Exin ISO 27002 - SEC201

Os rootkits são extremamente difíceis de serem detectados, e infectam osistema sem que o usuário perceba nada. É difícil garantir a completa re-moção dos rootkits de um sistema,esses programas são especializados emenganar as ferramentas de segurança para ficarem ocultos. A forma maisconfiável de reaver seu computador é formatar o disco e reinstalar todo osistema.Porta de Manutenção / Backdoor são uma possível fonte de vazamento deinformações sensível. São os canais secretos de comunicação, ou seja, ca-nais que dos quais os usuários ignoram a existência. Estes canais são cha-mados de porta de manutenção ou Backdoor, e são comumente utilizadopor Trojans para comunicar-se com seu controlador, ou até mesmo forne-cer acesso à máquina infectada.São considerados Backdoors os programas ou partes de códigos escondi-dos em outros programas, que permitem que um invasor entre ou retorne aum computador comprometido por uma porta dos fundos‖, sem ter quepassar pelo processo normal de autenticação. Nos primórdios da computa-ção, os próprios programadores deixavam alguns backdoors em seus siste-mas, e os chamavam de ganchos de manutenção.Nos sistemas Windows, os backdoors geralmente são Trojans, instaladosatravés de Phishing, ou ainda programas instalados por worms, que apósexplorarem uma vulnerabilidade do sistema alvo infectam arquivos do sis-tema operacional e criam uma trilha adicional de execução, que mantémessa porta aberta. Esse tipo de Malware também recebe o nome de rootkitno Windows 101

O Rootkit de DRM da Sony: A Verdadeira HistóriaÉ uma história de David contra Golias, sobre os blogs de tecnologia derro-tando uma megacorporação.Em 31 de Outubro, Mark Russinovich detonou a história em seu blog: ASony BMG Music Entertainment distribuiu um esquema de proteção contracópias junto com seus CD’s que secretamente instalava um rootkit nos com-putadores. Essa ferramenta é executada sem o conhecimento nem consenti-mento: ela é carregada em seu computador por um CD, e um hacker podeobter e manter acesso ao seu sistema sem que você saiba.O código da Sony modifica o Windows para que não se possa dizer que estálá, um processo denominado “Clocking” (Camuflagem) no mundo hacker.Ele age como um spyware, sorrateiramente enviando informações sobre vocêpara a Sony. E ele não pode ser removido; tentar livrar-se dele danifica oWindows.A história foi acolhida por outros blogs (inclusive o meu), e logo depois pelamídia de informática. Finalmente os grandes meios de comunicação trouxe-ram isso à tona.O Clamor foi tão grande que em 11 de novembro a Sony anunciou que estavatemporariamente parando a produção desse esquema de proteção de cópias.Isso ainda não era o suficiente, em 14 de novembro a companhia anunciouque estava retirando das lojas os CD’s protegidos, e oferecia aos usuáriosuma troca gratuita dos CD’s infectados. 102

Mas essa não é a história real aquiÉ uma história sobre extrema arrogância. A Sony distribuiu seu incrivelmen-te invasivo esquema de proteção contra cópia sem sequer discutir publica-mente seus detalhes, confiando que os benefícios justificariam a modificaçãonos computadores de seus clientes. Quando essa ação foi inicialmente desco-berta, a Sony ofereceu um “fix”que não removia o rootkit, apenas a camufla-gem.A Sony alegou que o rootkit não “ligava para casa”, quando na realidade ele ofazia. Em 4 de novembro, Thomas Hesse, presidente global de negócios digi-tais da Sony BMG, demonstrou todo o desdenho da companhia por seus cli-entes quando ele disse em uma entrevista à NPR: A maior paste das pessoasnem sequer sabem o que é um rootkit, então porque eles devem se preocuparcom isso?No entanto, o comportamento arrogante de uma corporação também não é ahistória realEsse drama é sobre incompetência. A última ferramenta de remoção do root-kit da Sony na realidade deixa uma vulnerabilidade escancarada. E o rootkitda Sony, desenhado para parar as infrações de direitos autorais pode ter in-fringido ele mesmo uma copyright. Por mais incrível que isso possa parecer,o código parece incluir um codificador MP3 de código aberto, em violação àlicença dessa biblioteca. Mas mesmo isso não é a história real. 103

É um épico de ações judiciais coletivas na Califórnia e em outros lugares, e ofoco das investigações criminais. O rootkit teria sido encontrado em compu-tadores executados pelo Departamento de Defesa, para desgosto do Depar-tamento de Segurança Interna de. Enquanto a Sony poderia ser processadasob a legislação de cybercrime dos EUA, ninguém acha que vai ser. E açõesnunca são toda a história.Esta saga é cheia de reviravoltas estranhas. Alguns apontaram como estetipo de software degradaria a confiabilidade do Windows. Alguém criou umcódigo malicioso que usava o rootkit para se esconder. Um hacker usou oroot-kit para evitar o spyware de um jogo popular. E havia até mesmo cha-madas para boicotar a Sony em todo o mundo. Afinal, se você não pode con-fiar Sony não infectar o seu computador quando você compra CDs com suasmúsicas, você pode confiar nela para lhe vender um computador não infecta-do? Essa é uma pergunta boa, mas - de novo - não a verdadeira história.É ainda outra situação onde os usuários do Macintosh podem assistir, diver-tindo-se (bem, na maior parte) do lado de fora, perguntando por que alguémainda usa o Microsoft Windows. Mas certamente, mesmo isso não é a histó-ria real.A história de prestar atenção aqui é o conluio entre grandes empresas demídia que tentam controlar o que fazemos em nossos computadores e com-panhias de software de segurança, e empresas que deveriam estar nos prote-gendo. 104

As estimativas iniciais são de que mais de meio milhão de computadores nomundo estão infectadas com este rootkit da Sony. São números surpreen-dentes de infecção, tornando esta uma das epidemias mais graves da Internetde todos os tempos - no mesmo nível worms como Blaster, Slammer, CodeRed e Nimda.O que você acha da sua empresa antivírus, o que não percebeu rootkit daSony, como infectou meio milhão de computadores? E isso não é um daque-les vermes-relâmpago da Internet; este vem se espalhando desde meados de2004. Porque se espalhou através de CDs infectados, não através de cone-xões de internet, eles não notaram? Este é exatamente o tipo de coisa quevocê está pagando essas empresas para detectar - especialmente porque orootkit foi “telefonar para casa”.Mas muito pior do que não detectá-lo antes da descoberta Russinovich foi osilêncio ensurdecedor que se seguiu. Quando um novo malware é encontra-do, empresas de segurança caem sobre si para limpar os nossos computado-res e inocular nossas redes. Não neste caso.A McAfee não adicionou um código de detecção de até 09 de novembro, eagora, 15 de novembro ainda não remove o rootkit, somente o dispositivo decamuflagem. A empresa admite em sua página web que este é um compro-misso pobre. \"A McAfee detecta, remove e evita a reinstalação do XCP.\" Esseé o código de camuflagem. \"Por favor, note que a remoção não irão afetar osmecanismos de proteção de direitos autorais instalados a partir do CD. Hou-ve relatos de travamento do sistema, possivelmente resultante de desinstalaro XCP.\" Obrigado pelo aviso. 105

Resposta da Symantec para o rootkit, para ser gentil, evoluiu. No início, aempresa não considerou o XCP como um Malware. Não era até 11 de novem-bro que a Symantec publicou uma ferramenta para remover a camuflagem.Em 15 de novembro, ainda é insossa sobre isso, explicando que \"este rootkitfoi projetado para esconder uma aplicação legítima, mas pode ser usado paraesconder outros objetos, incluindo software malicioso\".A única coisa que torna este rootkit legítimo é o fato de uma empresa multi-nacional colocá-lo no seu computador, e não uma organização criminosa.Você poderia esperar que a Microsoft fosse a primeira empresa a condenareste rootkit. Afinal, o XCP corrompe o interior do Windows \"de uma formabastante desagradável. É o tipo de comportamento que poderia facilmentelevar a falhas no sistema - falhas que os clientes culpam a Microsoft. Masnão foi até 13 de novembro, quando a pressão pública era muito grande paraser ignorada, e a Microsoft anunciou que iria atualizar suas ferramentas desegurança para detectar e remover a parte do disfarce do rootkit.Talvez a única empresa de segurança que merece louvor é F-Secure, o pri-meiro e o mais alto crítico das ações da Sony. E a Sysinternals, é claro, quehospeda blog do Russinovich e trouxe isto para a luz.Segurança ruim acontece. Isso sempre foi e sempre será. E as empresas fazemcoisas estúpidas, sempre fizeram e sempre farão. Mas a razão que nós com-pramos produtos de segurança da Symantec, McAfee e outros, é para nosproteger de segurança ruim.Eu realmente acreditava que, mesmo na maior e mais corporativa empresa desegurança haveriam pessoas com instintos hacker, pessoas que iriam fazer acoisa certa e fazer soar o apito.Se todas as grandes empresas de segurança, após mais de um ano, deixaramde notar ou não fizeram nada sobre isso root-kit da Sony, isso demonstraincompetência na melhor das hipóteses, e ética ruins na pior das hipóteses. 106

A Microsoft eu posso entender. A empresa é um fã de proteções invasivascontra cópia. Isso vem sendo construído na próxima versão do Windows. AMicrosoft está tentando trabalhar com empresas de mídia como a Sony, es-perando que o Windows torne-se a escolha como canal de distribuição demídia. E a Microsoft é conhecida por cuidando de seus interesses comerciaisem detrimento daqueles de seus clientes.O que acontece quando os criadores de malwares agem em conluio com aspróprias empresas que contratamos para nos proteger desse malware?Nós os usuários perdemos, isso é o que acontece. Um rootkit perigoso e pre-judicial fica solto no mundo, e meio milhão de computadores são infectadosantes que alguém faz alguma coisa.Para quem as empresas de segurança realmente estão trabalhando? É impro-vável que este rootkit da Sony é o único exemplo de uma empresa de mídiautilizando esta tecnologia. Qual empresa de segurança tem engenheiros pro-curando os outros que possam estar fazendo isso? E o que eles vão fazer seencontrar um? O que eles vão fazer na próxima vez que alguma empresa mul-tinacional decidir que possuir seus computadores é uma boa ideia?Essas questões são a verdadeira história, e todos nós merecemos respostas. 107

A Engenharia social é um artifício utilizado para se extrair informações sen-síveis dos colaboradores das empresas. Uma pessoa tenta obter a confiançade um empregado fingindo ser um colega, superior, autoridade, parceiro oufornecedor da empresa, mas na realidade ele busca por dados sensíveis, quemuitas vezes não trazem muito conhecimento isoladamente, mas que associ-ados a outros dados obtidos de forma semelhante transformam-se em infor-mações valiosas para o atacante.Em grandes organizações, onde as pessoas não se conhecem a chance de su-cesso desse tipo de ataque aumenta, pois as pessoas lidam no dia-a-dia comsolicitações de estranhos, e os atacantes podem se valer das fraquezas huma-nas para obter as informações.Outra forma mais simples de se obter informações é frequentando os locaisque os funcionários frequentam (cafés, restaurantes, bares, fretados, etc.) esimplesmente ouvir o que os despreparados colaboradores têm a dizer quan- 108

to à empresa, ou ainda, tentar uma aproximação para conhecer mais.As principais motivações da engenharia social são: • Obter informações confidenciais: capturar informações que são ma- nipuladas ou protegidas de forma inadequada • Obter informações que possibilitem acessos não autorizados a ou- tras informações: máquinas ativas ou senhas de acesso, que permi- tam a continuidade de um ataque e a posterior obtenção de informa- ções confidenciais que deveriam estar protegidas • Cometer fraude eletrônica: a utilização das técnicas de phishing scam buscam enganar o usuário para que seja possível obter infor- mações pessoais, em geral para fraudes bancárias Alguns tipos de engenharia social: • Conversas informais: o excesso de confiança pode fazer com que pessoas forneçam informações classificadas para pessoas podem trazer riscos a organização. Falsidade ideológica: atacante se faz passar por outra pessoa, como auditor ou superior na organização, fazendo com que as pessoas se sintam intimidadas ou autorizadas a passarem as informações solicitadas. • Escuta: prática utilizada em geral nos locais públicos como bares, restaurantes e aeroportos, facilitando o roubo de informações. A utilização de notebooks em locais públicos também facilita o ataque de engenharia social. 109

• Lixo: mídias e papéis sem procedimentos de destruição podem ser ob- tidos facilmente por atacantes. • Espionagem: muito utilizado em industrias, baseia-se em funcionários que vendem informações de uma empresa para as suas concorrentes. • Internet: técnicas de SPAM e phishing scam são utilizadas frequente- mente na tentativa de convencer os usuários a executarem programas anexados ou acessarem links falsos que se passam por sites reais. O principal objetivo é o roubo de senhas bancárias e números de cartões de créditos,Boas Práticas: • Não discutir assuntos da organização em ambientes inapropriados, sejam eles internos ou externos • Nunca compartilhar senhas, máquinas ou informações sob sua respon- sabilidade • Não fornecer informações de maneira diferente daquelas especificadas na política, especialmente por telefone ou e-mail • Confirmar pessoalmente ordens superiores no caso de passar informa- ções críticas para outras partes • Não discutir assuntos internos da organização com terceiros • Atenção com informações reveladas em listas de discussão ou fóruns 110

• Reportar incidentes de segurança, SPAM e phishing scam• Conferir sempre o remetente de uma mensagem, principalmente se existirem arquivos anexados• Conferir sempre o endereço apontado por um link, principalmente se recebido por e-mail, MSN, Skype, etc• Conferir sempre o certificado digital de páginas seguras acessadas• Instituições financeiras, governamentais, empresas de telefonia, entre outras, não enviam mensagens solicitando senhas ou dados cadastrais e nem enviam arquivos anexados 111

Case: Joãozinho e a Engenharia Social (Piada educacional)Joãozinho chega no confessionário (onde o padre já o conhece de outros car-navais) e começa a se confessar: - Padre, eu pequei. Fui seduzido por uma mulher casada que se dizséria e não resisti à tentação - E quem é essa mulher Joãozinho? - Padre, o meu pecado eu confesso, ela que confesse o dela - Meu filho, eu vou saber mais cedo ou mais tarde. Foi a Marília? - Não vou dizer padre. - A Maria da venda do Agenor? - Não posso falar padre. - Já sei, foi a Cristina, aquela mocinha que casou com o padeiro - Padre, não posso falar. - Não precisa falar, só não pode mentir. Foi a Marlene dos dentistas? - Padre! Isso não importa.O padre já está desesperado e tenta seu último palpite: - Só pode ter sido a Daniela, aquela mocinha da floricultura - Chega padre, vou embora.Tudo bem Joãozinho, tenho que admirar sua discrição. Reze 20 pai-nosso e20 ave-Marias...Quando Joãozinho sai da Igreja, encontra seu amigo Zezinho, que logo per-gunta: 112

- E ai, como foi? - Tá aqui, a lista das cinco casadas mais fáceis do bairro!Fonseca Fernando http://fernandofonseca.spaces.live.com/blog/cns!1A524AE85BE7A61F!812.entry 113

Hackers são pessoas apaixonadas por algum assunto em particular, eles es-tudam e praticam até dominarem completamente o objeto de seu interesse.Hackers de computadores não se contentam em utilizar as funcionalidadesbásicas dos programas, e tem prazer em explorar os detalhes, contornar‖ asproteções dos sistemas, e encontrar formas de aproveitar ao máximo suaspossibilidades. Hackers se motivam pelo desafio intelectual de ultrapassar oslimites e as proteções dos softwares, mas não o fazem necessariamente embenefício próprio.Muitos Hackers são contratados especificamente para procurar vulnerabili-dades em softwares de grandes fabricantes, como parte do processo de me-lhoria da segurança destes sistemasUm Cracker é alguém que invade um sistema de computador, geralmenteligado em uma rede de computadores. 114

O Termo foi criado pelos Hackers, combatendo a frequente utilização dousodo termo Hacker para designar essas pessoas. Os Crackers geralmente nãopossuem o mesmo nível de conhecimento dos Hackers, mas são insistentese mal intencionados 115

Existem vários interesses envolvidos no desenvolvimento e uso de malwarespelos diversos atores do cenário atualNo nível mais baixo de ameaça e conhecimento encontramos o “Script Kid”,aquele que só executa os scripts desenvolvidos pelas pessoas com mais co-nhecimento, geralmente movido pela curiosidade.No próximo nível de ameaça encontramos os transgressores, cujo conheci-mento varia de “Script-Kiddy” até Perito. Estas pessoas utilizam as ferra-mentas para invadir redes e sites, além de atacar organizações em protesto.Um pouco acima encontramos o ladrão, que possui o mesmo nível que os donível inferior de ameaça mas utiliza os recursos e conhecimento para obten-ção de lucro, sequestrando dados, roubando projetos de empresas, númerosde cartões e senhas de banco, etc 116

No topo da escala de ameaças temos os espiões, que trabalham para os go-vernos de diversos países e fazem parte de exércitos cibernéticos. Estesperitos e especialistas são capazes de monitorar comunicações e roubarinformações de governos, além de desenvolver malwares que comprome-tam o funcionamento de sistemas de automação, semelhantes ao vírusStuxnet, que sozinho destruiu o programa nuclear iraniano.Após utilizar suas ferramentas por algum tempo os peritos as comparti-lham na Internet, alcançando fama e criando uma “cortina de fumaça” , amedida em que a polícia passa seu tempo ocupada em perseguir os ScriptKiddies que passaram a utilizar essas ferramentas intensamente. 117

Hoax é uma mensagem falsa, que tenta convencer leitor de sua veracidade econvencê-lo a executar determinada ação. O Hoax não é como um vírus ouworm que possuem seus próprios mecanismos de propagação, seu mecanis-mo de propagação é psicológico, ele utiliza das emoções humanas para con-vencer as pessoas a repassarem a mensagem para os amigos, e assim sucessi-vamente.Alguns hoax podem convencer pessoas a depositar dinheiro em uma contaou a fornecer dados pessoais, atuando como Phishing. No entanto, as cor-rentes são a forma mais comum de Hoax.Além de ser um spam, e ocupar banda desnecessariamente, os Hoax podemdepor contra a reputação de pessoas ou empresas, o que pode trazer proble-mas adicionais 118

O Phishing scam é um tipo de spam que se passa por um presente ou comu-nicação de uma instituição conhecida, como um banco, empresa ou site po-pular, induzindo as pessoas a fornecer senhas, dados pessoais e financeiros,que posteriormente podem ser utilizados para roubo de identidade, opera-ções fraudulentas, etc.Inicialmente, os phishings direcionavam as pessoas para páginas fraudulen-tas na internet, que apresentam formulários onde roubavam os dados pes-soais e financeiros. Como essa tática passou a ser muito combatida pelosbancos e fabricantes de softwares, os phishings passaram a instalar Trojansque roubam esses dados ou interceptam uma sessão de Home Banking sem oconhecimento do usuário. 119

Historicamente, os Vírus sempre conseguiram infectar milhares ou milhõesde computadores, mas o máximo de trabalho coordenado que estes faziamera atacar um alvo (Ex: Casa Branca, SCO, Microsoft) ao mesmo tempo emuma determinada data.A partir de janeiro de 2007 os pesquisadores começaram a perceber um novotipo de comportamento na rede, O poder de conexão da Internet permitiuaos atacantes criarem um mecanismo onde as máquinas infectadas (zumbis)formavam uma nuvem em que cada robô (Bot) instalado nessas máquinasinteragia com os robôs de outras máquinas e transmitiam os informaçõesentre eles, sem um servidor central. A esta nuvem computacional deu-se onome de Storm Worm (nuvem de vermes).A razão do sucesso da Botnet é que os servidores que distribuem os bots re-codificam o programa de tempos em tempos (inicialmente a cada 30 minu-tos), alterando a assinatura do vírus e tornando difícil sua detecção pelosantivírus convencionais. 120

Existe também uma grande dificuldade de se lutar contra os servidores queoperam a botnet e enviam os e-mails para infectar novos computadores, elestrocam dinamicamente de endereço através de um processo chamado fastflow‖, e como consequência são muito difíceis de serem desconectados.Mais uma vez, a prevenção através de atualizações constantes, privilégiomínimo e a conscientização dos usuários tornam-se as principais armas paralutar contra essas pragas 121

Spam é o termo utilizado para se referir aos e-mails não solicitados, que ge-ralmente são enviados para um grande número de pessoas.O Nome Spam é a abreviação do nome de um produto alimentício, o SpicedHam (presunto condimentado). Em 1970 a trupe do Monty Python fez umquadro onde a atendente tentava empurrar o SPAM em qualquer tipo decomida. Isso transformou o termo em uma gíria que significa uma coisa cha-ta, que é empurrada para você.Além de atentar contra a disponibilidade de banda das organizações, oSPAM também pode ser utilizado para enviar e-mails com Trojans e Vírus,A Pessoa que envia spam é chamada de Spammer. Os Spammers violam vá-rias as regras de conduta na web, inclusive a do W3C, consócio de empresasde tecnologia que organismo que regulamentam padrões para a Web. 122

Scam: Esquemas ou ações enganosas e/ou fraudulentas. Normalmente, têmcomo finalidade obter vantagens financeiras.Scan: Técnica normalmente implementada por um tipo de programa, proje-tado para efetuar varreduras em redes de computadores.Scanner: Programa utilizado para efetuar varreduras em redes de computa-dores, com o intuito de identificar quais computadores estão ativos e quaisserviços estão sendo disponibilizados por eles. Amplamente utilizado poratacantes para identificar potenciais alvos, pois permite associar possíveisvulnerabilidades 123

Uma advanced persistent threat (APT) é um ataque onde uma pessoa nãoautorizada ganha acesso à rede e permanece não detectada por um longoperíodo de tempo.A intenção de um ataque APT é roubar dados, em vez de causar danos à redeou organização. Ataques APT miram organizações em setores com informa-ções de alto valor, como a defesa nacional, a fabricação e da indústria finan-ceira.Um atacante APT usa frequentemente Phishing, um tipo de engenharia soci-al, para ter acesso à rede através de meios legítimos. Uma vez que o acessotem sido alcançado, o atacante estabelece um Backdoor.O próximo passo é reunir credenciais válidas de usuário (especialmente osadministrativos) e mover-se lateralmente em toda a rede, instalação maisbackdoors. Os Backdoors permitem que o invasor instale utilitários falsos ecrie uma \"infraestrutura fantasma\" para a distribuição de malware que per-manece escondido em plena vista. 124

Os ataques de APT são os mais sofisticados da atualidade e normalmenteutilizam mais de uma técnica de ataque (driven by download, phishing, SQLinjection, etc.) para atingir uma organização específica e roubar dados decartão de crédito, segredos industriais valiosos ou segredos governamentais.Os atacantes podem desenvolver malwares personalizados para ficarem in-visíveis aos antivírus, como o caso do Stuxnet, provavelmente desenvolvidoe disseminado por Estados Unidos e Israel, e projetado para atuar em umciberataque contra o Irã. O objetivo foi dificultar ou se possível impedir queo Irã produzisse armas nucleares, por isso foi direcionado à usina nucle-ar iraniana de Natanz. Esse ataque, somado ao ataque do Flame, pode serconsiderado como o começo de uma possível guerra cibernética 125

Um ataque de negação de serviço é uma tentativa em tornar os recursos deum sistema indisponíveis para seus utilizadores. Alvos típicos são servidoresweb, e o ataque tenta tornar as páginas hospedadas indisponíveis na web.Não se trata de uma invasão do sistema, mas sim da sua invalidação por so-brecarga. Os ataques de negação de serviço são feitos geralmente de duasformas:• Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço.• Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente 126

O DDoS é um tipo de ataque distribuído de negação de serviço onde umcomputador mestre (denominado \"Master\") pode ter sob seu comando atémilhares de computadores infectados (\"Zombies\" ). Neste caso, as tarefas deataque de negação de serviço são distribuídas a um \"exército\" de máquinasescravizadasO ataque consiste em fazer com que os todos os zumbis (ligados e conecta-dos à rede) acessem ao mesmo recurso da rede atacada. Como servidoresweb possuem um número limitado de usuários que pode atender simultane-amente (\"slots\"), o grande e repentino número de requisições de acesso es-gota esse número de slot, fazendo com que o servidor não seja capaz deatender a mais nenhum pedido. Dependendo do recurso atacado, o servidorpode chegar a reiniciar ou até mesmo ficar travadoO Ataque de DDoS é também muito utilizado para obstruir a mídia de co-municação entre os utilizadores e o sistema vítima de forma a não comuni-carem-se adequadamente 127

128

Quando analisamos um risco, na realidade estamos calculando a probabili-dade de acontecer e o impacto que um incidente de segurança trará casoaconteça. Dessa forma, a descrição do risco (no caso, Colisão)é a mesma doincidente (Colisão), só que o primeiro é uma possibilidade e o segundo umfato consumado.Ao usarmos um cinto de segurança, estamos reduzindo a probabilidade daincidência da ameaça colisão (dando firmeza ao motorista). Da mesma for-ma, podemos aumentar a probabilidade do incidente, dirigindo com sono ouembriagado, muito acima de uma velocidade aceitável, ou com pneus velhos,e mecânica não confiável.Por outro lado, se o incidente é inevitável (considerando o longo prazo), ocinto pode reduzir seu impacto, protegendo os passageiros em caso de coli-são contra outras ameaças como lesões, morte, surdez, cegueira, paralisia,etc. 129

Com ou sem o cinto, se houver colisão o incidente aconteceu. O que vai vari-ar a partir de agora é o impacto, dependendo das medidas de segurança(cinto, air bag, etc) e da preparação para o tratamento do incidente (removeros acidentados de forma correta, apagar focos de incêndio, etc._Consideramos um incidente qualquer evento que não seja parte da operaçãonormal de um processo de negócio, e que tenha significante probabilidade decomprometer a operação da organização ou a confidencialidade, integridadeou disponibilidade de um ativo de informação.Incidentes de segurança representam a exploração bem-sucedida de umavulnerabilidade por uma ameaça, e pode ter origem intencional ou involuntá-ria. Na ótica da segurança da informação, o dano ocorre quando existe o com-prometimento da confidencialidade, integridade ou disponibilidade de umativo de informação.Um incidente pode ser causado pela: • Ação de um agente (ex: um funcionário comete uma fraude); • por condições favoráveis (ex: um vazamento na tubulação hidráulica alaga um CPD);Os principais objetivos dos incidentes voluntários são: • Destruir informações: apagar parcialmente ou completamente dados, tornando o sistema inconsistente ou prejudicando informações impor- 130

tantes para o usuário e para a organização• Roubar informações: prática ligada diretamente a fraudes, visando principalmente segredos de negócio, números de cartões de crédito etc.• Prejudicar o sistema: consumir recursos, gerando lentidão ou indispo- nibilidade• Disponibilizar conteúdos não autorizados, como pornografia, pedofi- lia, pirataria etc.• Realizar ataques ou acessos não autorizados: permite que atacantes utilizem as máquinas para acessos a outros sites, ocultando a sua ori- gem real. Também costumam ser utilizados como plataformas de ata- que, por exemplo, em ataques DDoS, 131

Conforme visto anteriormente, um único incidente pode resultar em diver-sos danos, ou seja, na realização diversas ameaças.Uma queda de um avião, por exemplo, pode ter um impacto financeiro noproprietário do avião, corporal no piloto e passageiros e de imagem(intangível) nas empresas que fabricaram e operaram o voo.Uma das funções das medidas de segurança é diminuir os danos causadospor um incidente, mas o impacto real somente será conhecido após o termi-no das ações de gestão da crise, e será proporcional à preparação da equipe eao sucesso obtido na contenção dos danos gerados pelo incidente. 132

A probabilidade, ou likelihood, é a nossa estimativa numérica da chance dealgo acontecer, seja positivo ou negativo.Chamamos de Grau de Exposição, uma medida numérica ou de sensibilida-de a qual está exposto em grau menor ou maior um determinado ativo;Por probabilidade compreendemos a medida provável de uma determinadaameaça se concretizar em um incidente durante um período pré-determinado; 133

Chamamos de dano as consequências de um incidente. Os danos podem serdiretos ou indiretosDanos Diretos – No exemplo anterior um dano direto seria a perda do ativo“carro” e outros que estivessem dentro deste.Danos Indiretos – São consequências indiretas do incidente. Após o furto doveículo a pessoa pode perder compromissos cuidando dos trâmites burocrá-ticos, ou mesmo ser acionado pela polícia caso seu veículo venha a ser utili-zado para uma ação ilícita. 134

135

O Processo de gestão de riscos corresponde à identificação, controle e mi-nimização ou eliminação dos riscos de segurança que podem afetar os siste-mas da informação, a um custo aceitável e sempre levando em consideraçãoo valor da informação para a corporação em casos extremos de perda, rouboe etc.;O Risco é uma medida, um número, uma forma de traduzir probabilidades econsequências completamente distintas em um fator comum, um índice nu-mérico que pode ser elencado e comparado com os critérios de aceitação deuma empresa. Ameaças distintas como terremoto e vírus de computador sãodeparadas com suas probabilidades (alta, média, baixa ou 1%, 10%, etc) econsequências (destruição do CPD, lentidão do servidor, etc.) e se transfor-mam em valores numéricos (145, 678, etc.) e depois comparados para que asações de tratamento sejam priorizadas. 136

A análise de riscos fornece a base para a avaliação de riscos e para as deci-sões sobre o tratamento de riscos. Ela inclui a estimativa de riscos, que de-pois serão avaliados de acordo com o apetite, tolerância a riscos e as alter-nativas de tratamento. • Análise de Risco - processo de compreender a natureza do risco e determinar o nível de risco através do levantamento das ameaças, impactos e vulnerabilidades dos ativos de informação e da probabili- dade de sua ocorrência; • Avaliação de Risco - processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável; 137

Para se encontrar o nível de risco devemos considerar diversos fatores, comono exemplo abaixo: • Ativo: Objeto da análise. (Ex: base de dados de cartões de crédito) • Ameaça: o que se teme que aconteça ao ativo (Ex: vazamento de da- dos) • Impacto: Conjunto de danos ao negócio (Ex: multa e perda de clien- tes) • Vulnerabilidade: O que pode levar ao incidente? (Danos de cartão ar- mazenados nos servidores) • Mitigação: O que reduz o risco? (Dados criptografados) • Probabilidade: Qual a chance roubarem os dados e passarem pela crip- tografia?A partir desses dados calcula-se o nível de risco atual e decide-se qual açãotomar em função desse risco 138

Alguns fatore devem estar bem claros ao final de análise de cada risco. • Qual a tolerância a riscos da organização? • Qual a probabilidade de um incidente acontecer? • Qual o impacto caso esse incidente aconteça?De posse dessas informações, o analista passa a avaliar o risco e pode optarpor não tratar o risco, e apenas monitorá-lo para que não aumente de formaque ultrapasse a linha de tolerância, ou reduzir o risco, caso este já tenhapassado o limite de tolerância estabelecido 139

Tratamento do risco é a seleção e execução de um conjunto de ações (umaou mais) a serem tomadas para alterar a magnitude do risco. Não basta esco-lher a opção mais eficaz, é preciso encontrar a mais eficiente.Após o tratamento, a não ser que a opção seja não realizar uma atividade eevitar o risco, sempre existirá um risco residual, por mais que se implantecontroles.Risco residual é o risco remanescente após o tratamento. Por menor queseja esse risco, ele deve ser documentado e pode ser tratado novamente emum plano de continuidade de negócios. 140

Os elementos de expressão do risco podem ser definidos, medidos ou deter-minados subjetiva ou objetivamente. Na abordagem quantitativa, temosuma expressão objetiva dos riscos, baseados nos seguintes fatores:No caso de danos diretos, como um incêndio ou a destruição de uma infor-mação, devemos trabalhar com o EF (Fator de Exposição) no sentido decaracterizar, em termos percentuais, o poder de dano da ameaça em relaçãoao valor total do ativo. Se uma planta industrial vale R$500.000,00 e imagi-namos que em caso de incêndio a destruição pode beirar os 90% então onosso SLE (Single Loss Expectancy) para um incêndio na planta será deR$450.000,00 (SLE = 500.000 X 90%). Porém, caso tenhamos uma série demecanismos de proteção contra incêndios, podemos trabalhar com um EFmenor e, consequentemente, com um SLE menor também.No caso de danos indiretos a fórmula do cálculo do SLE fica bastante sim-plificada, sendo o SLE igual ao prejuízo estimado causado pela ameaça emquestão. Convém ressaltar, porém, que é muito mais difícil, em geral, calcu- 141

lar os prejuízos que serão trazidos por uma quebra de confidencialidade doque por um incêndio em um departamento. Existem também ameaças, co-mo o próprio caso de incêndio, que trarão prejuízos em ambas as categori-as, isto é, causarão danos aos ativos e contratempos à organização.Uma vez que temos o SLE, basta multiplicá-lo pela ARO (Annual Rate ofOccurrence) para determinarmos a ALE (Annual Loss Expectancy). A ALEé a expressão em termos monetários do montante que se imagina perdercom uma determinada ameaça em um ano. De posse da ALE, fica fácil defi-nir qual o valor máximo que se aceita investir em uma proteção.A Análise quantitativa considera também o impacto nos negócios, dessaforma, o período de tempo entre a materialização da ameaça e sua conten-ção pelas medidas de segurança também aparece como elemento a ser con-siderado. A linguagem da análise quantitativa é mais próxima da linguagemgerencial, mas pode ser difícil atribuir valor a todos os tipos de danos queuma ameaça pode causar.Em certos ramos de negócio, como o de seguros automobilísticos, ocontrole da freqüência de determinados eventos (estatísticas) permi-te estimar a probabilidade e mesmo as conseqüências de diversos ti-pos de eventos. Na segurança da informação a análise puramentequantitativa é praticamente impossível. 142

Dentre os benefícios da análise quantitativa podemos destacar: • Riscos avaliados através de dados concretos • Resultado mais próximo da linguagem administrativa • Facilita a análise de custo / benefício da proteção • Por outro lado, existem algumas limitações no uso desse método: • Muito trabalhoso e oneroso • Execução manual impossível 143

Na maioria dos casos não é possível precisar ou confiar em dados históricosrelacionados a ameaças. Nestes casos, uma abordagem mais subjetiva é indi-cada para determinar o risco. No método qualitativo, ao invés de usarmosvalores numéricos para estimar os componentes do risco, trabalhamos comnotas mais subjetivas como alto, médio e baixo. Dessa forma, não há a neces-sidade de se levantar valores numéricos para os componentes do risco, o quetorna o processo muito mais rápido.Nesse tipo de análise, os resultados dependem muito do conhecimento doprofissional que atribuiu as notas aos componentes do risco que foram le-vantados. Nesse tipo de análise, os melhores resultados são obtidos em umadiscussão em grupo sobre os valores a serem atribuídos. Isso evita que a aná-lise se baseie no ponto de vista de uma única pessoa, e atenua o efeito do viésotimista 144

As escalas mais simples contemplam geralmente 3 níveis (por exemplo, bai-xa – média – alta) de modo a permitir uma estimativa de riscos simplificadamas, ainda assim, permite numa análise alto nível selecionar quais os maio-res riscos. Abaixo vemos um exemplo e análise de 5 níveis, onde o risco é amultiplicação de seus componentes: • Probabilidade – ex: Mínima, baixa, média, alta, altíssima • Impacto – ex.: Mínimo, baixo, médio, grave, severo 145

Após a análise e avaliação de riscos, a área de segurança supervisiona asações de segurança e oferece um relatório atualizado ao proprietário da in-formação para que este acompanhe o nível de risco residual, os impactosocorridos no último exercício e ratifique ou não as cartas de aceitação deriscos, que lida com os riscos remanescente.A atividade de aceitação do risco tem de assegurar que os riscos residuaissejam explicitamente aceitos pelos gestores da organização. Isso é especial-mente importante em uma situação em que a implementação de controles éomitida ou adiada, por exemplo, devido aos custosDurante o processo de gestão de riscos de segurança da informação, os riscose a forma com que são tratados devem ser comunicados ao pessoal das áreasoperacionais e gestores apropriados. 146

Depois dos riscos residuais serem aceitos, seus componentes devem ser mo-nitorados de forma que a organização rapidamente perceba alterações nocontexto que venham a modificar o nível que algum risco. 147

Uma outra abordagem é encontrada no livro Foudations of Information Se-curity, que serve como base para a certificação ISFS. Segundo o livro, exis-tem 3 alternativas de tratamento de riscos:Evitar o Risco • As medidas de segurança tomadas são de tal ordem que a ameaça é neutralizada a um grau que a ameaça não leva a um incidente. Ex .: A adição de um novo software que faz com que os erros no antigo sof- tware não sejam uma ameaça • Essas medidas de segurança que são tomadas são preventivas por na- tureza 148

Reter o risco: • Medidas de segurança são muito caros • O Custo das medidas de segurança excedem a possíveis danos • As medidas de segurança que são tomadas são repressivas por nature- zaRisco neutroOs resultados das medidas de segurança tomadas são • A ameaça não ocorre mais • O prejuízo resultante é minimizado • As medidas de segurança tomadas são uma combinação de preventi- va, Detective e repressivos • 149

150