretende construir.
REFERÊNCIAS
CASTRO,
Carla Rodrigues Araújo de. Crimes de Informática e seus Aspectos
Processuais.
2. ed. Rio de Janeiro: Lumen Juris, 2003, p.9.
CRESPO,
Marcelo Xavier de Freitas. Crimes
digitais. São Paulo: Saraiva, 2011.p.48
EDUCACIONAL.
Vida Inteligente o computador no
dia-a-dia. Disponível em:
<http://www.educacional.com.br/vidainteligente/clickdigital02/e-commerce.asp>.
Acesso em: 25 de agosto de 2012.
http://listas.softwarelivre.org/pipermail/psl-juridico/2004-september/000198.html
Crime virtual Disponível: Acesso em: 25 de agosto de 2012.
LEMOS,
André/LÉVY, Pierre. O futuro da
Internet: em direção a uma ciberdemocracia. São Paulo: Paulus, 2010.p.10
www.portalbrasil.eti.br/reportagem_crime_virtual.htm
PSL-JURIDICO – Os rumos do crime virtual
Disponível: Acesso em: 25 de agosto de 2012.
Comparativo entre o ITIL e o COBIT
Ø ITIL:
·
Vantagens:
§ Maior satisfação do Cliente;
§ Modelo de referência para gerenciamento de
processos de TI mais aceito mundialmente;
§ Diminuição dos custos operacionais;
§ Visão clara da capacidade das áreas vinculadas à
prestação de serviços em TI;
§ Melhor qualidade de serviço (suporte mais
confiável para os negócios);
·
Desvantagens:
Creio que a
maior desvantagem do modelo ITIL, além de ser limitado quanto à segurança e
desenvolvimento de sistemas; Seja o fato de o modelo dizer apenas “O que fazer
e o que não fazer”, ao invés de “como fazer”, pois se houver um erro de
implementação, todo aquele processo terá de ser inviabilizado.
Ø COBIT:
·
Vantagens:
§ Integração da TI aos outros departamentos da
organização;
§ O resultado da auditoria ajuda a área de TI a
identificar o grau atual e a evoluir para melhorar os processos da organização;
§ Tem como foco o requisito do negócio;
§ Bom nível de aceitabilidade entre órgãos
reguladores;
§ Satisfação das exigências do COSO para os controles no ambiente de
TI.
·
Desvantagens:
§ Com o seu foco voltado mais a áreas de nível estratégico e tático,
esse modelo deixa a desejar na parte operacional da empresa.
O que é o PCM?
É
um conjunto de recursos que auxiliam na administração e concepção de projetos,
programas e organizações, usando a metodologia Logical Framework Approach (LFA) ou quadro lógico. Ele parte
do princípio de que é preciso haver a concepção clara e realista para o
projeto, assim como uma boa análise dos componentes que interferem nas várias
dimensões dele, e sua consistência e/ou contribuições para políticas sociais e
comunitárias.
Comparativo entre ROI (Retorno do Investimento) e TCO (Custo Total)
No contexto geral, o ROI (retorno do
investimento) é um cálculo que quantifica os custos e os benefícios esperados
de um projeto específico, em um prazo determinado, em geral três a cinco anos. O
TCO, por sua vez, inclui apenas custos.
Como uma empresa poderia utilizar tecnologia da informação para aumentar os custos de troca e reter seus clientes e fornecedores?
Uma das formas seria a implementação do sistema integrado
CRM, que abrange três grandes áreas:
·
Automatização da gestão de marketing;
·
Automatização da gestão comercial, dos canais
e da força de vendas;
·
Gestão dos serviços ao cliente.
Seu objetivo principal é
auxiliar as organizações a angariar e fidelizar clientes ou potenciais clientes,
fidelizar clientes atuais procurando atingir a sua satisfação total, através do
melhor entendimento de suas necessidades e expectativas. Esses sistemas têm o
histórico de seus clientes e com isso as empresas podem oferecer vantagens pela
sua lealdade, como descontos e milhagem no caso das empresas aéreas.
RESENHA CRÍTICA SOBRE O ARTIGO: Práticas de Segurança para Administradores de Redes Internet
Conforme o próprio artigo se auto intitula, sua
intenção é reunir um conjunto de boas práticas em configuração, administração e
operação segura de redes conectadas à Internet, minimizando assim as chances de
ocorrerem problemas de segurança. A implantação destas pratica minimiza as
chances de ocorrerem problemas de segurança e facilita a administração das
redes e recursos de forma segura.
É importante frisar que este conjunto representa o mínimo
indispensável dentro de um grande universo de boas práticas de segurança, o que
equivale a dizer que a sua adoção e um bom começo, mas não necessariamente e
suficiente em todas as situações.
Para definir esta obra, de leitura recomendada a
todo administrador de rede de computadores, não há palavras melhores do que a
própria descrição dada pela instituição que o mantém:
Este documento procura reunir um conjunto de boas
práticas em configuração, administração e operação segura de redes conectadas à
Internet. A implantação destas práticas minimiza as chances de ocorrerem
problemas de segurança e facilita a administração das redes e recursos de forma
segura.
As recomendações apresentadas são eminentemente
práticas e, tanto quanto possível, independentes de plataforma de software e
hardware. A maioria dos princípios expostos é genérica; a sua efetiva aplicação
requer que um administrador determine como estes princípios podem ser
implementados nas plataformas que ele utiliza.
Este documento é dirigido ao pessoal técnico de
redes conectadas à Internet, especialmente aos administradores de redes,
sistemas e/ou segurança, que são os responsáveis pelo planejamento,
implementação ou operação de redes e sistemas. Também podem se beneficiar da
sua leitura outras pessoas com conhecimento técnico de redes.
Como se lê tal documento não parte do princípio que
o leitor está usando o sistema A ou o sistema B, deixando-o a vontade a ler e
aplicar suas sugestões conforme a necessidade e de acordo com a plataforma a
qual o mesmo usa em seu cotidiano.
Nota-se ainda que embora este trabalho tenha sido
escrito visando a equipe técnica de redes o mesmo ainda poderá ser de grande
serventia para outras pessoas que embora não estejam especificadas deduz-se que
ai estejam incluídos docentes e discentes de cursos técnicos, graduação e
pós-graduação em áreas afins,bem como quaisquer outras pessoas interessadas no
assunto.
Embora o documento não esteja disponível sob uma
licença dita livre, tal como, GNU FDL[2],Creative Commons[3] ou outra. Conforme
o autor registrou no tópico de número 1.3 o arquivo pode ser livremente
copiado, distribuído e utilizado para qualquer fim, desde que não seja
comercializado, nem modificado.
Um checklist do documento também está disponível nos
mesmos formatos de arquivo para leitura online e download, onde se pode ter um
breve resumo sobre cada um dos seus 3 principais capítulos e respectivos
tópicos abordados em cada um deles. Os citados capítulos abordam
respectivamente os temas a seguir:
·
Criação de uma política de segurança
Neste tópico os autores abordam a criação deste
documento tão fundamental e tão pouco cuidado e que ultimamente tem se tornado
rotineiro, ouvir falar sobre, já que as boas práticas recomendadas pelas normas
NBR ISO/IEC 17799, NBR ISO/IEC 27001, ITIL, COBiT entre outras, recomendam
fortemente a necessidade deste tio de documento.
·
Dicas para instalação e configuração
segura de sistemas
Neste capítulo estão informações sobre como o
administrador deveria preparar a instalação de um novo sistema no seu servidor,
estratégias de particionamento, como realizar a documentação da instalação e da
configuração de determinado software, os cuidados com a senha administrativa,
recomendações sobre a instalação mínima seguida da desativação de serviços que
não serão utilizados, instalação de correções e atualizações de segurança e
prevenção de abusos na utilização de recursos como os fornecidos por servidores
SMTP e PROXY.
·
Administração e operação segura de
sistemas
Neste capítulo, que é o maior disponível neste
documento, é abordado desde a a educação dos usuários até recomendações sobre
redes sem fio, passando por LOGs, DNS, WHOIS, criptografia e uma boa gama de
serviços que fazem parte do dia-a-dia do administrador de redes de
computadores.
Embora haja uma seção própria para tratar de questões
relacionadas a disciplina do usuário, esta seção está longe de esgotar o
assunto, ou mesmo de ser útil para um usuário comum de computadores. Para este
fim há uma cartilha própria do CERT.BR disponível em [4] com dicas e sugestões
para pessoas sem muito conhecimento técnico. No citado endereço há inclusive
alguns vídeo tutoriais que podem ser utilizados até mesmo em salas de aula e em
campanhas educativas.
Dentre as seções encontramos aquela destinada à
recomendações sobre servidores de tempo (NTP) e zonas de tempo;importância da
necessidade de se manter um canal eficiente de comunicação entre os membros da
equipe técnica, necessidade de se manter controle sobre alterações na
configuração de um sistema, o cuidado com o uso de contas privilegiadas (tal como
o root no Linux ou o Administrador no Windows), cuidados com os logs de
auditoria, cuidados com a configuração de um servidor DNS, a necessidade de se
manter os dados de contato atualizados, o cuidado com uso de protocolos
não-criptografados, endereços reservados, políticas de backup, a importância de
se manter atualizado e informado, precauções com engenharia social, firewall e
redes wireless.
O artigo é uma obra de simples leitura, facilmente
navegável, permitindo ao leitor realizar uma leitura seqüencial – do seu início
ao fim –, ou mesmo por partes – começando pelo tópico que mais o interessar, no
momento.
O fato de estar sendo distribuído nos formatos HTML
e PDF permitem que um grande número de pessoas possa fazer sua leitura já que
estes formatos são considerados padrão de mercado e de indústria (o primeiro,
pelo W3C[5] (World Wide Web Consortium) e o segundo uma padronização isso sob a
identificação ISO32000-1:2008[6]) e portanto pode ser lido praticamente em
qualquer plataforma atual, desde um robusto PC, Mac até um pequeno telefone
celular ou smartphone.
O conteúdo do material é bem claro e e embora sua
última revisão seja datada em 2003, o seu conteúdo está bem atual, já que o
mesmo não cita ferramentas e suas versões, mas conceitos que devem estar
presentes em qualquer sistema, plataforma ou estrutura que se venha a
gerenciar.
Apesar disso ainda há recomendações que poderiam ser
atualizadas, sendo recomendável certa atenção do leitor com relação a isso. Por
exemplo, no item 4.3.2 (Controle de Alterações na Configuração) os autores
recomendam o uso do RCS[7] ou do CVS[8], que segundo alguns grupos de usuários
e desenvolvedores de projetos FOSS (Free and Open Source Software) são bastante
antigos e limitados. Tanto que muitos deles migraram seus sistemas de version
amento para ferramentas mais modernas tais como o Git[9] usado pelo grupo de
desenvolvedores da linguagem Ruby on Rails[10] e pelo projeto de
desenvolvimento do Kernel Linux[11], o projeto X.org[12] entre inúmeros outros.
O item 4.13 também é outro que precisa de
atualização, já que ele aborda o conceito de redes sem fio e no período de 2003.
Até a presente data o protocolo 802.11 recebeu diversas modificações que o
texto cita vagamente como o protocolo de segurança WPA que é uma evolução do
WEP e por isso mais seguro que aquele primeiro [13, 14 e 15] e em alguns casos
não cita outros recursos, tal com o WPA2[15] que deveria ser utilizado o quanto
antes nas atuais redes desta modalidade, já que a versão WPA teve sua confiabilidade
violada.
A obra ainda conta com uma lista de cerca de vinte
referências de consulta para orientar aqueles que precisarem de maiores
informações, seja sobre o assunto de forma genérica, ou especificamente para
algumas plataformas e sistemas.
Para finalizar há ainda um índice remissivo, em suas
últimas páginas, que agiliza a localização de temas para leituras pontuais,
caso o leitor opte por imprimir todo o material para referência futura e
leitura off-line.
O artigo é de leitura fácil e bastante
esclarecedora, não somente para os iniciantes na área de administração de
redes, mas também para aqueles já experientes e que eventualmente possam
precisar relembrar alguns conceitos básicos de boas práticas.
Para todos os efeitos, esta é uma iniciativa
plausível, mas é notória a necessidade de atualização em alguns tópicos do
texto, visto que a sua última edição em 2003 já pode ser considerada
suficientemente defasado em alguns tópicos, como já comentado. Por ser distribuído
por uma das entidades de maior peso na Internet brasileira algum administrador
desatento poderia segui-lo fielmente sem considerar as necessidades de
atualização, o que poderia causar problemas de insegurança em uma rede
corporativa.
[1] CERT.Br. Cartilha de Segurança para Internet.
Jul. 2007. Disponível em: <http://cartilha.cert.br/>. Acessado em
07/Mar/2013.
[2] CERT.BR. CERT.br – Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurança no Brasil – Missão. Jan. 2008.
Disponível em: <http://www.cert.br/missao.html>. Acessado em 07/Mar/2013.
[3] Free Software Foundation. GNU
Free Documentation License – Version 1.3. Jan. 2009.
Disponível em: <http://www.gnu.org/licenses/fdl.html> Acessado em
07/Mar/2013.
Plano de Contingência e de Recuperação de Desastres
O Plano de Contingência e Continuidade de Negócios (também
chamado de Plano de Resposta a Incidentes, ou Plano de Recuperação de
Desastres) são procedimentos adotados para tratamento dos incidentes de
segurança, com o objetivo de minimizar o risco de inoperância ou paralisação
dos componentes e processos essenciais ao negócio. Um plano de recuperação de desastre é um plano de ação
detalhado, passo a passo, para colocar o negócio novamente no rumo, e
rapidamente, depois de um desastre natural ou provocado pelo homem.
Segundo a norma ISO/IEC/17799 (2001), devem ser
desenvolvidos planos para manter ou restaurar as operações do negócio nas
réguas de tempo exigidas seguintes à interrupção, ou falha, nos processos
críticos do negócio. Cada funcionário deve ser treinado para desempenhar um
papel no plano de recuperação de desastres. Depois dos funcionários, é a vez do
backup e recuperação de dados, especialistas recomendam que sejam feitas cópias
de segurança dos dados em discos rígidos, e que sejam armazenadas ou exportadas
para servidores de terceiros em uma instalação fora do local.
O processo de planejamento da continuidade do negócio
deve considerar o seguinte:
– identificar e acordar todas as responsabilidades e
procedimentos emergenciais;
– documentar os processos e procedimentos acordados;
– implementar procedimentos emergenciais a fim de
propiciar a recuperação e restauração dentro do tempo exigido (com atenção à
avaliação de dependências externas e de contratos vigentes);
– treinar adequadamente a equipe nos processos e
procedimentos emergenciais e no gerenciamento de crise;
– realizar testes e atualização dos planos.
Desta forma, todo o processo de planejamento poderá
focar-se nos objetivos requeridos pelo negócio, bem como nos serviços e
recursos que serão utilizados nesse processo, para que o mesmo se efetive com
sucesso.
O que são normas NBR ISO/IEC 17799; RFC 2196 e ISO/IEC 15408
NORMA NBR ISO/IEC 17799
Descreve os controles de segurança que são requeridos no
ambiente das empresas e disserta que os sistemas de gestão de segurança da
informação devem se focar na gestão de riscos, a fim de atingir os objetivos
de: melhorar a informação empresarial a respeito dos sistemas de tecnologia da
informação a fim de melhorar sua segurança; quantificar e analisar fraquezas
eventuais dos ativos de informação e permitir que a gerência tome decisões
fundamentadas sobre gestão de risco, eventualmente justificando despesas
alocadas a esse fim. Foi revisada em junho de 2005, passando por algumas
modificações estruturais, tais como o incremento de dezessete controles novos
admitidos, um novo capítulo sobre a Gestão de Incidentes de Segurança da
Informação. Ela procura cobrir diversos tópicos referentes à
área de segurança em Tecnologia da Informação e, assim, possui um grande número
de controles e requerimentos os quais, ao serem cumpridos, podem melhorar ou,
de certa forma, garantir a segurança das informações em uma empresa.
NORMA RFC 2196
Descreve políticas e procedimentos de segurança para sites
com sistemas na Internet. Tem o objetivo de ser um guia para desenvolvimento de
políticas de segurança em informática e para os procedimentos de sites que apresentam
sistemas disponíveis na Internet. Apresenta como propósito o de ser uma espécie
de guia prático aos gestores, para tentar fornecer maior segurança a uma grande
variedade de informações e serviços. Os assuntos abordados incluem os conteúdos
de políticas de segurança e sua formação, alguns tópicos técnicos específicos
de segurança de redes, e possíveis atitudes que devem ser tomadas frente a
incidentes de segurança.
NORMA ISO/IEC 15408
Trata-se da segurança dos processos de desenvolvimento,
manutenção e análise de sistemas informatizados e apresenta-se subdividida em
três partes que são: definições e metodologia, requisitos de segurança,
metodologias de avaliação. Ela surgiu visando garantir a segurança do software
e procurando satisfazer os princípios da segurança da informação. Aborda as
definições dos componentes técnicos de segurança os quais visam um processo de
avaliação de sistemas. Esse processo é conhecido como Critérios Comuns e seu
objetivo principal é discutir definições, metodologias e avaliações.
Tipos de riscos em projetos de Sistemas de Informação
Ward (2000) define risco como “o
efeito acumulativo da probabilidade de incerteza que pode afetar positivamente
(oportunidade) ou negativamente (ameaça) o projeto”. Claramente, é demonstrado
que gerenciar riscos de forma criteriosa é fundamental para o sucesso do
projeto.
Existem passos que podem ser
utilizadas para identificar riscos durante a execução de um projeto. São eles:
A REVISÃO DA DOCUMENTAÇÃO (Analise
da documentação existente de projetos similares), as TÉCNICAS DE REUNIÃO DE INFORMAÇÃO (Brainstorming, Delphi,
entrevista a especialistas e SWOT), os CHECKLISTS (elaborados a partir de dados
históricos de projetos similares), a ANÁLISE DAS PREMISSAS (comparar as premissas e levantar os riscos em caso
de divergências), e as TÉCNICAS DE DIAGRAMAÇÃO
(Diagramas de Causa-e-Efeito, Fluxogramas e Diagramas de Influencia). Uma vez
identificados, os riscos podem ser divididos em cinco categorias:
De RISCO TÉCNICO, como detecção de falhas, projeto
de software, propriedades materiais, segurança, dentre outros. Também podem ser
de RISCO DE SUPORTE, como equipamentos,
dados da edificação, embalagem, manuseio e armazenamento, recursos humanos, dados
e interoperabilidade. Já os RISCOS DE CUSTOS
englobam sensibilidade ao risco técnico, sensibilidade ao risco de suporte,
cronograma, erro de estimativa. Os RISCOS
DE CRONOGRAMA podem ter fontes de riscos ligados aos erros de estimativas,
número de caminhos críticos, sensíveis ao risco de suporte e técnico. Por fim,
os riscos relacionados à PROGRAMÁTICA,
onde os riscos estão ligados a disponibilidade de materiais, disponibilidade de
pessoas, greves, Impacto ambiental, mudanças políticas, dentre outras mais.
RESENHA CRÍTICA SOBRE O ARTIGO: Uma Análise dos Mecanismos de Segurança de Redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w*
A finalidade do artigo
é uma análise realizada pelos seus autores para contribuir na identificação das
vulnerabilidades conhecidas dos atuais protocolos de redes sem fio (WEP, WPA e
WPA2) e apresentar um estudo com relação à segurança do novo padrão IEEE
802.11w, ainda em fase de desenvolvimento. São analisados neste artigo também, os
aspectos básicos da segurança com relação à autenticação, integridade e
confidência.
Com relação ao novo
padrão de segurança, segundo o autor, já são possíveis identificar falhas nos
seus mecanismos de segurança. Ainda segundo o autor, o trabalho com o padrão
802.11w está progredindo no que concernem as melhorias significativas de
segurança e proteção nos quadros de gerenciamento (management frames)
oferecidos. Quanto aos padrões WEP e WPA, ele interpreta como uma falha,
aplicar mecanismos de segurança apenas nos quadros de dados (data frames), já
que os ataques do tipo DoS em redes Wi-Fi exploram falhas na proteção dos
quadros de gerenciamento e de controle (control frames).
Mesmo o padrão 802.11w
venha trazer as melhorias na segurança descritas, o texto do autor cita quatro
possíveis vulnerabilidades que ainda existem.
Inicialmente nesse artigo, vem ressaltar a
importância para o leitor de possuir uma segurança em redes sem fio, citando
motivos pelos quais as WLANs necessitam de mecanismos de segurança mais
eficientes.
Através da apresentação das principais
características de cada protocolo, o texto descreve a evolução em ordem
cronológica dos mecanismos de segurança que protegem redes WLAN da família
802.11. Como proposto no artigo, esta evolução nos mecanismos de segurança deve
ser avaliada seguindo-se os princípios de confidencialidade, autenticação e
integridade, advogando para tanto, que o desenvolvimento de um padrão de
segurança deve primar por estes três aspectos. Com isso, apresentam-se as
principais vulnerabilidades dos padrões de segurança analisados pelo artigo,
considerando para tanto, a análise descrita pelo autor, para cada uma delas.
Com relação ao padrão WEP, segundo o autor, as
principais vulnerabilidades estão relacionadas ao tamanho e ao reuso da chave
estática do protocolo. O que, dependendo do tráfego, produzirá na rede
repetições dos IVs (IV – Initialization Vector) e das chaves usadas pelo
algoritmo de criptografia RC4. Este fato, por sua vez, torna a chave vulnerável
a uma técnica de ataque conhecida como ”Ataque do Aniversário”.
Outras vulnerabilidades apontadas pelo artigo, como
a ausência de um protocolo para gerenciamento de chaves, passagens de IVs em
claro e negação de serviço tornam o padrão WEP vulnerável a um grande número de
técnicas de ataque.
Destaca-se a maneira como o autor trata o padrão
WPA, pelo fato do mesmo considerá-lo um upgrade do WEP, feito às pressas pela equipe
802.11, a fim de sanar as graves falhas de segurança de seu antecessor. Isso
pode ser considerado verdade, pois de acordo com (OZORIO, 08), a atualização do
WEP para WPA é feita através da atualização do firmware dos mesmos dispositivos
Wi-Fi.
O artigo ressalta a evolução do WPA e constata que
este possui melhores mecanismos de autenticação, privacidade e controle de
integridade em relação ao WEP. Entretanto, apesar do WPA ter resolvido
praticamente todas as vulnerabilidades apresentadas pelo protocolo WEP, segundo
o autor, falhas em sua implementação o tornaram vulnerável.
É bom salientarmos que o WPA corrigiu vários erros
do WEP, porém seu desempenho teve uma queda significativa em termos de
estabilidade. Segundo (OZORIO,07) isto fez surgir o WPA2 como sendo a promessa
da solução definitiva em segurança e estabilidade para as redes sem-fio do
padrão Wi-Fi.
Segundo o autor, os principais avanços do WPA2 em
relação ao WPA são os novos algoritmos de criptografia e de integridade. Ele
esclarece ainda, que enquanto o WPA utiliza o TKIP com o RC4, o WPA2 utiliza o
AES em conjunto com o TKIP com chave de 256 bits, que é um método de
criptografia muito mais poderoso e também mais pesado, forçando assim, a
implantação de co-processadores criptográficos via hardware.
Com relação à segurança contra a vulnerabilidade do
WPA2, o artigo cita que a negação de serviço continua sendo a maior falha dos
mecanismos de segurança existentes até agora, pois não protegem os quadros de
gerenciamento nem os de controle.
Segundo o autor, o novo padrão 802.11w muda um pouco
essa história, pois tem por objetivo implantar melhorarias na segurança das
redes IEEE 802.11 através da proteção dos quadros de gerenciamento, impedindo
dessa forma, a realização de ataques do tipo DoS. Além disso, as novas
funcionalidades dos quadros de gerenciamento praticadas pelos novos padrões
802.11x, tornam evidente a necessidade de proteção destes quadros.
No intuito de pesquisar e analisar as falhas ou
vulnerabilidades do novo padrão, o autor cita quatro falhas na segurança do
protocolo 802.11w. Uma delas está na ausência de segurança nos quadros de
controle, expondo a rede a uma variedade de ataques DoS que exploram, o que o
autor chama de técnicas de controle do acesso ao meio de comunicação.
O artigo em questão cumpriu o objetivo proposto ao
apresentar as vulnerabilidades dos atuais padrões de segurança em redes sem
fio. Os autores focaram o estudo nos aspectos básicos da segurança da
informação: autenticação, integridade e confidência.
O autor presume que o protocolo ainda em
desenvolvimento, já apresenta diversas falhas de segurança que precisam ser
resolvidas antes da finalização do padrão. Provavelmente nunca existirá uma
tecnologia 100% segura, principalmente em se tratando de redes sem fio, onde o
tráfego de dados na camada física ocorre totalmente desprotegido.
[1] LINHARES, André
Guedes. GONÇALVES, Paulo André, Uma Análise dos Mecanismos de Segurança de
Redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w. Disponível em:
<http://www.unibratec.com.br/jornadac...io/UFPEAGL.pdf.
>
Acessado em 07/Mar/2013.
[2] MACIEL et al.
Influência dos mecanismos de segurança no tráfego das redes sem fio 802.11b.
2003. Disponível em: <http://www.ppgia.pucpr.br/~maziero/s.../wseg03/06.pdf
>Acessado em 07/Mar/2013.
[3] IEEE Standard 802.11w™-2009 Local and metropolitan area networks -
Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer Amendment
4: Protected Management FramesSponsor: LAN/MAN Standards Committee - of the
IEEE Computer Society Approved 11 September 2009 - IEEE SA-Standards Board.
Assinar:
Postagens (Atom)