Devido ao crescente suporte de computadores de rede poderosos para fazer neg�cios e manter controle de nossas informa��es pessoais, as ind�strias t�m sido constitu�das com a pr�tica de seguran�a nos computadores e nas redes. Empreendimentos t�m solicitado o conhecimento e habilidades de peritos em seguran�a para auditar sistemas apropriadamente e customizar solu��es para os requerimentos operacionais das organiza��es. J� que a maioria das organiza��es s�o din�micas por natureza, com funcion�rios acessando os recursos de IT da empresa localmente e remotamente, a necessidade de ambientes de rede seguros se tornou ainda mais acentuada. Show
Infelizmente, a maioria das empresas (assim como usu�rios individuais) encaram a seguran�a como uma preocupa��o em segundo plano, um processo visto em favor de quest�es de aumento de poder, produtividade e or�ament�rias. Implementa��es de seguran�a apropriadas s�o frequentemente executadas postmortem — ap�s uma intrus�o n�o autorizada j� ter ocorrido. Peritos em seguran�a concordam que as medidas corretas, tomadas antes de conectar um site a uma rede n�o confi�vel - como a Internet - � um meio efetivo de impedir a maioria das tentativas de intrus�o. 1.1. O que � Seguran�a em Computadores?Seguran�a em computadores � um termo geral que abrange uma grande �rea da computa��o e processamento de dados. Setores que dependem de sistemas de computador e redes para conduzir transa��es di�rias de neg�cios e acessar informa��es cruciais, encaram seus dados como uma parte importante de seus recursos. Diversos termos e medidas foram inseridos em nosso cotidiano, tais como custo total de propriedade (total cost of ownership - TCO) e qualidade de servi�o (quality of service - QoS). Nestas medidas, setores calculam aspectos como integridade de dados e alta disponibilidade como parte de seus custos de planejamento e gerenciamento de processos. Em alguns setores, tal como com�rcio eletr�nico, a disponibilidade e confiabilidade de dados pode ser a diferen�a entre sucesso e fracasso. 1.1.1. Como surgiu a Seguran�a em Computadores?Muitos leitores talvez lembrem do filme "Jogos de Guerra," com Matthew Broderick no papel de um estudante colegial que invade o supercomputador do Departamento de Defesa dos EUA (Department of Defense - DoD), e inadvertidamente causa uma amea�a nuclear. Neste filme, Broderick usa seu modem para discar ao computador do DoD (chamado WOPR) e brinca de jogos com o software artificialmente inteligente controlando todos os armaz�ns de m�sseis nucleares. O filme foi lan�ado durante a "guerra fria" entre a ex Uni�o Sovi�tica e os EUA e foi considerado um sucesso em seu lan�amento em 1983. A popularidade do filme inspirou muitas pessoas e grupos a come�ar a implementar alguns dos m�todos que o jovem protagonista utilizou para violar sistemas restritos, inclusive o que � conhecido como war dialing — um m�todo de busca de n�meros de telefone para conex�es de modem anal�gicos em uma combina��o de determinado prefixo de �rea e prefixo de telefone. Mais de 10 anos depois, ap�s uma busca multi-jurisdi��o de quatro anos envolvendo o FBI (Federal Bureau of Investigation) e a ajuda de profissionais de computa��o em todo o pa�s, o not�rio cracker Kevin Mitnick foi preso e processado por 25 fraudes de contas de computador e acesso a dispositivos, que resultaram em perdas de propriedade intelectual e c�digo-fonte da Nokia, NEC, Sun Microsystems, Novell, Fujitsu e Motorola estimadas em US$80 milh�es. Na �poca, o FBI considerou-o como o maior crime relacionado a computadores na hist�ria dos EUA. Ele foi condenado e sentenciado a 68 meses de pris�o por seus crimes, dos quais serviu 60 meses antes de sua condicional em 21 de Janeiro de 2000. Ele foi proibido de usar computadores ou prestar qualquer consultoria relacionada a computadores at� 2003. Investigadores dizem que Mitnick era perito em engenharia social — utilizar indiv�duos para ganhar acesso a senhas e sistemas usando credenciais falsificadas. A seguran�a da informa��o evoluiu atrav�s dos anos devido � crescente depend�ncia de redes p�blicas para expor informa��es pessoais, financeiras e outras informa��es restritas. H� diversos casos como o de Mitnick e o de Vladamir Levin (consulte a Se��o 1.1.2 para mais informa��es) que surgiram em empresas de todos os setores para repensar a maneira com que lidam com a transmiss�o e exposi��o de informa��es. A popularidade da Internet foi um dos aspectos mais importantes que exigiu um esfor�o intenso na seguran�a de dados. Um n�mero cada vez maior de pessoas est� utilizando seu computador pessoal para acessar os recursos que a Internet oferece. De pesquisas e recupera��o de informa��es a correspond�ncia eletr�nica e transa��es comerciais, a Internet � considerada um dos desenvolvimentos mais importantes do s�culo XX. A Internet e seus protocolos mais antigos, no entanto, foram desenvolvidos como um sistema baseado na confian�a. Ou seja, o Protocolo de Internet (IP) n�o foi desenvolvido para ser intrinsicamente seguro. N�o h� padr�es de seguran�a aprovados dentro do esquema de comunica��o TCP/IP, deixando-o aberto a usu�rios maldosos e processos atrav�s da rede. O desenvolvimento de modems tornou a comunica��o via Internet mais segura, mas ainda h� diversos incidentes que ganham aten��o nacional e nos alertam para o fato de que nada � completamente seguro. 1.1.2. Cronologia da Seguran�a em ComputadoresDiversos eventos-chave contribu�ram para o nascimento e crescimento da seguran�a em computadores. A cronologia a seguir lista alguns dos eventos mais importantes da computa��o e seguran�a da informa��o, e suas import�ncias hoje. 1.1.2.1. Os Anos 30 e 40
1.1.2.2. Os Anos 60
1.1.2.3. Os Anos 70
1.1.2.4. Os Anos 80
1.1.2.5. Os Anos 90
1.1.3. A Seguran�a HojeEm Fevereiro de 2000, um ataque Denial of Service Distribu�do (Distributed Denial of Service - DDoS) foi espalhado a v�rios servidores de sites de maior tr�fego na Internet. O ataque tomou controle do yahoo.com, cnn.com, amazon.com, fbi.gov e v�rios outros sites completamente inacess�veis para usu�rios normais, pois bloqueou roteadores por v�rias horas com transfer�ncias de grandes pacotes ICMP, tamb�m chamados de ping flood. O ataque foi de autoria desconhecida usando programas criados especialmente e amplamente dispon�veis , que sannearam servidores de rede vulner�veis, instalaram aplica��es cliente chamadas trojans nos servidores e marcaram um ataque com todos os servidores infectados inundando os sites v�timas e tornando-os indispon�veis. Muitos culparam o ataque � obsolesc�ncia da maneira como roteadores e protocolos usados s�o estruturados para aceitar todos os dados externos, n�o importando de onde ou para qual prop�sito os pacotes s�o enviados. Isso nos traz ao novo mil�nio, um tempo em que aproximadamente 945 milh�es de pessoas usam ou usaram a Internet ao redor do mundo (Computer Industry Almanac, 2004). Ao mesmo tempo:
A seguran�a em computadores tornou-se uma despesa quantific�vel e justific�vel em todos os or�amentos de TI. Empresas que requerem integridade de dados e alta disponibilidade, evocam as habilidades de administradores de sistemas, desenvolvedores e engenheiros para garantir confiabilidade de seus sistemas, servi�os e informa��es 24 horas por dia, sete dias por semana. Cair nas m�os de usu�rios, processos ou ataques maldosos coordenados � uma amea�a direta ao sucesso da empresa. Infelizmente, a seguran�a de sistemas e redes pode ser uma tarefa dif�cil, que requer o conhecimento complexo de como a empresa encara, usa, manipula e transmite suas informa��es. Entender a maneira como a empresa (e as pessoas que a constituem) conduz os neg�cios � primordial para a implementa��o de um plano de seguran�a apropriado. 1.1.4. Padronizando a Seguran�aEmpresas de todos os setores dependem de regulamenta��es e padr�es definidos por associa��es como a Associa��o M�dica Americana (American Medical Association - AMA) ou o Instituto de Engenheiros El�tricos e Eletr�nicos (Institute of Electrical and Electronics Engineers - IEEE). As mesmas id�ias valem para a seguran�a da informa��o. Muitas consultorias e fabricantes da �rea de seguran�a concordam com o modelo de seguran�a padr�o conhecido como CIA, ou Confidentiality, Integrity, and Availability (Confidencialidade, Intergridade e Disponibilidade). Esse modelo de tr�s pilares � um componente geralmente aceito para avaliar riscos �s informa��es delicadas e para estabelecer uma pol�tica de seguran�a. A explica��o a seguir detalha o modelo CIA:
Quais são os requerimentos de segurança em comunicação?Saiba quais são os 4 princípios da Segurança da Informação. Confidencialidade;. Integridade;. Disponibilidade;. Autenticidade.. O que é segurança da comunicação?É o conjunto de ações que objetiva viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.
Quais são os requisitos básicos de segurança da informação?Existem quatro princípios básicos de segurança da informação: Disponibili- dade, Integridade, Confidencialidade e Autenticidade. De acordo com o Princípio da Disponibilidade, a informação estará disponível sempre que for preciso.
Quais são os 4 pilares da segurança da informação?Tradicionalmente, a segurança da informação era composta por três pilares principais, conhecidos pela sigla CID, são eles: confidencialidade, integridade e disponibilidade. Porém, ao longo dos anos, foram incorporados mais três itens a essa lista: autenticidade, Irretratabilidade (ou não repúdio) e conformidade.
|