Ferramentas do usuário

Ferramentas do site


s:seguranca_da_informacao

Visão geral

A segurança da informação é uma área de estudo que busca preservar e proteger dados importantes. É intimamente relacionada à segurança de dados computacionais, porém abrange também outros tipos de informação, como documentos escritos e informações contidas em artefatos históricos, por exemplo.

O uso de técnicas de segurança de informação existe desde a antiguidade, a exemplo da Cifra de César (100 a.C - 44 a.C.).

Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A norma técnica de segurança da informação em vigor é: ABNT NBR ISO/IEC 27002:2013 (Brasil).

Principais Marcos

A preocupação com a segurança sobre dados existe desde a antiguidade e vários métodos foram desenvolvidos desde tempos muito remotos. Um dos métodos mais antigos é a criptografia. A origem da palavra “criptografia” vem da junção de duas palavras gregas, “Kryptós” e “Gráphein”, que significam “oculto” e “escrever” respectivamente. Logo, a palavra “criptografia” se refere a uma maneira de se ocultar aquilo que está escrito. O exemplo mais famoso dos tempos antigos é a Cifra de César.

Após a Revolução Industrial, a invenção de máquinas-ferramenta fez surgir um enorme leque de possibilidades para como as informações poderiam ser processadas, criadas e protegidas de ali em diante.

Enigma (1928-1945)

Muito notável foi o uso da máquina Enigma na Segunda Guerra Mundial. Patenteada em 1918, foi modificada em 1928 pelo exército alemão. Depois disso, foi usada amplamente para criptografar e descriptografar os códigos trocados entre as forças nazistas. Era eficiente e exigiu grandes esforços das forças aliadas para decifrar seu padrão. Dentre as grandes personalidades que trabalharam para solucionar os métodos da máquina está o cientista britânico Alan Turing.

Programa Espacial Soviético - Vostok I (1961)

Após o fim da Segunda Guerra, as tensões entre EUA e Rússia cresceram muito e culminaram no início da Guerra Fria. Durante o período, foram executadas diversas missões no contexto aeroespacial, originalmente focadas exclusivamente na eficiência militar. Movimentos dentro do programa levaram ao lançamento do satélite Sputnik-1, que se provou um grande sucesso (na questão tecnológica e também para a guerra cultural). Cerca de 4 anos depois, foi lançada ao espaço a nave tripulada Vostok I, fazendo de Iuri Gagarin o primeiro ser humano a ir para o espaço.

Durante todo o Programa Espacial Soviético, houve extremo cuidado com as informações, que na época tinham de ser protegidas de manera física. Por exemplo, os funcionários ligados a projetos militares criaram uma política de identificação de armas usando uma combinação de letras e números completamente aleatória: por exemplo a espaçonave Vostok era identificada como “objeto IIF63”. Regras de acesso e divisões de trabalho em equipes separadas, impediam os trabalhadores de uma sessão ter conhecimento do que se passava na outra. O contexto histórico do momento levou tanto a Rússia como os Estados Unidos a adotar medidas de propaganda e também de segurança de informação muitíssimo estritas.

ARPANET (1969)

A ARPANET (Advanced Research Projects Agency Network, em português, Rede da Agência de Pesquisas em Projetos Avançados) foi a primeira rede de computadores e tinha como função interligar instalações militares e científicas nos Estados Unidos. Pode ser considerada o ponto inicial da internet. Foi a primeira a fazer comutação de pacotes à distância e a implementar o protocolo de rede NCP (Network Control Protocol) e o protocolo de internet TCP/IP (Transmission Control Protocol/Internet Protocol).

Creeper e Reaper (1971, 1972)

Creeper e Reaper foram, respectivamente, o primeiro vírus (na verdade, um worm) e o primeiro antivírus criados. Ainda no contexto da ARPANET, Bob Thomas criou um programa capaz de se mover de um computador para o outro. Pode ser considerado o primeiro worm. Creeper foi um teste criado para demonstrar a possibilidade de infecção pela rede e não causava danos a dados, apenas mostrava a mensagem “I’m the Creeper: catch me if you can.” nas máquinas afetadas. Como resposta, Ray Tomlinson criou o programa Reaper, bastante eficiente em sua missão: assim que detectado o ataque de Creeper, o removia do sistema, impedindo que se espalhasse para outros computadores.

Wabbit (1974)

Primeiro programa malicioso detectado, Wabbit (que tira seu nome do modo que o personagem Hortelino chama Pernalonga nos desenhos da Looney Toones. O nome também faz alusão ao rápido método de auto-replicação do malware). Infectava apenas o sistema em que estava instalado, sem se espalhar para outros dispositivos na rede. Wabbit criava um loop infinito que criava processos e cópias de Wabbit. Esse ciclo levava o sistema a uma sobrecarga, que levava ao crash.

Surgimento da internet (1983)

Em 1º de janeiro de 1983, o protocolo TCP/IP se tornou o único protocolo aprovado pela ARPANET, substituindo o antigo protocolo NCP. Dois anos depois, nasceu a National Science Foundation Network, um conjunto de redes universitárias interconectadas. O Protocolo de Internet permitia que a transição de dados entre redes. Assim, todas as redes conectadas pelo endereço IP na Internet poderiam navegar pelos arquivos e trocar mensagens.

Brain (1986)

Primeiro vírus que antigia computadores pessoais IBM (IBM PC). Se espalhava por meio de disquetes e foi criado pelos irmãos paquistaneses Amjad e Basit Farooq Alvi.

Vienna Virus (1987)

Primeiro vírus a ser destruído com sucesso por um antivírus. Sua ação era simples e não foi registrado muito dano causado por ele. Seu código-fonte foi publicado em vários locais, o que gerou vários vírus derivados de sua base. Bernt Fix pode ser considerado um dos precursores da “onda antivírus” devido ao status de primeira pessoa que neutralizou um vírus.

Antivirus "Boom" (1987-1990)

A partir do ano de 1987, começaram a surgir diversas empresas oferecendo serviços de proteção de dados computacionais. Em apenas três anos (1987-1990), surgem nomes como McAfee, Avast, Panda, entre muitos outros.

ILOVEYOU (2000)

Um vírus que se espalhava por e-mail, contaminou mais de 50 milhões de máquinas. Por usar a mailing list do usuário atingido, espalhava-se por pessoas muito possivelmente conhecidas e que confiariam em um e-mail enviado por aquele contato. O programa sobrescrevia arquivos no computador do usuário por meio de um script. Causou prejuízos na casa das dezenas de bilhões de dólares na época. O Pentágono, a CIA e outros estabelecimentos suspenderam seus serviços de e-mail devido ao vírus.

National Cyber Security Division (2003)

Em 6 de junho de 2003, foi fundada nos Estados Unidos a Divisão Nacional de Segurança Cibernética do país, uma força oficial para o assunto, e também um símbolo de reconhecimento da necessidade de especialização e regulação na área.

Lançamento do iPhone e popularização do SO móvel (2007)

O sistema móvel iOS não é o mais antigo sistema operacional móvel a existir, porém certamente foi o primeiro a obter tanto sucesso em vendas e popularização. Um ano depois do lançamento do iPhone, foi desenvolvido o sistema Android, que popularizou mais os smartphones, que muitos hoje consideram indispensáveis em suas vidas diárias. As vulnerabilidades que podem ser exploradas em dispositivos como esses são diversas e criaram novos campos de estudo. Informações como chamadas, conversas por aplicativos e localização do usuário do celular são exemplos de informação que devem ser focadas no estudo da segurança em celulares.

Stuxnet (2010)

Primeiro worm descoberto que é projetado para espionagem e reprogramação de sistemas industriais. Foi usado para infectar os sistemas de operação de uma usina de enriquecimento de urânio localizada em Natanz, no Irã. Trabalhava de maneira engenhosa e silenciosa e a origem ainda é desconhecida.

Vazamento de dados - Yahoo! (2013-2015)

Em 2016, foi descoberto que entre 2013 e 2014 a empresa Yahoo! havia sofrido ataques hackers e que milhares de conta haviam sido comprometidas. Não se sabe o número exato de contas afetadas, mas a empresa declarou em 2017 que todas as 3 bilhões de contas haviam sido afetadas.

Regulamento Geral sobre a Proteção de Dados (2018)

Em 2016, a União Europeia aprovou um novo regulamento para proteger a privacidade e os dados pessoais de todos os indivíduos da região. Depois de dois anos de transição, entrou em vigor em maio de 2018.

Lei Geral de Proteção de Dados Pessoais (2020)

No Brasil, foi aprovado no Senado o Projeto para criação da Lei Geral de Proteção de Dados Pessoais no ano de 2018. A LGPD cria um conjunto de novos conceitos jurídicos (e.g. “dados pessoais”, “dados pessoais sensíveis”), estabelece as condições nas quais os dados podem ser tratados, define direitos para os titulares dos dados, gera obrigações para os controladores dos dados e cria uma série de procedimentos e normas para que haja maior cuidado com o tratamento de dados pessoais e compartilhamento com terceiros. Entrou em vigor em 18 de setembro de 2020.

Grandes Nomes

Runa Sandvik

Imagem: Runa Sandvik. Retirada de: https://en.wikipedia.org/wiki/Runa_Sandvik

Runa Sandvik é uma especialista em segurança da computação nascida na Noruega, morando atualmente nos Estados Unidos. Trabalhou no New York Times, na Freedom of the Press Foundation e no The Tor Project. Em maio de 2014, entrevistou Edward Snowden. Defende a eficiência na criptografia.

Junto de seu marido, Michael Auger, demonstrou como rifles inteligentes de precisão com acesso remoto podem ser hackeados. O rifle TrackingPoint está equipado com um computador linux embutido. Sandvik e Auger descobriram que poderiam utilizar linhas de comando do shell Unix para alterar os parâmetros dos quais o computador de mira depende, para que ele sempre erre os alvos. Eles descobriram que um hacker experiente poderia usar o shell para adquirir acesso root. Adquirir acesso root permitia que um intruso apagasse todo o software do computador de mira.

André Grégio

Imagem: André Grégio.

Bacharel em Ciência da Computação pela Universidade Estadual Paulista Júlio de Mesquita Filho (2004), Mestre em Computação Aplicada pelo Instituto Nacional de Pesquisas Espaciais (2007) e Doutor em Engenharia Elétrica pela Universidade Estadual de Campinas (2012), com período sanduíche na UCSB - University of California, Santa Barbara. Professor Adjunto do Departamento de Informática (DInf) na Universidade Federal do Paraná (UFPR). Pesquisador Colaborador do Laboratório de Segurança e Criptografia no Instituto de Computação da Universidade Estadual de Campinas (UNICAMP). Foi Tecnologista Pleno do Centro de Tecnologia da Informação Renato Archer (CTI/MCTI) em Campinas/SP entre 2009 e 2016. Áreas e interesses de pesquisa: Segurança Computacional em geral; Comportamento de malware; Sistemas para análise de malware; Visualização, análise e mineração de dados de segurança; Segurança em SDN e IoT. (Citação aprovada nessa página por solicitação. Informações e foto retiradas de: http://lattes.cnpq.br/2712714707900090).

Rik Ferguson

imagem: Rik Ferguson

Especialização: Design de infraestrutura de segurança, ameaças emergentes e tecnologias de segurança Formação acadêmica: Graduação, University of Wales; CISSP-ISSAP; Certified Ethical Hacker

Sobre: ​​Rik é vice presidente em pesquisa de segurança trabalha ativamente em pesquisas sobre ameaças online e na economia subterrânea. Ele também estuda o impacto mais amplo de novos desenvolvimentos em tecnologia da informação e seu impacto na segurança do consumidor e dos negócios, e contribui para programas de marketing e desenvolvimento de produtos. Um líder de pensamento e analista reconhecido no setor, Rik é regularmente citado pela indústria, mídia nacional e internacional sobre questões relacionadas à segurança da informação, crimes cibernéticos e o futuro da tecnologia.

Aplicações

Ethical hacking ou Penetration Test

Ethical hacking, Pentest (teste de intrusão) ou ainda “hacking ético” é a aplicação de técnicas de quebra de segurança de redes e sistemas com a finalidade de procurar e consertar possíveis brechas na segurança do que está sendo testado. Diferente do hacking comum, o Ethical hacking não age de modo que a causar prejuízos, mas para prevenir os mesmos. Um Pentester analisa e testa diversas partes do sistema e rede, utilizando técnicas como:

  • Análise de rede e portas
  • Busca de vulnerabilidades
  • Análise de força de senhas
  • Negação de serviços
  • Revisão de políticas de privacidade e segurança
  • Engenharia social

E diversas outras.

Tor Project

Tor (The Onion Router) é um software livre e de código aberto que tem como objetivo a proteção do anonimato e dos dados dos seus usuários enquanto esses navegam pela internet. É usada a técnica de Onion Routing, que “encapsula” as mensagens passadas pela rede em “camadas” de criptografia, como uma cebola.

Seu produto mais usado é o navegador Browser Tor, que funciona em sistemas Microsoft Windows, macOS, Android e Linux.

Alguns sites fazem uso do sufixo de domínio .onion e só podem ser acessados pela rede Tor.

Impacto Social

O impacto da área abrange todas as esferas da vida humana. Desde segurança em nível pessoal, como dados de localização, formas de pagamento e outros dados pessoais, até ambientes com grandes níveis de fluxo de dados, como controles de bancos de dados de empresas, serviços e redes sociais. Com o nível de conexão entre as coisas e as pessoas aumentando a todo momento, é essencial garantir que apenas os indivíduos e/ou entidades com devida autorização e responsabilidade tenham acesso ao tipo específico de dado com o qual essas pessoas devem lidar.

Já é possível ver em nossos cotidianos situações problemáticas relacionadas com a falta de segurança. Um exemplo recente é o ataque hacker aos sistemas do município do Rio de Janeiro em 15/08/2022, que deixou diversos serviços lentificados ou fora do ar e prejudicou muitas pessoas. Algumas notícias sobre o caso:

Desafios

Um dos desafios que tende a aumentar na área é a segurança em dispositivos vestíveis e na aplicação do conceito de internet das coisas. Os dispositivos vestíveis variam em funções, desenvolvedores, preços e outros fatores. Um vestível que foca na saúde do usuário pode causar acidentes e até mesmo mortes com pequenos erros. Segundo a empresa de segurança virtual Kaspersky Lab, existem pelo menos 7 mil amostras de malwares em dispositivos IoT. Em setembro de 2016, o site Tecmundo noticiou o maior ataque de DDOS já registrado (link do artigo), utilizando dispositivos da internet das coisas, roteadores e câmaras de segurança.

Outro desafio é a educação sobre práticas de segurança para indivíduos que usam com frequência serviços de troca, armazenamento e manipulação de dados. É necessário instruir mais pessoas sobre os cuidados que elas podem tomar na hora de criar e armazenar suas senhas e outras credenciais e também sobre arquivos e links suspeitos.

Referências

s/seguranca_da_informacao.txt · Última modificação: 2022/08/29 15:19 por Ricardo Bacano