Quais são os requerimentos de segurança em comunicações?

Devido ao crescente suporte de computadores de rede poderosos para fazer neg�cios e manter controle de nossas informa��es pessoais, as ind�strias t�m sido constitu�das com a pr�tica de seguran�a nos computadores e nas redes. Empreendimentos t�m solicitado o conhecimento e habilidades de peritos em seguran�a para auditar sistemas apropriadamente e customizar solu��es para os requerimentos operacionais das organiza��es. J� que a maioria das organiza��es s�o din�micas por natureza, com funcion�rios acessando os recursos de IT da empresa localmente e remotamente, a necessidade de ambientes de rede seguros se tornou ainda mais acentuada.

Infelizmente, a maioria das empresas (assim como usu�rios individuais) encaram a seguran�a como uma preocupa��o em segundo plano, um processo visto em favor de quest�es de aumento de poder, produtividade e or�ament�rias. Implementa��es de seguran�a apropriadas s�o frequentemente executadas postmortem — ap�s uma intrus�o n�o autorizada j� ter ocorrido. Peritos em seguran�a concordam que as medidas corretas, tomadas antes de conectar um site a uma rede n�o confi�vel - como a Internet - � um meio efetivo de impedir a maioria das tentativas de intrus�o.

1.1. O que � Seguran�a em Computadores?

Seguran�a em computadores � um termo geral que abrange uma grande �rea da computa��o e processamento de dados. Setores que dependem de sistemas de computador e redes para conduzir transa��es di�rias de neg�cios e acessar informa��es cruciais, encaram seus dados como uma parte importante de seus recursos. Diversos termos e medidas foram inseridos em nosso cotidiano, tais como custo total de propriedade (total cost of ownership - TCO) e qualidade de servi�o (quality of service - QoS). Nestas medidas, setores calculam aspectos como integridade de dados e alta disponibilidade como parte de seus custos de planejamento e gerenciamento de processos. Em alguns setores, tal como com�rcio eletr�nico, a disponibilidade e confiabilidade de dados pode ser a diferen�a entre sucesso e fracasso.

1.1.1. Como surgiu a Seguran�a em Computadores?

Muitos leitores talvez lembrem do filme "Jogos de Guerra," com Matthew Broderick no papel de um estudante colegial que invade o supercomputador do Departamento de Defesa dos EUA (Department of Defense - DoD), e inadvertidamente causa uma amea�a nuclear. Neste filme, Broderick usa seu modem para discar ao computador do DoD (chamado WOPR) e brinca de jogos com o software artificialmente inteligente controlando todos os armaz�ns de m�sseis nucleares. O filme foi lan�ado durante a "guerra fria" entre a ex Uni�o Sovi�tica e os EUA e foi considerado um sucesso em seu lan�amento em 1983. A popularidade do filme inspirou muitas pessoas e grupos a come�ar a implementar alguns dos m�todos que o jovem protagonista utilizou para violar sistemas restritos, inclusive o que � conhecido como war dialing — um m�todo de busca de n�meros de telefone para conex�es de modem anal�gicos em uma combina��o de determinado prefixo de �rea e prefixo de telefone.

Mais de 10 anos depois, ap�s uma busca multi-jurisdi��o de quatro anos envolvendo o FBI (Federal Bureau of Investigation) e a ajuda de profissionais de computa��o em todo o pa�s, o not�rio cracker Kevin Mitnick foi preso e processado por 25 fraudes de contas de computador e acesso a dispositivos, que resultaram em perdas de propriedade intelectual e c�digo-fonte da Nokia, NEC, Sun Microsystems, Novell, Fujitsu e Motorola estimadas em US$80 milh�es. Na �poca, o FBI considerou-o como o maior crime relacionado a computadores na hist�ria dos EUA. Ele foi condenado e sentenciado a 68 meses de pris�o por seus crimes, dos quais serviu 60 meses antes de sua condicional em 21 de Janeiro de 2000. Ele foi proibido de usar computadores ou prestar qualquer consultoria relacionada a computadores at� 2003. Investigadores dizem que Mitnick era perito em engenharia social — utilizar indiv�duos para ganhar acesso a senhas e sistemas usando credenciais falsificadas.

A seguran�a da informa��o evoluiu atrav�s dos anos devido � crescente depend�ncia de redes p�blicas para expor informa��es pessoais, financeiras e outras informa��es restritas. H� diversos casos como o de Mitnick e o de Vladamir Levin (consulte a Se��o 1.1.2 para mais informa��es) que surgiram em empresas de todos os setores para repensar a maneira com que lidam com a transmiss�o e exposi��o de informa��es. A popularidade da Internet foi um dos aspectos mais importantes que exigiu um esfor�o intenso na seguran�a de dados.

Um n�mero cada vez maior de pessoas est� utilizando seu computador pessoal para acessar os recursos que a Internet oferece. De pesquisas e recupera��o de informa��es a correspond�ncia eletr�nica e transa��es comerciais, a Internet � considerada um dos desenvolvimentos mais importantes do s�culo XX.

A Internet e seus protocolos mais antigos, no entanto, foram desenvolvidos como um sistema baseado na confian�a. Ou seja, o Protocolo de Internet (IP) n�o foi desenvolvido para ser intrinsicamente seguro. N�o h� padr�es de seguran�a aprovados dentro do esquema de comunica��o TCP/IP, deixando-o aberto a usu�rios maldosos e processos atrav�s da rede. O desenvolvimento de modems tornou a comunica��o via Internet mais segura, mas ainda h� diversos incidentes que ganham aten��o nacional e nos alertam para o fato de que nada � completamente seguro.

1.1.2. Cronologia da Seguran�a em Computadores

Diversos eventos-chave contribu�ram para o nascimento e crescimento da seguran�a em computadores. A cronologia a seguir lista alguns dos eventos mais importantes da computa��o e seguran�a da informa��o, e suas import�ncias hoje.

1.1.2.1. Os Anos 30 e 40

• Cript�grafos poloneses inventam a m�quina Enigma em 1918, um dispositivo rotor eletromec�nico de cifras que converte mensagens puramente texto em um resultado criptografado. Desenvolvido originalmente para proteger comunica��es banc�rias, o ex�rcito alem�o v� no dispositivo o potencial de proteger as comunica��es durante a 2a Guerra Mundial. Um matem�tico brilhante chamado Alan Turing desenvolve um m�todo para quebrar os c�digos da Enigma, possibilitando �s for�as aliadas desenvolver a Colossus, uma m�quina que recebeu cr�ditos por findar a guerra um ano antes.

1.1.2.2. Os Anos 60

• Estudantes do Massachusetts Institute of Technology (MIT) formaram o Tech Model Railroad Club (TMRC), que come�ou a explorar e programar o sistema de computadores de grande porte PDP-1 da escola. O grupo evetualmente usa o termo "hacker" no contexto em que � conhecido hoje.

• O DoD (Departamento de Defesa dos EUA) cria a Rede da Ag�ncia de Projetos de Pesquisa Avan�ada (Advanced Research Projects Agency Network - ARPANet), que ganha popularidade em pesquisas e c�rculos acad�micos como um condutor do interc�mbio eletr�nico de informa��es e dados. Isto pavimentou o caminho para a cria��o da rede de transporte conhecida hoje como Internet.

• Ken Thompson desenvolve o sistema operacional UNIX, amplamente aclamado como o sistema operacional mais "hacker-friendly" devido �s suas ferramentas acess�veis a desenvolvedores e compiladores e tamb�m � sua comunidade de usu�rios colaborativos. Quase ao amesmo tempo, Dennis Ritchie desenvolve a linguagem de programa��o C, discutivelmente a linguagem hacking mais popular da hist�ria dos computadores.

1.1.2.3. Os Anos 70

• Bolt, Beranek e Newman, uma empresa de pesquisa e desenvolvimento em computadores para o governo e ind�stria, desenvolve o protocolo Telnet, uma extens�o p�blica da ARPANet. Isto abre portas para o uso p�blico de redes de dados antes restritas a empresas do governo e pesquisadores acad�micos. O Telnet, no entanto, tamb�m � discutivelmente o protocolo mais inseguro para redes p�blicas, de acordo com diversos pesquisadores em seguran�a.

• Steve Jobs e Steve Wozniak fundaram a Apple Computer e come�aram a comercializar o computador pessoal (Personal Computer - PC). O PC � o trampolim para diversos usu�rios maldosos aprenderem a arte do cracking remoto em sistemas, usando hardware de comunica��o comum de PC, como modems anal�gicos e war dialers.

• Jim Ellis e Tom Truscott criam o USENET, um sistema de estilo mural (bulletin-board) para comunica��o eletr�nica entre usu�rios d�spares. O USENET torna-se rapidamente um dos meios mais conhecidos de interc�mbio de id�ias em computa��o, redes e, obviamente, cracking.

1.1.2.4. Os Anos 80

• A IBM desenvolve e comercializa PCs baseados no microprocessador Intel 8086, uma arquitetura relativamente barata que trouxe a computa��o do escrit�rio para casa. Isto serve para transformar o PC numa ferramenta comum e acess�vel, que era relativamente poderosa e f�cil de usar, ajudando a prolifera��o deste tipo de hardware nos lares e escrit�rios de usu�rios maldosos.

• O Protocolo de Controle de Transmiss�o (Transmission Control Protocol), desenvolvido por Vint Cerf, � dividido em duas partes distintas. O Protocolo de Internet (IP) surge desta divis�o, e o protocolo combinado TCP/IP torna-se o padr�o para toda a comunica��o via Internet de hoje.

• Baseada em desenvolvimentos na �rea de phreaking, ou explorando e hackeando o sitema de telefonia, a revista 2600: The Hacker Quarterly � criada e come�a a abordar temas como o cracking e redes de computadores para uma grande audi�ncia.

• A gang 414 (assim nomeada em fun��o do c�digo de �rea de onde haqueava) � surpreendida pelas autoridades ap�s nove dias de cracking no qual a gang violou os sistemas de uma localiza��o altamente secreta, o Los Alamos National Laboratory, um local de pesquisas de armas nucleares.

• 'The Legion of Doom' e o 'Chaos Computer Club' s�o dois grupos pioneiros de crackers que come�am a explorar as vulnearbilidades em computadores e redes eletr�nicas de dados.

• O Ato de Fraude e Abuso de Computador de 1986 (Computer Fraud and Abuse Act) foi votado e transformado em lei pelo congresso americano baseado nos exploits de Ian Murphy, tamb�m conhecido com Capit�o Zap, que violou computadores militares, roubou informa��es de bancos de dados de pedidos de mercadorias e utilizou os quadros restritos de distribui��o de telefone do governo para efetuar liga��es telef�nicas.

• Baseado no Ato de Fraude e Abuso de Computador, a c�rte condena Robert Morris, um graduando, por distribuir o v�rus Morris Worm para mais de 6.000 computadores vulner�veis conectados � Internet. O pr�ximo caso mais proeminente julgado sob este ato foi o de Herbert Zinn, um colegial que abandonou os estudos, que crackeou e fez mal-uso dos sistemas da AT&T e do DoD (Departamento de Defesa dos EUA).

• Baseado na preocupa��o de que a �rdea do Morris Worm pudesse ser replicada, � criada a Equipe de Resposta a Emerg�ncias de Computador (Computer Emergency Response Team - CERT) para alertar usu�rios das quest�es de seguran�a em redes.

• Clifford Stoll escreve The Cuckoo's Egg, o resultado de sua investiga��o sobre crackers que exploraram seu sistema.

1.1.2.5. Os Anos 90

• A ARPANet � desativada. O tr�fego desta rede � transferido para a Internet.

• Linus Torvalds desenvolve o kernel do Linux para utiliza��o com o sistema operacional GNU. O amplo desenvolvimento e ado��o do Linux se deve, em grande parte, � colabora��o e comunica��o de usu�rios e desenvolvedores via Internet. Devido �s suas ra�zes no Unix, o Linux � mais popular entre hackers e administradores que o consideram muito �til para elaborar alternativas seguras para servidores legados que rodam sistemas operacionais propriet�rios (com c�digo fechado).

• O navegador (browser) gr�fico � criado e estimula uma demanda exponencialmente alta por acesso p�blico � Internet.

• Vladimir Levin � c�mplice da transf�ncia ilegal de US$10 milh�es em fundos para diversas contas crackeando o banco de dados central do CitiBank. Levin � preso pela Interpol e quase todo o dinheiro � recuperado.

• Possivelmente, o precursor de todos os crackers � Kevin Mitnick, que hackeou diversos sistemas corporativos roubando tudo - de informa��es pessoais de celebridades a mais de 20.000 n�meros de cart�es de cr�dito e c�digo fonte de software propriet�rio. Ele � preso, condenado por fraude e fica 5 anos na pris�o.

• Kevin Poulsen e um c�mplice desconhecido manipulam sistemas de telefonia de uma esta��o de r�dio para ganhar carros e pr�mios em dinheiro. Ele � condenado por fraude e sentenciado a 5 anos de pris�o.

• As hist�rias de cracking e phreaking se tornam lendas; e muitos crackers em potencial se re�nem na conven��o anual DefCon para celebrar o cracking e trocar id�ias entre seus pares.

• Um estudante israelense de 19 anos � preso e condenado por coordenar v�rias viola��es aos sistemas do governo americano durante o conflito no Golfo P�rsico. Oficiais militares o chamam de "o ataque mais organizado e sistem�tico" a sistemas de governo na hist�ria dos EUA.

• A Procuradora dos EUA Janet Reno, em resposta �s crescentes viola��es de seguran�a aos sistemas do governo, estabelece o Centro de Prote��o � Infraestrutura Nacional (National Infrastructure Protection Center).

• Sat�lites de comunica��o ingleses s�o tomados e controlados por criminosos desconhecidos. O governo brit�nico eventualmente se apropria do controle dos sat�lites.

1.1.3. A Seguran�a Hoje

Em Fevereiro de 2000, um ataque Denial of Service Distribu�do (Distributed Denial of Service - DDoS) foi espalhado a v�rios servidores de sites de maior tr�fego na Internet. O ataque tomou controle do yahoo.com, cnn.com, amazon.com, fbi.gov e v�rios outros sites completamente inacess�veis para usu�rios normais, pois bloqueou roteadores por v�rias horas com transfer�ncias de grandes pacotes ICMP, tamb�m chamados de ping flood. O ataque foi de autoria desconhecida usando programas criados especialmente e amplamente dispon�veis , que sannearam servidores de rede vulner�veis, instalaram aplica��es cliente chamadas trojans nos servidores e marcaram um ataque com todos os servidores infectados inundando os sites v�timas e tornando-os indispon�veis. Muitos culparam o ataque � obsolesc�ncia da maneira como roteadores e protocolos usados s�o estruturados para aceitar todos os dados externos, n�o importando de onde ou para qual prop�sito os pacotes s�o enviados.

Isso nos traz ao novo mil�nio, um tempo em que aproximadamente 945 milh�es de pessoas usam ou usaram a Internet ao redor do mundo (Computer Industry Almanac, 2004). Ao mesmo tempo:

• Num dia qualquer, s�o estimados 225 grandes incidentes de explora��o de vulnerabilidades reportados ao Centro de Coordena��o da CERT na Universidade Carnegie Mellon. [1]

• Em 2003, o n�mero de incidentes reportados � CERT pulou para 137.529 de 82.094 em 2002 e de 52.658 em 2001.[2]

• O impacto econ�mico am n�vel mundial dos tr�s v�rus mais perigosos da Internet nos �ltimos tr�s anos foi estimado em US$13.2 bilh�es.[3]

A seguran�a em computadores tornou-se uma despesa quantific�vel e justific�vel em todos os or�amentos de TI. Empresas que requerem integridade de dados e alta disponibilidade, evocam as habilidades de administradores de sistemas, desenvolvedores e engenheiros para garantir confiabilidade de seus sistemas, servi�os e informa��es 24 horas por dia, sete dias por semana. Cair nas m�os de usu�rios, processos ou ataques maldosos coordenados � uma amea�a direta ao sucesso da empresa.

Infelizmente, a seguran�a de sistemas e redes pode ser uma tarefa dif�cil, que requer o conhecimento complexo de como a empresa encara, usa, manipula e transmite suas informa��es. Entender a maneira como a empresa (e as pessoas que a constituem) conduz os neg�cios � primordial para a implementa��o de um plano de seguran�a apropriado.

1.1.4. Padronizando a Seguran�a

Empresas de todos os setores dependem de regulamenta��es e padr�es definidos por associa��es como a Associa��o M�dica Americana (American Medical Association - AMA) ou o Instituto de Engenheiros El�tricos e Eletr�nicos (Institute of Electrical and Electronics Engineers - IEEE). As mesmas id�ias valem para a seguran�a da informa��o. Muitas consultorias e fabricantes da �rea de seguran�a concordam com o modelo de seguran�a padr�o conhecido como CIA, ou Confidentiality, Integrity, and Availability (Confidencialidade, Intergridade e Disponibilidade). Esse modelo de tr�s pilares � um componente geralmente aceito para avaliar riscos �s informa��es delicadas e para estabelecer uma pol�tica de seguran�a. A explica��o a seguir detalha o modelo CIA:

• Confidencialidade — Informa��es delicadas devem estar dispon�veis apenas para um conjunto pr�-definido de indiv�duos. A transmiss�o ou o uso n�o autorizado de informa��es devem ser restritos. Por exemplo: a confidencialidade da informa��o garante que as informa��es pessoais ou financeiras de um cliente n�o sejam obtidas por um indiv�duo n�o autorizado para prop�sitos maldosos como roubo de identidade ou fraude de cr�dito.

• Integridade — As informa��es n�o devem ser alteradas de modo a torn�-las incompletas ou incorretas. Usu�rios n�o autorizados devem ter restri��es para modificar ou destruir informa��es delicadas.

• Disponibilidade — As informa��es devem estar acess�veis a usu�rios autorizados sempre que precisarem. A disponibilidade � a garantia de que aquela informa��o pode ser obtida com uma frequ�ncia e periodicidade pr�-definidas. Isto � frequentemente medido em termos de porcentagens e definido formalmente nos Acordos de N�vel de Servi�o (Service Level Agreements - SLAs) usados por provedores de servi�os de rede e seus clientes corporativos.

Quais são os requerimentos de segurança em comunicação?

O que é segurança da comunicação?

Quais são os requisitos básicos de segurança da informação?

Quais são os 4 pilares da segurança da informação?