Definição e Estatísticas sobre Spam

Para cada pessoa, spam pode ter um significado diferente. Contudo, uma boa definição para efeito deste artigo é: “um e-mail não solicitado, normalmente com objetivo comercial, enviado a um grande número de endereços de e-mail”.

Esta definição pode ser vista por dois lados, o spam e-mail é realmente comercial ou é um vírus ou phishing scam mascarado como um spam e-mail.

Olhando do ponto de vista do e-mail comercial, o spam nem sempre é ruim já que pode estar divulgando a promoção de um produto de seu interesse e, por este motivo, é muito bem vindo. Por outro lado, um spam e-mail com o mesmo objetivo promocional, mas de um produto que realmente não lhe interessa, pode ser mal visto e causar um sentimento de invasão.

Ainda dentro da nossa definição, existe um outro tipo de e-mail que pode ser considerado spam e que gera sentimentos contrários nas pessoas; são os e-mails de piadas, contos, frases, divertidos, filmes, propagandas, políticos, sacanagem, etc, enviados por amigos e parentes. Muitas vezes são bem vindos, mas, parar dizer o mínimo, as vezes o pessoal exagera.

Não vou abordar o outro ponto de vista, ou seja, de vírus e phishing scams mascarados de spam e-mails, pois este ninguém aprecia mesmo.

Para se ter uma idéia do que os spam e-mails representam, apresento aqui algumas estatísticas que recebi hoje em um e-mail spam comercial da CA:

Fatos e Estatísticas sobre spam (traduzido do Inglês):

• Pesquisas indicam que entre 40% e 82% de todos os e-mails recebidos por uma pessoa, são não solicitados e indesejáveis;
• Com base no relatório do Anti-Phishing Working Group de Agosto de 2005, o país sediando (hosting) o maior número de sites de phishing naquele mês, eram os Estados Unidos;
• 13.776 foi o número reportado de phishings somente no mês de Agosto(1);
• 30% de todos os spam é disparado ou enviado sem conhecimento da pessoa, de PC’s residenciais ou de home-offices(2);
• Dois terços dos spam são falsos ou enganosos e violam a lei(3);
• A CNET divulgou que os consumidores classificaram o spam como o problema mais invasivo enfrentado por eles atualmente(4);
• 23% dos usuários de computadores residenciais receberam pelo menos uma tentativa de phishing via e-mail nas últimas duas semanas(5);
• 63% dos usuários de e-mail disseram ter recebido um spam pornográfico, comparado com 71% no ano anterior(6);
• O custo calculado em perda de produtividade por causa de spam nos Estados Unidos alcançou os US$ 21.58 bilhões por ano(7);
• A porcentagem de usuários que:
• Abrem o spam para ver seu conteúdo é de 14%;
• Fazem uma varredura para eliminar spam de suas contas de e-mail pelo menos uma vez por semana é de 68%;
• Recebem pelo menos 40 e-mail spam por dia é de 78%(8).

Observações: 1. Fonte: APWG, 8/05 - 2. Fonte: FTC - 3. Fonte: FTC - 4. Fonte: CNET - 5. Fonte: AOL/NCSA, 12/05 - 6. Fonte: Pew Internet and American Life Project, April 2005 - 7. Fonte: PC Magazine, 9/6/05 - 8. Fonte: PC Magazine, 9/6/05

Níveis de Segurança na Seleção dos RH

Como todos sabem, o organograma da empresa compreende diferentes níveis e funções.
Para cada um destes níveis, diferentes pessoas têm acesso e/ ou são responsáveis por dados ou informações que, dependendo da sua importância, podem ser classificadas como “segredos do negócio”.

Por este motivo, o preenchimento de tais funções exige não só uma seleção mais apurada, como também, um acompanhamento contínuo do comportamento e do desempenho da pessoa a fim de prevenir atitudes que possam provocar danos ao negócio.

Uma seleção mais apurada consiste em assegurar que os funcionários, fornecedores e terceiros antes mesmo da contratação, entendam suas atribuições e responsabilidades. Isto pode ser feito através das descrições de cargos e dos termos e condições de contratação. Além disso, é importante que todos sejam adequadamente analisados (financeiro e criminal), especialmente em cargos com acesso a informações sensíveis.

Ainda, para todos os casos, acordos sobre seus papéis e responsabilidades com a segurança da informação devem ser assinados.

Após a contratação, devemos nos assegurar de que estes estejam conscientes; das ameaças e preocupações da empresa em relação à segurança da informação, das suas responsabilidades e obrigações em relação a segurança da informação e, principalmente, qual é a política de segurança da informação adotada pela organização.

Não podemos esquecer que deve ser fornecido a todos, um nível adequado de conscientização, educação e treinamento nos procedimentos de segurança da informação e no uso correto dos recursos de processamento das mesmas. O objetivo deste é minimizar os riscos e garantir a segurança.

Como complemento, convém que exista e seja apresentado um processo disciplinar formal que trate das violações de segurança da informação.

Por último, não podemos esquecer de estabelecer procedimentos para o caso de um funcionário, fornecedor ou terceiro deixar a organização.

Neste caso, é importante que a saída seja feita de modo controlado e que sejam observados procedimentos, entre eles, de devolução de todos os equipamentos e de retirada de todos os direitos de acesso.

Requisitos de segurança na aquisição de sistemas de informação

Os sistemas de informação incluem sistemas operacionais, de infra-estrutura, aplicações de negócios, produtos de prateleira e aplicações desenvolvidas pelo usuário.

Contudo, muitas empresas ao comprar ou desenvolver um determinado sistema destinado a apoiar o processo de negócio, não leva em conta que a sua implementação pode ser crucial para a segurança da informação.

Muitas falhas de segurança se encontram “embutidas” nos sistemas desenvolvidos ou adquiridos e podem permitir a ocorrência de erros, perdas, acessos e modificações não autorizados ou até o mau uso das informações. Por este motivo, é importante que antes da implementação de novos sistemas de informação os requisitos de segurança sejam identificados e testados.

Para dar um exemplo, o Windows XP da Microsoft®, disponibiliza o Windows Update que oferece as mais recentes atualizações de segurança e outras atualizações importantes, além de drivers de dispositivo e outros recursos disponíveis parar computadores com Windows. O mesmo deve ser considerado nos outros sistemas a serem utilizados.

Mudando este exemplo e pensando em um produto que não seja comprado na “prateleira”, é importante que um processo formal de aquisição e testes seja realizado e que o contrato com o fornecedor leve em consideração os requisitos de segurança estipulados pela empresa.

No caso em que funcionalidades de segurança de um produto não satisfaçam os seus requisitos, é importante que seja realizada uma análise do risco que está sendo introduzido, considerando também os controles necessários para minimizá-lo antes de se efetivar a compra do produto.

Por outro lado, quando novas funcionalidades são incorporadas ao sistema e percebesse que estas acarretam riscos à segurança, convém que as mesmas sejam desativadas ou que a estrutura de controles proposta seja analisada criticamente para determinar se há vantagem na utilização das funcionalidades em questão.

Esta prevenção, não só evita os problemas de segurança mencionados anteriormente como também minimiza custos já que, problemas identificados no estágio anterior à implementação, são muito mais baratos de solucionar do que aqueles identificados posteriormente.

Prioridade na Segurança da Informação

São muitas as empresas que hoje prestam serviços especializados na Segurança da Informação. Contudo, a grande maioria das empresas são integradores/ distribuidores de produtos de informática que, como não poderia deixar de ser, priorizam as soluções que protegem a informação que trafega e/ ou é armazenada nos servidores e computadores de seus clientes, como única maneira de se garantir a segurança.

Do meu ponto de vista, apesar desta ser uma etapa importante da segurança da informação, se os sistemas não estiverem totalmente desprotegidos ou correndo risco iminente de ataque, considero a proteção da informação através de soluções computacionais, o último passo em um projeto de segurança.

Apenas para esclarecer, a informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for à forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.

Segurança da informação é a proteção da informação através da disseminação do conceito de segurança contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócios.

A política da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isso seja feito com outros processos de gestão do negócio.

Como podemos ver, um projeto de segurança da informação deve partir do princípio de que a informação encontra-se distribuída dentro da empresa em vários níveis e locais físicos, não somente em computadores e, por esse motivo, a identificação destes requer um planejamento cuidadoso e uma grande atenção aos detalhes.

Para isso, o mapeamento e a análise de todo o fluxo de informações e da infra-estrutura de TI com foco em acessos, falhas de segurança, pontos vulneráveis a ataques, serviços oferecidos (terceiros), aplicativos, equipamentos de redes e sistemas operacionais, dentre outros, devem ser estudados junto com o desenvolvimento e implementação de uma Política de Segurança com base em normas e padrões de gestão internacionais de segurança (NBR ISO/IEC 17799), considerando as características gerenciais, operacionais e culturais de cada empresa.

A Política de Segurança é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos com o objetivo de conscientizar e orientar os funcionários, clientes, parceiros e fornecedores sobre como gerenciar, distribuir e proteger as informações e ativos da empresa.

Como podem ver o desenvolvimento desta fornecerá as diretrizes para a implantação das corretas soluções de segurança computacional.

Segurança Eletrônica Física

Os sistemas de segurança da informação não devem englobar apenas a informação, mas também a segurança dos ativos da empresa.
Para isso, devemos complementar software e aplicativos que focam exclusivamente a informação armazenada em computadores, com equipamentos e serviços voltados ao setor de Segurança Eletrônica Física, que abrangem as áreas de análises de riscos, projetos, instalação, manutenção e monitoramento eletrônico.

Compões a Segurança Eletrônica Física, os seguintes equipamentos e serviços:

Firewall, roteadores e servidores: Instalação e configuração completa de Firewall, roteadores e servidores, entre outros, com teste de todos os serviços necessários, testes de vulnerabilidades e de disponibilidade. Avaliação de todo o ambiente Internet e de sua topologia e configuração.

Alarmes monitorados: Através de terminais de alarme se gerencia todo o sistema de segurança, sensores de movimento, sensores de abertura, detectores de fumaça, detectores de quebra de vidro, teclados, sirenes, luzes estroboscópicas, cercas eletrificadas, botões de emergência, etc.

Sensores: através de sensores de movimento, abertura, quebra de vidros, entre outros, realizamos a detecção de uma condição de alarme. Os sensores do sistema informam a condição de alarme ao terminal que promove o disparo de sirenes locais e simultaneamente a comunicação do evento a uma central de monitoramento 24 horas.

Circuito fechado de TV: Este sistema possibilita o acompanhamento de áreas remotas, identificando possíveis problemas ao mesmo tempo em que também funciona como inibidor de ações de agentes externos e internos. As câmeras são posicionadas conforme a necessidade local e a conveniência do cliente com a possibilidade de gravação. O sistema pode ser ponto a ponto, isto é, um monitor para cada câmera, ou composto por seletores/ multiplexadores apresentando várias imagens no mesmo monitor.

Circuito fechado digital: O sistema digital fechado possui todos os recursos dos sistemas convencionais analógicos, com a grande vantagem de eliminar fitas cassetes, pois armazena imagens de alta resolução em HD, diminuindo sensivelmente a necessidade de manutenção do sistema. As imagens podem ser rapidamente localizadas devido à facilidade de indexação de data e hora. Este sistema permite também a visualização remota das imagens por intermédio de redes locais LAN/ WAN e Internet.

Controle de acesso: Denominasse controle de acesso ao processo limitador de entrada a determinadas áreas ou horários, somente a pessoas autorizadas. O sistema requer que as pessoas autorizadas identifiquem-se a um leitor ou teclado, reduzindo a possibilidade de roubos, eliminando chaves e problemas mecânicos com fechaduras. Para tanto são necessários dispositivos tipo catraca (barreiras) como fechos eletromagnéticos, cancelas, cartões de proximidade, leitoras de cartões, teclados, placas controladoras e opcionalmente software específicos para gerenciamento do sistema.

Proteção perimetral: Destinado á segurança patrimonial sua função básica é conter o acesso de intrusos á área protegida, provendo choques elétricos ou acionamento de sirenes no local e/ou enviando um sinal para uma central de monitoramento.

Minimize o risco de invasão

Existem indivíduos que se dedicam a enganar pessoas para conseguir o que desejam. Esta prática, comúm na nossa sociedade, recebe vários nomes, como por exemplo; furto, roubo, ludibriar, extorção, invasão, surrupiar e, na área de informática, como não poderia deixar de ser, adotou-se um nome pomposo: "Engenharia Social".
As formas de Engenharia Social variam. Vai desde o simples furto da senha deixada pelo usuário num post-it colado na parte de baixo do seu teclado (local óbvio) até ataques a servidores através da conexão direta de um laptop em uma sala de reuniões da empresa em um ponto de rede sem segurança.
Contudo, com o advento das redes sem fio (wireless), os Engenheiros Sociais não precisam mais se arriscar tanto, nem estruturar grandes planos para invadir uma rede. Muitas destas redes se encontram abertas para qualquer um que quiser invadí-las.
Isso ocorre porque, na maioria das vezes, quem instala estas redes não se preocupa em criptografálas ou, no mínimo, alterar a senha padrão de acesso.
Por este motivo, para evitar que invasões aconteçam, pequenas mudanças de comportamento podem fazer toda a diferença em manter seu computador livre de invasão e, por consequência, dos principais tipos de ameaça virtual.
Inicie criptografando (WPA-Wi-Fi Protected Access ou SSL-Security Socket Layer) sua rede. Isso é fácil através do proprio aplicativo/software que vem junto do equipamento. Escolha sempre a criptografia máxima disponível (Exemplo SSL de 128 bits) digitando chaves que, apesar de difíceis, você consiga lembrar mais tarde. Não repita senhas utilizadas em outros aplicativos, nem senhas que possam ser associadas a você, tipo: nome do filho, data do casamento, etc.
Além disso, mude a senha padrão do fornecedor. Todo equipamento vem com username e senha padrão, como por exemplo; username: admin e senha: password.
Faça o recomendado acima e irá dificultar invasões evitando que outras pessoas sirvam-se de sua conexão com a internet.
Por último, consulte regularmente o site do fabricante em busca de atualizações de drivers de segurança.

A distribuição de vírus de computador para fazer o bem.

Muitas vezes somos levados a acreditar que o mundo virtual (da Internet) é um mundo perigoso, onde os hackers e crackers dominam e que tudo que fazemos neste meio está sendo observado por alguém com más intenções.

Contudo, ao parar para pensar, isso é muito parecido com os perigos que vivemos no mundo real, o que me leva a imaginar; o mundo virtual pode ser imaginado como um mundo paralelo, onde sofremos os mesmos medos e apreensões.

Por outro lado, não podemos nos esquecer de que na vida real, também nos divertimos, estudamos, conversamos e temos vidas saudáveis e normais e que, da mesma maneira, isso também acontece no mundo virtual, onde existem sites e chats para se divertir, estudar, conversar e tudo o mais que fazemos no mundo real.

Por isso, da mesma maneira que no mundo real existem pessoas preocupadas com o bem e a ordem, no mundo virtual, também não poderiam faltar estas pessoas.

São pessoas isoladas ou em comunidades, oriundas de universidades, da indústria, técnicos, peitos em segurança, advogados, policiais, entidades civil e militar, organizações de proteção à privacidade, ente outras, que tem por objetivo unir esforços contra o “mal”, ou melhor, contra o desenvolvimento e a proliferação de códigos maliciosos.

Uma destas organizações do “bem” (bastante conhecida) é a http://www.eicar.org/, onde pessoas e organizações das mais variadas formaram uma comunidade que participa e discute a segurança da informação, divulgando informações atualizadas sobre vírus, eventos, curiosidades e links, ente outros, que o manterão atualizado a respeito do que acontece no universo virtual da segurança da informação. Como em toda comunidade, você também pode se associar e participar.

Um tópico interessante desta comunidade é a disponibilidade de alguns códigos maliciosos (conhecidos) para download, que tem o objetivo de ajudá-lo a melhorar a segurança da sua informação através do teste das soluções de firewal e dos softwares Anti-Virus, Anti-Spam, Anti-Adware, entre outros, que você possui.

É importante salientar que realizar o download dos vírus é por sua conta e risco e que o EICAR não se responsabiliza por qualquer dano ou prejuízo causado pelos mesmos.

Por este motivo, para evitar problemas, antes de fazer o download dos vírus, leia os avisos sobre segurança e assegure-se de que seu computador e sua rede estão protegidos por firewal e softwares Anti-Virus, Anti-Spam, Anti-Adware, etc, e de que estes últimos estejam com suas últimas atualizações.

Como no mundo real, no virtual realize sempre o bem...

O jargão utilizado na Segurança Virtual

Qualquer leigo participando de uma conversa entre pessoas da área de informática costuma ficar perdido, ou pior, na maioria das vezes, não entende nada. Isto piora caso a discussão seja relacionada com segurança da informação.
O motivo é muito simples, no mercado da Tecnologia da Informação, além de se utilizar muitas expressões derivadas da língua inglesa, tenta-se associar ocorrências do mundo virtual com termos do mundo real, o que confunde a cabeça de qualquer pessoa, até do próprio pessoal de informática.

Para exemplificar uma destas associações, convencionou-se chamar os programas maliciosos com o nome de vírus. Este termo, vírus, foi criado em 1983 pelo Sr. Fred Cohen, um engenheiro elétrico norte-americano formado pela University of Southern Califórnia que, durante uma palestra, comparou os prejuízos causados aos computadores pelos programas de códigos maliciosos aos danos à saúde humana provenientes dos vírus tradicionais. Daí para frente, o termo pegou rapidamente entre a comunidade tecnológica.

Para piorar, o próprio vírus parece que se multiplicou o que fez com que o vírus do mundo da informática se dividisse em grupos, sendo estes: trojans, worms e os próprios vírus tradicionais (ou códigos maliciosos de onde se originou o nome) que podem, da mesma forma que os anteriores (trojans e worms), se dividir em mais dois grupos: vírus de boot e vírus de programa. No final, a confusão é tão grande que mais parece uma praga.

Então, para ajudá-lo a entender o que estão dizendo, não dar vexame e ainda, causar uma boa impressão numa conversa sobre o assunto, tente decorar os seguintes termos/palavras:

BOT
Ameaça híbrida que reúne funções de worm – uma vez que se propaga automaticamente ao explorar vulnerabilidades pela Internet – e programa espião – ao controlar remotamente o computador afetado. Equipamentos atacados passam a atuar como zumbis, sendo utilizados para ações como ataques em massa a sistemas.

CAVALO-DE-TROIA
Software nocivo que se passa por um programa legítimo para iludir o usuário, infectar sistemas e abrir as portas do computador para hackers e crackers.

DoS
Do inglês Denial of Service (negação de serviço). Estratégia de ataque utilizada por hackers e crackers que consiste em disparar um grande número de requisições a um sistema, tornando-o indisponível.

KEYLLOGER
Ferramenta que captura as seqüências de teclas digitadas pelo usuário do computador contaminado e as envia para criminosos pela Internet.

MALWARE
Termo genérico utilizado para identificar os programas que realizam atividades prejudiciais ao equipamento ou às informações dos usuários.

PHISHING SCAM
E-mail não solicitado que tenta convencer o destinatário a fornecer dados pessoais em sites falsos ou mesmo a baixar programas que sirvam para o roubo de dados, como números de contas e senhas bancárias.

ROOTKIT
Pacote de programas criado para camuflar softwares e garantir a ação de um hacker ou cracker em um PC vulnerável.

SPAM
Correio eletrônico não solicitado. Inicialmente, era apenas uma ferramenta para a divulgação de produtos e serviços, mas se transformou na principal forma de disseminação de pragas e golpes virtuais.

SPYWARE
Programa destinado a coletar informações sigilosas e a monitorar o comportamento do usuário de um computador invadido. Ao se conectar à Internet, os dados são enviados a terceiros.

VÍRUS
Utilizado popularmente para classificar todo tipo de praga virtual, o vírus é, tecnicamente, um programa capaz de se propagar com a inserção de cópias de si próprio em outros softwares e arquivos.

WORM
Palavra que, em inglês, significa verme, o worm é uma ameaça capaz de se propagar automaticamente por redes como a Internet. Ao contrário dos vírus, não insere cópias de si próprio em outros programas.

Sarbanes-Oxley (SOX) e a importância da área de Tecnologia da Informação

Muitos devem ter ouvido falar do SOX (Sarbanes-Oxley), a mais conhecida regulamentação imposta a empresas que tenham ações negociadas na bolsa de valores Norte Americana, em decorrência dos inúmeros escândalos financeiros ocorridos nos Estados Unidos nos últimos anos.
Apenas esclarecendo, em linhas gerais, o atendimento desta regulamentação requer a comprovada introdução de controles que assegurem que os resultados financeiros apresentados ou divulgados ao público sejam estritamente corretos.
Como nosso assunto é segurança da informação, esta regulamentação pressupõe uma variedade de controles por parte da área da Tecnologia da Informação (TI) que permitam gerenciar o acesso seguro a aplicativos e sistemas.
Para se ter uma idéia, não é suficiente restringir o acesso aos sistemas e aplicativos; uma empresa precisa também poder provar, a qualquer momento, quem teve acesso a que sistema e/ ou informação e quando esse acesso foi liberado.
Sem ser muito específico a respeito das regras desta regulamentação (não vou discorrer sobre o SOX), podemos perceber como a área de TI é crítica para assegurar o atendimento (compliance) as regras do SOX.
Contudo, em muitas organizações, o foco inicial tem sido restrito exclusivamente aos departamentos de finanças e jurídico, deixando que a área de TI seja, quando muito, encarada como uma área de suporte.
O problema que encontro nesta abordagem é óbvia já que, o controle dos processos e a segurança/ integridade das informações, ambos gerenciados por TI e assuntos de suma importância nesta (também em outras) regulamentações, não são itens que podem ser desenvolvidos e incluídos rapidamente a posteriori. Estes, ao contrário, devem ser pensados, discutidos e incluídos imediatamente, como parte dos novos padrões e processos que a empresa irá utilizar para realizar seus negócios, independente da área/ departamento.
Para isso, somente através de uma ativa mudança na postura do “como” a empresa enxerga e visualiza a importância da área de TI e dos seus controles, na segurança da informação, no atendimento às regras do SOX e principalmente, na estratégia da organização.
Se analisarmos os riscos descritos no SOX, estes vão desde inconvenientes financeiros e perda de negócios por má reputação, até a prisão de seus executivos.
Por este motivo, decidir o momento e o papel de TI na implementação do SOX é, para muitas empresas, da máxima urgência e seriedade.

Espionagem Digital

Dentro do leque de armamentos disponíveis para criminosos digitais, existem os spywares, programas que vasculham seus dados pessoais e os transmitem a outras pessoas, entre eles, hackers ou crackers.
Basicamente, estes programas se instalam na máquina do usuário e realizam o monitoramento contínuo da navegação (Internet), da digitação (teclado) ou das senhas digitadas, registrando os assuntos de interesse para serem enviados à empresa ou ao hacker que o desenvolveu.
Estes spywares podem ser do tipo adware, na sua maioria composta por anúncios ou propagandas indesejadas, exibidas na tela do usuário e instaladas no micro através de falhas na segurança do navegador ou de visitas a sites do tipo: pirataria, pornográficos, download de programas, etc; ou pior, através de spams (mensagens eletrônicas enviadas sem autorização do usuário) ou hoaxes (boatos infundados espalhados via e-mail) recebidos no seu e-mail pessoal que ao serem ativados através dos links encontrados nos e-mails infestam sua máquina.
O intuito deste bombardeio pode ser variado; alguns têm o simples propósito de congestionar a Internet, outros tem o intuito de ludibriar as pessoas levando a que as mesmas danifiquem arquivos ou o próprio computador, outros apenas causam o transtorno de constantemente aparecerem na tela, outros lotam a caixa postal (e-mails), outros deixam a máquina lenta (devido ao constante envio de informações parar fora do PC) e os mais perigosos invadem a privacidade do usuário e divulgam suas informações pessoais (espionagem digital).
Uma vez, independente do processo, de posse das informações, é estabelecido o perfil do usuário e começa um bombardeio de envio de mais adware, spams ou hoaxes ou pior ainda, aparentemente não acontece nada, sua máquina fica lenta para abrir programas e arquivos, enquanto suas informações são ininterruptamente enviadas parar alguém.
Como os adware, hoaxes e spams não são considerados crime no Brasil, não será através do uso da “lei e da ordem” que vamos nos livrar destes incômodos. Para isso, necessitamos nos armar com softwares anti-adware e anti-spam com o objetivo de, no primeiro, varrer constantemente a memória e os arquivos de programas a procura de adware (é importante mencionar que programas de anti-adware gratuitos não realizam a varredura automaticamente precisando que o usuário o acione a cada tanto) e no segundo, fazer o bloqueio e filtragem de todas as mensagens recebidas através do seu e-mail antes de baixá-las na caixa de entrada.
Outros procedimentos importantes são: tentar evitar navegar por sites “suspeitos”, nunca deixar seu e-mail pessoal ao preencher formulários na Internet, nunca clicar em links do tipo “retire seu nome da lista X” e constantemente/ diariamente atualizar seu anti-adware e anti-spam.

O crime digital e os métodos de vigilância.

Vivemos atualmente num mundo onde o crime digital se globaliza e ameaça o mundo dos negócios com fraudes, chantagens, ameaças, espionagem, roubo de identidade, entre outros.
As perdas causadas pelo chamado crime cibernético aumentam a cada ano chegando aos bilhões de dólares por ano.
Estas perdas, como sabemos, são causadas por um novo tipo de criminoso, os crackers. Sem entrar em discussões sobre definições, crackers são hackers que passaram para o lado negro da força (Guerra nas Estrelas).
Se olharmos os crackers de hoje, não vamos conseguir identificar a ingenuidade dos hackers de pouco tempo atrás, que invadiam sites conhecidos, escreviam seu código e o divulgavam, muitas vezes com seu nome, para mostrar suas habilidades técnicas e ganhar o respeito de seus colegas. Muitos apenas se divertiam invadindo sistemas para posteriormente informar às empresas de suas vulnerabilidades e de como repará-las.
Por outro lado, hoje em dia, os crackers vendem seu conhecimento a quem possa interessar, inclusive a grupos criminosos organizados em vários pontos do planeta.
Parar se proteger de possíveis danos, as empresas reforçam a segurança, investindo em firewall, antivírus, sistemas de detecção e de prevenção de intrusos, softwares de VPN, filtros de conteúdo, anti-spam, anti-spywarer, autenticação, certificação digital, biometria, dispositivos tipo token, circuitos fechados de TV, controle de acesso, sensores, alarmes monitorados, proteção perimetral, entre outros.
Todos estes, isolados ou combinados, são paliativos, pois se não atuarmos na causa do problema, ou seja, identificarmos e derrubarmos esse pessoal (crackers), eles acabam voltando.
Contudo, seria muito inocente de nossa parte achar que estes serão erradicados; Veja os índices de criminalidade nas nossas cidades e o quanto crescem a cada dia. Da mesma maneira, crackers se “reproduzem” exponencialmente. Para muitos, isso é divertido e muito lucrativo.
O próximo passo na evolução do crime cibernético é o ataque à rede de telefonia pela Internet, o chamado Voz sobre IP (VoIP). Muitos desses serviços, devido à novidade, ainda se encontram vulneráveis e já ouvimos notícias de spam de áudio, phirshing de voz e redirecionamento das chamadas telefônicas.
Para muitos, estamos apenas no início e a única maneira de nos proteger é através da atualização e implementação contínua dos sistemas de vigilância e de segurança descritos anteriormente.
Porém, nunca devemos nos esquecer de que, para nos proteger de tantas ameaças, a colaboração do usuário é fundamental; afinal, é comprovado de que o elemento humano é, normalmente, o ponto fraco em toda a cadeia que compõe qualquer sistema de vigilância e segurança.

Controle de Acesso por Senhas

Para prevenir ou restringir acessos não autorizados aos sistemas operacionais, a maneira mais simples é através da digitação de um login e uma senha.

Apenas para ilustrar rapidamente o processo, após a digitação do login e da senha, essas informações são enviadas para um servidor onde são comparadas com as que estão em uma tabela de usuários. Se todas as informações forem corretas e “baterem” com as da tabela, a pessoa ganha o direito de acesso ao programa, utilitário, aplicativo, site/ página, etc.

Infelizmente, apesar de parecer seguro, este sistema tem várias vulnerabilidades que permitem o roubo de senhas ou acesso indevido ao conteúdo.

Não vou discutir as vulnerabilidades, mas sim focar em algumas recomendações a respeito do Controle de Acesso.

Basicamente devemos tomar o cuidado para que o procedimento de entrada divulgue o mínimo de informações sobre o sistema de forma a evitar o fornecimento de informações desnecessárias a um usuário não autorizado.

Convém ter com base no desenvolvimento de um bom procedimento de entrada no sistema (log-on) o seguinte:

1) Não mostre identificadores de sistema ou de aplicação até que o processo tenha sido concluído com sucesso;
2) Mostre um aviso geral informando que o computador seja acessado somente por usuários autorizados;
3) Não forneça mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar um usuário não autorizado;
4) Valide informações de entrada no sistema somente quando todos os dados de entrada estiverem completos. Caso ocorra uma condição de erro, convém que o sistema não indique qual parte do dado de entrada está correta ou incorreta;
5) Limite o número permitido de tentativas de entrada no sistema (log-on) sem sucesso, por exemplo, três tentativas, e considere:
5.1) Registro das tentativas com sucesso ou com falha;
5.2) Imposição do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on) ou rejeição de qualquer tentativa posterior de acesso sem autorização específica;
5.3)Encerramento das conexões por data link;
5.4) Envio de uma mensagem de alerta parar o console do sistema, se o número máximo de tentativas de entrada no sistema (log-on) for alcançado;
5.5) Configuração do número de reutilização de senhas alinhado com o tamanho mínimo da senha e o valor do sistema que está sendo protegido.
6) Limite de tempo máximo e mínimo permitido para o procedimento de entrada no sistema (log-on). Se excedido, convém que o sistema encerre o procedimento;
7) Mostre as seguintes informações, quando o procedimento de entrada no sistema (log-on) finalizar com sucesso:
7.1) Data e hora da última entrada no sistema (log-on) com sucesso;
7.2) Detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o último acesso com sucesso;
8) Não mostre a senha que está sendo informada ou considere ocultar os caracteres da senha por símbolos;
9) Não transmita senhas em texto claro pela rede.

Convém que todos os usuários tenham um identificador (ID) para uso pessoal e que uma técnica adequada de autenticação seja escolhida para validar a identidade alegada por um usuário.

Para complementar, existem também os certificados de segurança, uma maneira considerada mais segura de proteção na transmissão de dados. Para resumir, já que não vou discutir esse assunto neste artigo, os certificado de segurança são como carteiras de identidade virtuais que certificam que o servidor está criptografando os dados pelo protocolo SSL (Securer Socket Layer) Assim não se corre o risco de que, por exemplo, números de cartão de crédito sejam interceptados.

Por hoje é só.

Política de Segurança da Informação: A norma ISO 17799.

Tenho acessorado inúmeras empresas no desenvolvimento e na implantação de seu planejamento estratégico e agora complemento nosso trabalho incluindo uma área cada dia mais importante, a segurança das informações.

Não é de hoje a necessidade de proteger as informações sigilosas nas empresas.
Contudo, devido à disponibilidade de novas tecnologias e a exigência do mercado por um maior e mais rápido acesso às informações, a preocupação em relação ao sigilo e a segurança da informação aumentou.

Infelizmente, é cada vez mais comum, encontrar indivíduos tentando utilizar a tecnologia disponível, o despreparo e até a inocência das pessoas, para realizar atividades ilegais, destrutivas ou não autorizadas. Essas atividades, que vão de um simples adolescente tentando atos de vandalismo em páginas Web até tentativas sofisticadas de roubar informações de cartões de crédito de clientes, são decorrentes de várias vulnerabilidades em processos e sistemas, a principal delas, o elemento humano, comprovadamente o ponto fraco em toda a cadeia que compõe a segurança da informação.

Por esse motivo, para a maioria das empresas, a segurança da informação é um dos aspectos mais difíceis e trabalhosos da sua operação.

Como mencionado o aspecto humano sendo um fator crítico da segurança da informação, para que o gerenciamento seja efetivo e não dependa de talentos humanos, faz-se necessário o desenvolvimento e implementação de uma Política de Segurança da Informação, dirigida especialmente à organização e completamente integrada ao negócio.

A Política de Segurança da Informação a que me refiro, é o conjunto de diretrizes, normas e procedimentos que devem ser seguidos e que visam conscientizar e orientar os funcionários, clientes, parceiros e fornecedores para o uso seguro do ambiente, tanto físico quanto o informatizado, com informações sobre como gerenciar, distribuir e proteger seus principais ativos, as informações.

Uma das normas e padrões mais utilizados e normalmente implementada por nós na CompuStream Security é a ISO 17799, uma compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas, independentemente do seu porte ou setor. Ela foi criada com a intenção de ser um padrão flexível, nunca guiando seus usuários a seguirem uma solução de segurança específica em detrimento de outra. As recomendações da ISO 17799 são neutras com relação à tecnologia e não fornecem nenhuma ajuda na avaliação ou entendimento de medidas de segurança já existentes.

A flexibilidade e imprecisão da ISO 17799 são intencionais, pois é muito difícil criar um padrão que funcione para todos os diversos ambientes de TI. Ela simplesmente fornece um conjunto de regras, em uma indústria onde elas não existiam.

Como mencionado anteriormente, a norma ISO 17799 é intencionalmente flexível e genérica e, como pode ser observado pelos diversos controles, é complexa. Por este motivo e para a obtenção de melhores resultados, requer de ferramentas complementares.

Para o desenvolvimento e implementação da Norma ISO 17799 acreditamos ser necessário adotar o padrão do PMI®* (Project Management Institute) de Gerenciamento de Projetos complementado por processos administrativos racionais, associados às experiência de nossos profissionais.