Exin ISO 27002 - SEC201

8.3 Tratamento de mídias 8.3.1 Gerenciamento de mídias removíveis 8.3.2 Descarte de mídias 8.3.3 Transferência física de mídias9) Controle de acesso 9.1 - Requisitos de negócio para controle de acesso 9.1.1 - Política de controle de acesso 9.1.2 - Acesso às redes e aos serviços de rede 9.2 - Gerenciamento de acesso do usuário 9.2.1 - Registro e cancelamento de usuário 9.2.2 - Provisionamento de acesso de usuário 9.2.3 - Gerenciamento de direitos de acesso privilegiados 9.2.4 - Gerenciamento de informação de autenticação secreta de usuá- rios 9.2.5 - Análise crítica dos direitos de acesso de usuário 9.2.6 - Retirada ou ajuste de direitos de acesso 9.3 - Responsabilidades dos usuários 9.3.1 - Uso da informação de autenticação secreta 9.4 - Controle de acesso ao sistema e à aplicação 9.4.1 - Restrição de acesso à informação 9.4.2 - Procedimentos seguros de entrada no sistema log-on 9.4.3 - Sistemas de gerenciamento de senha 9.4.4 - Uso de programas utilitários privilegiados 9.4.5 - Controle de acesso ao código-fonte de programas 51

10 ) Criptografia 10.1 Controles Criptográficos 10.1.1 Política para uso de controles criptográficos 10.1.2 Gerenciamento de Chaves11) Segurança Física e do Ambiente 11.1 - Áreas seguras 11.1.1 - Perímetro de segurança física 11.1.2 - Controle de entrada física 11.1.3 - Segurança em escritórios, salas e instalações 11.1.4 - Proteção contra ameaças externas e do meio ambiente 11.1.5 - Trabalho em áreas escuras 11.1.6 - Áreas de entrega e de carregamento 11.2 - Segurança de equipamentos 11.2.1 - Localização e proteção do equipamento 11.2.2 - Utilidades 11.2.3 - Segurança no cabeamento 11.2.4 - Manutenção dos equipamentos 11.2.5 - Remoção dos ativos 11.2.6 - Segurança de equipamentos e ativos fora das dependências da organização 11.2.7 - Reutilização ou descarte seguro de equipamentos 11.2.8 - Equipamentos de usuários sem monitoração 11.2.9 - Política de mesa limpa e tela limpa 52

12) Segurança nas Operações 12.1 - Procedimentos e responsabilidades 12.1.1 - Documentação dos procedimentos de operação 12.1.2 - Gestão de mudanças 12.1.3 - Gestão de capacidade 12.1.4 - Separação dos ambientes de desenvolvimento, teste e produção 12.2 - Proteção contra Malware 12.2.1 - Controles contra Malware 12.3 - Responsabilidades dos usuários 12.3.1 - Cópias de segurança das informações 12.4 - Registros e monitoramento 12.5 - Controle de software operacional 12.6 - Gestão de vulnerabilidades 12.7 - Considerações quanto à auditoria de sistemas de informação13) Segurança em Comunicações 13.1 - Gerenciamento da segurança em redes 13.1.1 - Controle de redes 13.1.2 - Segurança dos serviços de rede 13.1.3 - Segregação de redes 13.2 - Equipamento 13.2.1 - Políticas e procedimentos para transferência de informações 13.2.2 - Acordos para transferência de informações 13.2.3 - Mensagens eletrônicas 13.2.4 - Acordos de confidencialidade e não divulgação 53

14) Aquisição, manutenção e desenvolvimento de sistemas 14.1 - Requisitos de segurança de sistemas de informação 14.1.1 - Análise e especificação dos requisitos de segurança da informa- ção 14.1.2 - Serviços de aplicação seguros em redes públicas 14.1.3 - Protegendo as transações nos aplicativos de serviços 14.2 - Requisitos de segurança de sistemas de informação 14.2.1 - Políticas de desenvolcimento seguro 14.2.2 - Procedimentos para controle de mudanças de sistemas 14.2.3 - Análise crítica técnica das aplicações após mudanças nas plata- formas operacionais 14.2.4 - Restrições sobre mudanças em pacotes de software 14.2.5 - Princípios para projetar sistemas seguros 14.2.6 - Ambiente seguro para desenvolvimento 14.2.7 - Desenvolvimento terceirizado 14.2.8 - Teste de segurança do sistema 14.2.9 - Teste de aceitação de sistemas 14.3 - Dados para teste 14.3.1 - Proteção dos dados para teste15) Relacionamento na cadeia de suprimento 15.1 - Segurança da informação na cadeia de suprimento 15.1.1 - Política de segurança da informação no relacionamento com fornecedores 15.1.2 - Identificando a segurança da informação nos acordos com for- necedores 15.1.3 - Cadeia de suprimentos na tecnologia da informação e comuni- cação 54

15.2 - Gerenciamento da entrega do serviço do fornecedor 15.2.1 - Monitoramento e análise crítica de serviços com fornecedores 15.2.2 - Gerenciamento de mudanças para serviços com fornecedores16) Gestão de incidentes de Segurança da Informação 16.1 - Gestão de incidentes de segurança da informação e melhorias 16.1.1 - Responsabilidades e procedimentos 16.12 - Notificação de eventos de segurança da informação 16.1.3 - Notificação de fragilidades de segurança da informação 16.1.4 - Avaliação e decisão dos eventos de segurança da informação 16.1.5 - Resposta aos incidentes de segurança da informação 16.1.6 - Aprendendo com os incidentes de segurança da informação 16.1.7 - Coleta de evidências17) Aspectos de SI na Continuidade de Negócios 17.1 - Continuidade da segurança da informação 17.1.1 - Planejando a continuidade da segurança da informação 17.1.2 - Implementando a continuidade da segurança da informação 17.1.3 - Verificação, análise crítica e avaliação da continuidade da segu- rança da informação 17.2 - Redundâncias 17.2.1 - Disponibilidade dos recursos de processamento da informação 55

18) Conformidade 18.1 - Conformidade com requisitos legais e contratuais 18.1.1 - Identificação da legislação aplicável e de requisitos contratuais 18.1.2 - Direitos de propriedade intelectual 18.1.3 - Proteção de registros 18.1.4 - Proteção a privacidade das informações de identificação pessoal 18.1.5 - Regulamentação de controles de criptografia 18.2 - Análise crítica independente da segurança da informação 18.2.1 - Análise crítica independente da segurança da informação 18.2.2 - Conformidade com as políticas e procedimentos de segurança da informação 18.2.3 - Análise crítica da conformidade técnica 56

Estudo de Caso—Boeing 787Segundo um relatório da agência americana FAA (Federal Aviation Adminis-tration), o novo jato tem uma vulnerabilidade séria de segurança na arquite-tura de suas redes internas de computadores, que pode permitir que passa-geiros acessem os sistemas de controle do avião a partir da rede criada paraprover acesso internet durante o voo. De acordo com o relatório, a rede desti-nada aos passageiros está conectada com as redes dos sistemas de controlesde voo, de navegação, comunicação e a rede administrativa da companhiaaérea (responsável por sistemas administrativos e de manutenção da equipede terra). No atual design, a conexão física entre estas redes, anteriormenteisoladas, faz com que todo o sistema seja mais facilmente vulnerável a hac-kers.\"These novel or unusual design features are associated with connectivityof the passenger domain computer systems to the airplane critical sys-tems and data networks.\" (FAA) 57

Este tipo de ameaça é real, e tem sido discutida por vários profissionais deSegurança da Informação. Conforme lembrou o colega Javed Ikbal em umpost enviado para a lista cisspforum, no ano passado foi demonstrado no siteda CSO online como é possível derrubar o sistema de entretenimento a bor-do (os jogos nos monitores) de um vôo da JetBlue utilizando o telefone a bor-do para passar um parâmetro inválido para o jogo Tetris.A própria reportagem da Wired cita uma apresentação muito interessante dopesquisador Mark Loveless, (\"Hacking the Friendly Skies\") onde ele apresen-ta como hackear computadores vizinhos durante o vôo e, no final da apresen-tação, faz várias considerações sobre os projetos existentes de disponibiliza-ção de acesso internet nos vôos.Segundo a matéria, a Boeing diz que está ciente do risco e está trabalhandona separação física das redes e na adoção de proteção baseada em softwaresde firewall. Infelizmente (como lembrou o colega Les Bell na lista cisspfo-rum), manter todas estas redes totalmente isoladas fisicamente implicaria emter equipamentos e cabeamento redundante em toda a aeronave, um customuito pesado para a indústria aeronáutica. Por isso, o compartilhamento dainfraestrutura pareceria algo óbvio aos olhos de um leigo.Lamentavelmente, muitas vezes os profissionais de segurança não são envol-vidos na fase de design do projeto, cabendo então a árdua tarefa de criar me-canismos adicionais de proteção, depois que o problema é encontradoFonte: AnchisesLândia - http://anchisesbr.blogspot.com/2008/01/segurana-possvel-hackear-o-boeing-787.html 58

59

“Em um mundo interconectado, informação e processos relacionados, siste-mas, redes e pessoas envolvidas na sua operação, movimentação e proteçãosão ativos que, como outros ativos comerciais importantes, são valiosas paraos negócios e de uma organização” (Fonte: ISO 27002:2013)A partir dessa definição, entendemos que os ativos necessitam de proteção ecuidado. Há diversas categorias que podem ser usadas para classificar os ati-vos como Tangíveis e Intangíveis, ou Lógicos, Físicos e Humanos. A identifi-cação dos ativos que necessitam de proteção é o passo fundamental para oestabelecimento de qualquer estratégia de proteção e, consequentemente,para a implementação da Gestão de Risco.A norma também trata da responsabilidade pelos ativos com o objetivo dealcançar e manter a proteção adequada dos ativos da organização. Destaca anecessidade do inventário e do uso aceitável dos ativos, bem como as respon-sabilidades do proprietário. 60

Qualquer elemento do SGSI (hardware, software, ou pessoas) que armazene,veicule e informações que tem valor para o negócio da organização é conside-rado um ativo.Ativo de Informação– Todo elemento que compõe os processos de manipula-ção, processamento ou armazenamento da informação, incluindo a própriainformação. Representa desde as pessoas e o know how adquirido pela em-presa até a fita de backup que guarda essa informação.A proteção dos ativos de informação é também uma prática milenar. Na anti-guidade, a confidencialidade era a principal preocupação no âmbito da segu-rança da informação. A Criptografia , por exemplo, foi criada apenas algumascentenas de anos após o surgimento da escrita,A espionagem é uma atividade quase tão antiga quanto a necessidade de in-formação, Sun Tzu já previa o uso de espiões há mais de 2500 anos em seulivro, A arte da Guerra‖, e os classificava em cinco tipos: Nativos, Internos,Convertidos, Descartáveis e Indispensáveis. Considerando esse cenário, asegurança da informação tem como objetivo diminuir ou inibir essa ação.Hipócrates ( 460 – 377 a.C, Grécia) é considerado uma das figuras mais im-portantes da história da saúde, sendo considerado o \"pai da medicina\". Ele eramembro de uma família que por gerações praticou os cuidados em saúde. Foio líder da \"Escola de Cós\". Ele rejeitava a superstição e as práticas considera-das mágicas em relação à saúde. Sua ética resume-se no famoso Juramento deHipócrates., de onde destacamos um compromisso com a confidencialidade:“Àquilo que no exercício ou fora do exercício da profissão e no convívioda sociedade, eu tiver visto ou ouvido, que não seja preciso divulgar, euconservarei inteiramente secreto.” 61

Historicamente, os fatores de produção eram definidos como: Capital, Terrae Trabalho. Com o aparecimento de uma nova sociedade da informação e ànecessidade, diante da globalização, de se tornar mais competitivo por meioda inovação tecnológica, podemos considerar uma nova classificação: • Capital ( investimento), • Terra ( matérias primas), • Capital Humano ( importância da mão de obra qualificada) e • Conhecimento ( inovação e desenvolvimento tecnológico)Assim, o conhecimento que é fundamental para a inovação tecnológica, tor-na-se fator de produção, pois é o novo processo tecnológico que permiteuma produção mais competitiva, a partir do conhecimento científico.de TI. 62

63

Apesar de algumas variações e discussões acadêmicas em torno do assunto, amaioria das normas sobre Segurança da Informação, incluindo a ISO/IEC27002, define como três os aspectos relativos à segurança de um ativo onde,na prática, todos os outros se encaixam. • Confidencialidade – Condição na qual apenas instâncias previamente estabelecidas terão conhecimento sobre as diversas informações per- tencentes às organizações. • Integridade – Condição que representa que determinada informação é precisa e correta. • Disponibilidade – Condição na qual determinado ativo estará disponí- vel para uso sempre que a organização necessitar. 64

Na página anterior contemplamos vários elementos em uma única figura: • Se olharmos os anéis temos os procedimentos, sobre eles as pessoas que devem seguir estes procedimentos e sobre os dois a tecnologia, que entre outras coisas auxilia a garantir que as pessoas agirão conforme os procedimentos , além de monitorar suas ações. • Se olharmos as setas vemos a confidencialidade, integridade e disponi- bilidade como propriedades a serem conservadas na informação • Se olharmos no anel central vemos a comunicação, software e hardwa- re como categorias de ativos que suportam a informação. 65

Preservar a confidencialidade de uma informação significa garantir que ape-nas as pessoas autorizadas a acessar determinada informação poderão fazê-lo. Diferentes tipos de informação terão diferentes necessidades em termosde confidencialidade, de acordo com a classificação de cada tipo de informa-ção.Podemos definir a confidencialidade em duas dimensões:Exclusividade: Garantia de que determinados dados estarão disponíveisexclusivamente para os usuários autorizados pelos proprietários da informa-ção. A atribuição de direitos de acesso pelos proprietários da informação de-ve seguir um esquema de origem militar chamado ―Need-to-know, ou seja,os usuários terão acesso a tudo que necessitarem para desempenhar suasfunções, nada mais do que isso. 66

Privacidade: Proteção dos dados de clientes, usuários e quaisquer outros queconfiarem informações ao sistema. A proteção desses dados baseia-se no con-ceito de exclusividade, e um controle rígido deve ser implementado para ga-rantir a privacidade, sob pena de forte impacto na imagem da corporação.Carolina Dieckmann: identificados suspeitos de roubar fotosReportagem do programa Fantástico, da TV Globo, exibida neste domingo,mostra que a Polícia Civil do Rio de Janeiro localizou quatro suspeitos deroubar fotos do computador da atriz Carolina Dieckmann e divulgar as ima-gens na internet, no dia 4 de maio, após uma tentativa de extorsão. De acor-do com a reportagem, hackers do interior de Minas Gerais e São Paulo inva-diram o e-mail da atriz e pegaram as imagens. A descoberta descarta a sus-peita inicial sobre funcionários da loja de assistência técnica do Rio ondeCarolina deixou um laptop para consertar, há dois meses.Investigadores da Delegacia de Repressão aos Crimes de Informática (DRCI)da Polícia Civil do Rio, que abriu inquérito para apurar o caso, usaram pro-gramas de contra-espionagem para chegar aos suspeitos. Segundo a polícia,ao clicar em um arquivo com spam, Carolina permitiu a instalação de umprograma que fez com que os hackers invadissem seu computador. Uma var-redura feita no computador da atriz detectou que foram furtados sessentaarquivos.O primeiro suspeito encontrado foi Diego Fernando Cruz, de 25 anos, que,segundo a polícia, teria sido o primeiro a divulgar as fotos na internet. Nacasa dele, em Macatuba, no interior de São Paulo, a polícia encontrou CDs,softwares e cinco computadores. Os investigadores interceptaram uma trocade mensagens pela internet entre o grupo, em que Diego admite a divulgaçãodas fotos. 67

Outros três rapazes estão entre os suspeitos. Um deles é menor de idade eteria sido o autor das ligações para chantagear a artista, com o pedido de 10000 reais para que as fotos não fossem publicadas. O principal suspeito deter invadido o computador e furtado as fotos da atriz, segundo a polícia, éLeonan Santos, de 20 anos. Ele mora em Córrego Dantas, em Minas Gerais enega as acusações. Pedro Henrique Mathias seria o dono do site que publi-cou as fotos. O quarto integrante não teve a identidade revelada pela polícia.A polícia chegou ao grupo por causa do rastro deixado pelos próprios hac-kers nos acessos aos e-mails de Carolina e conseguiu identificar o IP doscomputadores. Os hackers demonstravam preocupação com o crime de ex-torsão, mas, ao descobrir que estavam sendo investigados, ironizaram a pos-sibilidade de serem descobertos. Poucos dias depois, no entanto, a políciachegou até os suspeitos.O inquérito que investiga o caso ainda não foi concluído. Os suspeitos, deacordo com a reportagem do Fantástico, serão indiciados, com base no Códi-go Penal, por furto, extorsão qualificada e difamação. Eles serão intimados aprestar depoimento.Desistência - Na última sexta-feira, o advogado da atriz, Antonio Carlos deAlmeida Castro, o Kakay, anunciou ter desistido de entrar com uma açãocontra o Google. O motivo foi o envio de uma carta da empresa ao seu escri-tório de advocacia. O conteúdo era uma explicação técnica acompanhada dealgumas observações do Google sobre as fotos de Carolina nua. Kakay consi-derou que houve uma abertura importante no diálogo com a empresa. Aindaassim, ele afirmou que enviará uma ata, redigida no último domingo, parapedir a retirada de 36 imagens da atriz do sistema de busca. As fotos vaza-ram no dia 4 de maio. 68

Na ocasião, o advogado disse que sabe da dificuldade que será retirar todoesse material, replicado em diversos sites. “Não temos a pretensão de queessas fotos não sejam veiculadas. Infelizmente as mídias sociais são isso”,diz Kakay. De acordo com ele, boa parte das fotos foi banida da busca doGoogle e o acesso reduziu bastante. Mas, para os internautas, ainda é fácilencontrar as fotos da atriz nua.“Não estamos sendo intransigentes. O nosso objetivo é, francamente, resol-ver isso e fomentar a discussão que agora está posta”, afirma Kakay em re-lação à ampliação do debate para temas como privacidade, internet e res-ponsabilidade. “Não quero discutir o controle da social sob o aspecto dacensura, mas pelo viés da responsabilidade e da ética”, afirma.Para Kakay, os sites que divulgam fotos como as de Carolina nua são crimi-nosos e não poderiam estar isentos de responsabilidade civil e social. Ape-sar do vazamento das imagens, ele diz que a atriz não está preocupada comdanos morais. “O mais importante dessa história talvez tenha sido a digni-dade dela, a postura ética que teve. Não é fácil passar por isso. Ela foi cora-josa”, diz.Investigação - A Polícia Civil, por meio da Delegacia de Repressão a Cri-mes de Internet (DRCI), abriu inquérito para investigar o caso. Carolina, oempresário, o assistente e o marido dela prestaram depoimento. O advoga-do da atriz disse que, antes de ela ter suas fotos íntimas divulgadas na in-ternet, foi chantageada durante um mês por meio de e-mails anônimos. Ochantagista pediu 10.000 reais à atriz.A atriz chegou a tentar estancar o caso com o auxílio de Rodrigo Pimentel,ex-capitão do Bope e atual comentarista de segurança na Rede Globo. Eletentou armar uma emboscada para conseguir um flagrante e prender o cri-minoso. Não deu certo e as fotos caíram na internet 69

Podemos definir disponibilidade como a propriedade de manter a informaçãodisponível para os usuários, de tal maneira que permita a continuidade dotrabalho quando esta for necessária.A Disponibilidade pode ser medida por três características básicas: • Prontidão – Estar disponível quando necessária • Continuidade – Estar disponível mesmo se houver alguma falha no sistema • Robustez – Comportar todos os usuários do sistema sem degradação 70

Integridade é a propriedade de manter a informação acurada, completa e atu-alizada. Garantir a precisão das informações e dos métodos de processamen-to aos quais ela é submetida. A quebra de integridade pode trazer prejuízospraticamente instantâneos para as empresas e para os clientes dessas empre-sas. São exemplos de danos por quebra de integridade: • Saldos de incorretos de correntistas de um banco • Venda de produtos por preços incompatíveis • Desabamentos devidos a cálculos incorretosDos três princípios da segurança, a integridade é o mais abrangente e tam-bém amplamente exigido em leis e regulamentações (Ex: Sarbanes-Oxley). AIntegridade pode ser definida em várias dimensões: 71

Autenticidade ( Certeza de que uma informação pertence ao autor decla-rado) — Segundo o dicionário Aurélio, Autenticidade significa o que é doautor a quem se atribui; a que se pode dar fé; Que faz fé; Legalizado, autenti-cado; verdadeiro, real, genuíno, legítimo. Dentro da segurança da informa-ção, a autenticidade nos fornece duas garantias fundamentais:  O Documento é realmente do autor declarado  O Documento é o que diz serNão-repúdio (§impossibilidade de negar responsabilidade sobre seusatos.)— Quando um documento é assinado de uma forma segura, dizemosque se estabeleceu o não-repúdio, ou seja, a impossibilidade do assinante denegar a responsabilidade sobre seus atos. Um exemplo claro disso seria umapessoa que usa um cartão com certificado digital (como o e-CPF) para assi-nar documentos. Devido ao grau de confiabilidade dessa tecnologia, essa pes-soa não pode negar a autoria de uma transação na qual este cartão foi utiliza-do.Auditabilidade (Grau de facilidade com que podemos checar a origem e con-sistência das informações ) — prevê a possibilidade de se checar os dadosoriginários de determinada informação e reconstruí-la através da recriaçãodo processo original, validando assim toda a integridade da informação finalExatidão ( Capacidade de se verificar e comprovar a exatidão das infor-mações )— é uma consequência da confiabilidade dos processos de entradae processamento de dados, por isso a importância de da possibilidade de ve-rificação desses processos. 72

Precisão (Grau de variação de um resultado) — Componente importanteda integridade, uma vez que um lapso de precisão pode causar uma no in-consistência de dados.Validade (Qualidade ou condição de válido) — Alcançada quando os da-dos dos quais uma informação procede forem de alguma forma validados,eliminando a possibilidade de contaminação do resultado por dados incorre-tos.Totalidade ( Condição na qual um conjunto de informações se encon-tram por completo em um determinado sistema) — uma informação so-mente será confiável, se todo o conjunto pré-estipulado de informações estejatotalmente disponível para processamento, caso contrário poderá haver im-pactos na exatidão e precisão das informações processadas 73

74

A Classificação da informação é uma política que visa assegurar que a infor-mação receba um nível adequado de proteção através da sua identificaçãoconsiderando seu valor, requisitos legais, sensibilidade e criticidade.A classificação das informações consiste em rotular e estabelecer os níveis deproteção para todos os ativos da organização. A partir desta classificação sãoaplicados controles específicos para garantir a segurança das informações.Desta forma, quanto maior o nível de classificação, mais rígidos serão os con-troles de forma a oferecer uma maior segurança aos ativos.O principal objetivo da classificação é definir o nível adequado de proteçãoque uma determinada informação deve receber. Isso é fundamental para quedois problemas comuns não ocorram: 75

1) Informações muito importantes são tratadas com um nível de seguran- ça baixo, colocando em risco toda a organização 2) Informações não sigilosas recebem um nível de proteção acima do ade- quado, o que gera um desperdício de recursos e pode dificultar um acesso que deveria estar liberado (ex. informações públicas)O principal objetivo ao definir um modelo de classificação é saber qual a im-portância dos níveis em relação à segurança da informação e, dessa forma,definir para cada nível a forma como aquelas informações serão manipuladase protegidas.Para cada nível de classificação deve-se definir como as mesmas serão proces-sadas seguramente, armazenadas, transmitidas, desclassificadas e destruídas.Isso inclui os procedimentos de cadeia de custódia e registro (log) de qual-quer evento de segurança relevante. A rotulação da informação é um requisi-to chave para acordos de troca de informação.A informação frequentemente deixa de ser sensível ou crítica após um certoperíodo de tempo, por exemplo quando a informação se torna pública. Con-vém que estes aspectos sejam levados em consideração, pois uma classifica-ção superestimada pode levar à implementação de custos desnecessários,resultando em despesas adicionais.Quanto maior o nível de classificação, maior a necessidade de segurança econsequentemente mais rígidos serão os controles. 76

As informações podem ser: • Classificadas: Ter um nível de classificação atribuído • Reclassificadas: Receber um novo nível de classificação • Desclassificadas: Tornarem-se públicas (remover o rótulo de classifica- ção)Algumas recomendações da ISO 27002: • a classificação da informação não é necessariamente fixa; • documentos de outras organizações devem ser reclassificados; • muitos níveis de classificação podem deixar o processo complexo e economicamente inviável; • o proprietário da informação deve ser o responsável pela sua classifica- ção e análise crítica; • rótulos e tratamento da informação: definir e implementar um conjun- to de procedimentos para rotulação e tratamento da informação se- gundo o esquema de classificação adotado pela empresa.A norma destaca ainda em informações adicionais que o nível de proteçãopode ser avaliado analisando a confidencialidade, a integridade e a disponibi-lidade da informação, bem como quaisquer outros requisitos que sejam con-siderados. 77

http://www.terra.com.br/istoe-temp/edicoes/2071/imprime144400.htm A história oficial dos ÓVNIS no BrasilDocumentos da Aeronáutica revelam a missão especial que filmou e fotogra-fou aparições de óvnis no País e mostram como funcionava o departamentocriado pelos militares para investigar os relatos sobre discos voadoresDuas dezenas de oficiais da Força Aérea Brasileira (FAB) estiveram envolvi-dos em uma missão sigilosa no meio da selva amazônica, no Pará, 30 anosatrás. Denominada Operação Prato, ela é a mais impressionante investigaçãode óvnis (objetos voadores não identificados) realizada pela Aeronáutica quese conhece. É uma espécie de caso Roswell brasileiro, com missões secretas,histórias e fenômenos sem explicação. Enquanto em Roswell, marco da ufo-logia mundial, os militares americanos primeiro admitiram a existência dosóvnis e depois negaram, os relatórios da FAB não deixam dúvidas: os oficiais 78

do I Comando Aéreo Regional (Comar), em Belém, designados para a opera-ção, que ocorreu nos quatro últimos meses de 1977, afirmam ter presenciado -mais de uma vez - UFOs cruzando o céu da Amazônia.Detalhes da Operação Prato estão em relatórios sigilosos que acabam de serliberados pelo governo federal para consulta no Arquivo Nacional, em Brasí-lia. Desde o ano passado, estão vindo a público documentos, alguns guarda-dos há mais de 50 anos. Todos os arquivos secretos de UFO estão sob res-ponsabilidade da Casa Civil desde 2005. Há 1.300 folhas de um total estima-do em 25 quilos de material, com descrições, croquis e fotos de óvnis referen-tes a três lotes de informações da FAB. Os dois primeiros contêm relatos dosanos 50 e 60. O último, aberto em maio e do qual faz parte a Operação Prato,cobre a década seguinte. No próximo mês, será a vez do acervo dos anos 80.Os arquivos, agora públicos, trazem depoimentos de civis, trocas de corres-pondências entre militares sobre óvnis, recortes de jornais da época e váriasconversas entre pilotos e controladores de voos sobre estranhos fenômenosno espaço aéreo nacional No momento, apenas os relatórios de UFOs classifi-cados como reservados e confidenciais da Aeronáutica tornaram- se públicos.Espera-se que o Exército e a Marinha façam o mesmo. São aguardadas, tam-bém, as páginas com os carimbos de secreto e ultra-secreto. Por lei, as queRessaltar que os documentos eram confidenciais e reservados, com tempodiferente de classificação dos secretos.Lembrar que eles foram desclassificados porque pertencem à sociedade, eestão somente sob custódia do governo. cumpriram 30 anos de ressalva deve-riam ser públicas, mas na prática não é o que ocorre. \"Não se quebra uma cul-tura de uma vez. E eu não sou a favor de divulgar documentos que ferem a 79

privacidade das pessoas, induzem pânico à população ou colocam a seguran-ça do País em risco\", defende o brigadeiro José Carlos Pereira, ex-comandantede operações da FAB e ex-presidente da Empresa Brasileira de InfraestruturaAeroportuária (Infraero).Hoje na reserva, o brigadeiro de 67 anos foi considerado por muitos anos oguardião da chave do cofre de segredos ufológicos brasileiros. Foi ele quemordenou o recolhimento de todo material sigiloso produzido sobre o temaespalhado em bases aéreas e aeroportos do Brasil. A papelada foi levada parao Comando de Defesa Aeroespacial (Comdabra), em Brasília, onde ele exerciaa função de comandante- geral, no início da década. Mas somente no anopassado os documentos começaram a chegar ao arquivo nacional.Revirar os porões das Forças Armadas e revelar os segredos ufológicos é umatendência verificada em outros países. \"Com essa abertura, a Aeronáuticareconhece a necessidade de tratar o fenômeno UFO de maneira séria, deixan-do de lado o tom pejorativo e irreverente que quase sempre aparece quandose levanta a plausível hipótese de estarmos recebendo a visita de seres extra-terrestres\", diz Ademar José Gevaerd, 47 anos, coordenador da Comissão Bra-sileira de Ufólogos (CBU), que elaborou uma campanha em prol da liberdadede informações sobre UFOs.Hoje, a pessoa que quiser relatar a aparição de um óvni dificilmente encon-trará eco na FAB. \"A Aeronáutica não dispõe de estrutura especializada pararealizar investigações científicas\", informou a FAB à ISTOÉ. Porém, duranteo funcionamento do Sioani, no IV Comar, toda testemunha era submeti-da a exames nos quais se avaliavam a presença de psicopatologia, o des-vio de personalidade ou a tendência à mitomania. O Sioani procurava sa- 80

ber, ainda, a condição psicofísica da pessoa no momento da observação (emjejum, alimentado, com teor alcoólico, cansado, trabalhando ou distraído), seela vivia tensões familiares ou políticas e qual religião seguia. O local da apa-rição do oani (objeto aéreo não identificado, como o óvni era chamado à épo-ca) também era esmiuçado: tipo de vegetação, umidade e temperatura apare-cem citados nos relatórios.Admitir a 'possibilidade' de existência do oani é atitude científica... penetrarno âmago do fenômeno, investigando- o sob os aspectos psiquiátricos, psico-lógicos, sociológicos, astronômicos, meteorológicos, jurídicos, etc, constituiuma necessidade. Eis a posição em que se coloca o Ministério da Aeronáuti-ca\", diz um dos dois boletins produzidos pelo Sioani, que encerrou suas ativi-dades supostamente porque pesquisar discos voadores não interessava maisaos militares, em meio à repressão no PaísParentes e amigos do capitão Uyrangê, que esteve à frente da Operação Pra-to, contam que ele teve até um contato imediato de terceiro grau na margemdo rio Guajará-Mirim, no Pará, em dezembro de 1977. Ele e mais um oficial,também já morto, teriam avistado uma nave de 100 m de comprimento, noformato de uma bola de futebol americano, pousar em pé na outra margem dorio. A cerca de 70 m do local, os militares teriam visto uma porta se abrir noalto do objeto e um ET descer e flutuar sobre as águas. Após ouvir o relatodessa experiência, o comandante Protásio teria ordenado o fim da OperaçãoPrato. Nem o contato imediato e nem o epílogo da missão constam do acervoliberado pelo Arquivo Nacional. Se vierem a público, Roswell deverá ficar aanos-luz das nossas histórias de UFOs 81

82

A palavra risco, vem da palavra “risicare”, que no italiano antigo significaousar. Através dessa definição entendemos que risco não é necessariamentealgo negativo. Pelo menos não de uma forma geral.Quando se joga 100.000 dólares em um número da roleta existe uma grandechance de se perder todo o dinheiro (risco negativo alto), mas existe a possi-bilidade de ganhar (risco positivo baixo). Podemos considerar este um riscopositivo, uma oportunidade de ficar milionário.Colocando-se no lugar da banca você identifica uma excelente oportunidadede ganhar 100.000 dólares (risco positivo) e um pequeno risco de pagar umafortuna para um sortudo que ousou apostar uma fortuna (risco positivo), 83

Uma ameaça pode ser definida de diversas formas, dentre elas selecionamos 2que definem bem o termo:1) Uma potencial causa de incidente*2) Todo e qualquer perigo eminente seja natural, humana, tecnológica, física ou político-econômica.As ameaças são latentes, e dependem de uma ação externa para que se con-cretizem. O Agente de ameaça é um elemento que através de uma ação pró-pria é capaz de concretizar uma ameaça.Uma invasão é uma ameaça latente, por outro lado um cracker pode ser oagente de ameaça a transformá-la em uma realidade. 84

As vulnerabilidades possibilitam que as ameaças se concretizem e tornem-seincidentes. Uma vulnerabilidade não precisa ser grandes para que o impactodo incidente se torne gigantesco.O mais importante para uma boa análise de risco é descobrir onde realmentese encontram as vulnerabilidades. Se tomarmos como exemplo a catástrofede 11 de setembro de 2001, podemos dizer que a vulnerabilidade não estavanas torres gêmeas, e sim no sistema de segurança dos aviões, que permitiuque tudo aquilo acontecesse.As vulnerabilidades de software são as principais causadoras de ataques bemsucedidos às organizações. 85

Agente de ameaça é o elemento que através de uma ação própria é capaz deconcretizar uma ameaça.O agente é o elo de ligação entre a ameaça e o ativo, ele é responsável porexplorar a vulnerabilidade do ativo e causar o incidente.Um Cracker que realiza uma invasão é o agente de ameaça que explora umavulnerabilidade de software ou configuração e causa um incidente.que os profissionais de TI também são recursos de TI. 86

87

Termo genérico que se refere a todos os tipos de programa que executamações maliciosas em um computador. Exemplos de códigos maliciosos são osvírus, worms, bots, cavalos de tróia, rootkits, etc.São exemplos de Malware: • Vírus; • Worms; • Spywares; • Trojans e Rootkits 88

O código dos malwares podem ser divididos em 2 partes:• Vetor de ataque é o método que o agente ameaçador utiliza para ata- car um sistema Ex: trojam, phising, etc.• Payload é uma atividade mal-intencionada exercida pelo malware. O payload é uma ação separada da instalação e da propagação que o malware realiza. Ex: spyware, rootkit, bomba lógica, etc. 89

Vírus são programa ou parte de programas de computador, normalmentemaliciosos, que se propaga (infecta) se tornando parte de outros programasou inserindo cópias de si mesmo no sistema de arquivos de um computador.O vírus depende da execução do programa ou arquivo hospedeiro para quepossa se tornar ativo e dar continuidade ao processo de infecção.Worm é um programa capaz de se propagar automaticamente através deredes, enviando cópias de si mesmo de computador para computador.Diferente do vírus, o worm não necessita ser explicitamente executado parase propagar. Sua propagação se dá através da exploração de vulnerabilidadesexistentes ou falhas na configuração de softwares instalados em computado-res. 90

Os Worms são a causa mais comum de ataques na Internet: • Mais de 50% dos boletins publicados pelo CERT (computer security incident report team) são conseqüência de buffer overflows • O Morris worm foi o primeiro worm, escrito em 1988 ele explorava uma vulnerabilidade e causava um Buffer Overflow no Fingerd de ser- vidores Sun e Digital Vax: 6,000 máquinas infectadas • O Melissa, de Março 1999 foi Primeiro grande worm de rede para Windows. Multiplicava-se através de e-mail com um documento word anexado com um vírus em macro • O Code Red, de Julho 2001 explorava um vulnerabilidade de buffer overflow do IIS e infectou 250,000 sistemas em 9 horas e 300,000 má- quinas infectadas em 14 horas. O Cod Red tinha como alvo principal um DDOS do site www.whitehouse.gov e a Microsoft • O Nimda, de setembro 2001 tinha 12 diferentes mecanismos de propa- gação e foi considerado o mais rápido e efetivo worm já escrito por muitos anos. • O Slapper, de Setembro 2002 injetava um código através de uma vul- nerabilidade de buffer overflow no modo ssl do Apache SSL e Constru- ía uma rede ‘peer-to-peer’ para ataques DDoS • O SQL Slammer , de Janeiro 2003 explorava um ‘buffer overflow’ no SQL Server e causava ‘flood’ na rede. Infectou 75,000 máquinas infec- tadas em apenas 10 minutos • O Blaster, de Agosto 2003 explorava um ‘buffer overflow’ no DCOM RPC e executava um DDoS no Windowsupdate.com 91

Especialistas falam da criação do primeiro vírusSe em alguma ocasião você teve que gastar dinheiro em um programa antiví-rus, está desculpado por querer 'explicações' do doutor Frederick Cohen,tido como \"pai\" do primeiro vírus da história. Mas a pesquisa dele, na verda-de, pretendia proteger os computadores de ameaças que só chegariam anosdepois. E ele é, hoje, reconhecido como um dos maiores especialistas em téc-nicas de defesa contra vírus.Cohen falou com a BBC sobre o dia em que fez a descoberta, quando era ain-da estudante na Universidade do Sul da Califórnia (USC). Ao saber da cria-ção de um programa que dava acesso aos computadores alheios sem autori-zação, Cohen pensou que esse trojan poderia ser programado para duplicar-se. Esse foi o momento em que, como ele costuma dizer, \"acendeu-se a lâm-pada\".Perigo potencial\"Estava sentado, na aula, quando de repente me ocorreu que o trojan poderiacopiar a si mesmo em outros programas. Então, todos esses programas fica-riam infectados e todo mundo que os utilizasse seria contagiado e assim su-cessivamente\", disse Cohen. \"Ficou claro que o jogo havia terminado, nessemomento\", acrescentou. 92

Imediatamente, o especialista apresentou a idéia ao professor Len Adleman,outro estudioso da segurança. \"Fred chegou perto de mim e me disse quehavia descoberto um tipo novo de ameaça informática e começou a descrevero que agora chamamos de vírus\", lembra Adleman. \"Queria levar a cabo expe-riências reais, com o computador que eu usava. Mas não tinha sentido reali-zar uma experiênquando era evidente que iria funcionar\", disse.Mas Cohen insistiu. Queria ter certeza. E assim nasceu o primeiro vírus.Problema de segurança\"Nesse instante compreendi a má notícia. A partir daí, passei os cinco ou seisanos seguintes da minha vida tentando encontrar formas de proteção contrao que acabáramos de descobrir, assim como compreender os limites do quese poderia fazer\", destacou Cohen.Ante seu novo achado, a dupla de pesquisadores enfrentou um problema. Adescoberta poderia, potencialmente, ter um impacto enorme no mundo dainformática. Como acadêmicos, tinham a obrigação de compartilhar suasconclusões ou deviam manter em segredo a vulnerabilidade do sistema?Finalmente, decidiram publicar o artigo. 93

\"Era inevitável\"\"Minha opinião é que os vírus eram inevitáveis, que iam chegar independen-temente de publicarmos ou não o artigo. Entretanto, na publicação não fo-mos explícitos o suficiente, evitando que alguém pudesse aprender a criarvírus\", disse Cohen.Adleman concorda com o companheiro neste aspecto. \"Ia acontecer cedo outarde. A questão era se aconteceria depois de termos feito a pesquisa ou an-tes\", destacou.Na opinião de Cohen, faz tempo que deixaram de levar a cabo investigaçõessérias sobre as possíveis ameaças que podem afetar os sistemas. \"Até onde eusei, no final da década de 80 a investigação real sobre vírus foi abandonada.Há interesses importantes no sentido de que curar o mais recente vírus sejarentável, mas não prevenir-se contra o próximo\", disse o \"pai\" do primeirotrojan. Terra Tecnologia - http://tecnologia.terra.com.br/interna/0,,OI4113153- EI4805,00.html 94

Termo utilizado para se referir a uma grande categoria de software que tem oobjetivo de monitorar atividades de um sistema e enviar as informações cole-tadas para terceiros. Essas informações podem ser utilizadas em roubo deidentidade, golpes e fraudes, assim como para o envio de spam.O Spyware é normalmente instalado sem a autorização do usuário (Trojan) etem como objetivo o roubo e transmissão de informações de usuários. Aocontrário de alguns vírus e worms o spyware não tem a finalidade de danifi-car o computador ou qualquer outro software instalado, mas utiliza recursossem autorização do usuário e viola sua privacidade.Os spywares podem ser utilizados de forma legítima, mas, na maioria dasvezes, são utilizados de forma dissimulada, não autorizada e maliciosa. 95

O cavalo de Tróia tem como característica trazer junto a um programa qual-quer um outro programa de código malicioso, o qual será instalado na má-quina no momento em que o programa principal for executado. Esta técnicapode trazer diferentes ameaças, com vírus, adware, spyware, key loggers etc.O Nome vem da lendária guerra entre Gregos e Troianos, onde os gregos dei-xam para os Troianos um enorme cavalo de madeira, que é interpretado co-mo um símbolo de rendição e um presente para o vencedor da guerra. Porém,o ―Presente de Grego‖ encontra-se ―recheado‖ de soldados gregos que fi-nalmente conseguem se infiltrar nas muralhas de Troia, sem no entanto terque superá-las.Assim como na lenda de Troia, o programa ―Cavalo de tróia‖ é normalmenteenviado como um Phishing, um falso presente para a vítima, utilizando umtema que desperte seu interesse abrir o presente e inserir o Malware no com-putador sem o conhecimento do usuário e sem que este tenha que passar pe-lo firewall ou outra proteção. 96

Os trojans podem vir dentro de uma infinidade de tipos de arquivo, algunsexemplos são os cartões virtuais, descansos de tela, cracks‖, apresentações,vídeos e até fotos.Os trojans contam mais com o despreparo da vítima do que com as qualifica-ções do atacante, por esse motivo é considerado um ferramenta básica paraatacantes iniciantes (Script Kids).O Trojan Horse é um dos Malwares mais encontrados em computadores do-mésticos, e podem desempenhar diversas funções (Spyware, vírus, backdoor,etc) dependendo da finalidade com que foram concebidos. 97

Alerta: trojan bancário se passa por instalador do Google ChromeSegundo a Trend Micro, o malware aplica técnica ousada para fisgarsuas vítimasUma nova ameaça dedicada ao roubo de dados bancários, o TSPY_ Ban-ker.EUIQ foi descoberto pelos pesquisadores da TrendLabs Brasil, laborató-rio da Trend Micro. Segundo a companhia, o malware atacou mais de trêsmil usuários nos últimos dias, a maior parte deles aqui no país.A equipe de pesquisadores brasileiros encontrou algumas URLs suspeitasindicando caminhos não comuns para download do arquivo ChromeSe-tup.exe, que iludiam a vítima ao fazê-los acreditar que o arquivo estava hos-pedado em domínios como Facebook, Terra, Google, entre outros.Algumas das URLs são (para sua segurança, não tente testá-las):  hxxp://b r.msn.com/ChromeSetup.exe  hxxp://www.faceb ook.com.b r/ChromeSetup.exe  hxxp://www.faceb ook.com/ChromeSetup.exe  hxxp://www.glob o.com.b r/ChromeSetup.exe  hxxp://www.google.com.b r/ChromeSetup.exe  hxxp://www.terra.com.b r/ChromeSetup.exe 98

A ação dos especialistas mostrou que os endereços estavam sendo manipu-lados por um malware bancário multi-modular, que utilizava uma aborda-gem inusitada para fazer o ataque. Ao acessar estas URLs, os usuários eramdirecionados a outros endereços que não pertenciam aos domínios legíti-mos.De acordo com Alberto Medeiros, especialista da Trend Micro, a ameaçaage induzindo a vítima a realizar o download do seu módulo principal, oChromeSetup.exe. \"Após a infecção, o malware envia informações da má-quina do usuário como IP, nome de host Windows da máquina, sistemaoperacional e versão para um servidor de C&C - Comando e Controle\", ex-plica. Na sequência, a ameaça faz outro download, dessa vez de um arquivoque redireciona o acesso a páginas bancárias falsas sempre que o usuáriotenta visitar sites bancários legítimos, apresentando sempre a seguintemensagem: “Aguarde, carregando o sistema”Medeiros alerta para um detalhe importante que pode ajudar o usuário aidentificar o malware. \"A página falsa do banco apresenta um caractere sub-linhado (como mostrado na tela baixo), no título da janela, antes do nomedo banco, como pode ser observado nas imagens acima. Caso isso aconteça,o usuário não deve cadastrar seus dados e senhas. Outro ponto de atenção éo fato do redirecionamento que o malware realiza para o link utilizado pe-los cibercriminosos. Sempre que for acessar contas bancárias, os usuáriosdevem fazê-lo por meio de domínios válidos\", finaliza.http://www.administradores.com.br/informe-se/tecnologia/alerta-trojan-bancario-se-passa-porinstalador-do-google-chrome/55300/ 99

Um rootkit é um pacote de programas maliciosos, que substituem o arquivosbinários (programas compilados) por um kit de programas que mantém umaporta aberta sem que verdadeiro root (administrador do unix) perceba. Coma porta aberta o invasor pode voltar a qualquer momento e utilizar os privilé-gios do root (ou do usuário do serviço que ele tenha utilizado, para realizarabsolutamente qualquer ação dentro do computador, inclusive, roubar, alte-rar ou destruir qualquer informação.O Nome rootkit é derivado do usuário root do Unix, ambiente onde essa prá-tica se popularizou, mas existem rootkits para quase todas as plataformas.Existem rootkits para Solares, Mac OS, Linux e a maioria das versões doWindows, entre outros.Os rootkits ganharam publicidade em 2005, quando foi revelado que a grava-dora Sony/BMG instalava um rootkit chamado XCP (Extended Copy Pro-tection) em seus CD´s de música com o objetivo de instalar um mecanismoanti-cópia. 100