download

SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (tambémconhecido como Denial of Service – DoS) em sistemas computadorizados, na qual oatacante envia uma seqüência de requisições SYN para um sistema-alvo e, ao atingirem umalvo, deixam o sistema indisponível os usuários legítimos.Na maioria das vezes, realizam o Syn Flood enviando grande número de conexões que nãosão completadas, somente para aumentar o uso dos recursos aos equipamentos alvos. Umexemplo, é o envio de Smurfs, que causam interrupção nos serviços.A condição propícia para este tipo de ataque está no mau desenvolvimento de aplicações,sistemas operacionais e protocolos, que fornecem brechas de segurança que podem serexploradas. Citamos como exemplo, os servidores Unix e Linu, que ao receberem um grandenúmero de conexões sem conseguir responder, seu processo sobe para o total de 1500,causando uma parada no servidor. Do Windows, podemos citar o caso do mapeamento deDLL, que ao ser acessado, pode referenciar outra DLL, com o mesmo nome, podendoexercer atividade diferente. Syn Flood: é o envio de conexões (Syn) em quantidade capaz de fazer com que o servidor não consiga responder. A pilha da memória sofre overflow, desprezando as requisições legítimas dos usuários. Pode ser evitado com a comparação com oCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 51

número de conexões novas e em aberto, alertando quando o valor padrão for ultrapassado.Outra vulnerabilidade é o controle dos pacotes que trafegam pela rede e sua seqüência, quedevem estar no padrão esperado. Para evitar este ataque deve-se aumentar a fila deconexões e diminuindo o time-out handshake. Esta opção não elimina, mas minimiza oproblema.FÓRUM IIPolíticas De SegurançaCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 52

U 6NIDADECONTINUAÇÃOObjetivo: Conhecer o universo de estudo, Conceituação de Segurança e Ameças.Fragmentação de pacotes: é preciso entender porque o protocolo IP permite a fragmentaçãode pacotes. Se o tamanho do pacote > MTU do meio, então ocorre fragmentação.É possível sobrescrever cabeçalhos durante a remontagem dos pacotes a fim de driblar asregras de filtragem do firewall.Existe a capacidade máxima de cada tipo de meio físico de tráfego de dados, denominadaMaximun Transfer Unit ou MTU. A rede Ethernet limita a transferência a 1500 octetos e aFDDI a 4770 octetos, por exemplo.Como existem informações maiores que este tamanho, o endereço IP especifica que épermitido fragmentar em pacotes as mensagens com tamanho maior que o MTU, afim deque as mesmas atinjam o destino. Neste caso, o pacote é fragmentado de um tamanho quepossa trafegar pela rede, após negociação entre os hosts, de forma que no host destino sejaremontado.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 53

Existem alguns problemas neste processo:  . O primeiro é que o pacote pode alterar a porta de conexão no meio da transmissão, facilitando o acesso a sistemas que não são permitidos ao usuário.  . O segundo é que se o reagrupamento de pacotes for maior do que o permitido ocorre o chamado buffer overflow – causando indisponibilidade e travamento no sistema, um DoS. No fim de 1996, ocorreu o Ping O´Death que nada mais foi do que a exploração desta vulnerabilidade. Era enviado ping de tamanho grande, que gerava o travamento de sistemas. O problema é resolvido através de patch, que corrigiram o que fazer quando acontece overflow no kernel.  . O terceiro é que por ser processado no host, é complicado saber se é um ataque ou não, para um Firewall ou sistema de detecção de intrusão, por melhor configurado que seja.  . O quarto é que os filtros de pacotes não podem restringir a fragmentação. Usar NAT não resolve estes problemas, pois o mesmo encontra-se vulnerável a este ataque.Teardrop é uma ferramenta que explora a fragmentação de pacotes IP, auxiliando osadministradores para a defesa de ataque por fragmentação de pacotes.  Smurf e fraggle: Smurf é uma técnica que gera tráfego na rede através de broadcast de ping (ICMPecho) na rede, a partir de um IP falsificado (IP Spoofing). Desta forma, a rede tenta responder à requisição e não consegue, afetando o seu desempenho. O fraggle seria a mesma técnica, porém utilizando o UDP echo.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 54

Ataque Smurf e fraggle (http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf)Para resolver este problema, o administrador deve configurar os roteadores a não permitirembroadcast, não permitindo desta forma o uso de ping na rede.Outra forma de minimizar problemas com Smurf é o egress filtering. O método consiste emsomente aceitar requisições de ping da rede corporativa, evitando que endereçosCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 55

desconhecidos trafeguem pela rede. A filtragem se torna fundamental, especialmente paraataques coordenados.5.3.4. Ataques ativos contra o TCPUma conexão TCP é definida por quatro informações básicas:  Endereço de IP do cliente.  Porta de TCP do cliente.  Endereço de IP do servidor.  Porta de TCP do servidor.Todo byte enviado é identificado por uma seqüência de 32 bits, diferente em cada conexão ede forma seqüencial, que é reconhecida pelo receptor da mensagem.Aproveitando a desincronicidade do protocolo TCP, que não garante que a seqüência serpreservada após estabelecida a conexão, dois hosts começam a trocar informações, então,um terceiro host (do hacker) coloca a seqüência certa em seus pacotes, interferindo no meioda comunicação, enviando pacotes válido, ocasionando o ataque chamado man-in-the-middle. O problema deste ataque é a quantidade de TCP ACK, pois ao receber um ACKinvalido a seqüência é enviada a outro host sucessivamente, até que alguém o negue.Existem dois métodos que auxiliam na desincronização de conexões: early desyncronization(interrompe conexão e forma outra internamente com nova seqüência) e null datadesyncronization (envio de grande quantidade de dados para o servidor e clientes, de formaque os mesmos não percebam).Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 56

5.3.5. Ataques coordenados ou DDoSModalidade de ataque onde existem vários hosts que são coordenados por um hacker paraatacar determinado site ou servidor. É muito eficiente, pois normalmente a vítima não temcomo minimizar a situação, por não saber identificar a origem do ataque.Ataque DdoS (http://www.las.ic.unicamp.br/edmar/Palestras/UFV/Seguranca_Vulnerabilidades.pdf)Os primeiros ataques DDoS utilizavam quatro níveis hierárquicos. O hacker coordenadiversos servidores master. Através das vulnerabilidades de sistemas conhecidas nestesservidores, através de scannings, é instalado daemons – programas que irão atacar asvítimas. Este tipo de ataque utiliza alta tecnologia, inclusive de criptografia entre servidoresmaster e daemons. A instalação de daemons é realizada de modo dinâmico e sãoimplementadas diversas formas de se esconder as evidencias do ataque.Como exemplo de ferramentas utilizadas para ataques DDoS, podemos citar:  Trinoo: é um ataque DDoS para o protocolo UDP. Ele utiliza um reduzido número de servidor máster e grande número de daemons, instruídos para atacar certos IP’s. O trinoo não utiliza IP Spoofing e o tráfego com os servidores masters requerem senhas. Em 1999, este tipo de ataque tornou indisponível o site da Universidade de Missota. Porém, este tipo de ataque possui assinatura que pode ser colocada no IDS para suaCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 57

detecção, além de outros pontos falhos que podem ser diagnosticados, mas existe aumento de complexidade de gerenciamento. TFN: é um ataque DDoS para o protocolo TCP e implementa o IP Spoofing, TCP SYN Flooding e ICMP . O processo é acionado quando o hacker dá especificação aos masters para iniciar o ataque através dos daemons. Neste tipo de ataque, as origens e os pacotes podem ser alterados de forma aleatória. Existe assinatura que ajudam sua detecção na rede para IDS.5.3.6. Ataque no nível de aplicaçãoExploram as brechas de seguranças dos protocolos, servidores e aplicativos, no nível deaplicação. Tipos mais comuns:  Buffer Overflow.  Ataque através de gateways da rede.  Vulnerabilidades no protocolo FTP e SNMP.  Vírus.  Trojans.  Worms. Buffer Overflow: é um ataque onde o hacker envia mais dados do que o tamanho do buffer, preenchendo o espaço da pilha, com intuito de que os dados sejam perdidos devido a falha na camada de aplicação, sendo possível a execução de comandos que podem dar permissão, até mesmo de administradores do sistema, reescrevendo o código na pilha do sistema. É um dos ataques mais utilizados por hackers.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 58

Frames no cache da pilha (www.inf.ufrgs.br)Um exemplo prático que pode acontecer é um hacker enviar uma string na URL comtamanho superior ao manipulável. Se a aplicação não estiver tratando esta situação, épossível acontecer pane no sistema, ajudando a acontecer um ataque buffer overflow. Poreste ataque ser característico de cada aplicação sua prevenção é muito complicada – emgeral, está resumida à correção em aplicativos. A maior parte destas correções são geradasa partir dos incidentes ocorridos, de forma reativa. É o famoso desenvolvimento voltado àvenda e não a segurança, conforme expomos nesta disciplina.Há uma técnica que pode auxiliar neste processo, que na realidade vem localizar de formaaleatória o buffer overflow, não permitindo que o hacker venha a gravar as informações damaneira que lhe é interessante (seqüencialmente) e com conhecimento de sua localizaçãona pilha. Um produto que oferece este recurso é o Secured da Memco.  Ataques a gateways da rede: é um ataque que se aproveita das vulnerabilidades de bugs em servidores, navegadores de Internet, Common Gateway Interface (CGI) e Active Server Pages (ASP).Ataques mais comuns:  Web defacement: alteração em conteúdo das paginas por hackers, chamadas “pixações” de sites.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 59

 Poison null: possibilita a visualização do conteúdo dos diretórios, muitas vezes permitindo a alteração e consulta através de servidores Web, utilizando o mascaramento dos comandos de checagem de segurança CGI (null byte – pacote de dados não detectados pelo scriptCGI).  Upload Bombing: ataque direcionado a sites com upload, cuja finalidade é enviar arquivos que preencham o disco rígido da vítima, já que não é realizada a checagem de espaço em disco disponível.  Web Spoofing ou Hyper Spoofing: são as famosas páginas falsas que muitas vezes são sugeridas por links em e-mails. Neste ataque, as pessoas pensam estar numa página legitima de uma organização, quando, na verdade, está fornecendo seus dados pessoais a um hacker.Como dica de segurança é sempre melhor a pessoa escrever a URL no browser, e não clicarem links – caso clicar, verificar se a página que está aparecendo é a que realmente elapensa estar. Desabilitar o Javascript é bom, pois os scripts podem alterar características dapágina, porém muitos sites perderão funcionalidades.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 60

Conectividadehttp://www.linorg.cirp.usp.br/Guias_Conectiva/Guias_V.10.0/servidor/pt_BR/ch14.htmlCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 61

U 7NIDADECONTINUAÇÃOObjetivo: Conhecer o universo de estudo, Conceituação de Segurança e Ameças.Problemas com protocolo SNMP: o Simple Network Management Protocol (SNMP) forneceinformações, como sistema, tabelas de rotas, tabela ARP (Address Resolution Protocol),conexões UDP e TCP, entre outras informações para gerenciamento de rede.Funcionamento do SMTPO problema deste protocolo é que existem muitas vulnerabilidades de segurança,principalmente quanto à facilidade de obter informações do sistema, motivo que é altamenterecomendável este tipo de sistema estar devidamente protegido.O SNMP não possui mecanismo de travamento de senhas após x tentativas, possibilitando ahackers utilizar programas de senhas para conseguir acesso, sem ser percebido. É tambémum ponto de falha para softwares de segurança, como o TCP Wrapper. No entanto, o SNMPé um protocolo útil para o gerenciamento e na maioria das organizações são utilizados.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 62

Para minimizar os efeitos das vulnerabilidades, são adotados alguns procedimentos:  Habilitação somente de daemons e serviços específicos do SNMP, pois quanto maior o número de serviços e daemons disponíveis, maior a probabilidade de ataques – isto é valido não só para este protocolo, mas para qualquer tipo servidor e serviço.  Os nomes da comunidade devem ser manipulados como senhas, adotando políticas de senhas, para que hackers não consigam prever as mesmas e acessar informações secretas.  Permitir que somente hosts específicos consiga obter informações SNMP, com usuários específicos, como o administrador. Vírus e Worm: os vírus de computador são programas altamente sofisticados e desenvolvidos em linguagens específicas de programação para infectar e alterar sistemas. Normalmente eles possuem tamanhos reduzidos e são projetados por programadores extremamente hábeis, visando afetar de forma adversa o seu computador. Portanto, não os subestime. Os worms se diferem dos vírus somente por se espalharem rapidamente, sem interação dos usuários. A prevenção é a melhor vacina para se evitar a contaminação de computadores por qualquer tipo de vírus. Uma das posturas preventivas a ser adotada é estar sempre alerta com documentos ou arquivos que são transmitidos pela Internet. Manter sempre cópias de segurança dos arquivos mais importantes éoutro procedimento recomendável em qualquer situação, pois pode ser o último recurso parasalvaguardar informações. Não existe computador, principalmente que esteja conectado àInternet, imune aos vírus.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 63

Centenas de novos vírus são detectados mensalmente. Portanto, é importante atualizar oprograma de antivírus periodicamente, aumentando as chances de estar protegido dos vírusjá conhecidos. Porém, quanto aos vírus recém criados, existe o perigo de ser atacado semter vacina disponível, mesmo com antivírus atualizado.Salienta-se que sua segurança perfeita está no seu hábito de prevenção. Os poucos minutosperdidos por dia podem valer horas, dias ou até meses de trabalho. Trojans ou Trojan Horses: trojans são programas que são furtivamente instalados no computador sem o conhecimento do usuário. Geralmente, o usuário instala o programa no computador, sem saber, enquanto pensa estar instalando outro software que deseja. Com a disseminação da Internet, os trojans começaram a vir como anexos em e-mails, ao abrir o anexo automaticamente o usuário instala o programa em seu computador. Já existem trojans mais sofisticados que podem ser instalados sem ação do usuário, através de scripts empáginas web, aproveitando-se, principalmente das propriedades do ActiveX (em ambienteMicrosoft).A origem do nome vem da mitologia grega, mais precisamente da odisséia de Ulisses, quepara vingar-se dos Troianos, com quem já batalhavam por dez anos e resgatar sua amadaHelena que por eles havia sido raptada, mandou construir um gigantesco cavalo de madeirapara presentear os troianos. No interior do cavalo, soldados gregos entraram em Tróia eassaltaram a cidade. O elemento surpresa foi fundamental para o sucesso grego. Aliás, estahistória deu origem à expressão “presente de grego”.Similarmente, os trojans se alojam no micro do incauto usuário que pensa estar acessandoalgo de seu interesse. Os trojans são programas que podem ter ações das mais variadas,Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 64

dependendo apenas do código escrito pelo seu autor. Muitos podem danificar o sistema,apagar arquivos e causar outros danos maiores.Um tipo de trojan muito utilizado pelos crackers é o Backdor Trojan ou RemoteAccess Trojan(RAT’s). Este tipo de trojan executa ações que preparam o computador da vítima para serinvadido remotamente, através de programas que permitem uma conexão no sistema domicro onde se instalam que passa a funcionar como servidor do micro invasor que executa oprograma cliente. Eles também podem conter programas keystroke-logging, para capturarsenhas e outras informações confidenciais.Os mais famosos trojans são:  Back Orifice, NetBus (RAT);  K2pS (RAT+Keystroke-logging);  Portscan, Xitame: Busca portas abertas no micro.O motivo para o surgimento de tantos trojans é a facilidade e rapidez de sua criação,principalmente se comparado aos vírus, e não exigirem tanto conhecimento técnico paradesenvolvê-los. A grande maioria é desenvolvida em linguagens de alto nível, como VisualBasic ou Delphi. Além disto, os trojans podem ser utilizados para objetivos mais concretos,como espionagem industrial.Os trojans não ficam circulando pela Internet, o que dificulta sua captura para análise ecriação de vacinas pelas empresas especializadas. Outro fator que torna os trojans maisperigosos é que um vírus pode ser detectado pelas alterações que causa no sistema,enquanto um trojan pode estar em atividade no computador sem que o usuário sequerperceba. Por esta razão não bastam os antivírus para se proteger dos trojans. É necessáriotambém que se utilize programas anti-trojans, programas de detecção de intrusão, analisadorde conteúdos, analisador de vulnerabilidades, programas que chequem as chaves deinicialização do sistema verificando os programas que iniciam automaticamente, aplicar asCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 65

correções de falhas de sistema fornecidas pelos fabricantes (Patchs) e, sobretudo, ter umaconduta adequada, não abrindo anexos de e-mail antes de analisá-los, não utilizarprogramas piratas ou baixados de redes p2p como KaZaa, ou iMesh.  War Dialing: ferramenta utilizada para verificar as informações dos números dos modens na rede, que em tese não devem existir na rede, pois aumenta as probabilidades de ataque, pois o tráfego não passa pelo Firewall.É útil para a auditoria e nas mãos de hackers podem causar sérios problemas para aorganização, pois eles identificarão as maiores vulnerabilidades da rede.5.3.7. SPAMNão é propriamente um ataque, mas é algo que acarreta o aumento de tráfego na rede edeve ser prevenido por todos. É uma forma de muitas vezes, usuários acessarem páginasfalsas, entre outros problemas.O termo SPAM, longe do mundo virtual, é, na verdade, amarca de um presunto enlatado americano(http://www.spam.com/), que não tem relação com o envioCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 66

de mensagens eletrônicas não solicitadas, exceto pelo fato de que, na série de filmes decomédia do Monty Python, alguns Vikings desajeitados pediam repetidas vezes o referidopresunto.No ambiente da Internet, SPAM é considerado um abuso e se refere ao envio de um grandevolume de mensagens não solicitadas, ou seja, o envio de mensagens indiscriminadamentea vários usuários, sem que estes tenham requisitado tal informação. O conteúdo do SPAMpode ser propaganda de produtos e serviços, pedido de doações para obras assistenciais,correntes da sorte, propostas de ganho de dinheiro fácil, boatos desacreditando o serviçoprestado por determinada empresa, dentre outros.Com certa freqüência, os e-mails de SPAM são chamados de junk e-mails, ou seja, lixo.Seguindo com a terminologia, quem envia SPAM é chamado de spammer.O modo mais formal de se referir a SPAM é UBE, Unsolicited Bulk E-mail. Pode-se tambémusar o termo UCE, Unsolicited Comercial E-mail, quando se trata de SPAM contendopropaganda de modo geral.Tipos mais comuns de SPAM, considerando conteúdo e propósito:  Boatos e correntes.  Propagandas.  Outras ameaças e brincadeiras.Boatos e correntes: tanto boatos como correntes na Internet pedem para serem enviados atodas as pessoas que você conhece. Tais e-mails se apresentam com diversos tipos deconteúdo, sendo na maioria das vezes histórias falsas ou antigas. Para atingir seus objetivosde propagação, os boatos e correntes apelam para diversos métodos de engenharia social.Ainda dentre os boatos mais comuns na rede, pode-se citar aqueles que tratam de códigomalicioso, como vírus ou cavalos de tróia. Neste caso, a mensagem sempre fala de vírusCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 67

poderosíssimos, capazes de destruir seu computador e assim por diante. Um dos maisfamosos é o GoodTimes, que circulou pela rede durante anos e, de vez em quando, aindaaparece um remanescente enviado por internautas desavisados. Para maiores informaçõessobre boatos e vírus, consulte o site Computer Virus Myths no site http://www.vmyths.com/. Propagandas: com o intuito de divulgar produtos, serviços, novos sites, enfim, propaganda em geral, os SPAMs têm ganhado cada vez mais espaço nas caixas postais dos internautas. O objetivo não é discutir a legitimidade da propaganda por e- mail, mas sim discutir SPAM, e muitas empresas têm usado este recurso para atingir os consumidores. Isto sem contar a propaganda política que inundou as caixas postais no último ano. Ressalta-se que, seguindo o próprio conceito de SPAM, se recebemos um e-mail que não solicitamos, estamos sendo vítimas de SPAM, mesmo que seja um e-mail que nos interessa. O maior problema com a propaganda por SPAM é que a Internet se mostra como um meio fértil para divulgação de produtos atinge um grande número de pessoas e a baixo custo, sendo que na verdade, quem paga a conta é quem recebe a propaganda, como discutido anteriormente. Outras ameaças, brincadeiras, etc.: alguns SPAMs são enviados com o intuito de fazer ameaças, brincadeiras de mau gosto ou apenas por diversão, como casos de ex-namorados difamando ex-namoradas, e-mails forjados assumindo identidade alheia e aqueles que dizem: \"olá, estou testando uma nova ferramenta spammer e por isto você está recebendo este e-mail\", constituem alguns exemplos. Não há legislação específica para casos de SPAM. No entanto, podem-se enquadrar certos casos nas leis vigentes no atual Código Penal Brasileiro, como calúnia e difamação, falsidade ideológica, estelionato, etc. Alguns artifícios usados pelos spammers: são muitos os artifícios usados pelos spammers para convencê-lo de ter recebido um e-mail válido e não um SPAM.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 68

O One-time e-mail são aqueles que dizem que serão enviados somente uma vez e que vocênão precisa se preocupar, pois não será importunado novamente. Trata-se de SPAM e ébem provável que você receba outras cópias do mesmo tipo de e-mail.\"Caso não tenha interesse em continuar recebendo este tipo de mensagem, por favor,solicite sua retirada de nossa lista de distribuição, enviando e-mail para remove-me-from-list@...\". Esta é outra categoria de disfarces usada em SPAM são as que pedem para seremremovidos ou ignorados, caso não sejam de seu interesse. Neste caso, antes de removê-lo,reclame. Simplesmente deletar e não reclamar, ignorando o SPAM pode torná-lo conivente,pois o spammer continuará atuando tranqüilamente.\"Você se cadastrou em nosso site e, portanto, está recebendo esta mensagem. Caso queirasair de nossa lista de divulgação...\". Uma variação do tipo remove-me. Alguns SPAMs seutilizam dos recursos válidos de cadastro on-line de determinados sites para dar legitimidadeao e-mail. Novamente, não responda e reclame.Não se deve ignorar o recebimento de SPAM, pois encoraja cada vez mais este tipo deprática, devendo reclamar. Em se tratando do usuário final, recomenda-se contactar oadministrador de sua rede, notificando o SPAM, enviando o e-mail recebido com o headercompleto. Caso o usuário final decida reclamar ele próprio, então deve seguir as orientaçõesa seguir.Com relação ao administrador de rede, é responsabilidade deste reclamar dos SPAMsrecebidos pelos usuários, assim como tomar providências em caso de uso de seu servidor dee-mail como replay ou ainda, em casos de SPAMs enviados por usuários de sua rede.Para reclamar de um SPAM recebido, deve-se: Enviar a notificação ao administrador ou contato técnico da rede origem do SPAM, nunca diretamente ao spammer. Deve ser enviada também para abuse@dominio_spammer e para os grupos de segurança responsáveis pelas redes vítima e spammer.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 69

 Anexar à reclamação, o header completo do e-mail de SPAM, peça principal a ser investigada num SPAM, analise-o cuidadosamente, identificando a rede origem e eventuais servidores usados como replay. Esta é a parte mais complicada, pois o header de SPAM não é confiável e pode ter sido forjado em vários níveis.Algumas dicas sobre análise de header:  Desconfie dos campos FROM e TO, pois podem conter usuários inválidos, domínios inválidos ou \"spoofados\", isto é, os domínios usados no FROM e no TO podem ser inexistentes, ou ainda não serem, de fato, a origem do SPAM. Este recurso é usado para confundir e distrair a atenção do administrador ao tentar identificar a origem do SPAM, ou em outros casos para difamar o domínio \"spoofado\".  Examine todos os números IP e domínios que aparecem no header, tente resolvê-los pelo DNS.  Estude, detalhadamente. Se conhecer a sintaxe dos headers gerados, maiores serão as chances de sucesso no processo de análise de headers de SPAM.  Cuidado com ferramentas de análise automática de headers, pois podem gerar resultados falsos e originar reclamações incoerentes.  Anexar à reclamação, o conteúdo da mensagem de SPAM, somente se incluir informações relevantes para uma eventual investigação.  Em caso de uso de relay, deve-se copiar a reclamação para o administrador ou contato técnico pela rede que hospeda o servidor usado como relay, para abuse@domínio_relay e para o grupo de segurança responsável pela rede em questão.  Opcionalmente, pode-se encaminhar a reclamação com cópia para o MAPS através do e-mail [email protected], incluindo, no corpo da mensagem, a diretiva:Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 70

Relay:<IP-do-servidor-com-relay>, este procedimento é um tipo de denúncia automática.Se o administrador receber denúncias de SPAM partindo de sua rede, as recomenda-se:  Identificar o usuário que enviou o SPAM.  Advertir ou punir o usuário spammer de acordo com as AUPs.  Responder ao reclamante.Caso a notificação seja de uso do servidor de e-mail como relay, o administrador deve tomaras providências para corrigir o problema o mais rápido possível, sob pena de ser coniventecom o envio de SPAM, enquanto não solucionar a questão e responder aos reclamantes. Nocaso de notificação recebida da ORBs, é necessário ainda solicitar a remoção do número IPdo servidor da base mantida pela entidade.Atualmente os Servidores da UFSCarNet instalados na Secretaria Geral de Informática,trabalham com filtragem de e-mail para barramento de vírus, e uma lista de controle de\"spammers\" conhecidos. Sua ajuda é valiosa no combate a esta prática, na qual solicitam acolaboração de todos. Para colaborar, basta enviar o e-mail SPAM de modo completo (comtodos os cabeçalhos, ou como um anexo na mensagem) para os endereços citados e para ocontrole, como [email protected] ou [email protected] © 2007, ESAB – Escola Superior Aberta do Brasil 71

U 8NIDADECONTINUAÇÃOObjetivo: Conhecer o universo de estudo, Conceituação de Segurança e Ameças.5.4. DMZ - Demilitaryzed ZoneÉ uma área de serviços da empresa que não é protegida, como por exemplo, serviçosexternos de correio eletrônico e vários outros servidores www, ou seja, são servidorespúblicos é uma estratégia utilizada para enganar e detectar intrusos. Serve também paratentar detectar invasões onde alguns equipamentos são posicionados propositalmente semproteção, ou seja, atrás do Firewall, esses equipamentos são isolados da rede interna emonitoram tentativas de ataques.A DMZ se posiciona como uma sub-rede entre a rede local e a Internet, conhecida comozona desmilitarizada, onde não é permitido o tráfego direto entre a rede local e a internet.Ambas podem apenas acessar a sub-rede, normalmente através de um bastion host entreesta e a rede privada.Existe um filtro de pacotes entre a Internet e a sub-rede, e outro entre esta e a rede privada.O primeiro tem como função impedir o tráfego direto entre a rede privada e a Internet. Já osegundo tem por objetivo proteger a rede privada em caso de comprometimento do bastionhost. Isto pode ser feito limitando o acesso deste à rede local.O conceito de zona desmilitarizada também pode ser obtido através de Firewalls de terceirageração que agregam a capacidade de filtrar pacotes e proxies específicos numa única caixaou equipamento. Tais elementos podem tanto ser implementados puramente em software ouatravés de roteadores comerciais.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 72

Atualmente é comum o desenho de topologias de rede no modelo Internet/DMZ/RedeInterna. Afinal de contas, é um modelo simples e de baixo custo de implementação. Empoucos dias a empresa desloca todos os servidores que precisam ser acessados porusuários na Internet para a rede DMZ, normalmente implementada através de uma terceiraplaca no Firewall, e com isso corta todo o acesso direto da Internet para sua rede interna.Os mais cuidadosos implementam servidores de relaySMTP e até mesmo um Proxyhttp paraevitar o acesso direto das estações à Internet também. Se forem consultados, osespecialistas em segurança provavelmente dirão que é uma rede segura.Um desenho como este dificulta a invasão da rede interna através de um ataque aosservidores da DMZ. Se o Firewall for bem configurado e esses servidores foremconstantemente atualizados, a possibilidade de invasão por este caminho torna-se realmentemuito pequena.Exemplo de arquitetura de rede desmilitarazidaCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 73

U 9NIDADEPLANO DE CONTINGÊNCIAObjetivo: instruir como adotar uma política de segurança e contingência que venha a ajudaras empresa em situações catastróficas ou de incidentes de segurança.6. POLÍTICA DE SEGURANÇA E DE CONTINGÊNCIAConhecemos nossos atacantes e como nos atacam. Mas, como posso preparar aorganização para não deixar que os hackers a invadam? E se formos atacados, comoproceder?Preocupação mundial, e no Brasil temos normas que prevêem este tipo de incidentes. Arealidade é que não existe se formos atacados, mas quando.6.1. Plano de Contingência: o que fazer quando os riscos se concretizam?É necessário retornar no tempo para melhor entender o destaque que atualmente em nossasociedade se faz à segurança da informação e conseqüentemente a se ter um Plano deContingência.Desde o início da civilização humana há uma preocupação com as informações e com osconhecimentos agregados a elas. Visto que, ao longo da História, a vitória ficou nas mãos dequem estava na vanguarda do conhecimento. Hoje, vivemos na Era da Informação, umaépoca onde a comunicação e troca de experiência ganham seu lugar e passam a ser odiferencial nos negócios. Fontes de riquezas deixam de ser físicas e a informação passa sermais do que uma base do negócio e sim, em muitos casos, o próprio negócio.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 74

Com a chegada dos primeiros computadores, com o surgimento das máquinas de tempocompartilhado, até chegar aos dias atuais, onde a economia encontra-se interligada porredes eletrônicas em tempo real, a questão de segurança das informações torna-se cada vezmais importante e crucial.Independente do porte ou setor de atividade de uma empresa, sua estratégia de operaçãovisará ter vantagens competitivas. Para tanto, deve agregar cada vez mais valor aos seusprodutos e/ou serviços. Neste cenário globalizado, a informação, em conjunto com os meiose formas de comunicá-las produtivamente, revela-se uma arma poderosa de gestãoempresarial. Contudo, esta maior comunicação gera visibilidade, o que também podesignificar vulnerabilidade. Sendo assim, garantir a segurança da informação torna-se umdiferencial estratégico, proporcionando vantagem competitiva e até mesmo a sobrevivênciade uma empresa.É desnecessário dizer a importância de uma área de TI para as empresas, tornando paraseus gestores uma obrigação o reconhecimento e o gerenciamento de riscos através deações preventivas e pró-ativas, pois, por melhor que seja um sistema, nenhum é imune defalhas. E é por isso que as empresas devem estar preparadas caso algo venha a acontece.A adoção de um Plano de contingência é uma forma de amenizar os riscos em TI, ou atémesmo de reduzi-los a um nível mínimo. Quando se fala em Plano de Contingência, muitomais do que pensar em pura e simplesmente em tecnologia, se fala em definir prioridades eregras de negócio. Deve-se pensar além, focar no sucesso dos negócios da empresa.Podemos então definir Plano de Contingência em TI como sendo um plano elaborado,escrito, divulgado, testado, mantido atualizado que objetiva manter o negócio contínuo,mesmo que haja situações de risco, ou um sinistro que afete áreas/equipamentos/serviçosde TI.O Plano deve ser bem mais do que um documento formal que defina diretrizes e normas emrelação a procedimentos a serem seguidos (por toda a empresa sem exceções) quando dasituação de risco. Deve agregar segurança física e lógica aos dados e ao capital intelectualda empresa.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 75

6.2. Importância do Plano de ContingênciaCom o aumento crescente e a ampla utilização de tecnologias informatizadas nos ambientesorganizacionais, sejam quanto a formas para armazenamento de dados, sistemasoperacionais, ERP’s, comércio eletrônico, Intranet e Internet, sistemas interligados em redeslocais e mundiais, expomos a organização a uma série de vulnerabilidades, como:  Falta de energia por mais tempo do preventivo.  Sabotagem.  Fraudes eletrônicas.  Espionagem.  Vandalismo.  Danos com o servidor central ou pontos.  Vírus.  Invasores (hackers).  Tráfego de dados interrompidos.  Problemas com fornecedores de software, hardware e serviços.  Imprevisibilidade e catástrofes.Um plano de contingência trata de manter uma estrutura para solucionar os problemas, quenão foram detectados e ou resolvidos nos sistemas de segurança e preventivos da empresa.É quase inevitável, que em algum momento, um destes fatos, ou outras forças, danifiquemos dados da empresa, podendo ocasionar desde pequenas paradas, até uma perda total dedados e serviços, e conseqüentemente custos para restabelecê-los e prejuízos nos casos deCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 76

sistemas com relação direta ao negócio da empresa. É de extrema relevância um plano decontingência, que aponte os pontos críticos do processo da empresa, permitindo uma rápidasolução do problema, garantindo a continuidade, de uma forma imperceptível aos usuários eclientes, minimizando os impactos negativos, em custos e prejuízos. Deve garantir aoperacionalidade do processo, em todos os níveis, contando com profissionais que façam osreparos no menor tempo possível.Dependendo da área de atuação da empresa, o plano de contingência também pode ter aabrangência, prevendo possíveis alterações fiscais e legais e quebras de fornecimento porcausas diversas, tais como greves, etc. Com um plano de contingência, bem definido,revisado e testado regularmente, a empresa pode e deve renegociar com as companhias deseguro um melhor custo, pois esta estaria se prevenindo contra estes problemas.6.2.1. Segurança FísicaAmeaças sempre presentes, nem sempre lembradas: incêndios, desabamentos, relâmpagos,alagamentos, problemas na rede elétrica, acesso indevido de pessoas no CPD, treinamentoinadequado de funcionários, e etc.Medidas de proteção física, como serviço de guarda, uso de no-breaks, alarmes efechaduras, circuito interno de televisão e sistemas de escuta, são realmente uma parte dasegurança de dados. As medidas de proteção física são freqüentemente citadas como“segurança computacional”, visto que têm um importante papel na prevenção dos problemascitados no parágrafo anterior.O ponto-chave é que as técnicas de proteção de dados, por mais sofisticadas que seja, nãotêm serventia nenhuma se a segurança física não for garantida. Por mais seguro que seuambiente seja, ele não estará 100% seguro se a pessoa que deseja invadir seu sistema tiveracesso físico ao mesmo.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 77

6.2.2. Segurança LógicaVárias ameaças lógicas aos computadores foram criadas por pessoas inescrupulosasdenominadas crackers, script kidies e lamers, a diferença está no nível de conhecimento decada um. Os crackers são os que têm o maior nível de conhecimento, portanto são os maisperigosos, sabem desenvolver vírus, cavalos de tróia e worms, além de dominar técnicasavançadas de invasão de sistemas e engenharia reversa. Script kidies são aspirantes acrackers, sabem fazer basicamente scripts maliciosos e invasões a sistemas desprotegidos.Os lamers são apenas uns idiotas com um mínimo de conhecimento para invadir sistemascom cavalos de Tróia e outras “ferramentas”, uma das principais armas dos lamers ésimplesmente a “habilidade” de convencer iniciantes a executarem cavalos de Tróia.Um recurso muito utilizado para se proteger dos “bisbilhoteiros” da Internet é a utilização deum programa de criptografia que embaralha o conteúdo da mensagem de modo que ela setorna incompreensível para aqueles que não sejam o receptor ou emissor da mesma.A Segurança Lógica requer um estudo maior, pois envolve investimento em softwares desegurança ou elaboração dos mesmos. Tão importante quanto à segurança física, ou seja, ocontrole de acesso, nesse caso menos é mais, se um empregado não precisa de acesso aoarquivo X o mesmo não pode ter acesso a ele, aumentando assim a segurança dos dados.Segurança do WAPhttp://www.cic.unb.br/docentes/rezende/trabs/wap.pdfCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 78

U 10NIDADECONTINUAÇÃOObjetivo: Conhecer o universo de Riscos e Planejamento6.3. Especificação do Plano de Contingência Para iniciar a lista de riscos (na fase de iniciação):Reúna a equipe do projeto (que, nesta etapa, deverá ser bem pequena; se ela tiver mais decinco ou sete integrantes, limite o processo de avaliação de riscos aos líderes de atividade).Quando identificamos riscos, consideramos 'o que pode dar errado'. É claro que, em termosgerais, tudo pode dar errado. A questão é não atribuir uma visão pessimista ao projeto. Noentanto, queremos identificar possíveis barreiras ao seu êxito, para que possamos reduzi-lasou eliminá-las. Para obter mais informações, consulte Diretrizes: Lista de Riscos. Maisespecificamente, estamos procurando os eventos que podem diminuir a probabilidade deliberarmos o projeto com as características corretas, com o nível de qualidade exigido, noprazo estabelecido e dentro do orçamento.Usando técnicas de brainstorming, peça a cada membro para identificar um risco do projeto.Perguntas de esclarecimento são permitidas, mas os riscos não deverão ser avaliados nemcomentados pelo grupo. Pergunte a todos no grupo até identificar o número máximo deriscos. Envolva todas as partes no processo e não se preocupe muito com a forma ourepetições; você poderá limpar a lista posteriormente. Use grupos de pessoas homogêneos(clientes, usuários, equipe técnica e assim por diante). Isso facilita o processo de coleta deriscos; os indivíduos ficam menos inibidos na frente de seus pares (em especialidade ehierarquia) do que em um grupo maior heterogêneo.Deixe claro aos participantes que apontar um risco não é o mesmo que se oferecer pararesolvê-lo. Se as pessoas acharem que apontar um risco resultará na responsabilidade pelaCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 79

sua resolução, elas não identificarão nenhum risco (ou os riscos que apontarem serãotriviais).Para dar o estímulo inicial, comece pelas listas de riscos genéricas, como Assessment andControl of Software Risks de Capers Jones [JON94] ou Taxonomy-Based Risk Identificationestabelecida pelo Instituto de Engenharia de Software [CAR93]. Circule a lista de riscos: vero que já foi identificado costuma ajudar as pessoas a apontar mais riscos. Para atualizar a lista de riscos (em fases posteriores): você pode solicitar informações conforme identificado anteriormente. No entanto, com base no exemplo da lista existente, novos riscos costumam ser identificados pelos membros da equipe e capturados na Avaliação de Status regular do projeto. Consulte Atividade: Avaliar Iteração.Identificar Estratégias de Contingência: tem como finalidade desenvolver planos alternativos.Para cada risco, independentemente de você ter ou não um plano para diminuí-loativamente, decida quais ações deverão ser executadas em determinado momento ou se orisco se materializar, ou seja, se ele se tornar um problema, um 'sinistro' no termo deseguros, chamado de \"plano 'B'\" ou plano de contingência. Necessário quando houve falhasna prevenção e na transferência de riscos, a diminuição de riscos não obteve o êxitoesperado e agora é necessário enfrentar o risco. Esse costuma ser o caso de riscosindiretos, ou seja, os riscos sobre os quais o projeto não tem controle, ou quando asestratégias de diminuição são caras demais para serem implementadas.O plano de contingência deverá considerar:Risco Indicador AçãoQual é o risco? Como você saberá que o O que deverá ser feito para risco se concretizou? Como resolver o 'sinistro' (como você o 'sinistro' será poderá conter o prejuízo?) reconhecido? Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 80

Identificar Indicadores de Risco: é possível monitorar alguns riscos com o uso de métricas doprojeto e a observação de tendências e limites; por exemplo:  Retrabalho restante excessivo.  Quebra restante excessiva.  Gastos reais muito acima do planejado.É possível monitorar alguns riscos com base nos requisitos do projeto e resultados de testes,como por exemplo, tempos de resposta uma ordem de grandeza acima do exigido.Alguns riscos estão associados a eventos específicos:a) Componente de software não liberado no prazo por um terceiro: existem muitos outros indicadores \"mais flexíveis\", nenhum dos quais diagnosticará totalmente o problema. Por exemplo, há sempre um risco de o ânimo diminuir (na verdade, em determinadas etapas do projeto, isso é quase (previsível). Existem diversos indicadores, como reclamações, \"humor negro\", prazos não cumpridos, qualidade precária e assim por diante. Nenhuma dessas \"medidas\" é um indicador preciso; as brincadeiras sobre a futilidade de um produto liberado específico podem ser uma forma saudável de aliviar o stress. No entanto, se elas persistirem, podem indicar que a equipe tem uma sensação cada vez maior de fracasso iminente.Fique atento a todos os indicadores sem julgá-los. É fácil rotular o portador de 'más notícias'como alguém que apresenta uma atitude incorreta; por trás do cinismo, há geralmente umfundo de verdade. Em geral, o 'portador de más notícias' está atuando como a 'consciênciado projeto'. A maioria das pessoas deseja o êxito do projeto e fica frustrada quando o ânimoestá levando o projeto na outra direção.b) Identificar Ações contra \"Perdas\" ou o \"Plano B\": em casos simples, o plano de contingência enumera soluções alternativas. O impacto costuma ser custos e atrasos para se desfazer da solução atual e implementar a nova solução.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 81

No caso de outros riscos \"mais flexíveis\", não costuma existir apenas uma ação a serexecutada quando há uma perda, mas várias. Quando o ânimo diminui, por exemplo, émelhor reconhecer a condição e unir-se como um grupo para discutir as atitudespredominantes do projeto. Ouça as questões, identifique problemas e, em geral, deixe aspessoas extravasarem. No entanto, após determinado período de extravasamento, comece aabordar as causas de interesse. Use a lista de riscos como uma forma de focar a discussão.Transforme as questões em um plano de ação concreto, redefinindo a prioridade de riscos ereformulando os planos de iteração para resolver os principais riscos de forma sistemática.Ações positivas têm um efeito mais intenso do que palavras positivas (mas vazias).Apesar do ânimo no momento, a ocorrência de perda tem um lado positivo: ela força umaação. Muitas vezes, o grupo poderá adiar riscos facilmente ignorando-os, levado àcomplacência pela calmaria aparente. Quando perdas ocorrem, é preciso agir, pois o riscodeixa de ser um risco e não há mais nenhuma dúvida sobre a sua ocorrência. Porém, umaocorrência de perda também é uma falha para evitar ou diminuir riscos. Deverá forçar umareavaliação da lista de riscos para determinar se a equipe do projeto pode ter algumasdeficiências sistemáticas. Tão difícil quanto a auto-avaliação sincera, poderá evitar outrosproblemas posteriormente.Reavaliar Riscos Durante a Iteração: tem como finalidade assegurar que a lista de riscosse mantenha atualizada ao longo do projeto.A avaliação de riscos é, na verdade, um processo contínuo, e não um processo que ocorreapenas em intervalos específicos durante o projeto. No mínimo, você deverá:  Reavaliar a lista semanalmente para verificar as mudanças.  Permitir que todo o projeto visualize os dez itens mais importantes e insistir que sejam tomadas providências sobre eles. Em geral, é possível anexar a lista de riscos atual aos relatórios de Avaliação de Status.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 82

Reavaliar Riscos no Final da Iteração: tem como finalidade assegurar que a lista de riscosse mantenha atualizada ao longo do projeto.No final de uma iteração, restabeleça o foco nas metas da iteração com relação à lista deriscos:  Elimine os riscos que foram diminuídos ao máximo.  Apresente novos riscos descobertos recentemente.  Reavalie a magnitude da lista de riscos e reorganize-a.Não se preocupe muito se descobrir que a lista de riscos cresce durante as fases deiniciação e elaboração. À medida que desenvolve o trabalho, os membros do projetopercebem que algo considerado trivial na verdade contém riscos. No início da integração,você poderá encontrar dificuldades que estavam ocultas. No entanto, os riscos deverãodiminuir uniformemente à medida que o projeto chega ao fim da elaboração e durante aconstrução. Caso contrário, talvez você não esteja administrando os riscos apropriadamenteou o seu sistema seja muito complexo ou impossível de ser construído de forma sistemáticae previsível. Para obter mais informações, consulte Diretrizes: Lista de Riscos.Antes de dar continuidades aos seus estudos é fundamental que você acesse suaSALA DE AULA e faça a Atividade 1 no “link” ATIVIDADES.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 83

U 11NIDADENBR ISO/IEC DE SEGURANÇAObjetivo: Conhecer as normas e órgãos normatizadores.6.3.1. NBR ISO/IEC 17799É a versão internacional da BS7799, homologada pela International StandartizationOrganization em dezembro de 2000, e a versão brasileira da norma ISO, homologada pelaABNT em setembro de 2001. ISO (International Standartization Organization) trata-se deuma organização internacional formada por um conselho e comitês com membros oriundosda maioria dos países. Seu objetivo é criar normas e padrões universalmente aceitos sobrecomo realizar as mais diversas atividades comerciais, industriais, científicas e tecnológicas.IEC (International Engineering Consortium) é uma organização voltada para o aprimoramentoda indústria da informação. Uma associação entre as duas instituições produz normas epadronizações internacionais.Informações que são protegidas com a implantação da norma NBR ISO IEC 17799:  Dados armazenados nos computadores.  Informações transmitidas por meio de redes.  Conversações telefônicas.  Informações impressas ou escritas no papel.  Informações enviadas por fax.  Dados armazenados em fitas, discos ou microfilmes.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 84

 Introdução: os gerentes de segurança vem há muito tempo esperando por alguém que produza um conjunto razoável de padrões de segurança de informações reconhecido globalmente. Muitos acreditam que um código de prática ajudaria a suportar os esforços dos gerentes de TI. E, também influenciariam decisões, aumentariam a cooperação entre os vários departamentos em nome do interesse comum pela segurança e ajudaria a tornar a segurança, uma das prioridades organizacionais. Desde o seu lançamento pela Organização de Padrões Internacionais (International Standards Organization) em dezembro de 2000, o ISO 17799 se tornou o padrão de segurança mais reconhecido em todo o mundo. É definido como \"um abrangente conjunto de controles formado pelas melhores práticas em segurança de informações\". As origens do ISO 17799: por mais de 100 anos, o British Standards Institute (BSi) e o International Organization for Standardization (ISO) vêm fornecendo referências globais para padrões operacionais, de fabricação e de desempenho, mas não tinham ainda proposto era um padrão para a segurança de informações.Em 1995, o BSi lançou seu primeiro padrão de segurança, BS 7799, criado com a intençãode abranger assuntos de segurança relacionados ao comercio eletrônico, ou e-commerce.Nesse mesmo ano, problemas como o Y2K e EMU tornaram-se precedentes sobre todos osoutros assuntos. Para piorar, o BS 7799 foi considerado inflexível e não foi adotadoCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 85

globalmente. O momento não era correto e questões de segurança não despertavam grandeinteresse naquele tempo. Quatro anos mais tarde, maio de 1999, o BSi tentou novamente,lançando a segunda versão do BS 7799, uma enorme revisão da versão anterior. Essaedição continha vários aperfeiçoamentos e melhoras desde a versão de 1995. Foi nessaépoca que o ISO identificou a oportunidade e começou a trabalhar na revisão do BS 7799.Em dezembro de 2000, o ISO adotou e publicou a primeira parte do BS 7799 como seupróprio padrão, chamando-o ISO 17799. Nessa mesma época, de um modo formal decredenciamento e certificação de compatibilidade com os padrões foram adotadas. O Y2K,EMU e outras questões foram concluídas ou reduzidas no ano 2000, e a qualidade geral dopadrão melhorou dramaticamente. A adoção do BS 7799 Parte 1 (o critério padrão) pelo ISOfoi mais aceitável por um eleitorado internacional, e foi nessa época que um conjunto depadrões de segurança finalmente recebeu reconhecimento global.  Uma estrutura de recomendações: O padrão ISO 17799 elimina a segunda parte do BS 7799, que abrange implementação.O ISO 17799 é uma compilação de recomendações para melhores práticas de segurança,que podem ser aplicadas por empresas, independentemente do seu porte ou setor. Foicriado com a intenção de ser um padrão flexível, não guiando seus usuários a seguir umasolução de segurança específica ao invés de outra.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 86

As recomendações do ISO 17799 continuam neutras com relação à tecnologia e nãofornecem nenhuma ajuda na avaliação ou entendimento de medidas de segurança jáexistentes. Por exemplo, discute a necessidade de Firewalls, mas não aprofunda nos tiposde Firewalls e como devem ser usadas. Isso leva alguns opositores a dizer que o ISO 17799é muito vago e pouco estruturado para ter seu valor realmente reconhecido.A flexibilidade e imprecisão do ISO 17799 são intencionais, pois é muito difícil criar umpadrão que funcione para todos os variados ambientes de TI, e que seja capaz de crescercom a mutante paisagem tecnológica atual. Ele simplesmente fornece um conjunto deregras, em uma indústria onde elas não existiam.  Dez áreas de controle do ISO 17799: 1. Política de Segurança: necessário para determinar as expectativas para segurança, o que fornece direção e suporte ao gerenciamento. Deve também ser usada como uma base para revisões e avaliações regulares.Tem como objetivo é prover à direção uma orientação e apoio para a segurança dainformação. Convém que a direção estabeleça uma política clara e demonstre apoio ecomprometimento com a segurança da informação através da emissão e manutenção deuma política de segurança da informação para toda a organização.O documento da política deve ser aprovado pela direção, publicado e comunicado, de formaadequada, para todos os funcionários. Convém que este expresse as preocupações dadireção e estabeleça as linhas-mestras para gestão da segurança da informação. No mínimo,convém que as seguintes orientações sejam incluídas: a) Definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação. b) Declaração de comprometimento da alta direção, apoiando as metas e princípios da segurança da informação.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 87

c) Breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para organização, por exemplo:  Conformidade com a legislação e cláusulas contratuais.  Requisitos na educação de segurança.  Prevenção e detecção de vírus e software maliciosos.  Gestão da continuidade do negócio.  Conseqüências das violações na política de segurança da informação. d) Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança. e) Referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhado de sistemas de informação específicos ou regras de segurança que convém que os usuários sigam.A política deve ser comunicada através de toda a organização para os usuários na forma queseja relevante, acessível e compreensível para o leitor em foco.2. Organização da Segurança: sugere que uma estrutura de gerenciamento seja determinada dentro da empresa, explicando quais os grupos são responsáveis por certas áreas de segurança e um processo para o gerenciamento de respostas a incidentes.Empresas de todos os setores dependem de regulamentações e padrões definidos porassociações como a Associação Médica Americana (American Medical Association – AMA)ou o Instituto de Engenheiros Elétricos e Eletrônicos (Institute of Electrical and ElectronicsEngineers – IEEE). As mesmas idéias valem para a segurança da informação. Muitasconsultorias e fabricantes da área de segurança concordam com o modelo de segurançapadrão conhecido, como CIA ou Confidentiality, Integrity, and Availability (Confidencialidade,Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 88

Integridade e Disponibilidade). Esse modelo de três pilares é um componente geralmenteaceito para avaliar riscos às informações delicadas e para estabelecer uma política desegurança: a) Confidencialidade: informações delicadas devem estar disponíveis apenas para um conjunto pré-definido de indivíduos. A transmissão ou o uso não autorizado de informações devem ser restritos. Citamos como exemplo, a confidencialidade da informação garante que as informações pessoais ou financeiras de um cliente não sejam obtidas por um indivíduo não autorizado para propósitos maldosos como roubo de identidade ou fraude de crédito. b) Integridade: as informações não devem ser alteradas de modo a torná-las incompletas ou incorretas. Usuários não autorizados devem ter restrições para modificar ou destruir informações delicadas. c) Disponibilidade: as informações devem estar acessíveis a usuários autorizados sempre que precisarem. A disponibilidade é a garantia de que aquela informação pode ser obtida com uma freqüência e periodicidade pré-definidas. Isto é freqüentemente medido em termos de porcentagens e definido formalmente nos Acordos de Nível de Serviço (Service Level Agreements – SLAs) usados por provedores de serviços de rede e seus clientes corporativos.Tem como objetivo orientar à necessidade da criação de uma estrutura de gerenciamentopara iniciar e controlar a implementação de segurança da informação dentro da organização.Incentiva a criação de fóruns apropriados de gerenciamento com liderança da direção sejamestabelecidos para aprovar a política de segurança da informação, atribuir as funções ecoordenar a implementação da segurança através da organização. Se necessário, érecomendado a criação de uma fonte especializada em segurança da informação sejaestabelecida e disponibilizada dentro da organização.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 89

São recomendados contatos com especialistas de segurança externos, para se manteratualizado com as tendências do mercado, monitorar normas e métodos de avaliação, alémde fornecer o principal apoio, durante os incidentes de segurança.Convêm que um enfoque multidisciplinar na segurança da informação seja incentivado, taiscomo o envolvimento, cooperação e colaboração de gestores, usuários, administradores,projetistas de aplicações, auditores, equipes de segurança e especialistas em áreas comoseguras e gerenciamento de risco.Tópicos mais importantes desta norma:  Gestão do fórum de segurança da informação.  Coordenação da segurança da informação.  Atribuição das responsabilidades em segurança da informação.  Processo de autorização para as instalações de processamento da informação.  Consultoria especializada em segurança da informação.  Cooperação entre organizações.  Análise crítica independente de segurança da informação.  Segurança no acesso de prestadores de serviços.  Terceirização.Classificação e Controle do Patrimônio: exige um inventário do patrimônio de informações daempresa e, com esse conhecimento, garante que o nível de proteção apropriado sejaaplicado.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 90

3. Tem como objetivo manter a proteção adequada dos ativos da organização. Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável. O inventário dos ativos ajuda a assegurar que a proteção está sendo mantida de forma adequada. Convém que os proprietários dos principais ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles.A responsabilidade pela implementação dos controles pode ser delegada, mas aresponsabilidade pela prestação de contas é recomendada que fique com o proprietárionomeado do ativo.  Ativos de informação: base de dados e arquivos, documentação de sistema, manuais de usuários, material de treinamento, procedimentos de suporte, planos de continuidade, procedimentos de recuperação, informações armazenadas.  Ativos de software, aplicativos, sistemas, ferramentas de desenvolvimento e utilitários.  Ativos físicos.  Serviços: computação e serviços de comunicação, iluminação, eletricidade. 4. Segurança dos Funcionários: indica a necessidade de educar e informar os funcionários atuais ou potenciais sobre a expectativa da empresa para com eles, com relação a assuntos confidenciais e de segurança, e como sua função na segurança se enquadra na operação geral da empresa. Tenha um plano de relatórios de incidentes.Tem como objetivo reduzir os riscos de erro humano, roubo, fraude ou uso indevido dasinstalações. É recomendada que responsabilidades de segurança sejam atribuídas na fasede recrutamento, incluídas em contratos e monitoradas durante a vigência de cada contratode trabalho.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 91

Os candidatos potenciais devem ser devidamente analisados, especialmente para trabalhossensíveis, que todos os funcionários e prestadores de serviço, usuários das instalações deprocessamento da informação, assinem um acordo de sigilo.Este acordo deve constar:  Segurança nas responsabilidades do trabalho.  Seleção e política de pessoal.  Acordos de confidencialidade.  Termos e condições de trabalho.  Treinamento do usuário.  Educação e treinamento em segurança da informação.  Respondendo aos incidentes de segurança e ao mau funcionamento.  Notificação dos incidentes de segurança.  Processo disciplinar. 5. Segurança Física e Ambiental: aborda a necessidade de proteger áreas seguras, equipamentos de segurança e controles gerais.Tem como objetivo prevenir acesso não autorizado, dano e interferência às informaçõesfísicas da organização.É recomendável que os recursos e instalações de processamento de informações críticas ousensíveis do negócio sejam mantidos em áreas seguras, protegidas por um perímetro dasegurança definido, com barreiras de segurança apropriadas e controles de acesso. Convémque estas áreas sejam fisicamente protegidas de acesso não autorizado, dano ouinterferência.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 92

U 12NIDADEÁREAS DE CONTROLE DO ISO 17799Objetivo: Conhecer as áreas de controle do ISSO 17799.6. Gerenciamento de Operações e Comunicações: tem como objetivos: Garantir instalações para a operação correta e segura do processamento de informações. Minimizar o risco de falhas dos sistemas. Proteger a integridade do software e/ou das informações. Manter a integridade e disponibilidade do processamento de informações e comunicações. Garantir a proteção das informações em redes e da infra-estrutura de suporte. Evitar danos ao patrimônio e interrupções nas atividades da empresa. Prevenir perdas, modificações ou uso inadequado das informações trocadas entre empresas.Tem como objetivo garantir a operação segura e correta dos recursos de processamento dainformação. Convém que os procedimentos e responsabilidades pela gestão e operação detodos os recursos de processamento das informações sejam definidos. Isto abrange odesenvolvimento de procedimentos operacionais apropriados e de respostas a incidentes.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 93

 Procedimentos operacionais recomendados: Documentação dos procedimentos de operação. Controle de mudanças operacionais. Procedimentos para o gerenciamento de incidentes. Segregação de funções. Separação dos ambientes de desenvolvimento e produção. Gestão de recursos terceirizados.Verifica-se a existência do planejamento e aceitação dos sistemas onde, as preparaçõesprévias são requisitos para garantir a disponibilidade adequada da capacidade e recursos. Asprojeções da demanda de recursos e da carga de máquina futura devem ser feitas parareduzir o risco de sobrecarga dos sistemas.Alguns itens sobre o planejamento:  Planejamento da Capacidade.  Aceitação dos Sistemas.  Proteção contra o software malicioso.  Housekeeping.  Cópias de Segurança.  Registro de operação.  Registro de falhas.  Gerenciamento de Rede.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 94

 Controle da Rede. Gerenciamento de mídias removíveis.7. Controle de Acesso: identifica a importância da monitoração e controle do acesso a recursos da rede e de aplicativos, para proteger contra abusos internos e intrusões externas.8. Manutenção e Desenvolvimento de Sistemas: reforça os esforços de TI, tudo deve ser implementado e mantido com a segurança em mente, usando os controles de segurança em todas as etapas do processo.Tem como objetivo garantir a segurança seja parte integrante dos sistemas de informação.Isto incluirá infra-estrutura, aplicações do negócio e aplicações desenvolvidas pelo usuário. Oprojeto e a implementação dos processos do negócio que dão suporte às aplicações e aosserviços podem ser cruciais para segurança.Os requisitos de segurança devem ser identificados e acordados antes do desenvolvimentodos sistemas de informação. Convém que todos os requisitos de segurança, incluindo anecessidade de acordos de contingências, sejam identificados na fase de levantamento derequisitos de um projeto e justificados, acordados e documentados como parte do estudo decaso de um negócio para um sistema de informação. 9. Gerenciamento da Continuidade dos Negócios: recomenda que as empresas se preparem com maneiras de neutralizar as interrupções às atividades comerciais, e protejam os processos comerciais cruciais, no evento de uma falha ou desastre.Tem como objetivo não permitir a interrupção das atividades do negócio e proteger osprocessos críticos contra efeitos de falhas ou desastres significativos.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 95

O processo de gestão da continuidade deve ser implementado para reduzir, para um nívelaceitável, a interrupção causada por desastres ou falhas da segurança, através decombinações de ações de prevenção e recuperação.É importante que as conseqüências de desastres, falhas de segurança e perda de serviçossejam analisadas, recomenda-se que os planos de contingência sejam desenvolvidos eimplementados para garantir que os processos do negócio possam ser recuperados dentroda requerida escala de tempo. É importante que tais planos sejam mantidos e testados deforma a se tornarem parte integrante de todos os outros processos gerenciais.A gestão da continuidade do negócio deve incluir controles para a identificação e redução deriscos, a limitação das conseqüências dos danos do incidente e a garantia da recuperaçãotempestiva das operações vitais.Tópicos importantes dentro da continuidade do negócio:  Processo de gestão da continuidade do negócio.  Análise do Impacto.  Documentando e Implementando planos de continuidade.  Estrutura do plano.  Testes, manutenção dos planos de continuidade.10.Compatibilidade: instrui as empresas a observar como a sua compatibilidade com o ISO 17799 se integra ou não com outros requisitos legais como o European Unions Directive on Privacy (Diretivas da União Européia sobre Privacidade), Health Insurance Portability and Accountability Act (Decreto de Responsabilidade e Portabilidade de Seguro de Saúde, HIPAA) e o Gramm-Leach-Bliley Act (GLBA). Essa seção exige também uma revisão da política de segurança e compatibilidade técnica,Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 96

além de considerações a serem feitas com relação ao sistema do processo de auditoria, para garantir que cada empresa se beneficie o máximo possível. Instrui as empresas a observar como a sua compatibilidade com o ISO 17799 se integra ou não com outros requisitos legais como o European Union's Directive on Privacy (Diretivas da União Européia sobre Privacidade), Health Insurance Portability andAccountability Act (Decreto de Responsabilidade e Portabilidade de Seguro de Saúde,HIPAA) e o Gramm-Leach-Bliley Act (GLBA).Benefícios do ISO 17799:Com o certificado ISO 17799 uma empresa pode fazer mais negócios do que aquelas semcertificação. Se um cliente em potencial estiver escolhendo entre dois serviços diferentes, e asegurança for uma preocupação, eles geralmente selecionarão a opção certificada. Alémdisso, uma empresa certificada oferecerá:  Segurança corporativa aprimorada.  Planejamento e Gerenciamento de segurança mais efetivo.  Parcerias e e-commerce mais seguros.  Confiança aprimorada do cliente.  Auditorias de segurança mais seguras e precisas.  Redução de responsabilidades legais.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 97

Status do ISO 17799:O ISO está atualmente revisando o 17799 para torná-lo mais aceitável pelo seu públicoglobal. Determinou o primeiro padrão e suas recomendações principais e idéias serãocriadas e expandidas de acordo com as necessidades futuras. Até então o ISO 17799 é opadrão a ser seguido.Se a sua empresa não possui um programa de proteção de informações, o ISO 1779 podefornecer as diretrizes para a criação de um. Mesmo que você não queira se tornar certificado,o ISO 17799 pode servir como um guia para a criação da postura de segurança da suaempresa. Você pode pensar nesse padrão como uma boa diretriz de segurança a ser usadapela sua empresa. Porém, você poderá descobrir que os benefícios da certificação podemser muito abrangentes.6.4. Avaliação e Riscos de um Plano de ContingênciaRiscos inerentes às atividades da empresa devem ser identificados, avaliados e gerenciadosde modo a evitar a ocorrência de acidentes e/ou assegurar a minimização de seus efeitos.Requisitos:  Implementação de mecanismos que permitam, de forma sistemática, identificar e avaliar a freqüência e as conseqüências de eventos indesejáveis, visando a sua prevenção e/ou máxima redução de seus efeitos.  Implementação de mecanismos para priorização dos riscos identificados, bem como a documentação, a comunicação e o acompanhamento das medidas adotadas para controlá-los.  Incorporação de processos de avaliação de risco a todas as fases dos empreendimentos e produtos, incluindo os relacionados à proteção da força de trabalho, comunidades vizinhas e consumidor final.Copyright © 2007, ESAB – Escola Superior Aberta do Brasil 98

 Realização de avaliações de risco periódicas ou à medida que se identifiquem mudanças nos processos. Implementação de gestão de riscos de acordo com sua natureza e magnitude, nos diversos níveis administrativos.6.4.1. IntroduçãoA grande maioria das empresas que operam no Brasil espera enfrentar algum tipo deproblema de segurança virtual (Oitava Pesquisa Nacional de Segurança da Informação,realizada pela empresa Módulo). Segundo o estudo, 82% dos entrevistados esperamenfrentar mais problemas, enquanto 43% das companhias reconheceram ter sofrido ataquesaos seus sistemas de segurança, sendo que 24% desses eventos ocorreram nos últimos seismeses.A pesquisa revela que, embora a grande maioria dos pesquisados reconheça que atendência de crescimento desse problema seja real, somente 49% dessas empresas têmalgum plano de ação formalizado em caso de ataques. A preocupação com a segurança, noentanto, entrou definitivamente na pauta dos investimentos dos empresários: 77% admitemgastar mais neste item em 2003, com duas tendências claras: 81% vão investir nacapacitação técnica de pessoal e 76% pretendem implementar uma política de segurança.Neste sentido, 75% dos entrevistados reconhecem serem conscientes para a necessidadedas empresas realizarem análises de riscos. Segundo um balanço realizado pela Modulo, oshackers são os principais responsáveis por 48% dos ataques e invasões no ano passado,representando um aumento de 15% com relação ao ano de 2001. Empregados das própriasempresas saltaram de 24% para 31%; e ex-funcionários somam 8% e os concorrentessaíram do 1% para 4%.A Oitava Pesquisa Nacional de Segurança da Informação ouviu, entre março e agosto desteano, 547 profissionais – o triplo dos entrevistados em 2001 – ligados às áreas de tecnologiaCopyright © 2007, ESAB – Escola Superior Aberta do Brasil 99

e segurança da informação de todos os segmentos econômicos, abrangendo mais de 30%das mil maiores empresas do País, revelou a Módulo.Na verdade, a TI representa apenas um componente das operações de negócios com asquais as pessoas têm de se preocupar. Embora as ameaças cibernéticas aumentemdiariamente, o perigo de danos causados por desastres naturais e por indivíduos estásempre presente, e não deve ser subestimado.As empresas devem contar com medidas implementadas que protejam todos os aspectos deseus negócios, desde a segurança física até emergências de segurança da TI e dosnegócios em geral. Os eventos catastróficos de 11 de setembro de 2001 mostraram aomundo a importância crucial do planejamento contra desastres e veio a dar maior impulso acontinuidade de negócios em todos os segmentos organizacionais, aumentando anecessidade de se ter redundância e os chamados Discovery Recovery.Um sistema de segurança eficiente ocorre quando a administração compreende suasprioridades e continua a avaliar a segurança para ir ao encontro aos interesses da empresaprotegendo sua rede contra falhas na segurança, e ainda ficar aberto o suficiente para queas funções principais dos negócios sejam conduzidas com eficiência.FÓRUM III 100Autenticação Copyright © 2007, ESAB – Escola Superior Aberta do Brasil