Boas Festas!

Caros leitores,

a idéia que saiu do papel e tornou-se realidade foi graças a noites sem sono e de muito empenho para disponibilizar a todos um conteúdo diferenciado que abordasse um pouco dos estudos sobre a Segurança da Informação. Tema tão falado atualmente mas que ainda está sendo difundido nas empresas e instituições.

Em 2011 continuaremos com o mesmo empenho, cumprindo metas e anseios, e, aproveito para desejar a todos que acompanharam durante todo o ano de 2010 um caloroso e fraterno Feliz Natal!

Agradeço aos mais de 5 mil visitantes do Brasil e de vários países do mundo por acreditar em nosso trabalho.

Paz, Saúde e Prosperidade a todos!

Até 2011!


Dear readers,

the idea came out of that role and became a reality thanks to sleepless nights and very hard to provide all the same services that would address some of the studies on Information Security. Subject much talked about now but that is still widespread in companies and institutions.

In 2011 we're going to continue with the same commitment, accomplishing goals and aspirations, and take this opportunity to wish everyone who accompanied it during the entire year of 2010 a warm and fraternal Merry Christmas!

Thanks to more than 5000 visitors from Brazil and several countries in the world for believing in our work.

Peace, Health and Prosperity to all!

See you! 2011 is coming!

Graduação a distância em Segurança da Informação

Introdução

Cada vez mais está se exigindo do mercado profissionais capacitados na área de TI, e não é apenas na área de infra-estrutura e desenvolvimento mas também na proteção das informações. Alguns cursos de graduação já são ofertados no mercado como é o caso da Universidade Católica de Brasília Virtual que disponibiliza o curso no formato EAD (Educação à Distância) de nível superior: Tecnologia em Segurança da Informação.

Técnologo em Segurança da Informação

O Tecnólogo em Segurança da Informação atua no desenvolvimento de soluções de segurança baseadas em TI para os processos de negócios em organizações públicas, privadas, não-governamentais ou em quaisquer outros setores que empreguem Sistemas de Informação e necessitem de estratégias de defesa das informações em suas atividades. Seu amplo campo de atuação envolve a prestação de serviços como Consultor Estratégico de Segurança, Gestor de Segurança em TI e Projetista de Soluções de Segurança em TI.

O Curso Superior de Tecnologia em Segurança da Informação, na modalidade a distância, criará condições para que o estudante desenvolva competências e habilidades que favoreçam a visão sistêmica e a ampliação de conhecimentos relacionados ao planejamento e execução de ações estratégicas, a condução de projetos de segurança, o desenvolvimento de sistemas de segurança, a elaboração e a execução de planos estratégicos aplicados à segurança em TI. Além disso, possibilita o fortalecimento de competências pessoais, tais como: espírito de liderança, organização, raciocínio lógico, capacidade e cultura empreendedora.

Os conhecimentos específicos desenvolvidos ao longo do curso estão alinhados a três eixos fundamentais: Programação e Desenvolvimento de Sistemas; Gestão de Redes e Projetos; e Gestão de Segurança em TI (Políticas, Legislação, Estratégias e Projetos).

Programação do curso
 
O curso está organizado em 5 semestres, com 27 Unidades de Estudo (UEs) e carga horária de 2010 horas.
 
Clique aqui e veja a estrutura curricular completa do curso para 2010

Clique aqui e veja o projeto pedagógico do curso
 
Pólos onde a UCB Virtual já oferta os cursos:

• Brasil
• Japão
• Angola
• Estados Unidos

Veja a lista completa e saiba se sua cidade já tem o pólo de apóio aos estudos.
 
Conclusão
 
Ao contrário do que muitas pessoas pensam, os cursos superiores de Tecnologia à distância são reconhecidos pelo MEC e dão credencial para continuar os estudos na pós-gradução e mestrados. Atuação de profissionais cada vez mais capacitados com foco em Segurança da Informação garante ao mercado, que cresce bastante, novas perspectivas, inclusive no âmbito nacional e internacional na carreira profissional em TI. Em países como Estados Unidos, por volta de 70% dos profissionais procuram cursos tecnológicos devido ao foco na área e pelo curta duração podendo está apto ao mercado de trabalho com mais rapidez. 
 
Referências:
http://www.catolicavirtual.br/index.php/cursos/tecnologia-em-seguranca-da-informacao/?page_id=57&curso=74

Evento em Manaus/AM - Semana da Qualidade e Segurança da Informação

O evento faz parte das comemorações dos 40 anos da PRODAM e vai contar com 11 palestras e uma oficina sobre temas fundamentais para a gestão e consolidação das empresas, como a Política de Segurança da Informação, combate às ameaças virtuais, tratamento de incidentes, ISO 9001, programa 5S e gestão de projetos.

As palestras da Semana da Qualidade e Segurança da Informação (SQSI) promovida pela PRODAM-AM são gratuitas. Os interessados podem se inscrever por meio do e-mail: seguranca.prodam@prodam.am.gov.br, informando o nome completo, e-mail e telefone para contato, além dos títulos das palestras de que deseja participar (ver programação). Outras informações podem ser obtidas pelos telefones: (92) 2121-6457 e 2121-6411.

A SQSI será realizada no período de 22 a 26 de novembro, no auditório da Procuradoria Geral do Estado (PGE), localizado na rua Emílio Moreira, 1308 – Praça 14 de Janeiro.

Confira aqui a programação completa da Semana da Qualidade e Segurança da Informação da PRODAM - 2010

Fonte: PRODAM

Comunicações inseguras, um risco para seus negócios

Introdução

Se voce se importa com os segredos de seus negócios ou a sua segurança e de seus entes queridos, voce tem que tomar as atitudes necessárias para proteger a sua comunicação sensível.

Agencias Governamentais, organizações privadas e indivíduos tem acesso a tecnologia e ferramentas para interceptação de comunicação de dados e voz.

Não é de hoje que temos visto pessoas e empresas sendo monitoradas ou até mesmo tendo informações interceptadas visando algum tipo de golpe.

Solução Gold Lock 3G^TM

Licenciado pelo Ministério da Defesa de Israel, Gold Lock 3G é uma solução baseada em software do tipo world-class provendo criptografia de nível militar para a comunicação de voz e dados.

Os tres níveis de criptografia do Gold Lock transformam o seu PC/laptop, celulares Nokia ou Windows mobile em um comunicador de criptografia de nível militar, protegido contra tentativas de interceptação por entidades privadas, governamentais e militares.

Voce pode usar o Gold Lock 3GTM para criptografar instantaneamente suas chamadas de voz, transferencias de arquivos e mensagens de texto, mesmo quando fazendo chamadas internacionais. Nenhum provedor VOIP é necessário. A Proteção é feita usando qualquer metodo de acesso da internet incluindo 3G, EDGE, GPRS, WI-FI e outros. E mais, Gold Lock 3GTM é fácil de usar e as chaves são auto gerenciadas, não necessitando de nenhuma intervenção do usuário.

Dispositivos Compatíveis

• Nokia 5230, Nokia 5700, Nokia 5800, Nokia 6110, Nokia 6210, Nokia 6220, Nokia 6290, Nokia 6120c, Nokia E51, Nokia E52, Nokia E63, Nokia E66, Nokia E71, Nokia E75, Nokia E90, Nokia N76, Nokia N78, Nokia N79, Nokia N81, Nokia N82, Nokia N85, Nokia N95, Nokia N95-8GB, Nokia N97

• PC/ Laptops com Windows XP/Windows Vista/Windows 7

• BlackBerry (OS 4.6+)

• iPhone

• Android

Redes Compatíveis

• WI-FI, 3G, GSM, GPRS, EDGE, UMTS, CDMA

Utilização de Banda

• Modalidade em espera - 1 KB Por Minuto

• Chamada segura - 250 KB Por Minuto • Chamada Segura - 250 KB Por Minuto

Ligações Internacionais

• Suporte total para ligações internacionais e roaming a nível mundial

Algoritmos de Encriptação

• Autenticação de 16.384 Bits

• Curva Eliptica de 384 Bits

• AES 256 Bits

• Diffie Hellman 4096 Bits • AES 256 Bits

• Diffie Hellman 4096 Bits

Certificação Governamental

• Licença Gold Lock #15252, Ministério de Defesa de Israel


Informações de Segurança


Gold Lock 3GTM Informações do Produto Download (434 KB / PDF)

Vídeo do Produto - Gold Lock 3GTM Download (18.6 MB / ZIP - MOV)

Gravação de uma tentativa de interceptação na operadora de celular (Gold Lock GSM 5.01) Download (1.4 MB / MP3)

Teste de Interceptação do Gold Lock Download (15.7 MB / ZIP - MOV)

Gold Lock 3GTM White Paper Download (4.2 MB / PDF)

Encriptação AES - Especificação e norma FIPS 197 Download (273 KB / PDF)

Encriptação de Curva Elíptica - Especificações e normas FIPS 186 Download (312 KB / PDF)

Certificado AES 256 Bits NSA até nível de Top Secret Download (456 KB / PDF)
 
Para testar a ferramenta clique aqui
 

Conclusão

Se voce não está protegendo suas comunicações vitais, voce está transmitindo informações financeiras, de negócios e pessoais de forma aberta. Isso permite uma abertura em sua organização para infiltração de criminosos, incluindo espionagem industrial, sequestradores, organizações terroristas, e outras entidades que não tenham boas intenções com voces.


Referências
Gold Lock. Disponível em http://www.gold-lock.com/. Acesso em 09 de novembro 2010.

Segurança para smartphones com Android

Introdução

Buscando dominar o mercado para plataformas de dispositivos e aplicações móveis, o Google pode inadvertidamente estar fazendo alguns dos mesmos erros que a rival Microsoft fez quando avançou no mercado de sistemas operacionais desktop há quase duas décadas: descuidar da segurança em nome de recursos e funcionalidade. As preocupações de segurança não são exclusivas do Google e Android. Este ano, nas conferências de segurança DEFCON em Las Vegas, pesquisadores de segurança demonstraram uma série de vulnerabilidades na infra-estrutura GSM utilizada pela próxima geração de telefones inteligentes e populares plataformas móveis, incluindo o iPhone da Apple, bem como o Google Android. Uma explosão de novos dispositivos, plataformas e aplicativos, juntamente com a adoção rápida, deixou as questões de segurança para trás - pelo menos por agora.
"Eu me sinto como o seu 1998 mais uma vez. O Back Office acaba de chegar e estamos tentando descobrir o que fazer com ele ", disse Chris Wysopal, CTO da empresa de segurança Veracode, referindo-se ao software de administração remota infame que destacou as falhas de segurança do Windows 98.

Sobre o Android

O Android é um sistema operacional multi-processado, em que cada aplicação (e partes do sistema) é executado em seu próprio processo. A maioria dos aplicativos e de segurança entre o sistema é executada no nível do processo através de instalações de padrão do Linux, como IDs de usuário e grupo que são atribuídos aos pedidos. Recursos adicionais de segurança mais refinada são fornecidos através de uma "permissão" de mecanismo que impõe restrições às operações específicas que um determinado processo pode executar, e por permissões URI para conceder acesso ad-hoc para partes específicas de dados.

Um processo de aplicação é executada em uma proteção de segurança. A área de segurança é projetado para impedir que aplicativos atrapalhem outro, exceto por declarar explicitamente as permissões que eles precisam para recursos adicionais não previstos pela área de segurança. O sistema lida com solicitações de permissões de várias maneiras, geralmente automaticamente permite ou recusa com base em certificados ou aviso ao usuário. As permissões exigidas por um aplicativo são declarados estaticamente na aplicação, de modo que pode ser conhecido antecipadamente no momento da instalação e não vai mudar depois disso.

Com o recente fluxo de usuários, foi necessário um cuidado maior com soluções de backup de dados e preocupações de segurança no sistema operacional Android que tem sido um grande sucesso. Desde que foi introduzido no final de 2007, o Android rapidamente foi substituindo o Blackberry no topo do ranking de telefonia móvel no sistema operacional nos EUA.

Aplicativos

Todos os aplicativos do Android (arquivos. APK) devem ser assinados com um certificado cuja chave privada é mantida por seus desenvolvedores. Este certificado identifica o autor do pedido. O certificado não precisa ser assinado por uma autoridade de certificação: é perfeitamente admissível e normal, para aplicações Android para utilizar certificados auto-assinados. O certificado é usado apenas para estabelecer relações de confiança entre as aplicações, e não para o controle se um aplicativo pode ser instalado.

Permissões de uso

Um aplicativo do Android não tem permissões associadas a ele, o que significa que não pode fazer nada que possa afetar negativamente a experiência do usuário ou os dados no dispositivo. Para fazer uso dos recursos protegidos do dispositivo, você deve incluir em seu AndroidManifest.xml uma ou mais tags  declarar as permissões que precisa de sua aplicação. Por exemplo, um aplicativo que precisa monitorar as mensagens SMS deve especificar:

As permissões fornecidas pelo sistema Android pode ser encontrada em Manifest.permission. Qualquer aplicação pode também definir e aplicar suas próprias permissões, então isso não é uma lista exaustiva de todas as permissões possíveis.

Permissões especiais, podem ser aplicadas a um número de lugares durante o funcionamento do seu programa:

• No momento de uma chamada no sistema, para evitar um pedido de execução de determinadas funções.
• Ao iniciar uma atividade, para evitar pedidos de lançamento de ações de outras aplicações.
• Ambas as transmissões de envio e recebimento, para controlar quem pode receber a sua transmissão ou quem pode enviar uma mensagem para você.
• Ao acessar e operar em um provedor de conteúdo.
• vinculação ou iniciar um serviço.

Ao instalar o aplicativo, as permissões solicitadas pelo aplicativo e é concedido a ele pelo instalador de pacotes, com base em verificações contra as assinaturas dos pedidos declarando essas permissões. Nenhuma verificação com o usuário é feito enquanto um aplicativo está sendo executado: ou foi concedida uma permissão especial quando instalado, e pode usar esse recurso como desejado, ou a permissão não foi concedida e qualquer tentativa de usar o recurso irá falhar sem avisar o usuário.

Antivírus

Ameaças para celular são diferentes das ameaças ao computador e na maioria dos casos, não é necessário procurar soluções distintas para varredura com antivírus e proteção contra roubo, como vários desenvolvedores oferecem uma ampla gama de funcionalidades de segurança num único aplicativo do Android. Cada produto oferece uma gama de funcionalidade ligeiramente diferente - e vale a pena manter em mente que uma vez que todas estas aplicações são relativamente novos, seus conjuntos de recursos são susceptíveis de evoluir, também. Sua máquina desktop não teria nenhum problema com uma aplicação de mais de 100 megabytes para scanner vírus. Isso simplesmente não pode acontecer em um dispositivo móvel.

A suíte de segurança Lookout (livre) oferece uma proteção contra vírus, dos dados e a funcionalidade de backup (para contatos, fotos, vídeos, e-mail e mensagens de texto), e um localizador de dispositivos que pode ser usado para mostrar a localização do aparelho através de um mapa e soar um alarme a partir do próprio dispositivo, e / ou apagar remotamente todos os dados no dispositivo. Todas as funcionalidades do aplicativo podem ser gerenciados remotamente a partir da interface baseada na Web.

 Até agora, Lookout parece ser a opção mais completa disponível - mas é seguro afirmar que a funcionalidade dos seus concorrentes provavelmente irá crescer para igualar ou ultrapassá-lo ao longo do tempo.

Gerenciamento de Senhas

Para centralizar o gerenciamento de todas as suas senhas, LastPass ($ 12.00 por ano em média) combina um aplicativo Android com uma extensão de navegador baseado em PC para o Firefox, Safari, Chrome e Internet Explorer. A senha mestre fornece acesso a um cofre de senha baseada em nuvem, e o app e extensão pode preencher senhas de sites para você automaticamente, tanto em seu PC e em seu smartphone com Android.

Como alternativa, uma opção muito mais barata e totalmente funcional é KeePassDroid, uma porta aberta Android do gerenciador de senhas KeePass fonte, que usa o aplicativo gratuito DropBox para sincronizar os dados armazenados.


Conclusão

As redes sociais, com toda a sua popularidade, são o alvo atual de crimes virtuais. Mas as pessoas por trás do roubo de informações não costumam ficar parados em apenas uma fonte de lucro. O crescimento no uso de dispositivos móveis está transformado smartphones na “bola da vez” do crime digital.

Ainda assim, vale a pena manter em mente que as precauções de segurança mais essenciais para o seu dispositivo Android, como senha de proteção do próprio dispositivo e configurá-lo para bloquear automaticamente após um determinado período de tempo, não exigem uma aplicação - esses recursos pode ser acessados dentro de "Settings - Location & Security".

Gestor da Segurança da Informação, CSO – Chief Security Officer

Introdução

Estabelecer procedimentos em transações corporativas, operar por meio de regras de acesso e restrições, criar hierarquias de responsabilidades, métodos de reação a eventuais falhas ou vulnerabilidades e, acima de tudo, manter um padrão no que se refere à segurança da companhia, dentre outras, são atribuições que culminaram na criação da função de  Gestor da Segurança da Informação, CSO – Chief Security Officer.

Todas as mudanças importantes ocorridas em segurança da informação demandavam um novo profissional. O gestor de tecnologia não tinha condições nem tempo para assumir toda essa área. A resposta foi a criação de uma nova função dentro da companhia que organizasse e coordenasse as iniciativas em segurança da informação na busca da eficiência e eficácia no tema.

Definir um bom gestor

Apenas alguém com grande conhecimento tanto em negócios quanto em segurança pode desenhar a estratégia de segurança da informação de maneira competente, implementando políticas e escolhendo as medidas apropriadas para as necessidades de negócios, sem impactar na produtividade.

Além disso, ainda que a contratação de gestores de segurança esteja sendo uma constante no mercado de grandes companhias, não se chegou a um consenso sobre a natureza do seu cargo.

Responsabilidades

Um dos pontos que permanecem sem uma definição precisa é a viabilidade de combinar sob o mesmo chapéu a segurança lógica e a física. O isolamento entre essas áreas pode ser fatal para uma companhia no caso de um desastre natural, como o furacão Katrina em 2005, que atingiu a cidade norte-americana de Nova Orleans, ou o tsunami, que afetou a Indonésia em 2004, e até mesmo uma pane elétrica ou incêndio.

Para atender aos requisitos de segurança lógica e física de redes globais cada vez mais complexas e vulneráveis, o perfil do CSO evoluiu muito. Por um lado, o cenário apresenta ameaças crescentes e cada vez mais fatais, hackers, vírus, ataques terroristas, enchentes, terremotos. Por outro, a vulnerabilidade e a complexidade tecnológica crescem também e aumentam as atribuições e as habilidades necessárias para exercer a função de CSO.

Hoje um CSO tem de entender de segurança, conhecer bem os negócios e participar de todas as ações estratégicas da empresa. Mais do que um técnico, ele deve ser definitivamente um gestor de negócios.

Geralmente, o CSO possui formação em Ciência da Computação, Engenharia ou Auditoria de Sistemas. O grande retorno que o CSO traz para as empresas é diminuir os riscos nas operações, com todas as consequências positivas. Infelizmente, um profissional tão completo assim não é encontrado facilmente no mercado.

No Brasil, a demanda não chega a ser tão grande, mas esses profissionais já são comuns em instituições financeiras, seguradoras, operadoras de telecomunicação e empresas com operações na Internet. Especialistas em carreira recomendam que o CSO tenha atuação independente e não se reporte ao CIO, mas diretamente à diretoria ou à presidência.
Também, estatísticas recentes apontam para o crescimento dos empregos na área de segurança. De acordo com estudo anual feito pela IDC e patrocinado pelo International Information Systems Security Certification Consortium, a projeção de profissionais para a região das Américas passou de 647 mil em 2006 para 787 mil em 2009.

O estudo Global Information Security Workforce Study (GISWS) destaca que a responsabilidade pela segurança da informação cresceu na hierarquia da gestão e acabou chegando ao conselho diretor e ao CEO, CISO ou CSO.

Quase 21% dos entrevistados na pesquisa disseram que seu CEO agora é o responsável final pela segurança da informação, e 73% afirmaram que esta tendência se manterá.

Cada vez mais é essencial que as organizações sejam pró-ativas na defesa de seus ativos digitais. Desse modo, é preciso contar com profissionais competentes para lidar com soluções de segurança complexas, requisitos regulatórios e avanços tecnológicos das ameaças, bem como vulnerabilidades onerosas.

Assim, o CSO deve proceder a gestão de riscos e estar mais integrado às funções de negócio. Profissionais de segurança precisam aprimorar suas habilidades técnicas e de negócio para que possam exercer a função.

A certificação de Segurança da Informação pode ser dependente e/ou independente de fabricantes e é bem útil para o desenvolvimento da carreira. As credenciais atreladas a fabricantes, como as da Cisco e da Microsoft, por exemplo, são meios importantes para conseguir as habilidades necessárias ao cargo.
No entanto, elas precisam vir acompanhadas de certificações que demonstrem uma ampla base de conhecimento e experiência. As certificações Certified Information Systems Security Professional (CISSP) e Certified Information Systems Auditor (CISA) são ótimas opções.

Uma boa dica para quem pretende se profissionalizar na área de Segurança da Informação é obter certificações de uma associação de segurança profissional para ajudar a impulsionar a carreira.

Conclusão

Ao elaborar o plano de carreira as associações que oferecem serviços de construção de carreira e educação continuada podem ajudar. No contato com essas associações, o candidato a CSO pode explorar oportunidades para demonstrar sua experiência na área, fazer parte de redes de comunicação com colegas e ter acesso à pesquisa da indústria e oportunidades de trabalho voluntário.

É importante ressaltar, também, que certificações e experiência na área são pouco proveitosas isoladamente. Para evoluir no quadro técnico da empresa e se tornar um CSO é necessário saber se comunicar, em termos de negócios. Para isso, a proficiência técnica deve ser aliada à habilidade de transmitir o valor do negócio.

O CSO deve ser capaz de explicar os benefícios da segurança, acerca de retorno do investimento (ROI), e seu valor para melhorar a capacidade da empresa em fechar negócios, além de deixar claro quais são as soluções práticas que ela pode trazer para a resolução dos problemas.

Monitoramento de funcionários nas empresas

Introdução

Desde que o computador passou a integrar o cotidiano de nossas vidas, sempre estivemos sujeitos a ataques de pessoas com más intenções. Algumas dessas pessoas tinham interesse apenas em se divertir, vendo como o seu ataque repercutiria no mundo da informática. Outras, por vezes, tinham interesse em furtar informações sigilosas.

Dentro de uma empresa onde o maior patrimônio são seus ativos de informação, temos nas pessoas como alvo principal das falhas de segurança, muitas das quais iniciam com o descontentamento de funcionários que acabam furtando informações relevantes da empresa.

A partir do momento em que os computadores passaram a ser mais utilizados de maneira interconectada, novas formas de ataque foram surgindo, o que levou a uma maior preocupação com a segurança, não apenas dos recursos computacionais de cada computador, mas também das informações que trafegam pelas redes de interconexão nas empresas

Visando ter um controle maior sobre qualquer atividade desempenhada pelo funcionário e ao mesmo tempo ter como identificar através de logs, as ocorrências referentes a softwares instalados e troca de informações que este pratica no seu computador, então houve uma necessidade maior de criar um monitoramento eficiente.

Quais as questões que mais preocupam as empresas?

• Quais funcionários gastam mais tempo navegando na Internet?

• Quem é o funcionário que gasta maior tempo em sites de compras, esportes ou sites para adultos?

• Quais funcionários que acessam mais bate-papo ou serviços de e-mail anônimo como Hotmail e Gmail?

• Quem envia a maioria dos e-mails com anexos?

• Quais funcionários podem estar vazando informações confidenciais da empresa através de mídia removível, como pen drives, CDs e DVDs?

• Quais funcionários estão imprimindo documentos confidenciais?

• Quem está chegando tarde ao trabalho e saindo mais cedo?

• Quem toma muito tempo em almoço?

• Quais são meus empregados pesquisando no Google, Yahoo e MSN?

Então, são questão básicas que deixam a mente dos empresários e gestores preocupados, pois tudo isso reflete no desempenho e na produtividade das empresas.

Monitoramento com Spector 360

Software que registra as atividades do computador de cada um dos seus funcionários, que alimenta as informações em um banco de dados e fornece mais de 50 relatórios personalizados que ajudam a identificar rapidamente os funcionários que são mais prováveis para prejudicar sua empresa.

Se você detectar um problema ou suspeitar que um funcionário específico é o principal culpado de abuso, você pode analisar cada detalhe do seu computador e o acesso à Internet para recolher as provas necessárias. O nível de detalhamento é tão preciso que você pode ver o que um funcionário faz a cada segundo.

O detalhe maior nessas questões de monitoramento é que aumentam a capacidade da empresa de monitorar o funcionário e acabam maximizando a performance do trabalho, como podemos notar através do vídeo extraído do YouTube:




Quais as principais razões para realizar o monitoramento?

• Aplicar a política de utilização aceitável: Os funcionários acreditam que as regras podem ser burladas quando ninguém está olhando e quando há o monitoramento percebe-se uma diminuição a incidência como os riscos de assédio sexual e racial e as ocorrências de jogos on-line e de pornografia.

• Proteção contra roubo: Vazamento de informações sensíveis e confidenciais, acidentalmente, intencionalmente ou não.

• Requisitos de conformidade: Atender os requisitos de conformidade com leis e normas da empresa.

• Aumentar a produtividade: Reduzir significativamente a quantidade de ociosidae de maneira simplória que tem crescido na maioria dos locais de trabalho.

• Realizar investigações e violação de documentos: Qualquer funcionário suspeito da prática de conduta inadequada, ilegal ou não aprovados podem ser investigados.

Para ter acesso a demonstração do software veja abaixo:

• Demonstração do produto

• Demonstração das ferramentas de gravação

• Filto de Internet e demonstração do monitoramento de funcionário

Conclusão

Mecanismos de prevenção compreendem soluções e procedimentos cujo objetivo é tomar as medidas necessárias para que um determinado evento relativo à segurança ocorra. Como você pode observar, vivemos hoje em uma sociedade baseada na informação. Cada empresa geralmente possui informações que são estratégicas para o seu ramo de atividade. O roubo de tais informações pode causar danos à imagem da empresa e até mesmo levar a sua falência. Por isso, é de suma importância a preocupação com a segurança dos recursos computacionais dentro de uma organização.

Referências:

Spector360. Disponível em http://www.spector360.com/. Acesso em 15 de outubro 2010.

Segurança e plano de contingência: Sua empresa já possui?

As organizações, quando criadas, têm a expectativa de permanecer desenvolvendo suas atividades durante muitos anos. Ou melhor, de fazê-lo indefinidamente. Os acionistas investem recursos com o objetivo de que a organização permaneça ativa e possibilite o retorno desse investimento.
Em resumo, toda a organização deseja continuar “viva”, atuar no segmento escolhido, alcançar seus objetivos e cumprir sua missão.

Como viver significa enfrentar riscos, para as organizações isso também é válido. Uma organização não deve deixar de existir porque uma situação de exceção aconteceu no seu dia-a-dia.

Quando trabalhamos com o patrimônio mais importante da empresa, no caso a informação, cada organização deve estar preparada para enfrentar situações de contingência e de desastre que tornem indisponíveis recursos que possibilitem seu uso. Medidas como a criação e manutenção de backup’s, que é um procedimento básico para qualquer organização enfrentar situações de contigência. Dizemos básico, mas não suficiente porque? Para que uma organização se supere de uma situação de contingência e continue funcionando de forma adequada, também são necessários outros recursos: humanos, de tecnologia, de conhecimento de processos, de ambiente físico e de infra-estrutura.

Exemplo de caso real:

“Carro de bombeiros pega fogo durante atendimento”
Araraquara – Um carro de resgate do Corpo de Bombeiros de Araraquara pegou fogo, anteontem, ferindo cinco pessoas. Três bombeiros, um menino e sua mãe estavam no veículo e tiveram queimaduras, mas ninguém corre risco de vida. O incidente ocorreu quando os bombeiros socorriam Carlos Alberto Filho, de 9 anos, que havia caído de uma árvore, numa chácara do Jardim Zavanella. O fogo foi causado por uma explosão no cilindro de oxigênio.”

Fonte: Jornal O Estado de S. Paulo
Data: 15/04/2003

Existe, na sua empresa, um plano para recuperação do negócio em caso de desastre?

Você já participou de um teste ou simulação de situação de desastre?

Referências:

Fontes, Eduardo. Segurança da Informação: o uso faz a diferença. São Paulo: Saraiva, 2006.

Contramedidas de segurança

Introdução


Sêmola (2003, p.52) diz que diante da amplitude e complexidade do papel da segurança, é comum estudarmos os desafios em camadas ou fases, particionando todo o trabalho para tornar mais claro o entendimento de cada uma delas. Chamamos esta divisão de barreiras. Existem algumas barreiras como desencorajar, dificultar, discriminar, detectar, deter e diagnosticar. Penso também que a segurança não é meramente um produto e sim um conjunto de procedimentos e processos a serem tomados para evitar ataques e vulnerabilidades.

Contramedidas de Segurança

Uma contramedida é uma ação, processo, dispositivo ou sistema que possa prevenir ou atenuar os efeitos das ameaças em desktops, servidores ou rede.

Neste contexto, uma ameaça é um evento real ou potencial adverso que podem ser maliciosos ou acidentais, e que podem comprometer os ativos de uma empresa ou a integridade de um computador ou rede.

Contramedidas podem assumir a forma de hardware, software e modos de comportamento. Contramedidas em software incluem:

a) firewalls pessoais

b) firewalls de aplicativos

c) anti-virus

d) bloqueadores de pop-up

e) detecção de spyware e programas de remoção

A de hardware mais comum é um roteador que pode impedir que o endereço IP de um computador individual pode ser diretamente visível na Internet. Contramedidas de hardware incluem:

a) sistemas de autenticação biométrica

b) restrição física de acesso aos computadores e periféricos

c) detectores de intrusão

d) alarmes.

Contramedidas comportamentais incluem:

a) eliminação freqüente de cookies armazenados e os arquivos temporários dos navegadores da Web

b) regular a verificação de vírus e outros malwares

c) instalação regular de atualizações e patches para os sistemas operacionais

d) recusando-se a clicar em links que aparecem em mensagens de e-mail

e) evitando abrir e-mails e anexos de remetentes desconhecidos

f) ficar longe de sites duvidosos

g) regularmente backup de dados em mídias externas

Em aplicações militares, uma medida preventiva é um sistema ou uma estratégia destinada a prevenir um inimigo de comprometer um alvo. Isso pode ser feito pela blindagem, encobrir ou o movimento do alvo, a criação de iscas ou confundir o inimigo.

Exemplo prático de contramedida:

Configurando o Firewall do Windows

Um firewall da Internet pode ajudar a impedir que outros acessem seu computador pela Internet. O Windows XP com SP2 e o Windows Server 2003 com SP1 incluem o Firewall do Windows, um firewall interno que pode oferecer para muitas organizações uma camada de proteção adicional contras ataques de rede, como worms e ataques de negação de serviço.

1.Clique em Iniciar e em Painel de controle.

2.Clique em Firewall do Windows.

3.Clique no botão de opção Ativado (recomendado).

4.Se necessário, clique na guia Exceções e configure exceções para protocolos que você quer permitir pelo firewall.

5.Clique em OK para ativar o Firewall do Windows.

O Firewall do Windows não tem o rico conjunto de recursos fornecido por muitos produtos de terceiros, porque ele destina-se a ser um recurso básico de prevenção de invasões. O Firewall do Windows não permite coletar dados sobre o PC e bloqueia tentativas não solicitadas de conexão. No entanto, o Firewall do Windows não faz uma filtragem ampla de saída.

Conclusão

As contramedidas visam implementar mecanismos de controle físico, tecnológico e humanos que irão permitir a eliminação das vulnerabilidades ou a sua viável administração, a fim de conduzir o nível de risco a um patamar desejado de operação.

Referências:

1. Sêmola, Marcos. Gestão da Segurança da Informação: visão Executiva da Segurança da Informação. Rio de Janeiro: Elsevier, 2003


2. Microsoft Technet: Capítulo 11 - Contramedidas adicionais. Disponível em http://technet.microsoft.com/pt-br/library/dd459112.aspx. Acesso em 28 de setembro de 2010.


3. SearchSoftwareQuality.com Definitions. Disponível em http://searchsoftwarequality.techtarget.com/sDefinition/0,,sid92_gci1193329,00.html. Acesso em 28 de setembro de 2010.

Como fazer rastreamento de email?

Introdução

Todos os dias recebemos e-mails e muitas das vezes duvidosos originados de algum spam ou até mesmo golpistas em busca de praticar o ataque mais comum “Phishing”.

Nesse artigo iremos falar sobre a ferramenta eMailTrackerPro que analisa os cabeçalhos de mensagens de e-mail e traça o endereço IP do computador onde a mensagem foi originada, a sua localização estimada, o indivíduo ou a organização do endereço IP está registrado, o fornecedor de rede, e informações adicionais disponíveis.

Pesquisa da rede responsável por um endereço de e-mail

Rastrear um endereço de email é útil para identificar a empresa e serviço de rede porém não fornecem informações específicas sobre o remetente. Como os endereços de e-mail podem ser facilmente falsificados, as informações fornecidas não podem ser confiáveis, para fins de investigar e denunciar o abuso de e-mail.

Como utilizar a ferramenta?

 1. Clique no link de rastreamento de e-mail no “Trace an email”

Figura - 1: Tela para realizar o rastreamento

2. Utilize a opção “Trace na email I have received” no caso de possui os cabeçalhos de email da mensagem.

3. Escolha a opção “Look up network responsible for an email address se desejar rastrear informações do responsável do email.

Se você tiver copiado um cabeçalho de e-mail, ele será automaticamente colado na caixa de cabeçalhos de e-mail como mostrado acima.

Se quiser traçar apenas um endereço de e-mail em seguida, selecione a caixa de seleção ao lado da rede de pesquisa responsável por uma opção de endereço de e-mail e digite o endereço de email. Selecione o rastreamento para iniciar. O relatório do rastreamento será feito como mostrado na figura abaixo:

Figura - 2: Resultado da pesquisa

Figura acima mostra os itens conforme descrito abaixo:

1 - Clique no botão indicado pelo número 1 para iniciar um novo rastreamento. “New trace”

2 - Clique no botão indicado pelo número 2, para ver o Relatório de Identificação. “View Report”

3 - Cada novo rastreamento irá abrir uma nova aba dentro do eMailTrackerPro GUI. Para fechar a guia basta clicar no 'x' para o lado direito da guia.

4 - World Map - O local suspeito que o email veio é exibido no mapa. Esta localização pode mudar durante um avançado de rastreamento devido a informações mais sólidas de rede e localização geográfica recolhida durante um rastreamento avançado.

5 - reportar abuso - abuso de informação é o recurso mais valioso no eMailTrackerPro. Ao reportar abuso SPAM para o ISP responsável, pode levar o autor da obtenção processada e ter a conta encerrada.

6 - Route to Sender - Este quadro será preenchido durante um rastreamento avançado. O quadro vai mostrar todos os saltos da rota com o IP e a localização suspeita para cada salto. O primeiro salto será a máquina local onde o rastreamento está sendo executada e do último hop será mais próximo do servidor do ISP para o destino final, que será na cidade / cidade que originou o e-mail.

7 - Outras informações relacionadas com o e-mail de rastreamento pode ser encontrado clicando nos separadores indicado pelo número 7. Estes incluem whois rede, whois do domínio e no cabeçalho do email.

Para fazer download do eMailTrackerPro clique aqui

Como reportar ameaças recebidas por email?

Para reportar a algum servidor sobre emails com ameaças ou que sejam maliciosos abaixo uma lista de email de alguns servidores conhecidos:

• abuse@terra.com.br
• abuse@uol.com.br
• abuse@bol.com.br
• abuse@terra.com.br
• abuse@hotmail.com

Os e-mails do abusar servem tanto para denunciar spam como o mal uso do e-mail e normalmente será ABUSE@PROVEDOR.COM

 Agora se o provedor for algo exótico como fulano@asdf.com.br acesse o ww.registro.br e faça uma pesquisa pelo registro www.asdf.com.br ou se for internacional tente no www.register.com onde o procedimento é o mesmo, se não der certo nesses sites tente pelo Network Solutions (www.netsol.com) e clique em whois.

Conclusão

Crimes impróprios são cada vez mais comuns e retrata justamente uma das dúvidas mais procuradas em fóruns de discussão que é como rastrear uma calúnia via web? ou até, um email qualquer que tenha chegado. Em geral, são pessoas que receberam alguma coisa via web e querem saber quem foi o infeliz que mandou aquilo para eles. O que sabemos é que ainda existem apenas projetos de lei e ainda não existe uma legislação específica para casos de abusos por email.

Comunicação secreta com esteganografia

Introdução

Podemos entender o termo esteganografia como sendo “escrita camuflada”. Em outras palavras, esteganografia é uma técnica para se esconder mensagens dentro de algum texto ou imagem. Sua origem vem do grego "escrita escondida", onde é o estudo e uso das técnicas para ocultar a existência de uma mensagem dentro de outra. Em outras palavras, esteganografia é o ramo particular da criptologia que consiste em mascarar o seu verdadeiro sentido.

É importante frisar a diferença entre criptografia e esteganografia. Enquanto a primeira oculta o significado da mensagem, a segunda oculta a existência da mensagem.

Várias podem ser os mecanismos utilizados na esteganografia. Uma forma bastante utilizada para a inserção de texto em uma imagem é utilizar o bit menos significativo de cada pixel da imagem. Cada um destes bits é substituído por um bit da mensagem que se quer esconder. Alterações nestes bits pouco influenciam na imagem ficando praticamente imperceptível a olho nu qualquer mudança.

Como funciona?

Técnicas de esteganografias podem ser empregadas em diversos meios, digitais ou não:

• Textos
• Imagens
• Áudios
• Vídeos
• Espalhamento de espectro

Ferramentas

• JPHIDE e JPSEEK são programas que permitem que você esconda um arquivo em uma imagem jpeg visual. Há muitas versões dos programas similares disponíveis na internet, mas JPHIDE e JPSEEK são bastante especiais. Está disponível para Linux e Windows. Para testar a ferramenta clique aqui 

• GIFSHUFFLE é um software  usado para inserir mensagens de texto em imagens formato GIF, deixando-as "visualmente inalteradas", ou seja: sem modificá-las perceptivelmente. Está disponível para Linux e Windows. Para acessa a página oficial do Gifshuffle clique aqui 

Conclusão


Embora praticamente imperceptível ao olho humano, a esteganografia pode ser detectada por programas específicos. Possui algumas aplicações práticas interessantes utilizadas para implementar mecanismos de verificação de direitos autorais em imagens e outras mídias e também pode ser utilizada para a divulgação de mensagens sem o conhecimento da existência dessas mensagens por parte de outros interessados.

Procedimentos para a Perícia Digital

Introdução

A cada dia que passa é cada vez maior o número de casos judiciais e investigações administrativas onde filmagens, fotos, ligações, e-mails e outras formas digitais são levantadas para melhor esclarecer a questão apresentada a ser investigada. Dentro de alguns anos é esperado que a maioria das questões judiciais envolvam a forense computacional, pois evidências digitais estarão diretamente ou indiretamente ligadas aos casos, como hoje estão na vida de todos nós. Porém, como em todas as novas técnicas e descobertas, o mercado está escasso de profissionais nesta área e mais carente de profissionais certificados em forense digital.

Dentro da empresa uma maneira de coletar informações é procurar em históricos de navegadores de internet, que armazenam dados dos usuários, como também outros aplicativos, que mesmo sem o conhecimento do usuátio, usam algum tipo de armazenamento de dados.


Novas formas de invadir e interferir com os computadores são desenvolvidas a cada dia. Com um mínimo de conhecimento de redes de computadores, praticamente qualquer um pode conseguir ferramentas de graça na Internet e utilizá-las para explorar vulnerabilidades em sistemas, e consequentemente invadi-los e provocar todo tipo de estrago. A intrusão de sistemas tem sido considerada um risco à segurança nacional em muitos países, de modo que a compreensão acerca dos objetivos e métodos empregados nesses incidentes tem se tornado alvo de muitos estudos.

Passos básicos para uma investigação forense:

•      ter em mãos a autorização para fazer a investigação;
•      fazer a investigação em local seguro e isolado;
•      registrar a cena sempre;
•      conduzir a procura sistemática das evidências;
•      coletar e empacotar as evidências;
•      manter uma cadeia de custódia.

Processo de busca por evidências pode ser resumido:

•      identificar tipos de arquivos;
•      listar os arquivos, apagados, criados e gravados;
•      buscar palavras-chave;
•      buscar evidências de acesso à internet (e-mails, chat, fórum, sites de relacionamento, entre outros);
•      buscar lista de imagens;
•      buscar usuários identificados;
•      buscar softwares e hardwares instalados e apagados;
•      buscar arquivos escondidos (criptografia, esteganografia, partições escondidas, entre outros)

Ao considerar somente o processo de coleta de dados, adote uma ordem, como, por exemplo:

1. Criar imagens dos equipamentos e sistemas investigados.
2. Capturar os dados na memória principal.
3. Capturar os dados na memória dos dispositivos secundários.
4. Fazer um registro sequencial (journal).
5. Obter todo o estado transitório.
6. Capturar todas as informações em anotações.
7. Lacrar todas as evidências em sacos etiquetados, com especial atenção para os dispositivos de armazenamento de dados que devem ser armazenados em sacos antiestáticos.
8. Etiquetar os periféricos, cabos e componentes do computador analisado.
9. Armazenar as evidências em local seguro.
10. Documentar e justificar (Cadeia de custódia) todas as mudanças feitas durante esta fase.

Basicamente, as questões a serem respondidas ao realizar uma perícia computacional passam por:

• Quem estava usando o equipamento investigado?
• Quem estava conectado ao equipamento investigado?
• Quais arquivos foram usados pelo suspeito?
• Quais hardwares foram usados pelo suspeito?
• Qual a versão do Sistema Operacional (SO) que está sendo investigado?
• Quais softwares, além do SO foram usados pelo suspeito?
• Quais portas estavam abertas no equipamento?
• Quais arquivos foram excluídos ou transmitidos pelo suspeito?
• Quem logou ou tentou logar no equipamento investigado recentemente?

Todo profissional de forense computacional deve possuir conjunto de ferramentas de hardware ou software que o auxiliem no seu processo investigativo. O conjunto de ferramentas deve ter no mínimo os seguintes itens:

• Um computador, com ferramentas e programas específicos de análise.
• Um computador portátil, com diversos sistemas operacionais e suas atualizações.
• Mídia ou unidade removível com ferramentas e programas específicos de análise.
• Leitoras de diversos tipos de mídia.
• Mídias vazias de vários tipos.
• Sistema de cópia de segurança.
• Cabos de diversos tipos.
• Dispositivos de rede, etc.

 Exemplos de ferramentas:

1. Attacker v3.0
2. EnCase
3. eMailTrackerPro
4. Forensic Replicator
5. Forensic Toolkit
6. Helix
7. ILook Investigator 

Conclusão

Todo crime deixa evidências, por mais escondidas que elas estejam, é necessário um maior investimento em técnicas de análise forense, para que os crimes praticados através de sistemas digitais possam ser solucionados e os seus respectivos idealizadores possam ser devidamente punidos.

Entender a motivação e o comportamento de um intruso é um ponto chave para orientar a investigação, pois essa compreensão fornece pistas sobre onde e o que procurar durante a análise forense. Quanto maior a consciência acerca dos objetivos e o método de operação de um atacante, maior o preparo do investigador para analisar e responder à um incidente.

Elementos básicos da criptografia

Introdução

A criptografia compreende dois processos: encriptação e decriptação. O primeiro corresponde à codificação dos dados. O segundo é caracterizado pela situação inversa, ou seja, transformar a codificação nos dados em sua forma original, inteligível.

Algoritmos de Criptografia

Todo processo de encriptação e decriptação faz uso de algum algoritmo de criptografia. Tais algoritmos geralmente são construídos com base em conceitos matemáticos tais como aritmética modular e operações com números primos.

Termos utilizados

Criptografia (kriptós = escondido, oculto; grápho = grafia) : é a arte ou ciência de escrever em cifra ou em códigos, de forma a permitir que somente o destinatário a decifre e a compreenda.

Criptoanálise (kriptós = escondido, oculto; análysis = decomposição) : é a arte ou ciência de determinar a chave ou decifrar mensagens sem conhecer a chave. Uma tentativa de criptoanálise é chamada ataque.

Criptologia (kriptós = escondido, oculto; logo = estudo, ciência) : é a ciência que reúne a criptografia e a criptoanálise.

A criptografia computacional como a conhecemos protege o sistema quanto a ameaça de perda de confiabilidade, integridade ou não-repudiação, é utilizada para garantir :

Sigilo: somente os usuários autorizados têm acesso à informação.

Integridade: garantia oferecida ao usuário de que a informação correta, original, não foi alterada, nem intencionalmente, nem acidentalmente.

Autenticação do usuário: é o processo que permite ao sistema verificar se a pessoa com quem está se comunicando é de fato a pessoa que alega ser.

Autenticação de remetente: é o processo que permite a um usuário certificar-se que a mensagem recebida foi de fato enviada pelo remetente, podendo-se inclusive provar perante um juiz, que o remetente enviou aquela mensagem.

Autenticação do destinatário: consiste em se ter uma prova de que a mensagem enviada foi como tal recebida pelo destinatário.

Autenticação de atualidade: consiste em provar que a mensagem é atual, não se tratando de mensagens antigas reenviadas.

O desenvolvimento de “bons” algoritmos de criptografia é uma tarefa bastante complexa, pois não há regras de projeto bem definidas para facilitar a vida de um projetista. Geralmente, os algoritmos são baseados em estudos matemáticos e em lógicas criadas pelos projetistas. Contudo, veremos ainda nesta aula que algumas técnicas são bastante utilizadas em grande parte dos algoritmos.

Quando falamos em bons algoritmos queremos dizer o quão é difícil obter o texto plano a partir do texto cifrado. Em outras palavras, suponhamos que você enviou uma mensagem criptografada para uma outra pessoa e alguém interceptou tal mensagem. Quanto mais esta mensagem for diferente do texto original e quanto mais for difícil de se obtê-lo a partir do texto cifrado, melhor será o algoritmo.

Um outro detalhe interessante é que a grande maioria dos algoritmos existentes tem seus processos de encriptação e decriptação conhecidos publicamente, isto é, o código dos algoritmos é divulgado livremente.

Você então deve estar pensando: Mas se o código do algoritmo é conhecido, se sei todos os passos dele, então é fácil obter o texto plano a partir do texto cifrado. Errado. A geração do texto cifrado não é baseada somente no algoritmo, mas também em um outro elemento, a chave.

Chave

Além do algoritmo de criptografia, um outro elemento necessário aos processos de encriptação e decriptação é a chave. Embora o algoritmo possa ser conhecido, a chave é o segredo do usuário. Ela é um valor que deve ser passado ao algoritmo e que interfere diretamente na criptografia.

Mesmo que alguém obtenha o criptograma e conheça o algoritmo, para decriptografar a mensagem ele precisará descobrir qual foi a chave utilizada na encriptação. É o que comumente chamamos de “quebrar o algoritmo”. É aqui que entra o trabalho do criptoanalista: tentar quebrar o algoritmo, descobrindo a chave utilizada a partir da análise do criptograma.

Considerando um mesmo algoritmo e uma mesma mensagem, é importante que cada chave distinta gere um criptograma diferente. Isto dificulta ainda mais a quebra do algoritmo.

Com base na utilização de chaves, podemos caracterizar os algoritmos de criptografia em dois tipos: simétricos e assimétricos.

Os algoritmos simétricos são aqueles em que a mesma chave é utilizada tanto no processo de encriptação quanto na decriptação. Ou seja, se você enviar uma mensagem para alguém usando um algoritmo simétrico, o destinatário terá que saber qual foi a chave utilizada para poder decriptografar a mensagem.

Já os algoritmos assimétricos fazem uso de duas chaves distintas, isto é, uma chave é utilizada para encriptação e a decriptação, por sua vez, é feita utilizando-se uma chave distinta. Isto melhora a segurança do algoritmo.

Processos Básicos de Cifragem

Cifragem por Substituição

A criptografia por substituição baseia-se na troca de um caracter ou grupo de caracteres do texto plano com base em uma tabela de substituição.

Cifra de César

Por volta de 50 a.C., o imperador romano Júlio César criou um processo de encriptação e decriptação de mensagens que se baseava na substituição cíclica de letras do alfabeto, ou seja, cada letra na mensagem original era substituída por uma outra localizada três posições à frente.

Dessa forma, a letra A seria substituída por D, B por E, C por F e, assim por diante. Observe que a substituição é cíclica, o que implica que X será substituído por A, Y por B e Z por C.

Observe que o processo da cifra de César pode sofrer alterações aumentando-se ou diminuindo-se a quantidade de letras deslocadas. Veja também que o destinatário da mensagem precisa saber qual foi o deslocamento utilizado para que ele possa converter o criptograma no texto original.

Cifragem monoalfabética

Na cifragem monoalfabética, uma letra do texto claro é substituida por uma outra letra qualquer do alfabeto de acordo com uma tabela. Neste caso, esta tabela representa a chave de encriptação, tendo em vista que o destinatário da mensagem terá que conhecer também esta tabela para que ele possa decriptografar a mensagem recebida.

Cifragem polialfabética

A cifragem polialfabética, por sua vez, caracteriza-se pelo uso de mais de uma tabela de substituição, combinando o uso de várias substituições monoalfabéticas de acordo com uma chave. Dessa forma, tem-se uma chave que diz qual das tabelas será usada para cada letra do texto original.

Uma das cifragens polialfabéticas mais conhecidas é a Cifra de Vigenère. Para criptografar um texto, é preciso utilizar uma chave.

Conclusão

Dentro do ciclo de vida da informação quando precisamos manusear dados restritos e ou confidenciais necessitamos "escondelas" de tal forma que garanta a confidencialidade de tal forma que esteja disponível e integrar para seus receptores. Para tanto, utilizamos essa técnica de criptografia que desde os tempos do império romano e até mesmo antes já eram utilizados. Vimos nesse artigo o que é criptograria, chave e os tipos de cifragem deixando simples para o leitor a sua utilização e aplicação com objetivo de proteger o sistema quanto a ameaça de perda de confiabilidade, integridade ou não-repudiação.

Golpes na sociedade moderna

Introdução

A nossa sociedade cresceu economicamente e por que não também dizer socialmente? Em paralelo a isso os golpes visando furtar empresas e pessoas também cresceram exponencialmente de forma assustadora. Uma ténica muito utilizada hoje é phishing que tem como objetivo a fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea. Na prática do Phishing surgem artimanhas cada vez mais sofisticadas para “pescar” (do inglês fish) as informações sigilosas dos usuários. Outra forma de golpe são as espionagens Industrial cujo objetivo é a ação de pessoas ou grupos de pessoas, que no interesse próprio ou de terceiros, tem como objetivo subtrair informações ou segredos comerciais.E para tanto utiliza-se de variadas técnicas para se atingir o objetivo, como, recrutando-se funcionários ou ex-funcionários, infiltrando agentes em postos específicos, chantageando, interceptando comunicações de telefone, fax, e-mails, etc.

Conheça alguns golpes (artimanhas) aplicados:

1) Golpe da espionagem industrial

Algumas empresas estão se conscientizando da necessidade de agregar contra-medidas de segurança para tentar coibir tais ações, mas a maioria ainda não trata a proteção ao conhecimento, como ponto fundamental no sucesso de seus negócios . Por não aceitar ou não acreditar que este tipo de atividade faz parte das estratégias de seus concorrentes, as empresas se tornam vítimas fáceis para tais ações.

Para se proteger da ação da Espionagem Industrial, o primeiro passo seria a mudança de cultura, é importante que os tomadores de decisão percebam que a Espionagem Industrial é um fato real e faz parte da política de concorrentes para atingir o objetivo comercial que nada mais é que a liderança de mercado.

2) Furto de identidade

Uma técnica popular é o furto de identidade via e-mail. Estelionatários enviam e-mails tentando persuadir os receptores a fornecer dados pessoais sensíveis, tais como nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras ilícitas

3) Furto de informações bancárias

A forma de persuasão é semelhante à do furto de identidade, porém a mensagem recebida contém ligações que apontam pra sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de conta e senhas bancárias. A instalação desses programas é, na maioria absoluta dos casos, feita manualmente pelo usuário. Tecnicamente, pode existir a possibilidade da instalação automática desses programas apenas pela leitura da mensagem, mas isso depende de uma combinação de muitos fatores, que raramente acontece (e que não vale a pena ser explicada aqui).

4) Recados no Facebook e Orkut

Recentemente, o popular site Orkut e Facebook têm sido muito utilizado para o roubo de informações bancárias através de mensagens de phishing deixadas no “Livro de recados” (“scrapbook”) dos participantes.

A identidade contida nas mensagens é de uma pessoa conhecida da vítima, o que aumenta a probabilidade de sucesso do golpe. Essa identidade é obtida, normalmente, pelo roubo (geralmente via phishing) do login e da senha do Orkut da pessoa que está “enviando” o recado. Um grande exemplo dos perigos de informar dados nesses ambientes foi uma quadrilha nos EUA que utilizava o facebook para saber quando os proprietários de suas residencias estavam de férias e desta forma executar o delito.

5) Exemplo de golpe in loco: Golpe do falso contador

Vamos hipoteticamente pensar numa situação onde aparece em seu estabelecimento um homem de meia idade, bem arrumado, dizendo ser funcionário de seu contador. Como micro empresário nunca tinha visto tal indivíduo, ficou um pouco alerta.

A pessoa apresentou guia DARF no valor de R$ 360,00, preenchida com os dados da empresa, que deveria ser paga imediatamente. A comerciante alegou que não tinha a quantia no momento, mas o desconhecido insistiu para que ela fizesse um cheque.

Em dúvida, a empresária pegou o celular para ligar para seu contador. Nesse instante o tal funcionário desapareceu da loja. O contador desmentiu a cobrança e ficou surpreso com o golpe utilizando seu nome.

O que recomendo é desconfiar das pessoas desconhecidas que surgem em sua casa, apartamento, prédio ou empresa. Jamais permita a entrada ou faça qualquer pagamento, sem antes ter absoluta certeza da idoneidade da pessoa.

Conclusão

A dica fundamental é tente enxergar o invisível, prever o imprevisível e sentir o perigo antes que ele aconteça. Ande a pé e dirija seu veiculo com a mente voltada para sua segurança. Freqüente o banco, caixa eletrônico e o comércio, prestando atenção no que esta acontecendo ao seu redor. Da mesma maneira que você pode evitar um tombo ao descer uma ladeira, podemos evitar crimes usando o armamento mais eficaz e barato existente no mercado: prevenção.

Riscos associados a aparelhos celulares

Introdução

As informações que passam pelo celular são confidenciais, pessoais e, muitas vezes, sigilosas. Portanto, não podem cair em mãos erradas. Telefones celulares deixaram de ser meramente aparelhos utilizados para fazer ligações telefônicas e passaram a incorporar diversas funcionalidades, tais como: calendário, despertador, agenda telefônica e de compromissos, câmera fotográfica, envio e recebimento de texto e imagens, etc.

A tecnologia bluetooth tem sido introduzida em diversos tipos de telefones celulares para permitir a transmissão de dados entre eles (por exemplo, contatos da agenda telefônica, agenda de compromissos, texto, imagens, etc), bem como conectar um telefone a outros tipos de dispositivo (por exemplo, fones de ouvido, sistema viva-voz de automóveis, etc). Outros exemplos de aparelhos que podem fornecer esta tecnologia são PDAs e notebooks.

O fato é que a inclusão da tecnologia bluetooth em aparelhos como telefones celulares e PDAs, entre outros, trouxe alguns riscos que podem afetar a privacidade de seus usuários.

O que influência aumento do roubo de celulares?

Agora com o “Chip”, o interesse dos golpistas por aparelhos celulares aumentou. É só comprar um novo chip por um preço médio de R$ 10,00 a R$ 25,00 em uma operadora e instalar em um aparelho roubado.

Com isso, está generalizado o roubo de aparelhos celulares. Segue então uma informação útil que os comerciantes de celulares não divulgam. Uma espécie de vingança para quando roubarem celulares.

Que riscos estão associados ao uso de aparelhos com bluetooth?

Muitas vezes, um aparelho que fornece a tecnologia bluetooth vem configurado de fábrica, ou é posteriormente configurado, de modo que qualquer outro aparelho possa se conectar a ele, indiscriminadamente. Esta configuração normalmente permite que dados sejam obtidos do aparelho sem qualquer tipo de controle.

O problema não reside no fato do aparelho disponibilizar a tecnologia, mas sim na má configuração das opções de bluetooth, que podem permitir que terceiros obtenham diversas informações de um aparelho. Estas informações podem incluir: agenda telefônica, agenda de compromissos, arquivos, imagens, entre outras.

Pode-se citar como exemplos os casos de algumas celebridades que tiveram todos os contatos telefônicos armazenados em seus aparelhos furtados e disponibilizados na Internet.

Que cuidados devo ter para evitar a exposição de informações de um aparelho com bluetooth?

É preciso tomar alguns cuidados para evitar a exposição de informações de um aparelho que fornece a tecnologia bluetooth. Alguns dos principais cuidados são:

• mantenha o bluetooth do seu aparelho desabilitado e somente habilite-o quando for necessário. Caso isto não seja possível, consulte o manual do seu aparelho e configure-o para que não seja identificado (ou "descoberto") por outros aparelhos (em muitos aparelhos esta opção aparece como "Oculto" ou "Invisível");

• fique atento às notícias, principalmente àquelas sobre segurança, veiculadas no site do fabricante do seu aparelho;

• aplique todas as correções de segurança (patches) que forem disponibilizadas pelo fabricante do seu aparelho, para evitar que possua vulnerabilidades;

• caso você tenha comprado uma aparelho usado, restaure as opções de fábrica (em muitos aparelhos esta opção aparece como "Restaurar Configuração de Fábrica" ou "Restaurar Configuração Original") e configure-o como no primeiro item, antes de inserir quaisquer dados.
 
Algumas dicas são importantes para os proprietários de aparelhos celulares para evitar a prática de Engenharia Social:

1) Não é aconselhável manter telefones e nomes de familiares, bem como fotos, na agenda telefônica do celular, pois seria uma fonte interessante para criminosos especializados em seqüestros.

2) Jamais forneça dados particulares, como números de RG ou CPF, conta de banco, senhas, etc. pelo telefone.

3) Para evitar clonagem do celular, mantenha-o desligado nas proximidades de aeroportos e rodoviárias e, em caso de conserto, utilize apenas lojas autorizadas pelas operadoras.

4) Cuidado com o falso seqüestro pelo celular. Não caia na conversa dos criminosos que ordenam depósitos imediatos. Dirija-se imediatamente à Delegacia mais próxima e registre ocorrência.

5) O identificador de chamadas é um ótimo sistema para identificação de golpistas, trotes, ameaças etc.

6) Não incentive o uso de telefone celular por crianças.

7) Lembre-se que ao aceitar conversar com um estranho pelo celular, você pode correr o mesmo perigo de quem gosta de esticar papo com desconhecidos na rua.

Conclusão

O risco aumenta à medida que o celular tem mais recursos. Normalmente, modelos com a tecnologia bluetooth, que permite a transmissão de dados entre aparelhos por radiofrequência em curtas distâncias, são alguns dos mais sensíveis a incidentes de segurança, segundo especialistas.

O primeiro passo para agir com mais segurança é colocar uma senha no celular. Desta forma, caso ele seja roubado, será mais difícil entrar no sistema do aparelho.

Por que se preocupar com segurança?

Introdução

Você já deve ter percebido e acompanhado notícias e fatos reais ou até mesmo ter lido ou ouvido que vivemos hoje a era da informação, ou seja, grande parte das empresas têm na informação o seu principal ativo. Perder ou ter informação furtada causa grandes prejuízos financeiros e, até mesmo, um impacto negativo à imagem da empresa.

Considere, por exemplo, as informações dos correntistas de um banco. A perda de tais informações certamente compromete todo o negócio da instituição, bem como afeta também sua imagem perante a sociedade. Provavelmente, ninguém mais confiará suas economias a esse banco!

Todos os dias, pessoas e empresas são vítimas de tentativas de ataques, cujo objetivo é o roubo ou a destruição de dados e informações. Em algumas situações, o roubo é feito por crackers – na maioria jovens – que têm o intuito de revelar as informações furtadas e publicá-las em sites na Internet, mostrando, assim, a fragilidade da empresa atacada.

Sobre a atuação dos crackers, leia aqui a matéria “Invasão de rede foi planejada por anos”, de Felipe Zmoginski, do Plantão INFO On-Line, publicada em 11 de maio de 2007.

Vulnerabilidade, Ameaça e Ataque

Quando se fala em segurança computacional, convém que você conheça alguns conceitos básicos.
Uma vulnerabilidade representa qualquer fragilidade dentro de um sistema, rede ou procedimento de atuação, que possa ser explorada, causando perdas ou danos à organização.

Uma ameaça é, portanto, a possibilidade de exploração de uma vulnerabilidade. Um ataque, por sua vez, representa a materialização de uma ameaça.

Para explicar melhor cada uma das três definições acima, vamos usar um simples exemplo. Suponha que você esteja acessando um site por meio de uma conexão não segura. O fato de essa conexão não ser segura representa uma vulnerabilidade. Uma possível ameaça poderia ser a captura, por alguém não autorizado, das informações que trafegam por essa conexão. Um ataque, nesse caso, poderia ser feito com o uso de um sniffer, o qual pode capturar e analisar os pacotes.

Dado o exemplo de ataque no parágrafo anterior, podemos dizer que o mesmo é do tipo passivo. Ou seja, baseia-se na escuta e no monitoramento de transmissões, não envolvendo alterações das mensagens trafegadas. Contudo, há ataques que são chamados ativos, os quais, nesse caso, envolvem modificação de mensagens, falsificação de dados ou até mesmo a interrupção de serviços.

Modalidades de Ameaça

Toda e qualquer comunicação pode estar sujeita à ocorrência de algumas modalidades de ameaça, as quais podem ser agrupadas em quatro categorias: interrupção, interceptação, modificação e fabricação, vejamos abaixo cada uma delas:

Interrupção: caracteriza-se pela possibilidade de tornar um bem ou ativo indisponível, inutilizável. Um exemplo de interrupção pode ser a destruição de um servidor ou disco de armazenamento

Interceptação: caracteriza-se pela obtenção de informações por meio do acesso não-autorizado de pessoa, sistema ou programa. A escuta de uma conversa telefônica é um exemplo desse tipo de ameaça.

Modificação: representa situações em que dados são alterados por pessoa não-autorizada. Um exemplo disso é a alteração do conteúdo de mensagens transmitidas por meio de uma rede de interconexão

Fabricação: difere um pouco da modificação, por representar situações em que dados falsos são produzidos e inseridos nos ativos de uma organização. Você pode tomar como exemplo a situação em que um cracker, após invadir um sistema de vendas pela Internet de uma empresa, cria pedidos falsos.

Alguns conceitos básicos

A confidencialidade visa proteger as informações contra acessos não-autorizados. Em outras palavras, mesmo que uma pessoa ou programa capture as mensagens transmitidas pela rede, é importante que essas mensagens estejam em uma forma ininteligível.

A integridade, por sua vez, busca proteger a comunicação de dados, evitando que as mensagens transmitidas sofram modificações por pessoas ou programas não-autorizados.

Já o serviço de autenticidade tem por objetivo garantir que os envolvidos em uma comunicação sejam autênticos; isto é, que nenhum deles esteja se passando por alguém que não é. Imagine, por exemplo, que você esteja conversando com um amigo por meio de um serviço de mensagens instantâneas. Qual a garantia que você tem de que a pessoa que você está realmente conversando é de fato seu amigo?

No controle de acesso o intuito é definir regras, limitando o acesso físico ou lógico aos ativos da empresa somente àquelas pessoas devidamente autorizadas. O controle de acesso físico engloba os mecanismos e medidas de proteção contra acesso não-autorizado, visando a proteção de equipamentos, documentos, suprimentos e pessoas, entre outros recursos.

A disponibilidade preocupa-se em manter os serviços de uma empresa disponíveis sempre que solicitados por acessos autorizados. O objetivo é proteger os recursos computacionais das ameaças de interrupção. Nesse caso, são implementadas soluções que promovam o aumento de disponibilidade como, por exemplo, a replicação de serviços, a redundância de canais de comunicação e a utilização de clusters.


Exemplos de controle da segurança da informação para empresas:

•  Redação de instruções.

          Regras básicas sobre a segurança da informação da empresa.

•  Atualização de software.

          Sistemas operacionais, aplicações (correio eletrônico, navegadores da Internet).

•  Realização de cópias de segurança.

•  Software de segurança da informação  (proteção antivirus e firewalls).

•  Senhas para a rede e os servidores.

        Em quanto tempo são trocadas? Como devem ser?
        Fechar a conta de correio eletrônico e eliminar o identificador de usuário ao finalizar a relação trabalhista.

•  Proteção física dos equipamentos.

        Guardar os servidores em uma sala fechada sob chave, contar com marcas de segurança, proceder ao  vazamento dos discos rígidos.


Conclusão

Quando se fala em segurança computacional, alguns serviços precisam ser implementados como forma de garantir a proteção dos bens ativos de uma empresa, assim como prevenir que as informações enviadas por esta, para os seus clientes, parceiros ou fornecedores, sejam capturadas por pessoas não-autorizadas.

Podemos agrupar os serviços de segurança nas seguintes categorias: confidencialidade, integridade, autenticidade, controle de acesso e disponibilidade.

Benefícios alcançados com a Política de Segurança

Introdução

Sabemos que o planejamento é fator crítico de sucesso e também responsável pela iniciativa de gerir a segurança da informação e a elaboração de um plano diretor de segurança. Mais do que um plano destinado a prover a organização de orçamento para investimentos tecnológicos, o planejamento tem de ser dinâmico e flexível para suportar as novas necessidades de segurança que surgem à medida que a organização cresce e se desenvolve.

Uma boa diretriz de segurança para um sistema refere-se a ameaças. A diretriz de segurança oferece uma estrutura para selecionar e implementar contramedidas contra as ameaças. Um dos benefícios mais imediatos é que a partir do momento que uma diretriz é escrita ela força cada um a segui-la.

Política de segurança, de acordo com Beal (2005, p. 43), é o documento que registra os princípios e as diretrizes de segurança adotados pela organização, os quais devem ser observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação organizacionais.

Para Campos (2006, p. 100), o principal objetivo da política de segurança é estabelecer um padrão de comportamento que sirva como base para decisões da alta administração em assuntos relacionados à segurança. Ela é composta por um conjunto de regras e padrões que visam principalmente assegurar que as informações e serviços importantes para a empresa recebam proteção, de forma a garantir a confidencialidade, integridade e disponibilidade das informações. A Política de Segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo ser formalizada e divulgada a todos os usuários que fazem uso dos ativos de informação.

É importante ressaltar que as políticas, normas e procedimentos de segurança da informação devem ser:

• simples;

• compreensíveis (escritas de maneira clara e concisa);

• homologadas e assinadas pela alta administração;

• elaboradas de forma a permitir a sua implantação por fases;

• alinhadas com as estratégias de negócio da empresa,

• em consonância com os padrões e procedimentos já existentes;

• flexíveis o bastante para acompanhar a constante evolução da tecnologia e dos negócios da empresa;
• um instrumento de incentivo à ação de segurança, priorizando os ativos de maior valor e de maior importância;

• positivas e não apenas concentradas em ações proibitivas ou punitivas.

Onde a política abrange?

Vários setores da organização, para entendermos alguns outros benefícios alcançados, podemos desmembrar a segurança em quatro grandes aspectos:

• Segurança computacional – Conceitos e técnicas utilizados para proteger o ambiente informatizado contra eventos inesperados que possam causar qualquer prejuízo.

• Segurança Lógica – Procedimentos e recursos para prevenir acesso não autorizado, dano e interferência nas informações e instalações físicas da organização.

• Continuidade de negócios – Estrutura de procedimentos para reduzir, em um nível aceitável, o risco de interrupção ocasionada por desastres ou falhas por meio da combinação de ações de prevenção e recuperação.

• Tempo – É importante observar que os valores agregados à organização com a implementação de política e seus benefícios precisam de um tempo para maturação, mas, como dito anteriormente, alguns já são atingidos assim que a política é colocada em prática, outros podem ser divididos conforme Ferreira e Araújo (2006) em:

Curto Prazo:
    Formalização e documentação dos procedimentos de segurança adotados pela empresa.
    Implementação de novos procedimentos e controles.
    Prevenção de acessos não autorizados, danos ou interferência no andamento dos negócios, mesmo nos asos de falhas ou desastres.
    Maior segurança nos processos do negócio.

Médio Prazo
    Padronização dos procedimentos de segurança incorporados na rotina da empresa.
    Adaptação segura de novos processos do negócio.
    Qualificação e quantificação dos sistemas de resposta a incidentes.
    Conformidade com os padrões de segurança, como a NBR ISO/IEC 17799.

Longo Prazo
    Retorno sobre o investimento realizado por meio da redução da incidência de problemas relacionados à segurança.
    Consolidação da imagem associada à Segurança da Informação.

Exemplos de Política:

• A qualidade de nossos serviços é um bem de valor inestimável e de fundamental importância para nossa empresa. A continuidade de nossos negócios, operando com qualidade e competitividade depende da confidencialidade, integridade e disponibilidade de nossos ativos.

• Os gestores de TI são responsáveis pela proteção dos ativos de TI, bem como pela autorização de seu uso, recebimento, processamento, armazenamento e transmissão das informações derivadas desses ativos.

• Todos os colaboradores, bem como todos os prestadores de serviço e consultores, devem entender suas obrigações e principalmente implementar procedimentos de segurança da informação.

• A área de segurança deve ser imediatamente comunicada sobre qualquer incidente de segurança, a fim de que possa tomar as devidas providências.
 
• Esta política é valida a partir de 09/09/1999.

Independentemente do tamanho da organização e como forma de contribuir com este planejamento, a NBR/ISO 17799 relaciona como principais fontes para a identificação dos requisitos de segurança os seguintes tópicos:

• Avaliação de risco dos ativos da organização – para identificação das ameaças, probabilidade de ocorrência e vulnerabilidades e estimativa do impacto potencial associado.

• Legislação vigente – estatutos e cláusulas contratuais a que a organização tem de atender.

• Conjunto de princípios – visão, missão, objetivos e requisitos de processamento da informação organizacional

Conclusão

É importante salientar que para a organização obter sucesso na construção de normas e diretrizes, tem-se de levar em consideração que, após sua implementação, deverá ficar evidenciado os seguintes aspectos:

• O envolvimento e o comprometimento da alta administração com relação à segurança da informação.

• O entendimento de todos os colaboradores de que a informação é um dos ativos mais importantes da organização.

• A formalização da responsabilidade de todos os colaboradores da empresa sobre a salvaguarda dos recursos da informação.

• O estabelecimento de padrões para a manutenção da segurança da informação, visando tornar fácil sua revisão e adequação sempre que necessário.

Convencer a alta administração de que a política de segurança, sendo ela dispendiosa ou não, é importante na identificação das vulnerabilidades e na prevenção de danos à organização é uma variável que não pode ser desprezada por parte dos profissionais de segurança e a Política da Segurança por mais eficiente e eficaz que pareça, sempre deixará um risco residual.