Introdução

Se você tem 100% de um negócio que não funciona, possui 100% de nada”.
Joe Tsai é citado em Clark (2019, p. 277).

A utilização de sistemas distribuídos de informações para suporte à realização de transações de e-business remete na atualidade importantes desafios à segurança, levanta questões éticas exige atenção especial dos profissionais envolvidos com a gestão dos sistemas de informação e das organizações de forma geral. O´Brien e Marakas (2012) nos ensinam que uma das principais características dos dados eletrônicos é a imaterialidade, o que reflete em uma certa fragilidade, considerando que informações podem ser geradas em um local geográfico interconectado por redes de computadores e utilizadas em outro, separando virtualmente seus responsáveis. Stefano e Zattar (2016, p. 96) nos lembra que “a Internet trouxe um boom para o mercado global, proporcionando aos usuários acesso a bens e serviços”.

Os dados de um sistema de informação passaram a ser armazenados através de operações informatizadas e uma nova área de estudo e desenvolvimento acabou por ser intensificada para desenvolver sistemas que pudessem garantir a segurança tanto no armazenamento como na transmissão destes dados. Perceba, caro leitor, que enquanto há desenvolvimento constante de novos sistemas e técnicas para proteção e dados digitais, temos também pessoas mal-intencionadas que buscam constantemente burlar estes sistemas. A atenção para com os dados e os sistemas de informação nunca foi tão importante.

Stefano e Zattar (2016) relatam algumas possibilidades proporcionadas pela Internet que fazem com que este ambiente seja um espaço atraente para pessoas mal-intencionadas: atividades criminosas, espionagens industriais e políticas, vingança, sabotagem, vandalismo, ameaças e ataques a sistemas digitais.

Kurose e Ross (2013) sustentam que os conceitos referentes aos requisitos dos sistemas de informação relacionados à segurança são baseados em três componentes básicos:

• Confidencialidade: ou sigilo, é a garantia de que o acesso à informação esteja restrito apenas aos seus usuários legítimos.
• Integridade: garantia da criação legítima de dados e da consistência da informação ao longo do seu ciclo de vida, com a prevenção contra criação, alteração ou destruição não autorizada de dados e informações.
• Disponibilidade: garantia de que a informação e os ativos associados a ela estejam disponíveis para os usuários legítimos, de forma oportuna.

Stefano e Zattar (2016) acrescenta dois outros componentes como requisitos de segurança em sistemas digitais:

• Não repúdio: garantia de oferecer a prova da origem e o destinatário de cada mensagem dentro de um sistema de informação.
• Autenticação: identificação com segurança dos clientes e servidores de uma rede de computadores (sistema de informação) com a utilização de assinaturas digitais e certificados digitais.
• Chaves de gerenciamento: fornece distribuição segura e gerenciamento de chaves necessárias para ter comunicação segura.

A segurança da informação é um tema muito importante na atualidade para as organizações, como bancos, departamentos públicos dentre as organizações de todas as naturezas, pois grande parte delas operacionalizam e gerenciam seus dados como ativos dentro de ambientes digitais.

saiba mais

Conheça o site Cert.br – Centro de Estudos, resposta e tratamento de incidentes de segurança no brasil. Trata-se de um ambiente com um rico volume de informações sobre segurança da informação vinculado ao Grupo de Resposta a Incidentes de Segurança (CSIRT), mantido pelo Nic.br do Comitê Gestor da Internet no Brasil.

Figura 1 – Site do Cert.br

Fonte: CERT (2022)

Link 1: em: https://bit.ly/3z44rQO. Acesso em: 4 jun. 2022.

Vulnerabilidades em sistemas de informação

O cibercrime é considerado por Stefano e Zattar (2016) um problema para as organizações e os consumidores de produtos e serviços em ambientes digitais. De forma geral, nenhum sistema de informação pode ser considerado seguro totalmente. De acordo com Tanenbaum (2011), a maior parte dos problemas de segurança é causada de forma proposital, por pessoas mal intencionadas, que tentam obter algum benefício, chamar a atenção ou mesmo prejudicar alguém.

O´Brien e Marakas (2012) observam que o cibercrime está se tornando um grande negócio na internet. Criminosos estão utilizando diversas estratégias, de furtar a propriedade intelectual e cometer fraudes até́ lançar vírus e cometer atos de terrorismo cibernético. De acordo com dados do CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), os principais ataques relatados em 2020 foram:

• Scan: notificações de varreduras de sistemas em redes de computadores.
• Worm: notificações de atividades maliciosas de processos automatizados de propagação de códigos maliciosos em rede.
• DoS (Denial of Service): ataques a sistemas de redes para negação de serviço.
• Fraude: incidentes em que ocorre uma tentativa de obter vantagem sobre sistemas e dados alheios.
• Aplicações na Web: ataque visando especificamente o comprometimento de servidores web ou desfigurações de páginas por meio de malwares.
• Invasão: ataque que resulta no acesso não autorizado a um computador ou rede.

Figura 2 – Principais incidentes relatados ao CERT em 2020

Fonte: CERT. Acesso em: 4 jul. 2022.

Para prover a chamada cibersegurança, ou segurança em ambientes digitais é necessário desenvolver uma política de segurança dentro das organizações que incorpore aplicações, informação, redes de computadores, sistemas operacionais, criptografia e dados, controle de acesso, plano de recuperação de desastres e sobretudo educação de usuários. Grande parte dos problemas de segurança em sistemas digitais estão relacionados a questões não técnicas, e sim de comportamento do usuário. Para Hoelz (2015), uma política de segurança deve assegurar que somente pessoas autorizadas possam acessar os documentos protegidos e considerar os diversos níveis de segurança, desde física, para proteção a incêndios, até a segurança de sistemas inteligentes via monitoramento de sistemas de detecção à intrusão.

Ameaças e ataques em sistemas de informação

De acordo com dados apresentados pela Fortinet citados em Rolfini (2020), no primeiro trimestre de 2020, foram relatados mais de 1,6 bilhão de ataques cibernéticos no Brasil. Veja, caro leitor, que uma ameaça relaciona-se à possibilidade de violação da segurança quando há alguma circunstância, capacidade, ação ou evento que pode quebrar a segurança e causar danos. Já o termo ataque representa a uma ação efetiva contra a segurança do sistema, derivada de uma ameaça. Ataques podem ser classificados como passivos e ativos. Um ataque passivo busca descobrir informações dentro de um sistema de informação, mas não afeta os seus recursos. Um ataque ativo altera recursos do sistema de informação e impacta rede de computadores com a captura ou frade de seus dados.

Moraes (2010) apresenta a seguinte classificação dos tipos de ataques:

• Ataques de senhas: objetivam descobrir uma determinada senha utilizando-se de técnica de força bruta, usando dicionários de palavras para combinações alfanuméricas ou furto de arquivo.
• Ataques a dispositivos de rede: ataques direcionados a dispositivos de rede (computadores, switches, roteadores), buscando vulnerabilidades.
• Ataques de privilégios: a partir de uma conta acessada com baixos privilégios estes ataques buscam conseguir acesso com direitos de administrador.
• Ataques de DoS (Denial of Service): tornam serviços e redes indisponíveis através de ataques coordenados por um conjunto de computadores, nos quais um cracker compromete milhares de máquinas na internet e obtém o seu controle.
• Ataques no nível de aplicação: explora vulnerabilidades em aplicações, serviços e protocolos que funcionam no nível de aplicação.
• Buffer overflow: explora a falta de tratamento dos dados de uma entrada do sistema de informação destinados a protocolos de serviço de sistemas.
• Backdoor: ataque que busca abrir portas lógicas nos computadores com a instalação de programas, iniciados por um anexo (e-mail ou link), executado pelo usuário do computador.

Os vírus de computador, assim como os cavalos de tróia, worms, hijackers, spywares, ransomwares e demais programas maliciosos, são denominados malwares. A figura 3 apresenta a seguir quais são os principais tipos de malware.

Figura 3 – Principais tipos de malwares

Fonte: elaborado pelo autor

Explicando:

• Cavalo de Troia (trojan): tipo de malware que abre caminho para outros programas maliciosos atuarem no sistema após a infecção para capturar dados do usuário, como senhas os trojans são inseridos no sistema do hospedeiro através do download de um programa ou arquivo.
• Worm (verme): tipo de vírus que tem maior capacidade de propagação através de disseminação automática e rápida para outros computadores pela Internet ou rede local. Um worm pode deletar ou alterar o conteúdo de arquivos ou enviar documentos por e-mail.
• Hijackers: softwares que atrapalham o funcionamento dos navegadores de internet, modificando, por exemplo, a página inicial do navegador, sem que o usuário possa mudá-la.
• Spywares: softwares que fazem espionagem e monitoramento de atividades dos usuários e quase sempre capturam informações. São programas de procedência duvidosa, normalmente oferecidos na forma de freeware ou shareware.
• Ransomware: software que atua como um chantagista quando ativado bloqueando ou limitando o acesso a arquivos, pastas, aplicativos, unidades de armazenamento ou até mesmo a todo o sistema operacional, só liberando em troca de pagamento.

Mecanismos de segurança digital

Os mecanismos de segurança digital apresentados por Stallings (2015) são implementados via protocolos em redes de computadores, hardware ou software (ou uma combinação de hardware e software com os protocolos de rede), e estão classificados conforme a seguir e representados conforme a seguir:

• Criptografia: algoritmos matemáticos que transformam dados de um formato legível para outro formato inteligível e com o controle de chaves (públicas e privadas).
• Assinatura digital: técnica que adiciona dados complementares para a transmissão dos dados, permitindo a comprovação da originalidade e a integridade dos dados.
• Controle de acesso: técnica que restringe direitos de acesso aos recursos (softwares ou pessoas) requisitantes.
• Integridade: técnica que busca garantir e preservar as unidades de dados dentro de um sistema de informação.
• Autenticação: mecanismo de segurança que busca garantir a identificação de uma entidade por meio de troca de informações.
• Controle de roteamento: mecanismo para seleção e definição de rotas (caminhos de transmissão de dados em uma rede de computadores) para a realização da transmissão de dados.
• Preenchimento de tráfego: mecanismo que busca inserir dados de controle em lacunas de fluxo na transmissão de dados para frustrar a intercepção via ameaças e ataques.
• Certificação: técnica de segurança que utiliza uma terceira entidade confiável (certificado digital) para garantir propriedades de uma troca de dados.

Figura 4 – Mecanismos de segurança digital

Fonte: adaptado de Stallings (2015)

No ambiente digital, composto por sistemas distribuídos de informação e inúmeras aplicações de negócios eletrônicos, existem mecanismos gerais e técnicas recomendadas pelo uso simplificado para segurança e proteção de sistemas, como: uso de antivírus, navegação privada em sistemas web e proteção de dados por meio de criptografia, uso de firewalls e sistemas de detecção de intrusão além de legislação para suporte e proteção de usuários e seus dados.

Para finalizar, um dispositivo muito importante para desenvolvimento de um sistema com segurança digital é o firewall. De acordo com Kurose e Ross (2013), o firewall é uma combinação de hardware e software que isola a rede interna de uma organização, da Internet em geral, permitindo que alguns pacotes passem e bloqueando outros. Já Machado (2014) define um firewall como um mecanismo de segurança representado por um hardware ou software, que implementa um conjunto de regras ou instruções, para analisar o tráfego de rede e determinar quais operações de transmissão ou recepção de dados são permitidas. Um sistema de firewall permite estabelecer políticas de segurança em uma rede de computadores e assim fazer um filtro quando na transmissão e recepção de dados em um sistema em rede.

Figura 5 – Representação de operação de um firewall

Fonte: Kurose e Ross (2013, p. 539).

Em resumo

Nesta aula, você pode verificar questões referentes à segurança digital, também chamada de cibersegurança, que também é aplicada ao e-commerce. Viu que um sistema de informação é baseado em alguns critérios de segurança: confidencialidade, integridade, disponibilidade, não repúdio, autenticação e chaves de gerenciamento. Conheceu algumas vulnerabilidades em sistemas eletrônicos: scan, worm, DoS, fraude, aplicações na Web e invasão. Percebeu também que estas vulnerabilidades podem dar condições para que existam ataques, entre eles: ataques de senhas, ataques a dispositivos de rede, ataques de privilégios, ataques de DoS (Denial of Service), ataques no nível de aplicação, Buffer overflow e Backdoor. Por fim, conheceu alguns recursos para minimizar, mitigar ou evitar problemas de segurança em ambientes digitais: criptografia, assinatura digital, controle de acesso, integridade, autenticação, controle de roteamento, preenchimento de tráfego, certificação e uso de firewalls.