Revista Segurança da Informação

7/31/2019 Revista Segurana da Informao

1/112


2/112


3/112

FonteFonteF teon 3Julho/Dezembro de 2007

editorialEditorialNesta edio, a revistaFonte traz aos seus

leitores um tema que, de forma crescente, vem ocu-pando a pauta de executivos e usurios das tecnolo-gias da informao e comunicao (TICs) em todo omundo: a segurana da informao. A preocupaotambm atinge os usurios domsticos, que, a cadadia, se deparam com novos golpes que ameaamsuas informaes e privacidade e, em casos extre-mos, sua integridade fsica.

O desenvolvimento das TICs trouxe, em suatrajetria, benefcios inquestionveis para o desen-volvimento de toda a sociedade, democratizandoservios e informaes, facilitando a vida dos cida-dos, provendo os administradores de recursos paraexecutar de forma mais e caz seus projetos e con-cretizar estratgias.

No entanto, e infelizmente, essa evoluo,com seu carter essencialmente democrtico, tam-bm acessvel a pessoas ou organizaes que agemde forma inescrupulosa e reproduzem, no mun-do virtual, um ambiente de risco e contraveno. Na maioria das vezes motivados por objetivos nan-

ceiros e pelo desa o de burlar sistemas de segurana,os chamados hackers inovam de forma permanente,utilizando recursos tecnolgicos e eventualmenteprescindindo deles, amparados pela engenharia so-cial para executar seus projetos criminosos.

Os re exos do risco que representam para asociedade so percebidos na crescente necessidadede investimentos das organizaes em ferramentasde segurana, na reengenharia de processos e nacapacitao de colaboradores; no impacto sobre os

negcios e transaes realizadas pela internet; emprejuzos s empresas, especialmente dos setoresnanceiro e de e-commerce; e, de forma geral, na

ameaa privacidade.O debate que a revistaFonte promove, nesta

sua stima edio, procura tornar mais transparentepara os leitores os riscos e ameaas que caracteri-zam a comunicao em rede, oferecendo insumospara que organizaes pblicas e privadas e usuriosdomsticos possam se prevenir, conhecendo formas

de identi car vulnerabilidades e as solues queo mercado desenvolve para fazer frente a essarealidade.

Para isso, foram ouvidos especialistas nasmais diversas reas ligadas segurana da infor-mao, resultando na apresentao de um panora-ma dos problemas e das solues que envolvem aquesto. Entre os colaboradores desta edio esto consultor americano Kevin Mitnick, que se tor-nou famoso como o maior hacker da histria dainternet. Com a experincia de quem esteve dolado oposto da lei, mostra como agem os contra-ventores na rede. A advogada Patrcia Peck, espe-cialista em direito digital, d sua contribuio naseo Dilogo, analisando as mudanas culturaisimpostas pelas tecnologias e seus re exos na le-gislao. O advogado Alexandre Atheniese abordaa questo das relaes trabalhistas e privacidade,e os analistas da Prodemge, Paulo Csar Lopes eMrio Velloso, fazem um alerta sobre cuidados queos pais podem adotar com relao a seus lhos, nainternet. Professores, empresrios, pesquisadores

e especialistas apresentam estudos, tendnciase experincias prticas, como os programas desegurana da Cemig, em Minas Gerais, e da Re-ceita Federal.

A Prodemge espera contribuir para a amplia-o do debate sobre as questes relativas ao valorda informao nas organizaes e entre os usu-rios domsticos, sinalizando riscos e vulnerabili-dades e indicando solues. Com a experincia de40 anos gerenciando as informaes do Estado de

Minas Gerais, a Prodemge valoriza conceitos comointegridade, disponibilidade e sigilo. Essa mesmaexperincia, numa trajetria paralela histria dainformtica, d Companhia o conhecimento dosriscos e das tecnologias disponveis para prevenoe combate ao problema, que se pretende comparti-lhar com os leitores da revistaFonte.

Diretoria da Prodemge


4/112

sumrioSumrioAno 04 - Julho/Dezembro de 2007 Tecnologia de Minas Gerais

InteraoComentrios e sugestes dos leitores.DilogoEntrevista com a advogada especialista em direito digital, Patrcia Peck, que analisa os desa os do Direito diante da evoluo das tecnol e fala das mudanas culturais, da privacidade e anonimato na sociedade digital e da prtica de monitoramento nas comunicaes em am corporativos.

DossiO crescimento do uso de redes e o aumento de riscos nas transaes feitas na internet. As pesquisas e investimentos em tecnolo comportamentos na busca de uma harmonia entre a segurana da informao e a continuidade dos negcios.

A segurana da informao freia ou acelera os negcios?O professor da FGV e diretor de Operaes de Information Risk, da Atos Origin, em Londres, Marcos Smola, faz uma re exo sob impactos dos programas de segurana da informao nos negcios das empresas.

Iniciativas e importncia da segurana da informao e privacidade na sade

O uso de documentos eletrnicos na rea da sade e as implicaes das tecnologias da informao e comunicao no setor, em art pesquisador do Laboratrio de Sistemas Integrveis da EPUSP, Lus Gustavo Kiatake.

BenchmarkingA implantao e o gerenciamento de programas de segurana da informao nas organizaes. Mudana e consolidao de cultura e tecn no combate aos incidentes de segurana na Companhia Energtica de Minas Gerais e na Receita Federal.

Informao sobre sade na webA professora Isa Maria Freire, lder do Grupo de Pesquisa Informao e Incluso Social do IBICT, faz um alerta aos usurios da internet veracidade das informaes publicadas na rede. Como identi car fontes con veis?

A chave da segurana est no treinamentoUm panorama da segurana da informao nas organizaes e a importncia da preparao dos colaboradores para fazer frente aos risc artigo do professor Erasmo Borja Sobrinho, diretor da Assespro-MG.

Wireless LAN para ambiente corporativo: muito alm de extinguir o cabo azulO especialista em networking e segurana digital, Vitrio Urashima, discute a questo da segurana em redes sem o.

Universidade Corporativa ProdemgeA segurana da informao, em artigos acadmicos inditos, com abordagem dos aspectos tecnolgicos, legais e sociais do tratame informao. As experincias na rea pblica, as relaes trabalhistas, os riscos para indivduos e organizaes.

Algumas recomendaes para um modelo de governana da segurana da informaoMauro Csar Bernardes, diretor de diviso tecnolgica no Centro de Computao Eletrnica da USP e professor no C Universitrio Radial.

Aes de segurana da informao no governo mineiro 2005/2007Marconi Martins de Laia, diretor da Superintendncia Central de Governana Eletrnica do Governo de Minas Gerais, e Rodrigo Lara, titular da Diretoria Central de Gesto da Informao da Secretaria de Planejamento e Gesto do Estado de Minas Gerais

O monitoramento eletrnico e as relaes trabalhistasAlexandre Atheniense, advogado com especializao em Internet Law e Propriedade Intelectual. Presidente da Comiss Tecnologia da Informao do Conselho Federal da OAB.

Aplicao de ontologias em segurana da informaoMaurcio B. Almeida, professor da UFMG, pesquisador nas reas de Gesto da Informao e do Conhecimento.

Protegendo os inocentesMrio Augusto Lafet Velloso, analista de Sistemas na Prodemge, consultor em segurana da informao, e Paulo Csar L analista de Suporte Tcnico na Prodemge, especialista em sistemas operacionais e redes.

Governana de TICs e Segurana da InformaoJoo Luiz Pereira Marciano, doutor em Cincia da Informao, consultor de programas da TecSoft e Softex, do Departamen Polcia Federal e da Organizao das Naes Unidas.

Esteganogra a: a arte das mensagens ocultasClio Albuquerque, professor do DCC / UFMG; Eduardo Pagani Julio, professor da Universidade Salgado de Oliveira e da Facu Metodista Granbery; Wagner Gaspar Brazil, atua na rea de segurana da informao da Petrobras.

Fim de Papo Lus Carlos EirasVoc sabe com o qu est falando?

5

52

7

13

34

36

38

44

46

48

110

62

70

75

84

93

101

50


5/112

Julho/Dezembro de 2007FonteFonteF teon 5

Inter @oGovernador do Estado de Minas GeraisAcio Neves da CunhaVice-Governador do Estado de Minas GeraisAntonio Augusto Junho AnastasiaSecretria de Estado de Planejamento e GestoRenata Maria Paes de VilhenaDiretora-PresidenteIsabel Pereira de SouzaVice-PresidenteCssio Drummond de Paula LemosDiretora de Gesto EmpresarialMaria Celeste Cardoso PiresDiretor de NegciosSrgio Augusto GazzolaDiretor de ProduoRaul Monteiro de Barros FulgncioDiretor de Desenvolvimento de SistemasNathan LermanSuperintendente de MarketingHeloisa de SouzaAssessor de ComunicaoDnis Kleber Gomide Leite

CONSELHO EDITORIALAntonio Augusto Junho AnastasiaPaulo Klber Duarte PereiraIsabel Pereira de SouzaMaurcio Azeredo Dias CostaAmlcar Vianna Martins FilhoMarcio Luiz Bunte de CarvalhoMarcos BrafmanGustavo da Gama Torres

EDIO EXECUTIVASuperintendncia de MarketingHeloisa de SouzaEdio, Reportagem e RedaoIsabela Moreira de Abreu MG 02378 JPArtigos Universidade CorporativaRenata Moutinho VilellaCoordenao da Produo GrfcaGustavo Rodrigues PereiraConsultoria TcnicaPaulo Csar LopesSrgio de Melo DaherRevisoMarlene A. Ribeiro GomideRosely BattistaDiagramao Carlos WeyneCapaGuydo RossiImpressoGrupo Open/Lastro EditoraTiragemQuatro mil exemplaresPeriodicidadeSemestralPatrocnio/Apoio InstitucionalGustavo Rodrigues Pereira(31) 3339-1133 / [email protected]

Filiada Aberje

Uma publicao da:

Ano 4 - n 07 - Julho/Dezembro de 2007

Esta edio contou com o apoio:

Agradecimento especial:Naira Fontes Faria Marcela Garcia

Bruno Moreira Carvalho Belo Sucesu-MGA revista Fonte visa abertura de espao paraa divulgao tcnica, a re exo e a promo -o do debate plural no mbito da tecnologia dainformao e comunicao, sendo que ocontedo dos artigos publicados nesta edio de responsabilidade exclusiva de seus autores.

Prodemge - Rua da Bahia, 2.277 - Bairro LourdesCEP 30160-012 - Belo Horizonte - MG - Brasil

[email protected]

OPINIES DOS LEITORES

A revistaFonte agradece as mensagens enviadas redao, entre as quaisalgumas foram selecionadas para publicao neste espao destinado a acolheras opinies e sugestes dos leitores. Continuem participando: o retorno fun-damental para que a revista evolua a cada edio.e-mail: [email protected]

RevistaFonte - Companhia de Tecnologia da Informao do Estado de Minas GeraisRua da Bahia, 2.277, Lourdes,Belo Horizonte, MG - CEP: 30160-012

Recebemos os exemplares da nova edio da revistaFonte. Tenhoa impresso de que a presena da RNP nessa edio vai ser marcante nahistria de nossa comunicao. Foi a informao certa, no momento cer-to, no veculo certo. Houve uma feliz sincronia entre o que estamos reali-zando implementao da rede nacional de alto desempenho e extensodessa infra-estrutura at a ltima milha para conexo de instituies deensino superior e pesquisa em todo o Pas e a excelente viso geral queessa edio daFonte construiu acerca do cenrio de redes de comunica-o, no Brasil e no mundo. Parabns pelo trabalho.

Marcus Vinicius Rodrigues MannarinoRNP Gerente de Comunicao e Marketing

AGRADECIMENTOS

Primeiramente, gostaria de agradecer equipe da revistaFonte, poreu ter recebido, no ano que passou, todos os exemplares. Sou consultor deTI Software, nesta capital, e me surpreendo a cada exemplar publicadopor este veculo de comunicao, no qual a Prodemge retrata os temasabordados com muita clareza. Parabns mais uma vez aos colaboradoresdesta publicao to elementar em nosso dia-a-dia, contribuindo para oacesso s informaes que merecem destaque em TI. Aproveitando, gos-taria de reiterar o meu interesse em assinar a revistaFonteneste ano quese inicia, com o rme objetivo de estudos e atualizao diria em meuambiente de trabalho.

Cristiano A. FirminoBelo Horizonte/MG


6/112

FonteFonteF teon6 Julho/Dezembro de 2007

Nosso departamento, na pre-feitura de Par de Minas, o res-

ponsvel direto e est completa-mente envolvido com as redes decomunicao locais e wireless.Conversando com um dos nossosfornecedores sobre as opes quetemos disposio para integra-o dos pontos remotos mais dis-tantes, normalmente localizadosem reas rurais e sem visada comas antenas, recebemos dele umarevista trazendo uma matria so-bre o Wimax. Essa revista foi a

Fonte, ano 4, nmero 6, da qualextramos muita informao eque nos agradou bastante pelo con-tedo claro e abrangente. Gostar-amos de ser includos na sua listade assinantes.Francisco V. Severino SobrinhoDepartamento de Processamento

de DadosPrefeitura Municipal de Par de

Minas/MG

Sou formando do curso deCincia da Computao da Uni-versidade Federal de Viosa.Estou fundando uma empresapara consultoria em automaocomercial e gesto de informa-es. Gostaria muito de assinar arevista pois os contedos sempreatualizados e bem formuladosseriam de grande ajuda para apli-cao na minha empresa, alm depoder disponibiliz-la para meusclientes e parceiros.Fabrcio Passos

Viosa/MG Sou jornalista e trabalho na

Secretaria Municipal de MeioAmbiente da Prefeitura de Mon-tes Claros. Fazemos parte daRede Brasileira de Fundos So-cioambientais Pblicos do Bra-sil, criada em junho de 2006.

Gostaria de receber exemplaresda revistaFonte. Esse material

poder contribuir para o fortale-cimento do Fundo nico de MeioAmbiente, que faz parte da Redecitada acima. www.montesclaros.mg.gov.br/semma.

Andra FresProjetos e Captao de Recursos

/ Fundo nico de MeioAmbiente (FAMA)

Secretaria Municipalde Meio Ambiente

Montes Claros/MG

Estou lendo a revistaFonte pela primeira vez e adorando ocontedo dela, bem atual e falan-do de tecnologias que ainda noso bem conhecidas no mercadode informtica. Por isso, gostariade receber as prximas edies darevista.

Renato CarvalhoSalvador/BA

Consegui, por um amigo, al-gumas edies da revisaFon-te e achei bastante interessante.Meu nome Joo Pedro e souacadmico do curso Sistemas deInformao na Universidade dosVales do Jequitinhonha e Mucuri Diamantina (UFVJM) e tenhocerteza de que a revistaFonte vaiauxiliar muito na minha formao pro ssional. Gostaria de saber oque fao para adquirir a revista.

Joo Pedro Campos FerreiraDiamantina/MG

Bom dia, meu nome Fa-biano, sou estudante na rea deinformtica e trabalho em umaempresa que presta servios deimplantao de tecnologias e ser-vios na rea de informtica. Tiveconhecimento da revistaFonte atravs de um amigo e achei-a

muito interessante, pois forneceinformaes inovadoras e novas

fontes de pesquisas. Em mos,tenho apenas a edio nmero 6.Gostaria de ter as anteriores e aseqncia dela em diante.

Fabiano G. S. P.Santos/SP

Tive acesso ao exemplar n-mero 4, gostei do nvel dos arti-gos, e gostaria de ser assinanteda revista, para poder ter acessoa ela e a seus artigos que muito

me interessam. Gostaria de sabero custo da assinatura. Sou alunodo 4 perodo de Sistema de In-formao.

Leonardo Leite TorresPorto Velho/RO

A nossa instituio tem inte-resse em receber a revistaFonte tecnologia da informao nagesto pblica, que foi solicitadapara esta biblioteca pelo coordena-dor-adjunto do curso de Sistemasde Informao, professor lissonRabelo Arantes, por entend-la degrande relevncia para os acad-micos do referido curso.

Maria Irene de Oliveira FariaSociedade Mineira de Cultura

Arcos/MG

O interessado em assinara revistaFonte deve enviar seu

nome e endereo completopara o [email protected],informando, quando for o caso,

a empresa ou instituioa que vinculado.

As revistas seguirovia Correios,

de acordo com adisponibilidade de exemplares.

SOLICITAES DE ASSINATURA


7/112

ilogoDilogo


Sociedade digital:cenrio virtual impe mudanas culturais

Patricia Peck Pinheiro , advogada especialista em DireitoDigital, scia do escritrio PPP Advogados, formada pela Uni-versidade de So Paulo, com especializao em Negcios pelaHarvard Business School e MBA em Marketing pela Madia MarketingSchool. escritora, tendo publicado o livroDireito Digital pelaEditora Saraiva, alm de participao nos livrose-Dicas e Internet Legal . professora da ps-graduao da FAAP, Impacta, Fatec,IBTA e colunista do IDG Now e articulista da Gazeta Mercantil, Va-

lor Econmico, Revista Executivos Financeiros, Info Exame, InfoCorporate, About, Revista do Anunciante, entre outros. Iniciou suacarreira como programadora de games aos 13 anos. J atuou emdiversas empresas e possui experincia internacional com Direitoe Tecnologia nos Estados Unidos, Portugal e Coria. Atualmenteassessora 127 clientes no Brasil e no exterior, j tendo treinado mais de 10.500 pro ssionais de di -versas empresas nos temas de Gesto de Risco Eletrnico e Segurana da Informao.

D i v u l g a o

e ordenamento jurdico globalizado

Aexistncia de um mundo virtual, criado imagem e semelhana do mundo real, temexigido adequaes dos diversos setores da sociedade, a m de manter, nessa nova di-menso, parmetros comportamentais que garantam uma convivncia social no mnimo tica.Nesta edio deFonte, o Dilogo com a advogada especialista em direito digital, PatrciaPeck Pinheiro, que apresenta um panorama do Direito e das relaes sociais nesse contexto.

Nesta entrevista, ela fala da evoluo do Direito, em funo das transformaes sociais,e da forma como as lacunas abertas por novos comportamentos so preenchidas por leis e


8/112

Julho/Dezembro de 2007FonteFonteF teon8

FONTE: O Direito tem acompanhado as rpidastransformaes sociais provocadas pela evoluo da

tecnologia e suas conseqncias positivas e negativasna vida das pessoas? Com que velocidade a legislaotem se adequado s novas exigncias?

O Direito muda conforme a sociedade evolui, ento natural, sim, que o Direito acompanhe as novas ques-tes trazidas pela tecnologia, mas o tempo desta adap-tao no rpido. Em termos de leis, as normas atuais j alcanam e tratam bem vrias questes relacionadascom a internet e com as ferramentas tecnolgicas, mash leis que precisam ser criadas, para preencher lacunas

naturais, j que h novos comportamentos e riscos. Masesse processo legislativo leva alguns anos, j h projetosde lei, mas o trmite deles de, aproximadamente, uns10 anos.

FONTE: Sob esse ponto de vista, quais so asexperincias recentes mais relevantes no Pas? H expe-rincias adotadas em outros pases que podem ser consi-deradas bem-sucedidas?

As experincias recentes esto alinhadas com o

princpio de auto-regulamentao muito forte no DireitoDigital, onde as regras so estabelecidas pelos prpriosagentes sociais, tais como provedores de internet, pro-vedores de e-mail, internautas. Isso tem ocorrido pormeio de Termos de Uso, Polticas Eletrnicas, inserode clusulas espec cas em contratos. Este tempo maisrpido e atende demanda a curto prazo de adequaodo Direito s novas exigncias da sociedade, enquanto,em paralelo, so elaboradas novas leis. J foi atualizado

o Cdigo Penal em 2002 e 2005 e j foram acrescidosnovos tipos penais, especialmente no tocante a crimes

eletrnicos no ambiente da Administrao Pblica. Temsido assim em outros pases, a atualizao do prprio C-digo Penal.

FONTE:Voc acredita que todo o arcabouo legalexistente no Brasil pode acobertar e tipi car todos os cri -mes virtuais? Se no, quais seriam as leis que faltam?

O arcabouo legal atual est bem adequado. Oproblema tem sido mais de prova de autoria do que detipi cao de condutas. Ou seja, a questo passa pelo

anonimato e a falta de guarda de provas em terceiros,como provedores, para permitir a identi cao adequadado infrator e a sua punio. Falta uma lei que de na umprazo mnimo de guarda e o que tem de ser guardadosobre o acesso internet e aos servios eletrnicos, paraque seja possvel a investigao. Na Europa, j h medi-das nesse sentido, determinando guarda por at dois anosde logs e dados de IP. No Brasil, uma iniciativa positiva j em vigor a lei paulista sobre lan house e cybercafsque exige identi cao do usurio e guarda de dados. Hlei sobre cybercafs e lan house em vrios Estados (So

Paulo, Bahia, Minas Gerais); a lei de Minas no trata daobrigatoriedade de se fazer cadastro do usurio como for-ma de preservar os dados de autoria para uma eventualinvestigao. A lei de So Paulo j trata disso, e exige aguarda dos dados inclusive por cinco anos.

FONTE: A internet apresenta-se, muitas vezes,como um meio sem regras e sem dono, onde os usu-rios sentem-se livres para fazer o que quiser. Quais os

regulamentaes. A advogada revela o grande desa o do Direito diante da evoluo das tec-nologias, enfatizando a educao e as mudanas culturais como as grandes perspectivas para aharmonia nos ambientes virtuais.

Patrcia Peck aborda ainda aspectos do exerccio da cidadania na rede, da privacidade eanonimato na sociedade digital, da prtica de monitoramento nas comunicaes em ambientescorporativos e comenta as propostas de instalao de controles de acesso internet. Entreoutros vrios temas, a especialista traa ainda um paralelo entre as necessidades de exignciaslegais nos dois mundos, fala dos crimes na internet e d dicas para que os usurios possam seprevenir e se defender em casos de incidentes.


9/112


principais desa os que o Direito enfrenta ao lidar comesse mundo virtual?

O principal desa o do Direito comea na educao

das pessoas. Independente das leis, h princpios de ticae valores que precisam ser ensinados s novas geraes daera digital. Alm disso, preciso orientar sobre as prpriasleis que existem e so vlidas e que esto sendo descum-pridas. A constituio federal protege o direito imagem,mas, mesmo assim, muitas pessoas fazem uso da imagemde outras sem autorizao. Assim como protege a honra, eh cada vez mais ofensas digitais. J proibida a pirataria,assim como o plgio, mas muitas pessoas no acham queesto fazendo algo errado quando do CTRL+C, CTRL+Ve copiam o contedo alheio. A educao no uso tico, legal

e seguro da tecnologia o maior desa o do Direito, maisque criar outras leis.

FONTE: No mundoreal, onde h leis consoli-dadas, estamos assistindo a prevalncia da impunidadeem inmeros casos. O que oscidados podem esperar daresposta jurdica em ambien-tes digitais?

fundamental denunciar, por ser um exerccio decidadania. Por mais que em alguns casos no haja for-ma de punir o infrator, uma hora isso ocorre, e o con- junto de denncias que permite reunir provas. Isso servetanto para um problema em uma loja virtual ou em umacomunidade do Orkut, como uma situao de fraude decarto de crdito ou no internet banking. O cidado devecumprir com a parte dele, que reunir informaes e de-nunciar. assim que conseguimos fazer a justia andar ecriar estatsticas que permitem alocao de investimentos

e treinamentos.FONTE:Em recente artigo publicado na Folha de

So Paulo, Uma questo de privacidade, Jos Murilo Junior, do Global Voices Online, a rma: Deve caber aousurio de nir os diferentes nveis de acesso s suas in - formaes, e cabe aos servios evoluir para prover essa funcionalidade de forma transparente. Na sua opinio,qual seria o papel do Estado para prover e exigir da so-

ciedade que tais funcionalidades sejam disponibilizadas para os cidados?

A questo da privacidade na sociedade digital en-

volve, sim, a participao conjunta de usurios e empre-sas para uso de bancos de dados. Em termos de leis, jtemos a proteo da Constituio Federal e do Cdigo deDefesa do Consumidor, onde ca claro que cabe s partesregular a questo em contrato. O que no pode haver ousurio querer usufruir de servios gratuitos, em que aempresa deixa claro no termo de uso que os dados desseusurio so objeto da contratao gratuita e, depois, esteno querer que seus dados sejam usados. Na era da infor-mao, os dados tornaram-se a moeda e muitos serviosque se dizem gratuitos, na verdade cobram pelos dados

do usurio, esta a troca. importante estar transparen-te esta questo e haver fun-cionalidades que permitamatender lei j existente parareti cao de uma informa-o, para saber que informa-o a empresa possui do usu-rio, para pedir a retirada deum contedo que ra direitode imagem, direito autoral oureputao, entre outros. Po-

demos, sim, programar o Direito nas interfaces gr cas eusar a tecnologia para fazer valer o cumprimento das leis, j que as testemunhas so as mquinas.

FONTE: Quais os limites legais do governo ele-trnico?

No tocante ao Estado, cabe a este fazer o que esti-ver delimitado em lei. Sendo assim, o governo eletrnico tratado em uma srie de normativas que determinamsua capacidade de agir, diretrizes, entre outros. uma

tendncia internacional que o Estado atenda e sirva o seupovo, os cidados, por meio de servios de e-gov.

FONTE: Quais as peculiaridades de tratamentodas informaes e sua guarda por parte de empresas p-blicas?

As instituies da Administrao Pblica devemguardar os dados dos cidados com zelo, para garantir

A educao no uso tico,legal e seguro da tecnologia o

maior desa o do Direito,mais que criar outras leis.


10/112


o sigilo. E o Estado possui responsabilidade objetiva, ouseja, vai responder por danos causados, mesmo indepen-dente de culpa.

FONTE: No caso de redes wireless estruturadas edisponibilizadas pela administrao pblica, como fazer o gerenciamento e controle de acessos?

fundamental que haja sempre uma autenticao deusurio, com dados completos, em virtude da questo atualda autoria em ambientes eletrnicos, onde essas informa-es so necessrias, se for preciso investigar um inciden-te. Sendo assim, mesmo em ambientes de incluso digital,cabe a elaborao do termo de uso do servio, mesmo quegratuito, determinando claramente os direitos e as obri-

gaes dos usurios e a solicitao de dados detalhadosde identidade. A no-coletadesses dados, a no-guarda, ano-autenticao contribuempara o anonimato e mesmopara prticas ilcitas.

FONTE: Uma polmi-ca recente a da realizaode audincias remotas (video-conferncia), para minimizar

custos e dar maior dinamismo ao poder judicirio. Alguns juristas a rmam que a presena do detento na audincia indispensvel. Qual a sua opinio sobre o assunto?

Minha opinio a de que deve haver sim videocon-ferncia, com a presena do advogado no mesmo recintodo preso. Isto no apenas gera economia, como reduz ris-cos de fuga. Ou seja, o ganho social coletivo justi ca sima aplicao desse recurso, e no h uma perda individual para o preso que justi que sua no-aplicao.

FONTE: Quando se pensa em internet, pensa-seem relaes internacionais, especialmente nos aspectoslegais e jurdicos, j que cada pas possui sua constitui-o e suas leis. Na internet realizam-se transaes decompra e venda, trabalha-se num determinado pas, parauma empresa que s tem sede em outro. Como tratar o

Direito do Consumidor e o Direito Tributrio? Como -cam os aspectos e questes que envolvem o Direito doTrabalho? E os Direitos Individuais?

Realmente a sociedade digital cada vez mais pedepor um ordenamento jurdico mais globalizado. No en-tanto, apesar de no haver barreiras fsicas na web, o Di-reito limitado ao seu pas de origem e h regras de ter-

ritorialidade para isso. Pode valer o local de domiclio doconsumidor, da vtima de um crime, onde o crime ocor-reu no todo ou em parte, ou onde melhor a execuo daao para garantir e ccia de resultados. difcil alinhar algumas questes at por diferenas culturais, do que considerado certo ou errado em cada pas, seu conjuntode valores. Mas h algumas questes que so comuns, re-cebem tratamento igual e podem estar alinhadas, como jtem sido feito h anos, por meio de tratados e convenesinternacionais. A mais recente em discusso a Conven-o de Budapeste sobre crimes eletrnicos.

FONTE: Como a pes-soa pode se proteger dos perigos do mundo virtual? Ao sentir-se prejudicada por alguma situao ocorrida nainternet ou por meio dela, oque fazer?

A melhor dica de pro-teo no acreditar em tudo

que v na internet ou em e-mail. Na verdade, vale o mesmoprincpio de proteo que usamos para o mundo real, ouseja, no deixar a porta de casa aberta, nem o computadoraberto, no falar com estranhos, nem responder e-mails deestranhos, no passar informaes pessoais ou de cartode crdito ou banco por telefone sem ter certeza de quemest do outro lado da linha, e o mesmo na internet, do outrolado do site, do blog, do chat, da comunidade. Se a pessoativer um problema, deve entrar em contato com o provedodo servio e, se necessrio, com as autoridades por meioda Delegacia (se houve crime), do Juizado Especial Cvel

ou do Procon, em caso de problema de consumidor.FONTE: Qual a responsabilidade legal das em-

presas no trfego de informaes consideradas crimino-sas em suas redes corporativas, feitas por funcionrios?

A empresa responde legalmente pelo mau usodas suas ferramentas tecnolgicas de trabalho que gereleso a terceiros. Pelo crime em si, s responde quem o

uma tendncia internacionalque o Estado atenda e sirva

o povo, os cidados,por meio de servios de e-gov.


11/112


cometeu (no caso, o funcionrio), mas a responsabilidadecivil pelo dano causado (moral ou material) pode caber empresa, que depois tem o direito de regresso contra ofuncionrio, que foi o verdadeiro causador do dano.

FONTE: real a possibilidade de uma empresamonitorar os e-mails de seus funcionrios. A questo da privacidade x segurana x direitos individuais temaconstante de discusso. Na sua opinio, como adminis-trar interesses no contexto das organizaes?

Novamente, precisamos de educao, na verdade.Cabe empresa deixar claro o limite de uso das ferramen-tas tecnolgicas de trabalho e dever da empresa moni-torar para fazer valer suas normas internas, para ns de

preveno (evitar incidentes) ou para ns de reao (punir infratores). Sendo assim, se aempresa zer o aviso legal demonitoramento claramente epreviamente, pode monitoraros ambientes corporativos, oque inclui navegao na inter-net e uso de caixa postal de e-mail corporativa. Assim, j comum a empresa inspecionarequipamentos mveis, como

notebook, celular, pen drive, para evitar a pirataria, bemcomo vazamento de informao con dencial ou at mes-mo contaminao por vrus. Mas tudo isso tem que estarclaro em Polticas e Normas, documentado e, se possvel,atualizado no Cdigo de Conduta do Pro ssional ou emseu contrato de trabalho. Quanto melhor estiver a informa-o, menos riscos a empresa e o funcionrio correm.

FONTE: Vrias empresas esto monitorando,alm do e-mail, os acessos internet, as ligaes telef-nicas e as atividades nas estaes de trabalho. Algumas

chegam a instalar monitoramento por circuito fechadode TV (CFTV) dentro das salas onde trabalham seus funcionrios. No estaramos prximos do descrito em1984? Quais so os monitoramentos considerados le-gais? E quais so as exigncias legais, para que se pos-sam utilizar tais monitoramentos?

Estamos vivendo uma sndrome do pnico, asso-ciada ao poder da tecnologia, que d a sensao de que

possvel controlar tudo. No entanto, j vimos em mui-tos trabalhos que importante a empresa equilibrar asprotees e os riscos inerentes ao negcio, para permitirtambm que os pro ssionais trabalhem e que o exces-

so de proteo no gere queda de produtividade ou atinviabilize negcios. No h uma receita de prateleira,depende muito de cada realidade empresarial, cultura in-terna e riscos envolvidos. Se o risco for relevante, devesim ser implementada a proteo, o monitoramento. Mas preciso avaliar cada caso.

FONTE: Voc utiliza o termo esquizofrenia di-gital. Fale um pouco sobre o comportamento dos cida-dos que sofre transformaes, nem sempre positivas, emseus respectivos avatares, no mundo virtual.

interessante obser-varmos que h pessoas queusam o mundo virtual paraser outra pessoa, totalmentediferente da que no dia-a-dia e, inclusive, para praticarilcitos ou at ter uma m-conduta, que jamais seriaimaginada que a pessoa teria.Isso tem a ver com a facilida-

de que a tecnologia trouxe, em realizar aes e, de certomodo, anonimamente. Logo, muitos acham que ningumvai descobrir e isso vira estmulo. Mas, na grande maio-ria dos casos, a pessoa descoberta, pois as testemunhasso as mquinas e elas contam. Sendo assim...

FONTE: A questo da responsabilidade individualsobre atitudes, ainda pouco praticada na internet, trazre exos em mudanas nos valores e cultura de um gruposocial?

Sim. Temos visto muito isso em palestras que mi-nistramos para o pblico mais jovem, quando se explicaa responsabilidade individual de um ato e seu impactocoletivo, s vezes, inclusive, na vida de familiares (pais).Esta orientao ajuda na construo clara dos valores dasociedade digital, os quais continuam, de certo modo,balizados nos princpios: no faa aos outros o que nogostaria que zessem a voc e diga-me com quem na-vegas que te direi quem s.

Estamos vivendo uma sndromedo pnico, associada ao poder datecnologia, que d a sensao deque possvel controlar tudo.


12/112


FONTE: Vrias foram as tentativas de se criar uma lei para controlar o acesso web, inclusive a pro-

posta que exigiria o CPF e a identi cao de cada usu -rio, que sofreu questionamentos tcnicos com relao

viabilizao desses controles. Qual a sua opinio sobreesta implementao e o conseqente combate ao acessoannimo aos recursos da internet?

Sou a favor de um processo de veri cao de identi-dade ou de concesso de uma identidade digital obrigat-ria, em que em algum momento no acesso internet fossepossvel registrar quem estaria navegando, quem seria ousurio. No entanto, isso no signi ca no permitir que apessoa tenha um avatar ou um apelido, mas sim, em umainvestigao, ter registros que permitam saber quem prati-

cou a conduta indevida. assim no mundo real para viajarem avio, em nibus, dirigirum carro. H atos da vida emsociedade que exigem o regis-tro de uma identidade ou deum responsvel legal (quandomenor), e a tendncia issoacontecer na internet. Todostm interesse em uma internetmais segura, mas a questo quem paga esta conta, pois

tecnologia j existe para isso.FONTE: Com os recursos j disponveis da crip-

togra a e da assinatura digital/virtual, h o risco de ainternet abrigar dois grupos distintos, os no-annimos, formais e legais, e os underground, que defendem e man-tero o anonimato? Quais as tendncias de formalizaode uma identidade digital?

Acredito que a internet pode ter seu lado annimo,mas isso no condizente com uma web transacional,

principalmente, onde, em termos de questes legais, es-sencial ter a prova de autoria. No entanto, mesmo quandofalamos de uma web 2.0, por causa da falta de educaodos usurios comum a prtica de crimes, principalmen-te contra a honra e, portanto, o Direito precisa garantira possibilidade de investigao e punio, sob pena devoltarmos para o estado da natureza, com a lei do maisforte, e no o estado democrtico do Direito, que permitea liberdade de expresso, mas com responsabilidade. A

pessoa pode dizer o que quiser, mas responde pelo quedisse, pelo dano que causar. Est, assim, j na Constitui-o de 1988, no artigo 5o Inciso IV.

FONTE: A discusso da identi cao passa, natu -ralmente, pelos custos de operacionalizar novos procedi-mentos nesse sentido. A questo nanceira sobrepe-se aquestes ideolgicas relativas manuteno do anoni-mato na internet?

Sim.

FONTE: Recentemente em So Paulo, um cartriono reconheceu a Nota Fiscal Eletrnica, o que leva antiga discusso dos aspectos legais dos documentos e

provas vinculadas ao papel. Chegar o dia em que o papel ser substitudo pelasmdias eletrnicas, garan-tindo-se todos os aspectoslegais e jurdicos?

Acredito que sim, masno sei se iremos eliminar opapel totalmente, assim comoat hoje temos contratos ver-bais, ou seja, o papel tambm

no eliminou as relaes entre as pessoas de modo menosformal. Assim como todo fax uma cpia, e no deixa-mos de nos relacionar com este. Ocorre que, quando bemtrabalhado, o meio eletrnico gera maior prova. Se no es-tiver bem arrumado, ao contrrio, gera maior potencial deadulterao de contedo ou identidades. Mas a melhoriado processo em termos de segurana jurdica e da informao aumenta os custos, naturalmente. Logo, o que teremos escolha, onde a pessoa pode decidir que grau de certeza jurdica quer ter sobre determinado fato e/ou obrigao eassim, aplicar os meios necessrios para garantir isso.

FONTE: Na sua opinio, como a certi cao di -gital se posiciona, atualmente, e quais as perspectivas para os prximos anos?

A certi cao digital uma via de soluo adequada,mas precisa de criao de cultura. Acredito que talvez a biomtrica ande mais rpido, pela maior facilidade de entrar narotina das pessoas e empresas, como j vem entrando.

A empresa responde legalmentepelo mau uso de suas ferramentas

tecnolgicas de trabalho, quevenha a gerar leso a terceiros.


13/112

FonteFonteF teon 13Julho/Dezembro de 2007

TraTada aT pouco Tempo aTrs como um problema afeto exclusivamente aosdepartamentos de tecnologia das organi-zaes, a segurana da informao vemganhando, neste incio de sculo, um sta-tus que, em muitos casos, se equipara aotradicionalmente atribudo s suas reasmais estratgicas. O uso crescente dasredes, principalmente da internet, agre-gou-se gesto das empresas e trouxeaos usurios, de forma geral, uma novapreocupao que se relaciona com a pri-vacidade, segurana e continuidade dosnegcios.

Ao analisar a Sociedade em Rede,Manuel Castells conclui que a nova eco-nomia est organizada em torno de re-des globais de capital, gerenciamento einformao, cujo acesso ao know-how importantssimo para a produtividade e competitividade. Empresas comerciais e, cada vezmais, organizaes e instituies so estabelecidas em redes de geometria varivel, cujoentrelaamento suplanta a distino tradicional entre empresas e pequenos negcios, atra-vessando setores e espalhando-se por diferentes agrupamentos geogr cos de unidadeseconmicas.

Se por um lado a tecnologia vem apoiando o desenvolvimento de novos negcios,promovendo aes sociais e direcionando o mundo para uma nova realidade de democra-tizao de informaes, servios e conhecimento, por outro, como qualquer ferramenta,passou a ter uma ampla aplicao por indivduos que identi cam, nesse contexto, oportuni -dades de ganhos de forma ilcita.

Na sociedade do conhecimento, a informao o principal ativo e o valor atribudoa ela objeto de desejo de atores de empreendimentos, que visam ao desenvolvimento, etambm daqueles que vislumbram possibilidades de ganhos fceis. O problema da transfe-rncia natural dos crimes do mundo real para o espao digital passa, dessa forma, a gurar nas agendas de pro ssionais dos mais diversos setores.

D o s s i

Privacidade,integridade e sigiloOs desa os da segurana da informao

G u y

d o R o s s i


14/112

Dossi Dossi Dossi Dossi Dossi Dossi


Engenharia social e vulnerabilidadesComo se no bastassem os problemas ligados es-

sencialmente ao uso das tecnologias, outra ameaa, a en-genharia social, foco de preocupao dos especialistas,por envolver um dos pontos considerados mais vulner-veis num programa de segurana: as pessoas.

O fato que por mais que a tecnologia desenvol-va e fornea solues para preveno e combate aoscrimes virtuais, a informao ainda estar ameaada,se o elemento humano no for contemplado adequada-mente. De nida pelo especialista em segurana KevinMitnick como a arte de fazer com que as pessoas faamcoisas que normalmente no fariam para um estranho, a

engenharia social , na verdade, o grande temor das organizaes que se preocupam em proteger suas informaes.

Em seu livro A arte de enganar , Mitnick chama aateno para o fato de que a maioria das pessoas su-pe que no ser enganada, com base na crena de quea probabilidade de ser enganada muito baixa; o atacan-te, entendendo isso como uma crena comum, faz a suasolicitao soar to razovel que no levanta suspeitaenquanto explora a con ana da vtima. Para isso, se-gundo o especialista, o per l do engenheiro social acombinao de uma inclinao para enganar as pessoascom os talentos da in uncia e persuaso.

A exigncia imposta s empresas, de desenvolver programas e iniciativas de segu-rana, vem no s da preocupao em manter nveis satisfatrios de servio e de con anados clientes, mas tambm das diversas regulamentaes impostas por organismos nacio-nais e internacionais, que de nem posturas e normas s empresas, sob pena de seremresponsabilizadas por eventuais problemas. E mais: ataques comprometem no s seusnegcios e informaes, mas tambm sua imagem.

O crescimento, a diversi cao e a gravidade dos ataques criaram, ao mesmo tem -po, um mercado bastante efervescente de servios e produtos para preveno e combateaos incidentes de segurana. Segundo dados do IDC, o mercado mundial de TI movimen-tou, em 2007, US$ 1,2 trilho, dos quais, US$ 44,5 bilhes referem-se ao mercado de segu-rana. No Brasil, dos US$ 20,4 bilhes contabilizados no mercado de TI (2007), US$ 0,37bilho destinou-se segurana, com uma taxa de crescimento mdio de 15,3%, at 2010.Para a analista de segurana do Centro de Estudos, Resposta e Tratamento de Incidentesde Segurana no Brasil (CERT.br), Cristine Hoepers, embora no exista um comparativomundial sobre a situao de todos os pases, possvel ver que os problemas enfrentados

aqui no so diferentes dos problemas encontrados em outros pases.Os investimentos so canalizados para a aquisio de software, hardware, consulto-

rias especializadas, equipamentos para segurana fsica, capacitao dos colaboradores,programas de gerenciamento de cultura organizacional e racionalizao de processos, ali-nhando as estratgias de segurana ao negcio da empresa.

Em sua publicao trimestral sobre alertas, vulnerabilidades e demais acontecimen-tos que se destacaram na rea de segurana, o Centro de Atendimento a Incidentes deSegurana da Rede Nacional de Ensino e Pesquisa destacou, no quarto trimestre de 2007,o tratamento de um total de 7.436 incidentes de segurana. Desses, 44,72% referem-se aoenvio de spam em grande escala, 16,31% a tentativas de invaso de sistemas e 11,29% propagao de vrus e worms atravs de botnets (computadores infectados e controladosa distncia por atacantes). Tambm foram tratados 241 casos de troca de pginas, em queo atacante substituiu o contedo original de uma pgina da web ou incluiu contedo noautorizado na pgina atacada, e ainda 56 casos de phishing, ataques que tm por objetivoobter dados con denciais de usurios (site Cais: www.cais.rnp.br).


15/112



O analista de segurana do Centro de Atendimentoa Incidentes de Segurana da Rede Nacional de Pesqui-sa (Cais / RNP), Ronaldo Vasconcelos, explica que, embom portugus, o engenheiro social aquele que usa de

lbia para conseguir as coisas e pode, ou no, utilizar atecnologia para obter informaes valiosas para seus objetivos.

Essas pessoas so capazes de obter informaesreservadas sem necessidade de instalar um cavalo detria, por exemplo. Podem passar por atendentes da ope-radora do carto de crdito e solicitar o nmero do cartodo usurio, data da expirao; h golpistas que chegam aore namento de colocar fundo musical imitando um ser -vio de atendimento. As pessoas, na maioria das vezes,

nem questionam. Outro exemplo comum de engenhariasocial so os seqestros falsos, uma forma de extorquirdinheiro enganando as pessoas, sem usar a tecnologia oua violncia. O forte dessas pessoas obter dados con-

denciais, usando apenas a conversa.A opinio prevalece entre os administradores de se-

gurana, como o responsvel pelo setor na CompanhiaEnergtica de Minas Gerais (Cemig), Jos Lus Brasil,para quem a engenharia social existe porque as empre-sas investem em tecnologia e esquecem as pessoas. Soelas que operam sistemas e mquinas, que fornecem in-formaes. Se elas no sabem por que esto apertandoum parafuso, no sabem a importncia do seu trabalho,passam a ser um ponto fraco no processo.

Cultura de seguranaA analista do CERT.br, Cristine Hoepers, a rma

que existe uma grande tendncia de associar o que ocor-re via internet com algo virtual, ou que no oferece osmesmos riscos a que j estamos acostumados no dia-a-dia. Porm, a internet no tem nada de virtual: os dadosso reais, as empresas so reais e as pessoas com quem seinterage na internet so as mesmas que esto fora dela.

Desse modo, explica a especialista, preciso le-var para a internet as mesmas preocupaes que temosno dia-a-dia, como por exemplo: visitar somente lojascon veis; no deixar pblicos dados sensveis; ter cui-dado ao ir ao banco ou fazer compras, etc. Quandoum usurio coloca comentrios sobre sua rotina e suaspreferncias em um blog ou no Orkut, ele normalmen-te est pensando nos amigos e familiares. Porm, essasinformaes tornam-se pblicas e do conhecimento detodos.

Cristine alerta para o fato de que, de modo similar, ousurio assume como verdadeiras informaes prestadaspor terceiros ou que parecem vir de amigos e familiares,armadilhas usadas com freqncia para tentar induzir umusurio a instalar cavalos de tria ou outros cdigosmaliciosos. Os golpes que so aplicados pela internetso similares queles que ocorrem na rua ou por telefone;a grande diferena que na internet existem algumas ma-neiras de tornar o golpe mais parecido com algo legtimo.Portanto, o importante que o usurio use na internet omesmo tipo de cuidado que j usa fora dela.

Com relao aos hbitos de usurios da internet,o gerente de Solues da IBM para a Amrica Latina,

Marcelo Bezerra, considera a existncia de dois compor-tamentos importantes: segundo ele, uma pessoa que no especialista em tecnologia, no ambiente de uma organi-zao vai se adequar s exigncias e procedimentos exi-gidos. Vai adotar uma senha forte, com nmeros e tiposde caracteres bem de nidos, vai contar com software quefaz controle de acesso, etc. Ela tem que se enquadrar atmesmo por exigncia da empresa e acaba aprendendoprocedimentos recomendveis. Convive, inclusive, comrestries em relao ao que tem no computador.

J em casa, esse comportamento vai ser muito diferen-te. As pessoas costumam ter jogos, aplicaes de msica eoutras. E, de forma geral, no querem ter a responsabilidadede cuidar dos procedimentos de segurana, querem ter essascoisas de forma tranqila, fcil, querem ter mais liberdade.

No caso de um software em con ito com um anti-vrus, por exemplo: na empresa, voc vai pedir ajuda,considerar como funciona o sistema de segurana. J emcasa, mais fcil mudar o software de segurana. Essescomportamentos so muito diferentes. Hoje, nas empre-sas, a questo est bem equacionada. Em casa, a tendn-cia desejar que o problema da segurana se adapte nossa necessidade, enquanto o correto seria priorizar asegurana. Mas h coisas que se v e aprende nas empre-sas e so levadas pra casa, como o caso dos e-mails, aspessoas em geral tm mais cuidado.

Marcelo Bezerra lembra que h tambmquestes sobre as quais ainda no h de nies,como a comercializao de msicas pela internet.A Amazon lanou loja nos Estados Unidos que


16/112



comercializa msicas totalmente sem proteo. Nosabemos como a indstria do setor vai se comportar.H coisas ainda sem de nio, sobre as quais no sesabe se esto certas ou erradas. Muitas esto claras,

como o fato de piratear software ser crime, apesar dea tolerncia variar. H pases onde se alugam DVDspiratas. O Brasil j tem um nvel melhor de esclare-cimento sobre o assunto. H ainda a questo cultural,que varia de pas para pas.

Alm dos recursos tecnolgicos, ele aconselha umtrabalho de informao, especialmente com os novos

usurios. Com relao aos riscos para as crianas, que j esto na internet, oriento meus lhos para no passa-rem informaes, alerto para o perigo de conversar compessoas desconhecidas. Mas com relao cultura,

importante tambm no pensar que isso basta. H pes-soas inventando novos golpes mais so sticados, tecno-logias novas, sistemas e vulnerabilidades. Daqui a poucotempo, muitos cuidados podem no estar valendo maise outros sero mais importantes. Isso porque os hackerstambm evoluem, h quadrilhas muito bem estruturadash o crime organizado so sticando os ataques.

Guerra ao crime virtualO valor da informao, aliado ao desenvolvimen-

to tecnolgico, em especial da consolidao de uso dasredes, criou um universo virtual que, se por um lado fa-cilita o uxo de informaes e as democratiza, por outropromove a ao de pessoas mal intencionadas, que vis-lumbram, nesse mundo, uma srie de oportunidades denegcios ilcitos.

Especialistas de todo o mundo unem-se na guerracontra esses invasores por meio de entidades criadas coma nalidade de antepor a esses criminosos, identi candogolpes, softwares, uma in nidade de formas de ataque,que so disseminadas pela internet numa luta constante.

Essas entidades mantm na internet uma rede de in-formaes atualizadas de forma permanente, e promovemencontros, seminrios e congressos, onde os incidentes,

ferramentas de preveno e deteco so apresentados,buscando equipar os especialistas para garantir, da me-lhor forma, a integridade de informaes corporativas e,no raro, resguardar as pessoas de golpes que se tornam,a cada dia, mais comuns e mais so sticados.

No Brasil, o Centro de Atendimento a Incidentes deSegurana da Rede Nacional de Pesquisa (Cais/RNP) com-pletou dez anos de criao e amplia sua atuao para todaa sociedade. Segundo a gerente do Cais, Liliana Solha, oCentro, criado para fazer frente vulnerabilidade da redeacadmica nacional, comemora seus dez anos com um sal-do positivo de parcerias formadas, desde a comunidadeacadmica, at os usurios domsticos. Todos eles so ex-tremamente importantes em nosso trabalho, pois funcionamcomo multiplicadores da cultura de segurana, explica.

A criao dessa cultura de segurana, para umaconvivncia segura em um mundo relativamente novo a internet um dos grandes desa os dos especialis-tas, que apontam, no elemento humano, no s o risco,mas tambm a melhor soluo para prevenir o problemaSegundo o analista de Segurana do Cais, Ronaldo Vas-concelos, as pessoas que tm um certo tempo de vidana internet j esto entendendo a necessidade de umamudana de postura, mas h sempre algum que estchegando, comeando a usar. O que muitas pessoas vi-ram e aprenderam h dez anos, outras esto aprendendoagora. De forma geral, esto aprendendo melhor, j sa-bem o risco de passar dados pessoais, clicar em qualquercoisa; aprendem a pensar com bom senso. Se algumchegar na rua lhe pedindo nome, nmero de conta cor-rente, carteira de identidade, CPF, voc no vai dar. Nainternet a mesma coisa, e essa resposta dos usuriostem melhorado.Grupo do Cais/RNP

ulgao


17/112



Alm de um site rico em informaes e registrosde incidentes (www.cais.rnp.br), o Cais tem ampliadosua atuao para a sociedade por meio da promoo eparticipao em eventos, como o Dia Internacional de

Segurana da Informao (Disi), realizado anualmente.H uma boa resposta da comunidade, no s a comuni-dade acadmica, mas o Brasil como um todo. As pessoasse interessam pelo tema, explica Ronaldo Vasconcelos.Para ele, um dos grandes mritos do Disi, realizado em2007, no ms de novembro, foi o de sair um pouco domeio acadmico. Anteriormente, o evento focava priori-tariamente os administradores de segurana, divulgandocontedos mais tcnicos. No entanto, foram ganhandonotoriedade abordagens mais prticas para os usuriosem geral, como medidas para desinfectar um ambiente,

con gurao segura de redes sem o, por exemplo. Hmaior participao dos usurios. A idia compartilharessas informaes, muito do que a equipe sabe pode sertil para outras pessoas. Nosso objetivo aumentar essaparticipao, enfatiza Vasconcelos.

Mantido pelo Comit Gestor da Internet no Brasil, oCentro de Estudos, Resposta e Tratamento de Incidentes deSegurana no Brasil (CERT.br) o grupo responsvel por re-ceber, analisar e responder a incidentes de segurana em com-putadores, envolvendo redes conectadas internet brasileira.

A entidade mantm, na internet, aCartilha deSegurana para Internet , um documento com recomen-daes e dicas sobre como o usurio da rede deve secomportar para aumentar a sua segurana e proteger-se

de possveis ameaas.A analista do CERT.br, Cristine Hoepers, lembra queos computadores domsticos so utilizados para realizarinmeras tarefas, tais como: transaes nanceiras, sejamelas bancrias, sejam para compra de produtos e servios;comunicao, por exemplo, por e-mails; armazenamentode dados, sejam eles pessoais, sejam comerciais, etc.

importante que o usurio se preocupe com a se-gurana de seu computador, pois ele, provavelmente, nogostaria que suas senhas e nmeros de cartes de crditofossem furtados e utilizados por terceiros; que sua conta

de acesso internet fosse utilizada por algum no auto-rizado; que seus dados pessoais, ou at mesmo comer-ciais, fossem alterados, destrudos ou visualizados porterceiros; ou que seu computador deixasse de funcionar,por ter sido comprometido e arquivos essenciais do siste-ma terem sido apagados, etc.

Dessa forma, o material da Cartilha serve comofonte de consulta para todas as vezes em que o usurioquiser esclarecer dvidas sobre segurana ou aprendercomo se proteger desses ataques e ameaas.

Projeto HoneypotsUma importante iniciativa do CERT.br, na preveno aos incidentes na internet brasileira, o Consrcio Bra-sileiro de Honeypots - Projeto Honeypots Distribudos, que tem o objetivo de aumentar a capacidade dedeteco de incidentes, correlao de eventos e determinao de tendncias de ataques no espao internet brasileiro.

Operacionalmente, o projeto funciona com a instalao de mltiplos honeypots de baixa interatividade noespao internet brasileiro e com o processamento centralizado pelo CERT.br dos dados capturados por esses honey-pots. Um honeypot pote de mel, no ingls um recurso computacional de segurana dedicado a ser sondado,atacado ou comprometido em um ambiente prprio que permite que esses eventos sejam registrados e avaliados.

Cada instituio participante tem a chance de capacitar-se na tecnologia de honeypots, livre para adapt-los,conforme as suas necessidades, e para utilizar como quiser os dados capturados em seus honeypots. Por meio dos

dados obtidos, possvel que o CERT.br identi que mquinas brasileiras envolvidas em atividades maliciosas enoti que os responsveis por estas redes. Essas atividades incluem, por exemplo, mquinas que realizam varredurasou que esto infectadas por worms.

Atualmente, o projeto conta com 35 instituies parceiras nos setores pblico e privado. Essas instituiesmantm honeypots que esto distribudos em 20 cidades do Brasil e em diversos blocos de rede da internet no Brasil.Muitas das instituies participantes tm, por meio do projeto, a oportunidade de adquirir ou aprimorar conheci-mentos sobre as reas de honeypots, deteco de intruso, rewalls e anlise de artefatos. A simples participao noprojeto faz com que elas se aproximem e outras possibilidades de cooperao sejam exploradas.

Na pgina do projeto so mantidas estatsticas dirias dos ataques coletados pelos sensores, alm de outrasinformaes relacionadas com o funcionamento do consrcio: http://www.honeypots-alliance.org.br/


18/112



Crimes mais comunsO analista do Cais, Ronaldo Vasconcelos, enume-

ra alguns dos incidentes considerados mais comuns: um

deles a tentativa de explorao de vulnerabilidades emaplicaes web, que podem levar pichao da pgina(defacement) ou roubo de dados sigilosos ou de contas.

Outro incidente comum a tentativa de controleremoto da mquina. Hoje, isso acontece principalmentepela tentativa de login por fora bruta: tentativas exausti-vas de combinaes de usurio e senha em servio SSHe de explorao de uma vulnerabilidade no software decontrole remoto VNC (controle total de uma mquina re-mota), que permite login sem usurio e senha.

Com relao a golpes, o especialista a rma quephishing mensagem falsa que induz a vtima a acessarum site falso, onde poder contaminar-se com um cavalode tria ou enviar dados pessoais ainda popular. Aevoluo mais comum desse golpe o uso de software ma-licioso (bot ou cavalo de tria), que se instala no compu-tador da vtima, ou mensagens de phishing direcionadas ausurios de uma organizao espec ca (spear phishing).

H ainda outro golpe muito comum que a tentati-va de lavagem de dinheiro proveniente de golpes on-linepelo uso de mulas de dinheiro (do ingls money mu-les). Por trs de uma oportunidade de dinheiro fcil, quechega por e-mail, muitas pessoas tentam receber porcen-tagens por transaes. Na maioria dos casos, a vtima ca

com a conta do primeiro fraudador para pagar.Cristine Hoepers, do CERT.br, destaca que a maior

parte das tentativas de fraude atuais est relacionadacom a utilizao de algum tipo de programa malicioso,em geral direcionado a computadores de usurios nais.Existem duas maneiras de o usurio ser infectado poreste programa malicioso: o ataque tenta levar a pessoaa acreditar em algum fato e a seguir um link ou instalarum cdigo malicioso em seu computador. Se o usuriono est esclarecido sobre o problema e acredita no ar-dil utilizado, ele pode ser afetado pela fraude. Ou suamquina pode ser comprometida automaticamente, viarede, por um worm ou bot. Ao ter acesso mquina dousurio, o invasor no s poder utilizar os recursos de processamento e banda, fazendo com que o usurio -que com a mquina e com a conexo internet lentas, mastambm poder furtar dados de sua mquina, como dadospessoais (contas, senhas, nmero de carto de crdito,declaraes de imposto de renda, cadastro em sites derelacionamento, etc.) e os endereos de e-mail de amigose familiares, para serem posteriormente utilizados em lis-tas de spam.

Tambm h informaes mais detalhadas, espe-c cas sobre fraudes, no documento: Cartilha de Segu-rana para Internet Parte IV: Fraudes na Internet emhttp://cartilha.cert.br/fraudes/

Cuidado com as atualizaesOs cuidados para evitar danos comeam pela cons-

cincia do usurio de que ele pode, com algumas atitu-des, criar um ambiente seguro para trabalhar e se divertir.Ronaldo Vasconcelos, do Cais / RNP, admite que gostariaque todos conhecessem bem as ferramentas disponveis

e os riscos. As pessoas devem estar bem atentas, o bomsenso muito importante: pensar, por exemplo, que o quevoc no faria no mundo real, no deve fazer no mundovirtual. Fornecer quaisquer tipos de informaes umgrande risco; h tipos de ataque que enganam.

Ele d outras dicas: manter antivrus atualizado,mas ateno: a vida til dessas ferramentas est se tor-nando muito curta. Os softwares maliciosos mudam rapi-damente e h grande variedade de malware nem sem-pre o perigo s o vrus, h muita variedade de ataques

e pode acontecer de determinadas verses no identi-carem todos. Manter atualizado o navegador. RonaldoVasconcelos recomenda que o usurio deve manter, naverdade, toda a mquina atualizada e ter um cuidado es-pecial com as ferramentas de comunicao: e-mail, MSN

e navegador e atender noti caes de atualizao.Ter um rewall pessoal para evitar conexes in-

desejadas sua mquina. Se a pessoa no tem rewall pessoal, ca muito vulnervel. Para usurios de laptopse acessos sem o, cuidado especial, at mesmo dentrode casa, se tiver um access point; ele j tem um rewallpessoal ativado, mas o usurio tem que estar atento.

Pessoas que usam softwares para e-mail: im-portante usar um bloqueador de spam. Tanto phishingquanto outros problemas so distribudos por spam. O


19/112



especialista recomenda o uso de webmail, como Hotmailou Yahoo, que j tm um bom ltro para spam. Nessecaso, o usurio se bene cia do conhecimento de outraspessoas; pode aproveitar desse conhecimento coletivo.

Pode tambm instalar pacotes spyware; alguns vmcom essas ferramentas para spam, rewall, antivrus.

Ronaldo enfatiza o cuidado nas comunicaes,com os relacionamentos feitos no Orkut e outras co-munidades de redes sociais: cuidado com o que re-cebe. Quem ataca, sabe o que popular, o que agrada.Para ataques em massa, essas pessoas mal intenciona-das vo usar algo popular e hoje o Orkut importantena vida de muita gente. Ateno, portanto, usurios deredes sociais mais populares, bancos mais populares.Ao invs de uma pistola, o ataque como uma metra-lhadora.

Atentos a essas dicas, os usurios podem tambmconsultar orientaes no site do Cais, onde h lista deincidentes e orientaes on-line. Mais do que isso, seriapedir que o paciente saiba mais que o mdico. O especia-lista tem que trabalhar para prover segurana.

A analista do CERT.br, Cristine Hoepers, recomendacuidados relacionados com o comportamento dos usurios:

no acessar sites ou seguir links recebidos por e-mail, por servios de mensagem instantnea ou

presentes em pginas sobre as quais no se saibaa procedncia;

jamais executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas;

jamais executar programas de procedncia duvi-dosa ou desconhecida;

consultar sua instituio nanceira sempreque tiver dvidas sobre a utilizao de meca-nismos de acesso e segurana ou quando re-ceber convites para cadastros em promoesou atualizao de dados, entre outros. Muitasvezes os fraudadores utilizam estes ardis paratentar convencer o usurio a fornecer dados decadastramento.

Na pgina da Cartilha de Segurana para Internet possvel obter um folder com essas e com outras dicas desegurana: http://cartilha.cert.br/dicas/

Redes sem oSe para os usurios em geral as questes de segu-

rana so to importantes, aquelas que se conectam emredes sem o devem ter ateno redobrada. O alerta do gerente de Solues da IBM para a Amrica Latina,Marcelo Bezerra, que reconhece e aplaude os benefciosda tecnologia, mas recomenda cuidado. Trata-se de umbenefcio enorme, que traz uma srie de facilidades aousurio. Os equipamentos, em sua maioria, j saem defbrica com o recurso da conexo sem o, j temos oiPod sem o, acesso rede via celular. Mas o problemada segurana existe.

Embora os manuais descrevam em detalhes os

procedimentos para con gurao segura de uma redewireless, a tecnologia apresenta riscos adicionais: arede no tem um limite de nido, susceptvel; outraspessoas podem usar uma determinada conexo at semquerer. Ele exempli ca com o fato ocorrido com a -lha, que reclamou de quedas sucessivas em sua cone-xo. Na rede que tenho em casa as con guraes estoadequadas; o que estava acontecendo que minha lhaestava usando, sem querer, a rede do vizinho, que esta-va aberta, sem proteo. Como no h limites, o risco

aumenta, seu computador pode ser invadido por algum

que voc nem sabe onde est.Ele adverte para o fato de que, se houver uma co-nexo da rede wireless com uma rede cabeada, o acesso aberto tambm segunda. Existem hoje os chamadossniffers, que conseguem capturar todo o trfego em umsegmento de rede. Se o dado est sem criptogra a, elepode capturar tudo. Fazendo uma analogia com a redefsica, seria como colocar um plug de rede na calada,para que qualquer pessoa possa se conectar.

As redes sem o esto sendo muito usadas em ae-roportos, laboratrios, restaurantes, hotis. Tudo isso

tem que ser muito bem con gurado, seno a pessoa podeter problemas como invaso de seu computador, ter seusdados capturados. Trata-se, basicamente, de con gurar o ponto de acesso de forma que que invisvel para outras pessoas, e usar criptogra a, limitando o acesso ao usu-rio que conhece a chave criptogr ca. H recurso paraque voc determine autorizaes para quem voc permiteque entre. Colocando algumas di culdades, a pessoa re-duz sua exposio e a probabilidade de algum invadir oseu computador.


20/112



Segurana CorporativaO cuidado que usurios domsticos devem adotar

com suas informaes ganham dimenses superlativas

quando se trata de uma organizao. Para o presidenteda Mdulo Security, empresa especializada em tecno-logia para Gesto de Riscos, Fernando Nery, a segu-rana da informao deve ser tratada no s do pontode vista tecnolgico, mas prioritariamente pela suarelao com o negcio da empresa. Trata-se de umdesa o do dia-a-dia da informtica; gestores de segu-rana de TI compartilham angstias e di culdades aotratar a questo, a rma. Nery explica que atualmenteo problema da segurana abrangente: comea den-tro de casa, com os lhos alimentando seus blogs, re-lacionando-se pelo Orkut, a famlia fazendo compraspela internet; at mesmo pelo telefone, os riscos deextorso existem.

Com a experincia de atuao no mercado corpo-rativo, ele defende que os oramentos dedicados segu-rana da informao variam de acordo com a importnciaque a empresa d a esse aspecto. Quanto mais importan-te a segurana da informao para o negcio da empre-sa, maior o oramento destinado.

Nery ressalta ainda o desa o dos gestores de se-gurana para sinalizar aos responsveis pelas reas de

negcios a importncia de adotar medidas de segurananuma empresa. Ele explica que a segurana ou proble-mas relacionados, aparecem em casos crticos, quando huma invaso, indisponibilidade ou queda de um sistemae defende que relevante trat-la como algo positivo:o risco pode ser positivo, considerando-se o conceitode que o risco o efeito das incertezas nos objetivos. trabalho do pro ssional de segurana conscientizar usurios e gestores.

Em palestra realizada durante o Security Meeting2007, em Belo Horizonte, o executivo fez alerta aos pro-

ssionais da rea sobre o conceito de Governana, Gestode Riscos e Compliance (GRC). Segundo ele, uma ten-dncia, na forma de um conceito mais abrangente do queos trs elementos tratados de forma individual. Ele explicaque os trs pontos, juntos, so capazes de contemplar umacapacidade de trabalho superior da soma dos trs, almde evitar redundncias entre reas da empresa.

Ele adverte para o fato de que a aplicao doGCR exige dois princpios bsicos: a automao e a

Fernando Nery: governana, gesto de riscos e compliance.

W a g n e r A n t

n i o / S u c e s u -

M G


21/112



RegulamentaesO problema da segurana das informaes e a glo-

balizao, que coloca on-line na internet diferentes legis-laes e culturas, re ete profundamente na gesto dasorganizaes, com maiores ou menores impactos, emfuno da natureza de seus negcios. Uma srie de nor-mas e regulamentaes tm surgido, para enquadrar, numpadro desejado de segurana, determinados grupos deinstituies que se relacionam pela rede.

Segundo o analista da Prodemge, Paulo Csar Lo-pes, os impactos atingem diretamente os departamentosde administrao de risco e as reas de tecnologia, queassumem novas funes, a partir dessas normas, visando adequao. Marcelo Bezerra, da IBM, acrescenta que aquesto pode se transformar num problema administrativopara organizaes vinculadas s vrias regulamentaes.

O no cumprimento de determinadas normas podedesabilit-las para prestao de servios, j que esto su- jeitas a auditorias e punies.

Uma das normas mais conhecidas internacio-nalmente a Sarbanes-Oxley, a chamada SOX, umaregulamentao scal norteamericana aplicvel a em-presas de todo o mundo que tenham aes nas bolsasdos Estados Unidos. Segundo Marcelo Bezerra, comotodas as transaes baseiam-se na tecnologia da in-formao, nesse caso, os sistemas de dados contbeis,

nanceiros, operacionais e jurdicos tm que estar ntegros e aderentes s centenas de artigos que com-pem a SOX.

Uma regulamentao importante, dirigidaao sistema financeiro, o acordo de Basilia, queprocura, em sua essncia, estabelecer padres dequalidade para as instituies financeiras, aperfei-oando-as. Os acordos de Basilia I e II podem servistos tambm como um estmulo transparncia e segurana para clientes, investidores, acionistas econtroladores.

integrao; a importncia da troca de informaes, re-mete colaborao: fundamental um clima propcio colaborao, ressalta.

Nery lembra que hoje existe uma boa base tericae tcnica para tratar a questo, que deve contemplar trsconceitos bsicos: a con dencialidade (resguardar sigiloe evitar vazamento), a integridade (combate a fraudes,conformidade com leis, normas, regulamentao) e adisponibilidade. Ele alerta ainda para o fato de que pro-gramas e normas de segurana hoje so compulsriospara as organizaes quem tm alguma regulamentao,de acordo com a rea de atuao.

E deixa um lembrete: pense no todo. Comecepequeno. Crie um modelo escalvel. Cresa rapida-

mente.Para a analista do CERT.br, Cristine Hoepers, de

forma geral, empresas, provedores e outras grandes ins-tituies devem seguir as boas prticas de segurana deredes internet, possuir polticas e procedimentos adequa-dos, ferramentas adequadas de proteo e investir for-temente em treinamento de pessoal. Ela ressalta que aquali cao de pessoal e a conscientizao dos usurios a chave para o aumento da segurana.

Para a implementao de um programa de seguran-a, a rma, importante que a pessoa responsvel pelagesto de riscos compreenda no s as implicaes desegurana de cada soluo de TI adotada, mas tambmentenda profundamente o negcio da empresa. Somentesomando esses conhecimentos, o pro ssional tem condi-es de avaliar quais as reas prioritrias e qual a estrat-gia adequada para gerir os riscos de sua infra-estrutura.

Para o envolvimento dos colaboradores num proje-to de gesto de riscos, Cristine a rma que no existe umareceita de sucesso, mas este depende do envolvimento detodos os setores no processo de de nio da estratgia.Se os setores-chave esto envolvidos no projeto e dis-cusses e, conseqentemente, compreendem a importn-

cia, ca muito mais fcil conseguir o comprometimentopara atingir o sucesso.

Mais informaes espec cas para administradoresde redes podem ser encontradas nos seguintes sites:

Antispam.br rea de Administradores - http://antispam.br/admin/

Prticas de Segurana para Administradores deRedes Internet http://www.cert.br/docs/seg-adm-redes/


22/112



ENTREVISTA

KevinMitnicKevin Mitnick

Os perigos crescentes na rede mundial de computadores, especialmente aqueles produzidos pomeio da engenharia social, so abordados, nesta entrevista, por um dos maiores especialistas nassunto. O consultor norte-americano na rea de segurana da informao, Kevin Mitnick, fala comconhecimento e a experincia do mais conhecido hacker da histria da internet.

Aps uma trajetria pouco convencional, quando se tornou famoso pelas ousadas investidaem redes de grandes organizaes entre elas o Comando de Defesa Area norte-americano e peperseguio por agentes do FBI, que culminou em sua priso por crimes digitais, o especialista agotrabalha no lado certo da lei, oferecendo o que ele chama de servios de hacker tico. Atendendclientes em todo o mundo, com dois livros publicados sobre o assunto A arte de enganar e A arte deinvadir ele se diz recompensado com a nova rotina.

Mitnick fascinado pela mgica, conforme confessa em seu primeiro livro, e consolidou expresso e a prtica daengenharia social, a arte de manipular ou in uenciar pessoas para conseguir delas informaes importantes ou sigilosas.

Nesta entrevista exclusiva revistaFonte, concedida por telefone, ele fala ainda sobre aimportncia da anlise de riscos, os reais perigos da internet e de como prevenir incidentes ou reduzvulnerabilidades, destacando o peso que as organizaes devem dar aos aspectos tecnolgico e human

Com a participao dos analistas da Prodemge Naira Faria e Paulo Csar Lopes.


23/112



Em seu livro A arte de enganar (The art of deception), o senhor enftico ao falar da vulnera-bilidade dos sistemas de segurana. Como prestar servios provendo justamente segurana?

Eu me sinto muito melhor, claro, trabalhandono lado certo da lei e ajudando empresas, setoresgovernamentais, universidades e protegendo seussistemas de informao. de nitivamente umacarreira muito recompensadora; e o gerenciamentodesses riscos realmente imprescindvel no hostilambiente da computao atual.

Na prtica, que servios o senhor oferece aosseus clientes?

Os servios que eu forneo so servios dehacker tico. Empresas me contratam para tentarcomprometer seus sistemas ou, em outras palavras,para encontrar todas as falhas de segurana que umhacker poderia usar para entrar em suas redes oupara ter acesso a informaes crticas. E o que de-

sa ador nisso? Como um hacker, voc s precisaencontrar um dos furos na segurana para burlar osistema. Mas como um hacker tico, como um pro-

ssional de segurana, voc tem que encontrar to-das as vulnerabilidades e garantir que suas respecti-vas defesas sejam institudas, porque se voc deixaruma abertura, com certeza algum ir explor-la. muito difcil trabalhar para proteger sistemas, maisdifcil do que ser um invasor. Ser um hacker maisfcil, porque voc s vai precisar encontrar um pro-blema de segurana, vai ter que encontrar apenasum furo, mas proteger o sistema mais difcil, por-que voc vai ter que encontrar todos eles. muitomais desa ador, na verdade, mais desa ador do queser um hacker. mais difcil proteger um sistema doque hackear um sistema. Pesquisar e garantir prote-o ao seu cliente melhor do que s encontrar umanica vulnerabilidade e invadir.

Atualmente, qual o grau de segurana (ou in-segurana) na internet?

Bem, segurana na internet realmente depen-de da empresa ou do setor do governo que est co-nectado internet. No geral, a internet, como umaimensa rede global, cria um ambiente rico em alvos,porque h muitos sistemas inseguros que podemser hackeados. um ambiente hostil e uma vez quevoc conecte seu sistema nessa rede, tem que adotaro devido cuidado para proteger seu sistema de sercomprometido. , sem dvida, uma rede hostil. E oque voc tem que fazer como empresrio ou indiv-duo adotar como padro a devida precauo parase proteger.

O senhor acha que hoje mais difcil inva-dir?

Na verdade, mais fcil hoje em dia, porquemuitas das faanhas identi cadas por pesquisado-res de segurana so publicadas. Muitas empresas e

clientes tm empacotado seus sistemas e corrigidoessas vulnerabilidades; h tambm a divulgao dasvulnerabilidades zero-day, para as quais no hsoluo. De fato, h anos, quando eu era um hacker,informaes como essas no eram publicadas, voctinha que encontrar as vulnerabilidades de seguran-a por conta prpria ou se associar a um pequenogrupo de pessoas que compartilhasse esses mesmosinteresses e tambm as informaes sobre vulne-rabilidades. Atualmente, h muita informao dis-ponvel sobre como invadir um sistema, por isso mais fcil. Temos que considerar, no entanto, que aomesmo tempo, esse fato pode tornar a invaso maisdifcil, porque muitas empresas, setores governa-mentais e universidades esto mais prevenidos, de-senvolvendo tecnologias de segurana para garantirsua proteo. Ento, nesse caso, a questo se tornamais desa adora.

ENTREVISTA


24/112



Quais os principais pilares de um programade gesto de risco?

A habilidade para identi car uma ameaa edeterminar como e em que medida ela poderia afe-tar seu negcio. Voc precisa identi car a ameaa ea probabilidade do seu sistema ser comprometido.E voc quer desenvolver um programa de gerencia-mento de riscos para avaliar que rea do negcio vocprecisa proteger e como prioriz-la corretamente. E,ainda, qual seria o custo efetivo, porque em anlisede riscos importante saber quanto se perderia seum incidente de segurana ocorresse. Ento, na an-lise nal, voc precisa identi car as vulnerabilidadesque podem resultar numa perda signi cativa, paraque voc possa priorizar quais itens focar e quantoseria orado para garantir sua proteo.

H alguma peculiaridade, se considerarmosuma empresa pblica?

No necessariamente. Toda empresa est sob

risco e no importa se um setor do governo, umaempresa pblica ou privada. H, de nitivamente,ameaas e voc tem que gerenci-las apropriada-mente. claro que hackers com intenes criminosasiro onde o dinheiro est. Mas no necessariamenteprecisa ser uma empresa pblica, poderia ser umaempresa de servios nanceiros ou de transfernciade dinheiro, que poderia ser atacada pela habilidadede roubar dinheiro. Geralmente, as grandes empre-sas tm um oramento de segurana para comprartecnologias apropriadas e treinar seu pessoal. Des-sa forma, podem ser menos vulnerveis. Mas vocno pode generalizar seus inimigos, isso, de fato, seresume individualidade de cada empresa e o queelas fazem com seus programas de gerenciamentode segurana. Voc pode ter uma empresa pblicaque possui uma segurana terrvel e uma empresapblica que possui uma boa segurana. So todas

diferentes, no tudo igual para todas as empresasconectadas internet.

Qual a importncia do elemento humanonesse contexto?

A in uncia humana pode ser usada para oque conhecido como engenharia social, quesigni ca que voc pode enganar, manipular ou in-

uenciar uma pessoa, uma vtima, para conseguir que ela atenda uma solicitao, geralmente pessoascon veis em uma organizao. Ento, claro, se asempresas no treinarem seus funcionrios sobre oque a engenharia social, sobre as diferentes abor-dagens utilizadas pelos engenheiros sociais e treinarfuncionrios nas polticas de segurana e motiv-losa no quebr-las sob qualquer circunstncia, as em-presas estaro correndo risco de ser atacadas pelaengenharia social.

As ferramentas para prevenir ou detectar

ataques tm acompanhado a velocidade de so sti -cao dos hackers?Eu vejo preveno e proteo como ferra-

mentas da tecnologia e os hackers experientes, aous-las, deveriam saber como usar essas ferramen-tas para prevenir e detectar invases. Mas isso real-mente depende da habilidade do hacker. H hackersque podem no estar familiarizados com determina-da tecnologia; e h hackers pro ssionais. Isso real-mente depende da experincia particular deles.

Pode-se falar em crime organizado na inter-net? H quadrilhas de hackers? Como elas atuam?

Com certeza. Especialmente na Rssia eem algumas naes pobres, o crime organizado de nitivamente um srio problema, porque pelainternet torna-se mais fcil roubar. Ento, h muitasfraudes de cartes de crdito, fraudes nanceiras,

ENTREVISTA


25/112



ENTREVISTAextorses, esquemas de sites falsos que esto acon-tecendo todo dia, envolvendo at sites de relaciona-mentos. H crimes organizados explorando pessoaspor meio da construo de falsos relacionamentose usando-as para conseguir sua ajuda involuntaria-mente; por exemplo, se voc compra mercadoriascom um carto de crdito internacional, a vtimair reenviar o produto para um pas estrangeiro poracreditar tratar-se de algo legtimo. Mas eles iropensar que esto fazendo isso para a namorada ounamorado que conheceram na internet. Mas, na ver-dade, um esquema fraudulento.

Que crimes so mais comuns na rede?Roubar dados de cartes de crdito, usar car-

tes fraudulentos para comprar produtos e servios,esquemas de extorso virtual, nos quais as empresasso ameaadas, a m de pagar para que seus websites no sejam derrubados ou o hacker, de algu-ma forma, rouba seu domnio. H ainda o roubo

de informaes privadas e spywares, que infectamo computador do consumidor com programas que,na verdade, agem como grampos: os hackers conse-guem, dessa forma, roubar informaes como cre-denciais bancrias on-line. Eles logam na contabancria do cliente e a esvaziam. Todos esses tiposde crimes so cometidos na internet.

Quais os riscos reais em compras eletrnicase no uso de servios bancrios pela internet?

Em e-commerce, so ladres roubando os da-dos do seu carto de crdito e usando esses dadospara comprar outros produtos e mercadorias. Feliz-mente, nos Estados Unidos, se algum rouba o nme-ro do seu carto de crdito, voc no responsvelpelo pagamento, mas sim o comerciante. Mas em al-guns outros pases, o dono do carto assume o risco.Felizmente, na Amrica, o banco assume o risco. O

internet banking pode ser arriscado se um fraudadorconseguir seu nome de usurio e senha da sua conta bancria, o que pode possibilitar que ele trans ra di-nheiro. A responsabilidade da dvida depende da leido pas onde o cliente do banco reside. Mas em al-guns casos, o consumidor pode ser o responsvel peloprejuzo, isso realmente depende da lei do pas, o quepode ser bastante desastroso para um consumidor.Planos de aposentadoria podem ser roubados. Se umfraudador tem acesso carteira de investimento das pessoas e os proprietrios dessas contas carem com-prometidos e o dinheiro desaparecer, o consumidorque assumir o risco. Isto bastante assustador.

Quais os erros mais comuns cometidos por empresas na implantao de programas de segurana?

Elas investem todo o dinheiro em tecnologia,elas podem comprar produtos, elas podem no con-

gur-los corretamente. A maioria dos produtos desegurana cria logs de auditoria. A no ser que algo

suspeito ocorra, ningum analisa logs para identi-car incidentes de segurana. Em outras palavras,as empresas apenas compram tecnologia e esperamque esta gerencie a segurana por si s. Mas o de-partamento de TI precisa realmente gerenciar a tec-nologia. E eles no fazem isso corretamente.

Que recomendaes o senhor daria a essesempresrios?

Para levar segurana a srio e no apenas fo-car em tecnologia unicamente, atente ao seu quadrode funcionrios. Treine seu pessoal sobre a ameaa segurana, que pode afet-los, como a engenhariasocial. Desenvolva processos de segurana com umciclo de vida, ento voc estar constantemente re-vendo os requisitos de sua segurana, mudando-ossempre que preciso e adquirindo tecnologia e caz para reduzir o risco espec co ao seu ambiente.

Mais informaes sobre Kevin Mitnick em www.mitnicksecurity.com


26/112



Mercado e tendnciasO desenvolvimento da indstria de segurana, em

todo o mundo, tem acompanhado as necessidades dessa

nova realidade. No que a internet tenha trazido novi-dades de risco, explica Marcelo Bezerra, da IBM. Naverdade, o crime vai onde h oportunidades de ganhos. Halguns anos, as pessoas cavam vontade para andar comquantias enormes de dinheiro nos bolsos. Muitas foram v-timas de assalto ou do velho golpe do bilhete premiado.Com a imposio de mudana nesse hbito, reduziu-se onmero de pessoas que carregam dinheiro e muitas forampara a internet, onde realizam suas operaes. O crime vai junto. As partes boa e ruim andam juntas; a tecnologia ser-ve da mesma forma aos dois lados da sociedade.

Ele lembra que a segurana fsica patrimonial tam-bm acompanhou as demandas da sociedade, desenvol-vendo tecnologias so sticadas para segurana de prdioscomerciais ou residenciais, como alarmes, cercas, etc.Esse movimento acompanha o crescimento da crimina-lidade; uma caracterstica da nossa sociedade.

Marcelo Bezerra a rma que segurana da informaotornou-se um componente importante no universo de TI: nose trata de uma aplicao em si, mas que possibilita que outrasaplicaes sejam feitas; uma vez que as empresas esto inves-tindo em TI e internet, os recursos de segurana agregam aessas inovaes a garantia de que elas aconteam.

Ele cita, como exemplo, a Web 2.0, que tem sidoamplamente utilizada pelas organizaes em seus rela-cionamentos com clientes e que se trata de um ambien-te pautado fortemente pela interao. Os programasso feitos para facilitar a comunicao, conversarem deforma interativa. Um determinado site tambm conversacom outros. Para facilitar toda essa dinmica, novos pro-tocolos e ferramentas de desenvolvimento so largamenteutilizados, tudo com base no webbrowser, que funcionacomo um sistema operacional.

Essa caracterstica de interao, se por um ladotorna as coisas mais fceis para o usurio, por outro astorna mais acessveis para os hackers, ou mais fceis doque eram antes. Para que essas novidades sejam viabili-zadas, segundo o gerente da IBM, tem que haver segu-rana, seno voc est abrindo novas portas, problemasque estavam resolvidos podem voltar. As empresas esto,em suas rotinas, utilizando novos softwares, protocolos,camadas de programas, ou seja, novas vulnerabilidadestambm surgem, podem ser novas janelas de ataque.

Investindo maciamente em produtos para segu-rana h cerca de dois anos, a IBM tem feito avanos eaquisies no setor e formou um portflio abrangente deprodutos para seus clientes. So alternativas de seguranaem quase todas as disciplinas. A IBM no uma empresade segurana da informao, mas tendo esse conhecimentodentro de casa, tem uma possibilidade muito boa de trazeressas solues para seus clientes, informa Bezerra.

Ele explica que no aspecto tecnolgico a busca dos pro-ssionais do setor por sistemas mais automticos, que detec-

tem fraudes com base no mapeamento de comportamentosExistem no mercado investimentos para fazer isso de formacada vez mais e ciente; programas que analisam comporta-mentos de sistemas, de pessoas e de trfego na rede.

Como funciona isso? Se um determinado programano computador comea a ser executado e tenta acessar ougravar informaes em reas que no so as usuais, ou ainteragir com outros programas, com os quais no temnenhuma relao, esse fato identi cado. O acompa-nhamento pode ser feito tanto com relao ao comporta-mento de redes quanto de pessoas. Por exemplo, o caso deum colaborador que tem per l de acesso a determinadasaplicaes e de repente comea a mandar, de seu usurio,

Marcelo Bezerra, da IBM

D i v u l g a o


27/112



dados criptografados para endereo desconhecido. Tra-ta-se de um procedimento que foge rotina ou compor-tamento diferente que pode ser identi cado e analisado.Pode no ser nada, mas se for, h como intervir.

Segundo Marcelo, a indstria vem estudando pa-dres de comportamento e j tem mapeada uma srie depadres de comportamento de programas de ataque. Osvrus automticos, por exemplo, que comeam a partir deuma mquina contaminam cem, que por sua vez contami-nam mais cem. Quanto mais efetivo for o mapeamentode comportamento, melhor.

Outra tendncia a preveno de perdas de dados.Ele explica que um problema hoje bem identi cado aperda de dados, sejam eles pessoais ou de empresas. Odata lost prevention uma soluo que acompanha produ-

tos de rede e capaz de detectar, por exemplo, um nmerode CPF circulando pela rede. Nesse caso, se passar pelarede um nmero de CPF, ele acusa. Da mesma forma, hinteligncia para detectar fraudes no correio eletrnico.

Outra preocupao dos executivos de segurana,que vem recebendo resposta dos fornecedores, a questo

de ajustamento do ambiente s regulamentaes exigidaspor entidades no Brasil e no mundo. O funcionamento demuitos setores est condicionado ao cumprimento des-sas exigncias. Na con gurao, o sistema de seguran-

a deve estar aderente a determinadas normas que soexigidas para aquela organizao, de acordo com a suanatureza. O objetivo facilita

Revista Segurança da Informação

Documents

Transcript of Revista Segurança da Informação