Segurança Informática de Redes e Sistemas
(Abordagem Open-Source)
Por
Pedro Edgar Bessa Rodrigues
Orientador: Doutor Salviano Filipe Silva Pinto Soares
Co-orientador: Doutor Pedro Miguel Mestre Alves da Silva
Dissertação submetida à
UNIVERSIDADE DE TRÁS-OS-MONTES E ALTO DOURO
para obtenção do grau de
MESTRE
em Engenharia Electrotécnica e de Computadores, de acordo com o disposto no
DR – I série–A, Decreto-Lei n.o 74/2006 de 24 de Março e no
Regulamento de Estudos Pós-Graduados da UTAD
DR, 2.a série – Deliberação n.o 2391/2007
Segurança Informática de Redes e Sistemas
(Abordagem Open-Source)
Por
Pedro Edgar Bessa Rodrigues
Orientador: Doutor Salviano Filipe Silva Pinto Soares
Co-orientador: Doutor Pedro Miguel Mestre Alves da Silva
Dissertação submetida à
UNIVERSIDADE DE TRÁS-OS-MONTES E ALTO DOURO
para obtenção do grau de
MESTRE
em Engenharia Electrotécnica e de Computadores, de acordo com o disposto no
DR – I série–A, Decreto-Lei n.o 74/2006 de 24 de Março e no
Regulamento de Estudos Pós-Graduados da UTAD
DR, 2.a série – Deliberação n.o 2391/2007
Orientação Cientı́fica :
Doutor Salviano Filipe Silva Pinto Soares
Professor Auxiliar do
Departamento de Engenharias - Escola de Ciências e Tecnologias
Universidade de Trás-os-Montes e Alto Douro
Doutor Pedro Miguel Mestre Alves da Silva
Professor Auxiliar do
Departamento de Engenharias - Escola de Ciências e Tecnologias
Universidade de Trás-os-Montes e Alto Douro
Acompanhamento do trabalho :
Engenheiro Rui Pedro Graça Barros Melo Ferreira
Licenciado em Engenharia Electrotécnica e de Computadores do
Quality Center
Versão Integral,Lda
v
”É fácil escapar à crı́tica: não faça nada, não diga nada, não seja nada”
Elbert Hubberd (1856 - 1915)
”A simplicidade é o último degrau da sabedoria”
Khalil Gibran (1883 - 1931)
Dedicado:
A todos aqueles que tornaram possı́vel este trabalho.
Ao meu irmão Diogo Rodrigues pela motivação que, inconscientemente, me deu.
vii
UNIVERSIDADE DE TRÁS-OS-MONTES E ALTO DOURO
Mestrado em Engenharia Electrotécnica e de Computadores
Os membros do Júri recomendam à Universidade de Trás-os-Montes e Alto
Douro a aceitação da dissertação intitulada “
de
Redes
e
Sistemas
(Abordagem
Segurança
Open-Source)”
Informática
realizada
por
Pedro Edgar Bessa Rodrigues para satisfação parcial dos requisitos do grau de
Mestre.
Outubro 2010
Presidente:
Doutor António Luı́s Gomes Valente,
Professor Auxiliar do Departamento de Engenharias - Escola de
Ciências e Tecnologia da Universidade de Trás-os-Montes e Alto
Douro
Vogais do Júri:
Por definir,
Por definir
Doutor Salviano Filipe Silva Pinto Soares,
Professor Auxiliar do Departamento de Engenharias - Escola de
Ciências e Tecnologias da Universidade de Trás-os-Montes e Alto
Douro
Doutor Pedro Miguel Mestre Alves da Silva,
Professor Auxiliar do Departamento de Engenharias - Escola de
Ciências e Tecnologias da Universidade de Trás-os-Montes e Alto
Douro
ix
Segurança Informática de Redes e Sistemas
(Abordagem Open Source)
Pedro Edgar Bessa Rodrigues
Submetido na Universidade de Trás-os-Montes e Alto Douro
para o preenchimento dos requisitos parciais para obtenção do grau de
Mestre em Engenharia Electrotécnica e de Computadores
Resumo — Durante o decorrer da sua história, o Homem demonstrou sempre
um enorme desejo de informação. Desde o surgimento do primeiro sistema de
informação, a Fala, passando pela Escrita, pelo Livro, pela Imprensa,
até ao surgimento do mais revolucionário de todos, a Internet, o ser humano
procurou sempre uma partilha global da informação.
As sucessivas (r)evoluções da informação mostraram ser capazes de mudar e moldar
toda uma sociedade. A Internet não foi excepção. O aparecimento desta provou
que a partilha global da informação é possı́vel e desencadeou uma revolução de
tal ordem, que apenas pode ser comparável com a grande Revolução Industrial,
trazendo até nós a denominada Sociedade da Informação e do conhecimento.
Percebendo que através de sistemas computacionais conseguiriam apresentar uma
maior produtividade, as empresas começaram a aderir às redes informáticas.
Actualmente é muito difı́cil encontrarmos empresas que não possuam infra-estruturas
informáticas para suprir as suas necessidades. Esta informatização das organizações
fez surgir novos conceitos, tais como o de empresa virtual, e-business, home
office, e-commerce, entre outros. A informação tornou-se, cada vez mais, um
activo importantı́ssimo das organizações capaz de gerar valor, lucros e benefı́cios.
Porém, os computadores e a maneira como se comunicam, não servem apenas para
auxiliar as empresas nos seus processos. Com os conhecimentos adequados é possı́vel
alguém aproveitar o poder computacional para executar os denominados ataques
informáticos, com os mais variados objectivos, colocando a informação em risco.
Provado o enorme valor da informação para as empresas é de grande necessidade criar
medidas e soluções de protecção. Esta Dissertação de Mestrado tratará do estudo
de uma dessas soluções: o software de auditoria de segurança, Babel Enterprise.
Palavras Chave: Sistema de informação, Ambiente empresarial, Babel Enterprise,
Vı́rus, Ataques informáticos, Vulnerabilidades, Ameaças, Segurança informática,
Redes informáticas, Internet.
xi
Security in networks and computer systems
(Open-Source approach)
Pedro Edgar Bessa Rodrigues
Submitted to the University of Trás-os-Montes and Alto Douro
in partial fulfillment of the requirements for the degree of
Master of Science in Electrical and Computers Engineering
Abstract — During the course of history, man has always shown a great desire for
information. Since the emergence of the first information system, the speech,
followed by writing, the book, the press to the emergence of the most
revolutionary of all, the Internet, man has always sought a share of the global
information.
Successive (r)evolutions of the information proved to be able to change and shape
the whole society. The Internet was no exception. The emergence of this proved
that the global sharing of information is possible, sparking a revolution of such
order, which can only be comparable with the phenomenon of large Industrial
Revolution, bringing us up today’s society, the so-called information society and
knowledge.
Realizing that through computer systems will be able to provide greater productivity,
companies began to join the computer network. Today it is very difficult to find
companies that lack IT infrastructure to meet their needs. This informatization
of organizations gave rise to new concepts, such as virtual enterprise, home
office, e-business, E-commerce, among others. The information has become
an important asset of organizations to generate value, profits and benefits.
However, the computers and how they communicate, exist not only to help companies
in their workflow. With the appropriate knowledge somebody harness the computing
power to perform the so-called cyber attacks with the most varied objectives,
putting information at risk. Proved the huge value of the business information
is of great need to create measures and protective solutions. This Master Thesis
will address the study of one of these solutions. The audit networks tool, Babel
Enterprise.
Key Words: Information system, Business environment, Babel Enterprise, Virus,
Cyber attacks, Vulnerabilities, Threats, Network security, Internet, Networks.
xiii
Agradecimentos
Institucionalmente, os meus agradecimentos ao Magnı́fico Reitor da Universidade
de Trás-os-Montes e Alto Douro, Professor Doutor Carlos Alberto Sequeira, ao seu
antecessor Professor Doutor Armando Mascarenhas Ferreira e a toda a Direcção
de Mestrado de Engenharia Electrotécnica e de Computadores, pelas facilidades e
soluções concedidas para a realização deste trabalho.
Ao Professor Doutor Salviano Filipe Silva Pinto Soares, orientador deste trabalho,
pela preciosa ajuda no estabelecimento da parceria UTAD/INOVA-RIA, pelas suas
valiosas sugestões, pela sua disponibilidade e orientações que permitiram atingir os
objectivos propostos neste projecto.
Ao Professor Doutor Pedro Miguel Mestre Alves da Silva, co-orientador do projecto,
pela sua disponibilidade e apoio, tanto neste trabalho como ao longo de todo o meu
percurso académico.
À Dra. Regina Maia Sacchetti, da Organização e Gestão de recursos do cluster
INOVA-RIA, pela sua disponibilidade e dedicação que tornaram possı́vel a criação
do estágio que permitiu a realização deste trabalho.
Aos Engenheiros Nuno Ferreira e Hugo Rodrigues, na qualidade de administradores
da Versão Integral,Lda, pelas facilidades, apoio incondicional e óptimas condições
de trabalho concedidas, imprescindı́veis para levar a bom porto este projecto.
xv
A todos os meus caros colegas da Versão Integral,Lda pela sua paciência inesgotável,
compreensão e apoio, que contribuı́ram para o sucesso deste estudo. Agradecimento,
em particular, ao colaborador João Ubaldo Coutinho pelos conhecimentos valiosos
facultados, que tanto ajudaram durante a fase de implementação, ao colaborador
Ricardo Esteves pela preciosa ajuda no desenvolvimento da plataforma de testes e ao
Engenheiro Jorge Silva pelo seu companheirismo, preocupação e alto profissionalismo
que em muito contribuiu para que me fosse possı́vel conseguir encarar as minhas
funções da melhor forma, mesmo quando tudo parecia estar contra.
Um agradecimento especial ao Engenheiro Rui Ferreira, na qualidade de supervisor
deste trabalho, pelo seu bom humor, empenho e total dedicação, que viabilizou e
traçou de forma significativa, o rumo deste trabalho. O meu apreço pela sua amizade
e apoio.
Ao meu colega de longos anos Simão Oliveira Cardeal, pelas discussões técnicas, pela
cumplicidade, companheirismo e amizade que demonstrou, que em muito contribuiu
para ultrapassar os momentos difı́ceis.
A todos, bem hajam !
UTAD, Vila Real
Pedro Edgar Bessa Rodrigues
27 de Outubro, 2010
xvi
Índice geral
Resumo
xi
Abstract
xiii
Agradecimentos
xv
Índice de tabelas
xxi
Índice de figuras
xxiii
Lista de Abreviaturas
xxvii
1 Introdução
1.1 Problemática . . . . . . . .
1.2 Metodologia . . . . . . . . .
1.3 Objectivo da Dissertação . .
1.4 Organização da Dissertação
2 Contextualização
2.1 Conceitos . . . . . . .
2.2 Contexto Histórico . .
2.2.1 A Fala . . . . .
2.2.2 A Escrita . . .
2.2.3 O Livro Escrito
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
xvii
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
2
3
3
4
.
.
.
.
.
5
6
8
9
10
11
2.2.4 A Imprensa . . . . . . . . . . . . . . .
2.2.5 Revolução da Informação Vs Revolução
2.2.6 A Internet . . . . . . . . . . . . . . . .
2.2.7 Reflexão . . . . . . . . . . . . . . . . .
2.3 Sistemas de Informação nas Empresas . . . . .
2.3.1 Adesão às Redes Informáticas . . . . .
2.3.2 Os conceitos do novo paradigma . . . .
2.3.3 Ambiente Empresarial . . . . . . . . .
2.3.4 Reflexão . . . . . . . . . . . . . . . . .
. . . . . .
Industrial
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
3 Segurança em Redes e Sistemas de Informação
3.1 Conceitos e Pressupostos . . . . . . . . . . . . . . . .
3.2 Vulnerabilidades . . . . . . . . . . . . . . . . . . . . .
3.3 Ameaças . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.1 Classificação das ameaças . . . . . . . . . . .
3.3.2 Metodologias de Ataques Informáticos . . . .
3.3.3 Anatomia de um Ataque Informático . . . . .
3.3.4 Análise e Previsões . . . . . . . . . . . . . . .
3.4 Contra-medidas . . . . . . . . . . . . . . . . . . . . .
3.4.1 Conselhos Básicos de Segurança . . . . . . . .
3.4.2 Ferramentas e Sistemas de Segurança . . . . .
3.4.3 Polı́ticas de Segurança . . . . . . . . . . . . .
3.5 Enquadramento Legal e Normativo . . . . . . . . . .
3.5.1 Normas e Critérios . . . . . . . . . . . . . . .
3.5.2 Enquadramento Legal Português . . . . . . .
3.5.3 Entidades orientadas à Segurança Informática
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4 Gestão do Risco
4.1 Processo de Gestão de Risco . . . . . . . . . . . . . . . .
4.1.1 Análise e Classificação do Risco . . . . . . . . . .
4.1.2 Planeamento e Selecção de Controlos . . . . . . .
4.1.3 Implementação de Controlos . . . . . . . . . . . .
4.1.4 Avaliação e Monitorização . . . . . . . . . . . . .
4.2 Análise do Modelo ISO/IEC 13335 . . . . . . . . . . . .
4.2.1 Abordagem baseada em boas práticas . . . . . . .
4.2.2 Abordagem informal . . . . . . . . . . . . . . . .
4.2.3 Abordagem baseada na análise detalhada do risco
4.2.4 Abordagem heterogénea . . . . . . . . . . . . . .
4.3 Metodologia proposta . . . . . . . . . . . . . . . . . . . .
4.3.1 Análise do Sistema de Informação Organizacional
xviii
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
12
13
14
16
20
20
22
24
27
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
29
30
33
36
38
40
55
57
58
60
63
74
77
77
82
83
.
.
.
.
.
.
.
.
.
.
.
.
85
87
87
89
92
94
95
96
96
96
96
98
98
4.3.2
4.3.3
4.3.4
4.3.5
4.3.6
4.3.7
4.3.8
4.3.9
4.3.10
Elementos de Informação . . . . . . . . . . . . .
Estimativa do Valor da informação . . . . . . .
Aplicação do método de Delphi . . . . . . . . .
Probabilidade de concretização de uma ameaça
Aplicação do Modelo de Delphi . . . . . . . . .
Cálculo do Risco . . . . . . . . . . . . . . . . .
Análise e Classificação do Risco . . . . . . . . .
Selecção de controlos . . . . . . . . . . . . . . .
Esquema proposto . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5 Implementação da metodologia proposta
5.1 Análise do Sistema de Informação . . . . . . . . . . . . . .
5.1.1 Descrição da Infraestrutura Informática . . . . . . .
5.1.2 Identificação do software da rede . . . . . . . . . .
5.1.3 Identificação dos serviços disponibilizados . . . . .
5.1.4 Identificação de máquinas crı́ticas . . . . . . . . . .
5.1.5 Conclusões . . . . . . . . . . . . . . . . . . . . . . .
5.2 Elementos de Informação . . . . . . . . . . . . . . . . . . .
5.2.1 Identificação dos elementos de informação . . . . .
5.2.2 Agregação dos elementos de informação . . . . . . .
5.2.3 Cálculo do Valor da Informação . . . . . . . . . . .
5.2.4 Conclusões . . . . . . . . . . . . . . . . . . . . . . .
5.3 Probabilidade de ocorrência de Ameaças . . . . . . . . . .
5.3.1 Processos Genéricos . . . . . . . . . . . . . . . . . .
5.3.2 Identificação de Ameaças . . . . . . . . . . . . . . .
5.3.3 Cálculo da probabilidade de ocorrência de ameaças
5.3.4 Conclusões . . . . . . . . . . . . . . . . . . . . . . .
5.4 O Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4.1 Cálculo do Risco . . . . . . . . . . . . . . . . . . .
5.4.2 Avaliação do Risco . . . . . . . . . . . . . . . . . .
6 Babel Enterprise
6.1 Caracterı́sticas . . . . . . . . . . . . .
6.2 Arquitectura Geral . . . . . . . . . . .
6.2.1 Agentes Babel Enterprise . . . .
6.2.2 Consola Web . . . . . . . . . .
6.2.3 Servidor Babel Enterprise . . .
6.2.4 Base de Dados . . . . . . . . .
6.3 Organização lógica do Babel Enterprise
6.4 Princı́pio de Funcionamento . . . . . .
xix
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
100
100
104
110
114
119
123
123
124
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
125
. 125
. 126
. 128
. 129
. 130
. 131
. 132
. 132
. 134
. 135
. 145
. 146
. 146
. 147
. 148
. 153
. 154
. 157
. 163
.
.
.
.
.
.
.
.
165
. 167
. 168
. 170
. 170
. 171
. 171
. 172
. 173
6.5 Fase de Implementação . . . . .
6.5.1 Introdução ao OpenVas .
6.5.2 Plataforma de Testes . .
6.5.3 Análise Crı́tica . . . . .
6.5.4 Conclusões . . . . . . . .
6.5.5 Proposta de inovação . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
180
181
184
186
203
206
7 Conclusões Finais
207
Referências bibliográficas
213
A Ranking das piores ameaças informáticas
219
B Questionário de determinação do valor da informação
223
C Questionário de determinação da probabilidade de ameaças
229
Sobre o Autor
241
xx
Índice de tabelas
2.1
Quadro-Resumo das (R)evoluções da Informação . . . . . . . . . . . . 17
2.2
Estudo da CISI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.1
Probabilidade de ocorrência de ameaças
4.1
Alpha de Cronbach e o grau de Consenso . . . . . . . . . . . . . . . . 106
4.2
Classificação da informação segundo a criticidade . . . . . . . . . . . 109
4.3
Probabilidade de ocorrência de ameaças
4.4
Escala de resposta de probabilidades . . . . . . . . . . . . . . . . . . 115
4.5
Correspondência entre as classes de ameaças e as dimensões de segurança116
5.1
Grupos genéricos de informação (Gi ) . . . . . . . . . . . . . . . . . . 134
5.2
Resultados para a dimensão Confidencialidade . . . . . . . . . . . . . 140
5.3
Resultados para a dimensão Integridade . . . . . . . . . . . . . . . . 141
5.4
Resultados para a dimensão Disponibilidade . . . . . . . . . . . . . . 142
5.5
Resultados Autenticidade/Responsabilidade . . . . . . . . . . . . . . 143
5.6
Classificação parcial da informação . . . . . . . . . . . . . . . . . . . 144
5.7
Classificação geral da informação . . . . . . . . . . . . . . . . . . . . 144
5.8
Resultados finais para os Processos do grupo 1 . . . . . . . . . . . . . 149
5.9
Resultados finais para os Processos do grupo 2 . . . . . . . . . . . . . 149
xxi
. . . . . . . . . . . . . . . . 37
. . . . . . . . . . . . . . . . 112
5.10 Resultados finais para os Processos grupo 3
. . . . . . . . . . . . . . 150
5.11 Resultados finais para os Processos grupo 4
. . . . . . . . . . . . . . 150
5.20 Nı́veis de referência ao processo de classificação . . . . . . . . . . . . 163
5.21 Classificação dos ı́ndices de risco referentes a cada grupo genérico de
informação Gi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
6.1 Babel Enterprise Vs OpenVas . . . . . . . . . . . . . . . . . . . . . . 205
xxii
Índice de figuras
2.1
Pirâmide de Davenport . . . . . . . . . . . . . . . . . . . . . . . . . .
6
2.2
A primeira forma de partilha de informação . . . . . . . . . . . . . .
9
2.3
Exemplos de Escrita . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4
O mundo da Internet . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.5
Gráfico do crescimento da Internet . . . . . . . . . . . . . . . . . . 15
2.6
2.7
Diagrama dos intervenientes do Ambiente Empresarial . . . . . . . . 24
2.8
Processo estratégico de negócio . . . . . . . . . . . . . . . . . . . . . 25
2.9
Estrutura organizacional de uma empresa . . . . . . . . . . . . . . . . 26
Ambiente Empresarial e os Sistemas de Informação . . . . . . . 23
2.10 Diagrama de Leavitt . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.11 Panorama da actividade empresarial . . . . . . . . . . . . . . . . . . 28
3.1
Utilizador como Elo mais fraco do sistema . . . . . . . . . . . . . . 35
3.2
Vulnerabilidades dos Sistemas de Informação (Fonte: Santos (2007)) . 35
3.3
Representação das Ameaças e Vulnerabilidades (Fonte: Santos (2007)) 36
3.4
Classificação das ameaças . . . . . . . . . . . . . . . . . . . . . . . . 38
3.5
Técnica DNS Poisoning . . . . . . . . . . . . . . . . . . . . . . . . 45
3.6
Técnica Negação de Serviço . . . . . . . . . . . . . . . . . . . . . . 46
3.7
Ataque Negação de Serviço Distribuı́da . . . . . . . . . . . . . . . 47
xxiii
3.8 Ataque Smurf, envio de pacotes Ping . . . . . . . . . . . . . . . . . 48
3.9 Ataque Smurf, respostas para a vı́tima . . . . . . . . . . . . . . . . 49
3.10 Ataque Syn Flood . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.11 Ataque IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.12 Ataque Man-in-the-Middle . . . . . . . . . . . . . . . . . . . . . . 53
3.13 Analogia da multiaplicabilidade das técnicas de ataque . . . . . . . . 54
3.14 Anatomia de um Ataque Informático . . . . . . . . . . . . . . . . . . 55
3.15 Contra-medidas (Fonte: Santos (2007)) . . . . . . . . . . . . . . . . . 58
3.16 Actualização do Antivı́rus . . . . . . . . . . . . . . . . . . . . . . . . 60
3.17 Segurança Vs Usabilidade . . . . . . . . . . . . . . . . . . . . . . . . 74
3.18 Cronologia de Normas e Critérios . . . . . . . . . . . . . . . . . . . . 77
4.1 Processo de Gestão de Risco . . . . . . . . . . . . . . . . . . . . . . . 87
4.2 Modelo para a Segurança da Informação . . . . . . . . . . . . . . . . 90
4.3 Risco Residual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4.4 Abordagem heterogénea de Gestão do Risco . . . . . . . . . . . . . . 97
4.5 Organigrama standard de uma organização de TI . . . . . . . . . . . 110
4.6 Identificação de ameaças . . . . . . . . . . . . . . . . . . . . . . . . . 113
4.7 Metodologia proposta . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
5.1 Esquema Geral da Rede Informática em estudo . . . . . . . . . . . . 126
5.2 Esquema da Rede interna . . . . . . . . . . . . . . . . . . . . . . . . 127
5.3 Procedimento de Delphi . . . . . . . . . . . . . . . . . . . . . . . . . 136
6.1 Arquitectura Cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
6.2 Arquitectura Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
6.3 Interface Web de utilizador . . . . . . . . . . . . . . . . . . . . . . . . 171
6.4 Organização lógica . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
6.5 Princı́pio de funcionamento . . . . . . . . . . . . . . . . . . . . . . . 178
6.6 Arquitectura Interna OpenVas . . . . . . . . . . . . . . . . . . . . . . 181
6.7 Interface gráfica do OpenVas (Cliente) . . . . . . . . . . . . . . . . . 183
6.8 Domı́nios Babel Enterprise . . . . . . . . . . . . . . . . . . . . . . . . 187
6.9 Polı́ticas Babel Enterprise . . . . . . . . . . . . . . . . . . . . . . . . 188
6.10 Áreas Babel Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . 188
xxiv
6.11 Tarefas e sub-tarefas configuradas . . . . . . . . . . . . . . . . . . . . 189
6.12 Apresentação de dados no OpenVas . . . . . . . . . . . . . . . . . . . 190
6.13 Apresentação de dados no Babel Enterprise
. . . . . . . . . . . . . . 191
6.14 Detecção de vulnerabilidades novas, eliminadas e alteradas . . . . . . 191
6.15 Expressividade dos módulos no nı́vel de risco . . . . . . . . . . . . . . 196
6.16 Gráfico de evolução do ı́ndice de risco de cada polı́tica de segurança . 196
6.17 Evolução dos valores de risco de uma polı́tica
. . . . . . . . . . . . . 197
6.18 Proporção de risco por domı́nio . . . . . . . . . . . . . . . . . . . . . 197
6.19 Evolução dos valores de risco dos domı́nios . . . . . . . . . . . . . . . 198
6.20 Evolução dos valores de risco das áreas . . . . . . . . . . . . . . . . . 198
6.21 Proporção de vulnerabilidades por área . . . . . . . . . . . . . . . . . 199
6.22 Nı́vel de risco por agente (Primeira Auditoria) . . . . . . . . . . . . . 199
6.23 Nı́vel de risco por agente (teste final) . . . . . . . . . . . . . . . . . . 200
6.24 Relação entre ı́ndice geral de Risco inicial e final do sistema
. . . . . 201
6.25 Curva de evolução do ı́ndice geral de Risco do sistema . . . . . . . . . 202
C.1 Classificação das ameaças . . . . . . . . . . . . . . . . . . . . . . . . 231
xxv
Lista de Abreviaturas
Abreviatura Descrição
ACEP
Associação de Comércio Electrónico de Portugal
ANACOM
Autoridade Nacional de Comunicações
ANCP
Agência Nacional de Compras Públicas
AS
Sistema Autónomo
BHO
Browser Helper Objects
BSI
British Standard Institute
BSoD
Blue Screen of Death
CB
Certificaton Body
CC
Common Criteria
CEM
Common Evaluation Methodology for Information
Technology Security
CERT
Serviço de Resposta a Incidentes de Segurança Informática
CERIAS
Center for Education and Research in Information
Assurence and Security
CESE
Comité Económico e Social Europeu
CEN
Comité Europeu de Normalização
CENELEC
Comité Europeu de Normalização Electrotécnico
CISI
Comisão Interministerial para a Sociedade da Informação
(continua na página seguinte)
xxvii
(continuação)
Abreviatura Descrição
CNN
Cable News Network
CNPD
Comissão Nacional de Protecção de Dados
CoP
Code of Practice for Information Security Management
CVE
Common Vulnerabilities and Exposures
DDoS
Distributed Denial of Service
DDS
Decision Support System
DLL
Dynamic-link library
DNS
Domain Name System
DoS
Denial of Service
DTI
Department of Trade and Industry
ENIAC
Electrical Numerical Integrator and Calculator
ENISA
Agência Europeia para a Segurança das Redes de
Informação
EPL
Evaluated Products List
ETSI
Instituto Europeu de Normalização para Telecomunicações
EUA
Estados Unidos da América
EUROSTAT
Gabinete de Estatı́sticas da União Europeia
ESS
Executive Support System
FEUP
Faculdade de Engenharia da Universidade do Porto
FTP
File Transfer Protocol
GPL
General Public License
GUI
Graphical User Interface
HTTP
HyperText Transfer Protocol
HTTPS
HyperText Transfer Protocol Secure
IAPMEI
Instituto de Apoio às Pequenas e Médias Empresas
e à Inovação
IBM
International Business Machines
ICMP
Internet Control Message Protocol
IDN
Instituto Nacional da Defesa
IDS
Intrusion Detection System
IEC
International Electrotechnical Commission
IETF
Internet Engineering Task Force
(continua na página seguinte)
xxviii
(continuação)
Abreviatura Descrição
IKE
Internet Key Exchange
IP
Internet Protocol
IPQ
Intituto Português de Qualidade
ISC
Internet Systems Consortium
ISDN
Integrated Services Digital Network
ISO
International Organization for Standardization
ISMS
Information Security Management System
ISRAM
Information Security Risk Analysis Method
ISSA
Information System Security Association
ITSEC
Information Technology Security Evaluation Criteria
ITSEM
Information Technology Security Evaluation Manual
LAN
Local Area Network
MAC
Media Access COntrol address
MIS
Management Information Systems
MIT
Massachusetts Institute of Technology
MITM
Man-in-the-Middle Attack
NASL
Nessus Attack Scripting Language
NCSC
National Computer Security Center
NMAP
Network Mapper
NSA
National Security Agency
OSVDB
Open-Source Vulnerability Database
PC
Personal Computer
PGP
Pretty Good Privacy
PJ
Polı́cia Judiciária
PN
Programa de Normalização
POSIX
Portable Operating System Interface
PP
Perfil de Protecção
RFC
Request for Comments
RSoD
Red Screen of Death
SEO
Search Engine Optimization
SGBD
Sistemas de Gestão de Bases de Dados
SI
Sistemas de Informação
(continua na página seguinte)
xxix
(continuação)
Abreviatura Descrição
SIGNIT
Signals intelligence
SIRP
Sistema de Informações da República Portuguesa
SIS
Serviços de Informações de Segurança
SO
Sistema Operativo
SPQ
Sistema Português de Qualidade
SSH
Secure Shell
SSL
Secure Sockets Layer
ST
Security Target
TCP
Transmission COntrol Protocol
TCSEC
Trusted Computer System Evaluation Criteria
TDI
Trusted Database Interpretation
TI
Tecnologias da Informação
TIC
Tecnologias da Informação e Comunicação
TLS
Transport Layer Security
ToE
Target of Evaluation
TPS
Transaction Processing Systems
UE
União Europeia
UDP
User Datagram PRotocol
UKAS
United Kingdom Accreditation Service
UMIC
Agência para a Sociedade do Conhecimento
URL
Uniform Resource Locator
VoIP
Voice over IP
VPN
Virtualk Private Protocol
XML
eXtensible Markup Language
WEP
Wired Equivalent Privacy
WLAN
Wireless Local Area Network
WPA
Wi-Fi Protected Access
WWW
World Wide Web
xxx
1
Introdução
Esta Dissertação de Mestrado tem como tema principal a questão da segurança
informática, no contexto empresarial.
Em termos gerais, o tema da segurança, no campo da computação, revela-se uma
área bastante vasta e abrangente, que possibilita aos analistas considerar inúmeros
pontos de vista e adoptar inúmeras abordagens, o que dificulta, de certa forma,
a selecção dos parâmetros adequados a incluir em cada estudo, que permitam o
desenvolvimento de uma explicação simples e clara do tema.
Nesse contexto, esta Dissertação começará por recuar no tempo, aos primórdios dos
sistemas de informação (SI), em busca de respostas que facilitem o entendimento
da problemática presente e, a partir desse ponto, seguir um raciocı́nio directo em
direcção à análise do objecto de estudo.
Neste capı́tulo introdutório será dada uma breve contextualização da problemática
que motivou este projecto e da metodologia utilizada para a análise e implementação
da solução de segurança proposta. Finalmente serão delimitados os objectivos a
atingir com este estudo e justificada toda a divisão estrutural escolhida para a
Dissertação.
1
2
1.1
CAPÍTULO 1. INTRODUÇÃO
Problemática
A informação aparece no ambiente empresarial como um activo criador de valor, de
lucros e benefı́cios para as organizações.
A utilização maciça de recursos de processamento e armazenamento de informação
em computadores, nas mais diversas áreas de actividade humana e nos mais variados
tipos de negócios e aplicações, tornou aguda a dependência em relação às infraestruturas informáticas. Actualmente, é difı́cil imaginar os processos operacionais
da maioria das organizações sem o uso destas infra-estruturas. No caso mais extremo
estão, por exemplo, os bancos e empresas de telecomunicações, que teriam poucas
probabilidades de sobrevivência sem os recursos de computação.
Porém, mais grave que o aspecto da indisponibilidade dos equipamentos informáticos
é a perda, indisponibilidade e violação da informação que estes suportam. É comum
aparecerem nos meios de comunicação social notı́cias relacionadas com crimes e
fraudes cometidas com o uso do poder computacional. Estes crimes informáticos
acontecem diariamente em todo o mundo, com os mais variados objectivos, a uma
razão de vários ataques por minuto, colocando frequentemente em risco a informação
sigilosa de uma alta gama de organizações.
A consciencialização entre os empresários quanto ao seu grau de dependência e de
vulnerabilidade em relação ao volume e valor da informação tem aumentado. E
essa tendência continuará à medida que as empresas vão ficando cada vez mais
dependentes das redes informáticas para a execução das suas tarefas de negócio e
competitividade.
Conforme demonstram as estatı́sticas a nı́vel mundial, menos de um quarto das
empresas que sofrem um sério ataque ao seu sistema informático continuam a operar,
mas mais de três quartos deixam de existir ou acabam por ser compradas por outras
empresas.
É, então, importante que haja cada vez mais consciência acerca de todo o tipo de
ameaças a que os sistemas de informação estão sujeitos e, acima de tudo, que se
criem e estudem soluções cada vez mais eficazes para o controlo do risco que estas
ameaças representam para os activos organizacionais.
1.2. METODOLOGIA
1.2
3
Metodologia
Esta Dissertação de Mestrado concentra-se, fundamentalmente, no estudo de uma
solução de segurança informática, denominada Babel Enterprise, capaz de realizar
auditorias de segurança a sistemas, com o objectivo de alertar o administrador sobre
as vulnerabilidades que estes apresentam, calculando também o seu ı́ndice de risco.
Visto isto, a metodologia a implementar neste projecto terá vários pontos de análise,
fundamentais para a bom entendimento desta temática.
Inicialmente será proposto o levantamento das vulnerabilidades mais comuns dos
sistemas informáticos, quais as suas principais origens e a que tipo de ataques podem
levar. A compreensão das fontes de vulnerabilidades e das várias metodologias de
ataque é vital para um planeamento eficaz das medidas de segurança a implementar
no sistema. Para além disso, será igualmente importante identificar os diferentes
tipos de soluções de segurança que podem ser usadas a nosso favor.
A segunda fase consistirá na análise de alguns modelos de gestão do risco, terminando
no desenvolvimento e implementação de um modelo analı́tico de gestão de risco
adequado às caracterı́sticas especı́ficas da rede em estudo.
Por último, a terceira fase terá o propósito de determinar que tipo de contributo o
Babel Enterprise pode dar ao processo de análise de risco, através da criação de um
caso de estudo, baseado em vários cenários, que proporcionará uma aplicação prática
desta ferramenta, utilizando um software de referência, denominado OpenVas.
O estudo terminará com a comparação dos resultados das várias abordagens.
1.3
Objectivo da Dissertação
Devido à variedade de plataformas de segurança disponı́veis no espaço virtual, é
crucial existirem estudos que identifiquem as vantagens e desvantagens de algumas
dessas ferramentas, e testem a sua eficácia.
O presente estudo terá, então, como principal objectivo apresentar e explorar a
solução Babel Enterprise, identificando os seus pontos fracos, pontos fortes, e os
cenários em que esta poderá, eventualmente, prestar um contributo mais eficaz.
4
1.4
CAPÍTULO 1. INTRODUÇÃO
Organização da Dissertação
Esta Dissertação de Mestrado está dividida em 7 capı́tulos.
O primeiro capı́tulo constitui o capı́tulo introdutório que apresenta os parâmetros
principais deste estudo, nomeadamente a problemática que o motivou e a metodologia
proposta para a condução do trabalho, assim como os objectivos a atingir.
No segundo capı́tulo é feita a contextualização da temática em estudo. O grande
objectivo deste capı́tulo é dar a perceber ao leitor a evolução dos SI ao longo da
história e como estes acabaram por influenciar e revolucionar a sociedade mundial,
principalmente com o aparecimento da
Internet. A ideia principal a transmitir
será o enorme valor que a informação representa para as empresas, com o propósito
de justificar a necessidade da sua protecção, pois as coisas valiosas são, geralmente,
alvo de protecção.
O terceiro capı́tulo, constitui o
levantamento do estado da arte, onde se inicia
uma análise mais técnica a toda a problemática. Nesta secção são analisadas as
vulnerabilidades mais comuns dos SI e os tipos de ataques de que estes podem
ser alvo. Para além disso, é feito o levantamento dos vários tipos de ferramentas
orientadas à segurança informática, de modo a que o leitor possa conhecer que tipo
de soluções de segurança existem e que tipo de funcionalidades executam.
No quarto capı́tulo é introduzida a fase de implementação, através do estudo dos
vários métodos analı́ticos de gestão de risco, resultando na elaboração de um modelo
de gestão de risco, adequado às caracterı́sticas especı́ficas da rede informática onde
serão implementados os vários cenários de teste.
O quinto capı́tulo, por sua vez, consiste essencialmente numa descrição aprofundada
da implementação do modelo de gestão de risco proposto no capı́tulo anterior,
resultando daı́ os valores teóricos de risco que servirão de referência aos resultados
obtidos na fase de testes.
No sexto capı́tulo é, finalmente, apresentado o Babel Enterprise e descrita toda a
fase de testes, desde os cenários propostos para a implementação, passando pela
apresentação do software de referência, até à análise dos resultados..
No último capı́tulo serão enunciadas as conclusões finais de todo o projecto.
2
Contextualização
Em qualquer projecto, de qualquer área cientı́fica, é vital que o autor crie uma base
sólida de trabalho para que não se gerem ambiguidades que, no futuro, poderão
dificultar a compreensão e/ou a evolução das fases seguintes do trabalho. Foi neste
sentido que decidi realizar e direccionar algum trabalho de investigação para a
contextualização da temática desta Dissertação.
Este capı́tulo terá, portanto, como principais objectivos definir alguns conceitos
básicos que possam levantar dúvidas e contextualizar gradualmente a temática em
estudo, no tempo e no espaço, tentando colocar questões pertinentes que comecem
a incutir desde cedo, no leitor, acções de reflexão sobre o assunto.
Nesse âmbito, preocupei-me em dar uma perspectiva histórica dos
Sistemas de
informação, explicando todas as suas (R)evoluções, até chegar aos
Sistemas de
informação mais complexos que caracterizam a sociedade actual, catalogada como
Sociedade da Informação e do conhecimento.
O estudo de todo este contexto histórico, na minha perspectiva, é essencial para o
entendimento global de como se formou o modelo da nossa sociedade, tão dependente
de infra-estruturas informáticas, permitindo-nos tirar várias conclusões importantes,
que nunca conseguirı́amos deduzir de outra forma.
5
6
CAPÍTULO 2. CONTEXTUALIZAÇÃO
2.1
Conceitos
Durante a longa fase de pesquisa tive contacto com artigos cientı́ficos, Dissertações de
Mestrado, Teses de Doutoramento, entre outros documentos de ordem cientı́fica que
abordam a temática da Segurança em Redes e Sistema de informação. Durante
a leitura de alguns desses documentos constatei que era frequente a confusão entre
determinados conceitos, tanto pela falta de cuidado e clareza por parte dos autores,
como pela facilidade em haver uma má interpretação por parte dos leitores. Nesse
sentido, tive dificuldade em compreender certas abordagens de determinados autores,
pois, por vezes, era difı́cil discernir, por exemplo, que nomenclaturas diferentes
se referiam exactamente ao mesmo aspecto, como é o caso dos termos
Redes
informáticas e Sistemas de informação.
Para evitar que esta falta de clareza perturbe a boa interpretação do que vai sendo
explicado nesta Dissertação, irei definir e delimitar, neste ponto, alguns conceitos
básicos normalmente confundidos.
Uma das confusões mais frequentes ocorre entre os termos dados, informação e
conhecimento. Neste sentido, Prusak and Davenport (1998) refere que os dados
têm, erradamente, sido referidos como informação e actualmente a informação é
designada como conhecimento. Contudo o autor tenta delimitar este termos, através
do exemplo de uma pirâmide:
Figura 2.1 – Pirâmide de Davenport
2.1. CONCEITOS
7
Segundo Prusak and Davenport (1998), na base da pirâmide encontram-se os dados
em bruto, que são simples observações sobre o estado do mundo, no nı́vel intermédio
encontra-se a informação, que são dados dotados de relevância e propósito. Por
fim, no topo da pirâmide está o conhecimento, informação valiosa para a mente
humana. Para o autor, este processo de transformação de dados em informação e
de informação em conhecimento só é possı́vel mediante a intervenção humana, pois
quem transforma a informação em conhecimento é o homem e não a tecnologia.
Noutro ponto de vista, Vieira and Castanho (2008) que a informação prosperou
como conceito filosófico na era clássica, denotando a imposição de uma forma, ideia
ou principio, que assim se tornava in-formada ou apenas formada. Depois, por
séculos, segundo o mesmo autor, o uso do termo informação foi monopolizado por
jornalistas, o que causou ambiguidades na interpretação dos seus múltiplos sentidos
como, por exemplo, comunicar/informar ou notı́cia/informação.
Outra confusão frequente ocorre entre os conceitos
sistemas de informação e
tecnologias da informação.
Segundo Santos et al. (2007), um sistema de informação (SI) é um
sistema automatizado (ou sistema computorizado), ou mesmo manual, que
abrange pessoas, máquinas e/ou métodos organizados para colectar, processar,
transmitir e disseminar dados que representam informação para o utilizador.
Embora esta definição seja válida e bem enquadrada no paradigma da sociedade
actual, este termo poderá ser facilmente confundido com Tecnologias de Informação
(TI). Contudo, enquanto os SI são sistemas globais que permitem a transmissão
da informação a partir da acção humana, tal como a fala, a escrita ou as Redes
Informáticas (na sua forma mais abrangente, a Internet), as TI são equipamentos
tecnológicos que suportam e auxiliam essa transmissão de informação (televisão,
rádio, telefone, computador, entre outros).
Numa analogia podemos considerar que as TI são o Hardware e os SI o Software do
processo de transmissão de informação.
8
CAPÍTULO 2. CONTEXTUALIZAÇÃO
2.2
Contexto Histórico
Hoje em dia, vivemos e estamos enquadrados na designada sociedade da informação
e do conhecimento, associada a um desenvolvimento social e económico em que a
aquisição, armazenamento, processamento, valorização, transmissão, distribuição e
disseminação de informação conduz à criação de conhecimento e à satisfação das
necessidades dos cidadãos e das empresas, tendo um papel central na actividade
económica, na criação de riqueza, na definição de qualidade de vida dos cidadãos e
das suas práticas culturais (Morais, 1999).
Neste contexto surgem algumas questões pertinentes:
A informação sempre teve esta importância e influência?
Sempre existiu este modelo de Sociedade?
Deste quando existem sistemas de informação?
Não é necessário recuarmos muitos anos para percebermos que o conceito de SI e de
Sociedade da Informação e do Conhecimento são conceitos muito recentes, sobre
os quais não costumamos reflectir muito, talvez por nos parecerem termos naturais
da evolução do homem ou porque fazem parte do nosso quotidiano.
No entanto, se olharmos para o passado da humanidade, vemos claramente que os
SI, embora num contexto mais simplificado, existiram desde sempre, muito antes
da era Digital, muito antes do conceito de empresa como o conhecemos hoje, e
muito antes até da era de Jesus Cristo ou da criação de qualquer religião.
A informação existe desde que nos conhecemos como Homens, interpretes do mundo
exterior, e tem evoluı́do através e junto com a história, modificando significados
e impactando indivı́duos, sociedades e organizações, funcionando como um dos
elementos impulsionadores da evolução do Homem (Calazans, 2006).
Através do histórico será possı́vel visualizar como as invenções tecnológicas do
homem influenciaram as mudanças no uso e/ou transmissão da informação, que
hoje caracterizam tanto o actual paradigma (Vieira and Castanho, 2008) .
É fundamental encontrarmos o passado para percebermos as linhas de força que
podem pautar o futuro e termos a capacidade de moldar o presente (Borges, 2002).
2.2. CONTEXTO HISTÓRICO
2.2.1
9
A Fala
Segundo vários autores, para encontrarmos o primeiro SI temos que recuar ao inı́cio
da existência da espécie humana, onde os nossos antepassados tiveram a necessidade
de encontrar uma forma eficaz para se comunicarem. É nesse processo que surge a
Fala, ou Linguagem oral, onde a informação é transmitida através da palavra
falada, sendo, até aos dias de hoje, a nossa forma de partilha de informação mais
comum. Nesse sentido, Durval (2007) refere que “a primeira forma de transmissão
de informação foi
a Fala, a partir da qual nos tornamos realmente humanos,
capazes de pensar, produzir e transmitir conhecimento”. Reforçando essa idéia,
Borges (2002) refere também que “lidamos com a informação ou, se preferirmos,
com a sua representação desde que nos conhecemos como humanos”.
Visto que nas sociedades primitivas não existiam registos escritos, a informação
e comunicação eram abordadas por diferentes formas de linguagem (rito, mito,
relações de parentesco e comunicação pictórica). Como testemunho disso temos
as gravuras encontradas em escavações arqueológicas (Vieira and Castanho, 2008).
Figura 2.2 – A primeira forma de partilha de informação
Porém, embora o surgimento da fala tenha sido um passo importantı́ssimo para a
nossa evolução, esta revelou ter muitas limitações, pois a partilha de informação está
restrita ao contacto imediato e local, atingindo poucas pessoas. Deste modo, Durval
(2007) afirma que a Fala é um SI fantástico mas que o seu meio de transmissão,
isto é, a propagação das ondas sonoras no ar, é volátil e de curto alcance.
10
2.2.2
CAPÍTULO 2. CONTEXTUALIZAÇÃO
A Escrita
Para colmatar as limitações da fala, o ser humano teve necessidade de evoluir. Dessa
evolução, acaba por nascer, há 5000 anos na Mesopotâmia, milhares de anos mais
tarde na China e depois pelos Maias na América Central, a Escrita.
Embora
a fala tenha sido a primeira forma de transmissão de informação, a
capacidade de a transferir, inalterável, ao longo do tempo está intrinsecamente ligada
ao registo, à
Escrita, com principal destaque para a escrita alfabética. Com
esta conseguimos trasladar todo um discurso separado da fonte da sua produção
no espaço e no tempo (Borges, 2002). Deste modo, a invenção da Escrita foi a
primeira grande (R)evolução da informação (Oliveira, 2003).
Na figura 2.3 podemos ver alguns sı́mbolos utilizados no registo escrito.
Figura 2.3 – Exemplos de Escrita
Contudo, ainda que o aparecimento da Escrita tenha sido um passo importante
para a evolução do Homem, este acabou por lhe conhecer sérias limitações.
A Escrita revelou ser insuficiente para um aumento significativo da partilha da
informação, pois existiam poucos exemplares de cada registo escrito, o que não
permitia que a informação chegasse a um número significativo de pessoas, ficando
apenas restrita à população local. Corroborando esta ideia, Durval (2007) afirma
que “a escrita deu um enorme impulso ao desenvolvimento do conhecimento, mas
não permitia a sua multiplicação para atingir um grande número de pessoas”.
2.2. CONTEXTO HISTÓRICO
2.2.3
11
O Livro Escrito
De acordo com Drucker (1999), a segunda (R)evolução da informação foi provocada
pelo Livro escrito, primeiro na China, por volta de 1300 a.C e depois, 800 anos
mais tarde, na Grécia, onde Peisistratos, o tirano de Atenas, mandou copiar em
livros os épicos de Homero, até então apenas recitados.
Contudo, o Livro escrito sofreu várias restrições na sua acção de levar a informação
a um conjunto maior de pessoas.
O seu primeiro entrave foi o facto de estarem vedados a grande parte da população,
sendo apenas exclusivos do Clero e da Nobreza, pois o controlo das fontes de
informação significava, no contexto dessa época, o controlo das ideias, da cultura e
da sociedade. Vieira and Castanho (2008) afirma que “antes do século XV, embora
limitados, os livros eram um meio de massa ainda restrito. As pessoas do poder não
estavam particularmente interessadas que as massas pudessem ler e as necessidades
económicas não pediam uma força de trabalho alfabetizada”.
Noutro sentido, Santos and Maranhão (2008) afirma que “nos seus primórdios, os
livros eram escritos à mão, em geral por religiosos, num processo bastante demorado
e com custos muito elevados, permitindo que apenas algumas pessoas (muito poucas)
tivessem acesso à informação. Esse processo consistia em milhares de mosteiros, que
abrigavam centenas de monges altamente competentes, que trabalhavam desde o
alvorecer até ao pôr-do-sol, seis dias por semana, a copiar livros à mão. Um monge
dedicado podia fazer quatro páginas por dia (mais de 1200 páginas anuais)”.
Com o livro, o registo escrito melhorou bastante, pois foi possı́vel estruturá-lo,
organizá-lo e armazená-lo no interior de um único objecto móvel. Contudo, o livro
apenas resolveu um dos problemas da Escrita, isto é, o problema da mobilidade
organizada da informação, que passou a ser possı́vel. Porém, continuou a existir
um número insuficiente de cópias do mesmo registo, ou neste caso, do mesmo
livro, continuando assim a não ser possı́vel fazer chegar a informação a um número
considerável de pessoas.
12
CAPÍTULO 2. CONTEXTUALIZAÇÃO
2.2.4
A Imprensa
Entretanto, em meados de 1455, o ourives alemão Johannes Gutenberg, após anos
de pesquisas e trabalho duro, colocou nas mãos o seu grande trunfo em forma de
livro, impresso com uma técnica inédita e infalı́vel: a prensa de tipos móveis.
A impressão em massa, possibilitada a partir daı́, transformou a cultura ocidental
para sempre, através do enorme aumento do volume de informação, em forma de
livros, revistas, jornais, etc.
As reduções de custos de produção dos livros foram enormes (em 1424 o preço
de cada livro equivalia ao de uma fazenda ou vinı́cola), incentivando o acesso à
informação, viabilizando a popularização do conhecimento e desencadeando um
aumento significativo da alfabetização de uma sociedade carente de cultura, mudando
a maneira de pensar e agir das pessoas (Vieira and Castanho, 2008; Durval, 2007).
Em pouco tempo, a
imprensa, provocou a chamada terceira (R)evolução da
informação, mudando as instituições, incluindo todo o sistema educacional, que
passou a ser orientado não só ao clero e ao estudo da Teologia, mas também para
os leigos, possibilitando o estudo da Matemática, Direito, Filosofia, etc.
Reflexão:
Sem a imprensa, que veio tornar a informação mais acessı́vel, o que seria
das Universidades? Teria surgido a Internet? Teriamos evoluı́do tanto?
Provavelmente nunca saberemos estas respostas. O que é certo é que terı́amos, com
certeza, uma evolução diferente, pois esta (R)evolução foi de tal forma importante
que é bem provável que sem ela não estivéssemos, hoje em dia, num nı́vel tão
avançado de conhecimento, de inovação social e tecnologicamente tão evoluı́dos.
Contudo, o Homem, mais uma vez, concluiu que este passo não foi suficiente,
pois acabaram por surgir novos problemas. Depois da imprensa, a humanidade
produziu montanhas de livros, revistas e jornais, mas o acesso a esse enorme volume
de informação tornou-se inviável, até mesmo pela quantidade (Durval, 2007).
Apesar disso, tı́nhamos dado, mais um passo importante a caminho da
Global da Informação.
Partilha
2.2. CONTEXTO HISTÓRICO
2.2.5
13
Revolução da Informação Vs Revolução Industrial
Para impulsionar ainda mais a revolução da informação surge outro factor que
mudou a concepção da sociedade para sempre: A Revolução Industrial.
A partir do século XIX, a Revolução Industrial tomou grandes proporções, quebrando
totalmente a linha do Feudalismo1 , levando toda uma sociedade para uma revolução
de pensamentos, ideologia e ritmos de vida. Estava a surgir a Sociedade Industrial,
desenvolvida pela tecnologia da máquina a vapor (Magno, 2010).
Com esta revolução surgem novas indústrias e a inevitável evolução tecnológica,
fazendo nascer as TI. Desta forma, as comuns comunicações escritas não conseguiram
competir com a rapidez da transmissão de mensagens electrónicas, usadas nos meios
interactivos da telegrafia e telefonia (Vieira and Castanho, 2008).
Nos anos 20 o rádio tornou-se um meio bastante popular, inclusive nas áreas rurais,
transmitindo músicas e programas. Por sua vez, uns anos mais tarde, a descoberta
acerca da conversão e transmissão de imagens em sinais eléctricos ocasionou a
invenção da caixa que mudou o mundo: A Televisão.
Apesar dos novos meios de comunicação terem influenciado muito a nova sociedade,
o que mudou definitivamente a vida do Homem em relação ao uso e troca de
informação nasceu em 1946, nos EUA: o Computador (Vieira and Castanho, 2008).
Referindo-se ao computador, Grego (2009) afirma que “o aparecimento de um novo
sistema de comunicação universal digital promoveu a integração global da produção
e disseminação de palavras, sons e imagens, criando novas formas de comunicação,
moldando a vida e sendo moldado por ela, visto que essa nova tecnologia vem
moldando comportamentos, transformando a economia, sociedade e cultura”.
Para Drucker (2000) o computador está para a (R)evolução da Informação como
a máquina a vapor está para a Revolução Industrial, ou seja, o seu gatilho, mas
também e, sobretudo o seu sı́mbolo. A quarta (R)evolução da informação começou,
então, a ser desenhada através das máquinas de processamento, que codificam a
informação em sinais fı́sicos de diferentes espécies para os armazenar, transmitir
(rádio, televisão) ou combinar de diferentes formas (computadores) (Durval, 2007).
1
O feudalismo foi um modo de organização social baseada nas relações servo-contratuais, onde
as pessoas viviam nos campos, a trabalhar para ter apenas o que comer. Os Vassalos ofereciam
aos Senhores Feudais fidelidade e trabalho em troca de protecção e um lugar para produzir.
14
2.2.6
CAPÍTULO 2. CONTEXTUALIZAÇÃO
A Internet
Os computadores, por si só, não foram suficientes para impulsionar o começo da
quarta revolução. Foi no crescimento da quantidade de computadores e da sua
capacidade computacional, de comunicação e de interligação, que nasceu o factor
que motivou a nova (R)evolução: A Internet (ime, 1999).
Após a grande revolução tecnológica da década de 80, na qual o computador foi
o expoente máximo, assiste-se a um fenómeno ainda maior: a segunda vaga da
revolução informática, com a Internet e a www (Morais, 1999).
Figura 2.4 – O mundo da
Internet
Segundo ime (1999), foi em 1969 que o Pentágono promoveu a criação da primeira
rede de computadores, a qual interligava quatro computadores geograficamente
distantes, localizados em quatro Universidades Americanas, chamada Arpanet.
Desde então, o número de computadores na Arpanet/Internet cresceu de forma
exponencial (figura 2.5), rondando na actualidade os 1,73 biliões.
Para termos uma ideia do quão grande é a velocidade de crescimento da Internet,
façamos uma comparação com as taxas de crescimento da população mundial, que
obedece também a uma função exponencial. Segundo o estudo apresentado por ime
(1999), temos que a utilização da Internet dobra a cada 15 meses e que a população
dobra, em média, a cada 30 anos. Ao fazer-se a relação entre estes dados temos:
30anos
360meses
=
= 24etapas
15meses
15meses
Ou seja, no perı́odo de tempo que a população mundial duplica apenas uma vez (30
anos), a Internet duplica 24 vezes.
2.2. CONTEXTO HISTÓRICO
Figura 2.5 – Gráfico do crescimento da
15
Internet (Fonte: Vieira and Castanho (2008) )
Como poderemos constatar, a Internet cresceu a um ritmo impressionante, atingindo
uma escala gigantesca, mudando a forma de ver o mundo para sempre e ampliando
as possibilidades de uso do computador como fonte de informação e comunicação.
Graças às potencialidades da Internet, actualmente não existem mais barreiras
geográficas para a disseminação da informação. A velocidade como a transmissão
da informação se processa é grandiosa. Basta analisarmos como a velocidade dos
computadores é medida em milionésimo de segundos e como os satélites atingem em
segundos uma larga escala geográfica (Oliveira, 2003).
Nesta lógica, Oliveira (2003) defende a ideia de que “os processos de comunicação e a
tecnologia transformaram o mundo, que passou de um grande universo desconhecido
para um mundo conhecido e pequeno”.
A Internet surge assim como uma das maiores invenções do Homem.
A Internet é interactiva, cheia de virtualidades todas reunidas num único lugar, o
espaço virtual, que representa uma espécie de simulação da consciência humana
global que afecta realmente essa consciência, tal como fizeram o fogo, a linguagem,
a religião, a arte e a escrita, cada etapa integrando as precedentes e levando-a mais
longe ao longo de uma evolução com ritmo exponencial (Lévy, 2001).
É com esta quarta (R)evolução da informação, que começa a enraizar-se a forte
relação de dependência entre a sociedade e as infra-estruturas informáticas.
16
CAPÍTULO 2. CONTEXTUALIZAÇÃO
2.2.7
Reflexão
A cada (R)evolução, o Homem cresceu como ser intelectual, social e dotado de
inteligência.
Com a
Fala deu o primeiro passo para a comunicação, com a
Escrita criou um sistema de registo que possibilitou o transporte da informação no
tempo e no espaço, com o Livro escrito o registo ficou estruturado e organizado,
com a Imprensa o volume de informação aumentou radicalmente, e por fim com
a Internet o Homem eliminou qualquer barreira geográfica para a transmissão e
disseminação de informação, possibilitando a sua partilha global.
No entanto, o leitor poderá ter algumas questões pertinentes em mente!
A quarta (R)evolução da Informação já terminou?
Qual será a próxima (R)evolução da Informação?
Irá mesmo existir ou
o Homem parou por aqui, já que conseguiu instituir a partilha global da
Informação? Será essa partilha o objectivo final ou o Homem pretende atingir
outra meta ainda não identificada?
Depois da
Sociedade Industrial e da
Sociedade da Informação, que
paradigma de sociedade virá a seguir?
Que tipo de ser humano criará esta quarta revolução?
Respondendo a algumas destas questões, Wisetel (1998) refere que “durante os
últimos anos, a (r)evolução da informação centrou-se nos dados, preocupando-se
com a sua recolha, armazenamento, transmissão, análise e apresentação, ou seja,
mais centrada no T (tecnologias) da abreviatura TI. A próxima (r)evolução da
informação centrar-se-á no I (informação), o que possivelmente levará rapidamente
à redefinição de tarefas de troca de informação e das organizações que as executam”.
É válido para todos que esta quarta (R)evolução trouxe muitas mudanças e permitiu
grandes avanços nas várias vertentes da sociedade. Vários autores, como Durval
(2007), afirmam que esta ainda está em curso e que ainda não está claro o caminho
a que ela nos levará nem o tipo de ser humano que ela produzirá.
2.2. CONTEXTO HISTÓRICO
17
De seguida é apresentado um quadro resumo das 4 (R)evoluções da Informação:
Tabela 2.1 – Quadro-Resumo das (R)evoluções da Informação
Factor
Vantagens
Problemas
1a Forma de comunicação que o
Homem encontrou e que possibilitou
dar um grande passo na sua
evolução.
Através da Fala a informação
não podia ser registada nem
transportada no tempo e no espaço;
“A propagação das ondas sonoras no
ar é volátil e de curto alcance”.
Permite o registo da informação
através de uma sequência de
sı́mbolos. É possı́vel transportar
a informação no tempo e no
espaço.
Nascimento do mundo
letrado e de um enorme impulso ao
desenvolvimento do conhecimento.
A escrita, por si só, não
conseguiu transmitir a informação a
um vasto número de pessoas, pois só
existiam um ou dois exemplares de
cada registo escrito.
Permitiu estruturar, organizar e
armazenar o registo escrito dentro
de um único objecto móvel.
Continuaram a existir poucas cópias
do mesmo registo, pois era um
processo lento e caro. Nos seus
primórdios, era um bem exclusivo
do Clero e da Nobreza.
3a Revolução da
Informação:
A Imprensa
Aumentou
exponencialmente
o volume de informação.
O
Livro deixou de ser exclusivo.
A informação atinge um grande
número de pessoas.
“O acesso ao enorme volume de
informação tornou-se inviável, até
mesmo pela quantidade.”
Revolução
Industrial
As pessoas começam a interessar-se
pela informação. Começa a dar-se a
grande evolução tecnológica.
A Fala
1a Revolução da
Informação:
A Escrita
a
2 Revolução da
Informação:
O Livro
a
4 Revolução da
Informação:
A Internet
Deixaram de haver barreiras
geográficas para a Informação.
A partilha global da informação
passou a ser possı́vel. Surgem novos
conceitos e redefinem-se alguns já
existentes.
Os Sistemas Informáticos possuem
vulnerabilidades fı́sicas e lógicas.
A informação passou a poder ser
atacada remotamente através da
rede, logo, é importante garantir a:
Segurança da Informação e dos
Sistemas que a suportam.
18
CAPÍTULO 2. CONTEXTUALIZAÇÃO
Se olharmos atentamente para a importância que estas (R)evoluções da Informação
tiveram na evolução do Homem, podemos tirar várias conclusões relevantes para um
melhor entendimento da necessidade e importância deste estudo:
1. O Homem, consciente ou inconscientemente, sempre procurou, ao longo da
história, enquanto ser sociável e comunicativo, o caminho para a
Partilha
Global da Informação, tentando sempre encontrar recursos que eliminassem
os obstáculos que o impediam de atingir esse objectivo. Hoje sabemos que
essa aposta foi ganha;
2. Desde o surgimento da Fala até à criação da Internet pudemos constatar
que cada solução, possı́vel e viável, que apareceu para resolver um problema ou
para complementar uma necessidade existente no campo da informação acabou
por gerar novos problemas, que impulsionaram a procura por novas soluções,
que se traduziram em novas revoluções, levando o Homem a aperfeiçoar-se e
a evoluir. Este facto deverá alertar-nos para os problemas patentes na actual
(R)evolução da Informação, pois se analisarmos a história, podemos facilmente
deduzir que, mais tarde ou mais cedo, o Homem poderá descobrir algumas
soluções eficazes para esses problemas, que, por sua vez, poderão desencadear
a quinta (R)evolução da Informação. Logo, teremos que estar conscientes que
poderemos não ficar por aqui em termos de (R)evoluções.
3. Podemos também constatar que todos os SI implantados pelas sucessivas
(R)evoluções, desde a
Fala até à
Internet, ainda estão presentes no
nosso quotidiano. Isto leva a concluir que cada um desses SI apenas serviu
como complemento do SI anterior e nunca como seu substituto. Este facto
deverá dar-nos maior convicção para resolver os problemas introduzidos pela
Internet, ou se quisermos, pelas redes informáticas, de forma a protege-
las e a aperfeiçoa-las, pois pela análise histórica, temos indicadores de que,
mesmo que surja um novo SI que impulsione uma nova (R)evolução, muito
possivelmente, este virá apenas complementar as necessidades actuais das
redes informáticas e nunca substituı́-las.
2.2. CONTEXTO HISTÓRICO
19
4. O ponto principal, no entanto, é o constatar de que o Homem nunca teve a
preocupação doentia com a segurança da sua informação ou dos sistemas
que a suportam. A
Fala, a
Escrita e a
Imprensa raramente foram
alvo de ataques explı́citos e constantes, salvo o
ataque à liberdade de
expressão por parte de governos ditadores que embora limitem a disseminação
da informação, não a destroem. O Livro escrito, por sua vez, chegou a ser
exclusivo da Nobreza e do Clero, sendo vedado às restantes classes sociais,
contudo a informação que continha estava protegida. Exceptuando algum
desastre natural, como por exemplo incêndios e inundações, ou algum propósito
malicioso, intencional e pontual, nunca existiu uma ameaça clara e frequente
a qualquer tipo de SI. Mesmo que existisse uma intenção de ataque, este teria
que ser feito no local onde se encontrava a informação.
Com o aparecimento da
Internet, o conceito de segurança foi alterado
radicalmente, pois esta trouxe consigo a possibilidade de realizar ataques
remotos e frequentes à informação, a partir de qualquer parte do mundo. Desta
forma, o termo Segurança da Informação passa a ter um significado mais
intenso e a fazer parte da lista das principais preocupações do Homem.
Tal como afirma Borges (2002), “a informação assume outros tons, não apenas
texto mas sobretudo imagem, fixa ou animada, multimédia, entre outros formatos.
Esta reunião ou vertigem de formas que desaguam no ciberespaço implica encontrar
soluções para novos e velhos problemas”.
O futuro é ainda uma incógnita, porém, através da análise histórica, facilmente
percebemos que esta (R)evolução, ainda em curso, será um processo lento e que
teremos que lidar com isso naturalmente, tentando encontrar, tal como os nossos
antepassados, formas de resolver o principal problema que esta (R)evolução deixou
em aberto:
Segurança dos Sistemas e Redes informáticas.
É esse o objectivo e a motivação deste estudo!
20
CAPÍTULO 2. CONTEXTUALIZAÇÃO
2.3
Sistemas de Informação nas Empresas
Para além da análise à evolução dos SI ao longo da história, é igualmente importante
que saibamos onde esta (R)evolução está a provocar mais impacto e onde nos
situamos nós, enquanto cidadãos e enquanto profissionais ao serviço da tecnologia.
Há que parar, reflectir sobre o real, sobre a nossa condição de incertezas dentro dos
acelerados processos de avanços tecnológicos imediatistas. Perscrutar a história, o
que foi dito e o que está submetido e não-dito, é uma maneira de encontrar novas
respostas (Ugarte, 2004).
Segundo Morais (1999), “a integração da informática com a comunicação está a
provocar profundas alterações na sociedade em geral e nas empresas em particular”.
Já Wisetel (1998) refere que “a revolução da informação, ainda em curso, vai
abranger todas as organizações importantes da sociedade moderna. Porém, começou
e teve um impacto mais profundo no terreno dos negócios”.
Mas até que ponto as redes informáticas estão presentes nas empresas?
2.3.1
Adesão às Redes Informáticas
Até há bem pouco tempo, os SI nas organizações baseavam-se basicamente na
utilização de grandes arquivos, manipulados por um arquivista, responsável por
organizar os dados, registá-los, catalogá-los e recuperá-los quando necessário.
O aumento gradual do volume de informação nas empresas e a necessidade das áreas
trabalharem de forma integrada tornou o armazenamento, recuperação e integração
da informação uma tarefa difı́cil e não muito confiável.
No entanto, com o surgimento dos computadores nasceu a possibilidade de um acesso
rápido e confiável às informações (Santos and Maranhão, 2008).
A proliferação dos computadores e a crescente facilidade de uso gerada pela evolução
tecnológica vieram colocar os computadores em novos papéis. Antes utilizados
exclusivamente para automatizar rotinas operacionais, os computadores ampliaram
as suas áreas e nı́veis de actuação, informatizando as organizações (Freitas, 2010).
2.3. SISTEMAS DE INFORMAÇÃO NAS EMPRESAS
21
Segundo o estudo apresentado pela CISI, com o tema Inquérito à utilização das TI
nas empresas 2000-2001, exposto em Sapo (2002), podemos constatar a abertura
das empresas às novas tecnologias, e a novos modelos de negócio (tabela 2.2).
Tabela 2.2 – Estudo da CISI (Fonte: Sapo (2002))
Factor
2000
2001
Empresas com, pelo menos, um computador
82%
85%
para adquirir ou vender bens e serviços
8%
18%
Empresas com ligação à Internet
55%
75%
Empresas com presença na Internet
26%
37%
Empresas com Intranet4
25%
36%
Empresas que usam e-commerce2 ou e-business3
Pela tabela 2.2, podemos constatar que, já em 2001, a percentagem de empresas
informatizadas era bastante significativa, na ordem dos 85%.
Percebendo a utilidade e potencialidades da Internet, 75% já possuı́am uma ligação,
36% já tinham desenvolvido uma rede privada, e 37% constavam do mercado virtual.
Se analisarmos a evolução das percentagens de 2000 para 2001, certamente que
actualmente os números serão bastante mais expressivos.
O dado mais importante a retirar deste estudo é o facto de empresas apontarem a
insegurança informática como a maior dificuldade na utilização da Internet. Este
factor de preocupação com a insegurança vem reforçar a motivação do estudo desta
Dissertação de Mestrado.
2
E-commerce ou comércio electrónico, ou ainda comércio virtual, é um tipo de transacção
comercial feita especialmente através de um equipamento electrónico, como por exemplo, um
computador. O acto de vender ou comprar pela Internet é um bom exemplo de comércio electrónico.
3
E-Business, acrónimo do Inglês Electronic Business (negócio electrónico), é o termo que se
utiliza para identificar os negócios efectuados por meios electrónicos, geralmente na Internet.
4
Intranet: rede de computadores privada que assenta sobre os protocolos da Internet.
22
CAPÍTULO 2. CONTEXTUALIZAÇÃO
2.3.2
Os conceitos do novo paradigma
Toda esta informatização, dá-nos a sensação de que esta quarta (R)evolução é de
ordem tecnológica, o que não é totalmente falso, pois foi a tecnologia que lhe deu
forma e propósito, contudo esta está a dar-se, sobretudo, a nı́vel de conceitos. Nesse
sentido, Wisetel (1998) afirma que esta revolução não se trata de uma revolução
tecnológica, de maquinaria, de software ou velocidade, mas sim de conceitos.
A alta informatização das empresas possibilitou que as empresas se reinventassem
vezes sem conta, pois abriu novas oportunidades de negócio, o que tornou possı́vel
a criação de novos paradigmas na estrutura empresarial. A evolução tecnológica
acabou por nos guiar até à
era digital, e ao conceito do
espaço virtual e as
novas tecnologias que, entretanto, vão surgindo transformam-se rapidamente num
poço de oportunidades para as empresas.
Neste sentido, segundo Pinsdorf (2009), as empresas, actualmente usam soluções
VOIP5 para eliminar, praticamente, contas telefónicas.
Adicionalmente podem
também utilizar vı́deo conferência através do uso de webcams. Por sua vez, as
empresas aéreas podem reduzir os seus custos oferecendo via Internet, não só a
venda de bilhetes, como a reserva de acentos e check-in. Outro bom exemplo é a
computação nas nuvens ou, em inglês Cloud Computing6 , que proporciona redução
de custos com licenças, capacidade de hardware, disponibilidade da informação e
backup, pois todos os softwares aplicativos e ficheiros são armazenados fora da
empresa, bastando um navegador (browser) para aceder ao seu conteúdo.
Também no espaço das profissões esta (R)evolução teve impacto.
Tal como a
revolução da imprensa criou uma nova classe de técnicos (os primeiros impressores),
a recente revolução também deu origem a uma série de profissões: engenheiros
informáticos, designers de software, gestores de sistemas, entre outros Wisetel (1998).
5
VoIP (Voice over Internet Protocol) ou em português Voz sobre IP, é um termo genérico para
uma famı́lia de tecnologias de transmissão para a entrega de comunicações de voz sobre redes IP
como a Internet.
6
Cloud computing é um conjunto de serviços acessı́veis pela Internet que visam fornecer os
mesmos serviços de um Sistema Operativo. Esta tecnologia consiste em compartilhar ferramentas
computacionais pela interligação dos sistemas, semelhantes às nuvens no céu, ao invés de ter essas
ferramentas localmente. O uso deste modelo é mais viável do que o uso de unidades fı́sicas.
2.3. SISTEMAS DE INFORMAÇÃO NAS EMPRESAS
O home Office, como o próprio nome indica
23
trabalho em casa, é hoje outro
conceito implementado pela quarta (R)evolução da informação, que além de diminuir
custos com aluguer de prédios e salas comerciais, aumenta a qualidade de vida
dos colaboradores. Os telemóveis com funções de Internet colocam o colaborador
automaticamente conectado com a empresa em regime 24/7 (24 horas por dia, 7
dias por semana), reduzindo os custos, muitas vezes, por uma tomada de decisão
ágil ou mesmo evitando deslocamentos.
Os profissionais de marketing podem também reduzir custos utilizando os benefı́cios
e potencialidade da chamada Web2.0 (blogs, sites de relacionamento, second life,
wikis, spam, redes sociais, etc.), pois através da Internet surgem grandes oportunidades
comerciais, pois é dada a possibilidade a qualquer empresa de se dar a conhecer, de
publicitar os seus produtos e serviços a uma vasta gama de potenciais consumidores
e com custos reduzidos (Morais, 1999).
Há 50 anos, ninguém poderia imaginar a existência de um programa de computador
que organiza-se globalmente as operações de uma empresa atendendo em tempo real
às necessidades dos seus clientes. Hoje, isso é realidade (Ribeiro, 2005).
O conceito actual de empresa representa um paradigma de negócio computorizado,
cujo funcionamento recorre crescentemente a redes digitais de informação assumindo
esta última o papel de matéria-prima. No entanto, a relação de dependência entre
as empresas e as infra-estruturas informáticas tornou-se grande e preocupante.
Figura 2.6 – Dependência entre o Ambiente Empresarial e os Sistemas de Informação
24
2.3.3
CAPÍTULO 2. CONTEXTUALIZAÇÃO
Ambiente Empresarial
Percebendo que a redução de espaço e tempo permite uma operação mais ampla as
empresas informatizam-se, tornando a Internet o seu campo infinito de informação.
Porém, tal como é referido por Oliveira (2003), “no meio de tanta informação
que surge diariamente, a gestão desta é essencial para que seja possı́vel organizar
informações relevantes, estimular discussões que gerem novos conhecimentos e por
fim disponibilizar essa informação para que seja bem utilizada pelos intervenientes
do ambiente empresarial (figura 2.7), sempre que necessário”.
Figura 2.7 – Diagrama dos intervenientes do Ambiente Empresarial (Fonte: Serrão (2009))
Desta forma, pela figura 2.7, podemos constatar que os SI representam o coração,
ou se quisermos, o ponto central de toda a actividade e estrutura de negócio de
uma empresa, dando um contributo vital para a gestão eficaz de toda a informação
envolvida nos processos organizacionais. Desta forma, segundo Oliveira (2003),
quando apreendida, organizada, transformada, aplicada, preservada e gerida, a
informação transforma-se numa clara e efectiva vantagem competitiva, constituindo
um elemento fundamental para o desenvolvimento das organizações.
2.3. SISTEMAS DE INFORMAÇÃO NAS EMPRESAS
25
A gestão da sobrecarga de informação torna-se, assim, um desafio para qualquer
empresa, visto que o seu diferencial competitivo é a atitude de gerir correctamente
a informação, pois no mundo contemporâneo onde a economia é globalizada e a
sociedade se baseia na informação e na geração de novos conhecimentos, o sucesso
é determinado pelo que se sabe e não pelo que se possui (Oliveira, 2003).
Neste sentido, o aumento exponencial da informação disponı́vel online, aumenta
paralelamente à necessidade do seu tratamento, segurança e controlo (Borges, 2002).
Deste modo, os SI apresentam-se marcadamente como a base de todo o processo
de negócio, estando ao dispor de toda uma estrutura empresarial, suportado pela
tecnologia, tendo um papel preponderante na gestão de informação, permitindo
aos administradores criar novos desafios de negócio, inimitáveis pela concorrência,
criando logo à partida uma enorme vantagem competitiva (figura 2.8).
Figura 2.8 – Processo estratégico de negócio (Fonte: Serrão (2009))
Numa perspectiva funcional os SI estão presentes nos vários campos estratégicos
de uma empresa. Nas
vendas e marketing possibilitam a gestão de vendas, a
análise de mercado e a promoção/divulgação de serviços e produtos. No fabrico
e produção possibilitam o controlo de máquinas e o desenho técnico de produtos.
No campo Financeiro e Contabilı́stico, possibilitam a orçamentação, a gestão de
tesouraria e polı́ticas de investimento. A nı́vel de Recursos Humanos permitem
contratar e registar colaboradores e planear as necessidades de mão-de-obra.
26
CAPÍTULO 2. CONTEXTUALIZAÇÃO
Mais do que em qualquer outra era da história da humanidade os recursos humanos
qualificados serão fundamentais, constituindo uma força de trabalho treinada para
o uso destas tecnologias, capaz de produzir com qualidade e competitividade dentro
de ambientes baseados em conhecimento (figura 2.9) (Vieira and Castanho, 2008).
Figura 2.9 – Estrutura organizacional de uma empresa (Fonte: Serrão (2009))
Segundo Leavitt, uma empresa pode ser entendida e resumida num sistema complexo
com variáveis estruturais, tecnológicas, humanas e de actividade (figura 2.10).
Figura 2.10 – Diagrama de Leavitt (Fonte: Albuquerque and Ribeiro (2002))
A relação entre elas é mutuamente dependente, tornando-se difı́cil obter um nı́vel
significativo de mudança numa variável sem alterar consequentemente as restantes.
2.3. SISTEMAS DE INFORMAÇÃO NAS EMPRESAS
2.3.4
27
Reflexão
Com a inclusão das TI nas empresas e com a possibilidade da partilha global da
informação, através da Internet, passou a existir toda uma interacção próxima,
mesmo que remota, entre o sistema empresarial e os seus clientes, fornecedores,
entidades reguladoras e escritórios descentralizadas da sede principal.
Essa deslocalização do trabalho e descentralização das empresas dos grandes meios,
permitiu que fossem criados novos modelos de negócio.
Desde então, começaram a ser adoptadas estratégias baseadas em redes empresariais,
onde as empresas aproveitam a sua capacidade de estabelecer associações com outras
empresas. Daı́ nascem os ecossistemas de negócios (conjunto de empresas de uma
indústria que oferecem produtos e serviços relacionados, como é o caso da plataforma
Microsoft que é usada por milhares de empresas para desenvolver os seus produtos)
e o modelo de empresa virtual (empresas que usam as redes informáticas para se
aliar a outras empresas para criar e distribuir produtos sem estarem limitadas pelas
fronteiras organizacionais tradicionais ou pela localização fı́sica).
Deste modelo de empresa virtual nascem alguns conceitos como o e-business, ecommerce, e-science, e e-government. O grupo
Li & Fung, por exemplo, gere
a produção e o envio de vestuário das principais marcas da moda, efectuando o
outsourcing7 de todo o trabalho para mais de 7500 fornecedores.
O processo que intensifica o uso da informação por parte das empresas, actualmente,
pode ser comprovado num simples exemplo: agora, antes de plantar, por exemplo,
um tipo de vegetal são necessários muitos planos, desenhos, tabelas e roteiros
para produzir sementes geneticamente tratadas, os fertilizantes, a plantação, a
maquinaria e as colheitas, o sistema de selecção electrónica, os recipientes e os
seus meios de transporte, etc. É interessante notar como o modo de produção se
modificou com a introdução dos SI nas empresas desta indústria, e quantos são
os envolvidos nesse novo modo de plantar e colher vegetais. O trabalho aparece
totalmente ligado às TI que sustentam o lucro e a produtividade.
7
Outsourcing é o termo em Inglês que designa a acção que existe por parte de uma organização
em obter mão-de-obra de fora da empresa. Está fortemente ligada à ideia de sub-contratação de
serviços.
28
CAPÍTULO 2. CONTEXTUALIZAÇÃO
Figura 2.11 – Panorama da actividade empresarial (Fonte: Serrão (2009))
A figura 2.11 dá um exemplo prático de e-business, em que um cliente encomenda um
produto, via Internet, a uma determinada empresa, que através de uma sede central
de gestão, coordena todos os aspectos de desenvolvimento, fabrico e entrega desse
produto, recorrendo a grupos de trabalho remotos, fábricas, e serviços outsourcing.
A informatização das empresas traduziu-se numa verdadeira revolução. No entanto,
as redes informáticas possuem vulnerabilidades, que convenientemente exploradas,
poderão por em risco a informação das empresas. Tendo em conta o valor e a
importância que a informação tem para as organizações, nasce automaticamente a
necessidade de desenvolver sistemas de segurança que a protejam.
O próximo capı́tulo irá abordar o tema da Segurança Informática
3
Segurança em Redes e
Sistemas de Informação
Devido ao desenvolvimento da Internet, com o rápido e claro aumento do número
de utilizadores e do valor das suas transacções, as empresas abrem, cada vez mais, o
seu SI aos seus parceiros, clientes e fornecedores, ficando cada vez mais expostas ao
mundo exterior. Com isto, aumenta também a preocupação com a sua segurança.
Neste contexto, há 3 razões que as empresas referem para justificar esta preocupação:
1. Dependência dos SI: Sem computadores e sistemas de comunicação, a grande
maioria das empresas ficariam incapazes de fornecer serviços, processar facturas,
contactar clientes e fornecedores ou efectuar pagamentos.
2. Vulnerabilidade dos SI: Os SI exigem um ambiente estável, pois estão
vulneráveis a desastres naturais, acidentes ou ataques do foro informático.
Sendo estes sistemas a chave para o armazenamento e acesso a uma vasta
quantidade de dados corporativos sigilosos, tornam-se assim um alvo atraente
para os criminosos virtuais e espiões. Tornadas públicas, estas informações
poderão causar embaraço e, em alguns casos, o fracasso da organização.
3. Investimento em SI e TI: Os SI são caros tanto no desenvolvimento quanto
na manutenção e a administração deve proteger esse investimento, tanto a
nı́vel fı́sico como a nı́vel lógico, tal como a qualquer outro recurso valioso.
29
30
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
3.1
Conceitos e Pressupostos
A segurança informática pode ser entendida como a capacidade de uma rede ou SI
resistir, com um dado nı́vel de confiança, a eventos acidentais ou acções maliciosas
que comprometam os dados, armazenados ou transmitidos, e os serviços conexos
acessı́veis através dessa rede.
Segundo Albuquerque and Ribeiro (2002), há 3 requisitos básicos para garantir a
segurança da informação:
• Confidencialidade: Garante que a informação somente pode ser acedida por
pessoas explicitamente autorizadas. Logo, não deve acontecer a divulgação
intencional (ou não) de informações reservadas.
• Disponibilidade: A informação deve estar disponı́vel no momento em que a
mesma for necessária ao utilizador autorizado.
• Integridade: A informação deve ser recuperada na sua forma original (no
momento em que foi armazenada). Este requisito é a protecção da informação
contra modificações por parte de pessoas ou processos não autorizados ou
modificações desautorizadas por parte de utilizadores autorizados.
Porém, Rezende and Abreu (2000) e Sêmola (2003) defendem que para que uma
informação seja considerada segura, deverão respeitar-se também os critérios:
• Autenticidade: Este requisito fornece garantia da origem dos dados e da
identidade da pessoa ou sistema. O serviço de autenticação deve informar se
a mensagem é realmente procedente da origem indicada no seu conteúdo.
• Não repúdio: O utilizador não pode negar (no sentido de dizer que não foi
feito) que efectuou uma operação que modificou ou criou uma informação no
sistema. Não é possı́vel negar o envio ou recepção de uma informação.
• Auditoria: Inspecção dos diversos passos de um negócio ou processo, e
consequentemente do estado da informação, aumentando a sua credibilidade.
3.1. CONCEITOS E PRESSUPOSTOS
31
Contudo, nem sempre é possı́vel garantir todos os requisitos de segurança, devido às
vulnerabilidades que os sistemas informáticos possuem que, devidamente exploradas,
permitirão a execução de ataques informáticos, que vão desde a espionagem da
informação do sistema, até à alteração, não autorizada, do seu conteúdo.
Com os
ataques informáticos nasce a denominada
cibercriminalidade, termo
referente a actos criminosos no ambiente virtual.
Os criminosos que executam tais ataques são hoje conhecidos, pela maioria das
pessoas, como Hackers. No entanto, este termo é incorrecto.
O termo Hacker foi usado originalmente no MIT1 na década de 50 para definir
pessoas interessadas pela era da informática. Essa definição diz que um Hacker é
uma pessoa que consegue hackear, que vem do verbo inglês To Hack, que diz:
Hack é o acto de alterar alguma coisa que já está pronta ou em desenvolvimento,
deixando-a melhor.
Nesse sentido, os Hackers seriam as pessoas que criaram a Internet, que criaram o
Windows, o Linux e os especialistas em segurança das grandes empresas. Contudo,
depois do surgimento da Internet, os meios de comunicação social passaram a utilizar
o termo
Hacker para definir os infractores das leis no mundo digital, tal como
ladrões de bancos ou de números de cartões de crédito, via Internet.
Com isto, os Hackers que desenvolveram o termo original sentiram-se ofendidos
e acabaram por criar o termo Cracker para definir estes criminosos. Mas, mesmo
assim, acabaram por se gerar confusões entre os dois termos, pois algumas pessoas
afirmam que a diferença entre
Hacker e
Cracker é que o
Hacker invade
apenas para espiar, enquanto o Cracker invade para destruir, o que é incorrecto.
Os Hackers utilizam todo o seu conhecimento para melhorar softwares de forma legal.
A verdadeira expressão para invasores de computadores é denominada Cracker e
o termo designa programadores maliciosos e ciberpiratas que agem com o intuito de
violar ilegal ou imoralmente sistemas cibernéticos (Santos et al., 2007).
1
MIT, do inglês Massachusetts Institute of Technology, é uma organização com o objectivo de
fazer avançar o conhecimento e educar os alunos em ciência, tecnologia e outras áreas de estudos
que melhor servir a nação e o mundo do século XXI.
32
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Os Crackers, geralmente, são Hackers que se querem vingar de algum operador,
adolescentes que querem ser aceites por grupos
Crackers (Script Kiddies) ou
mestres de programação pagos por empresas para realizarem espionagem industrial.
Devido à controvérsia ao redor do significado do termo Hacker, procurando evitar
confusões, foram criados novos termos, utilizando a palavra
hat, em português
chapéu. A origem desta ideia esteve nos filmes Western a preto e branco, onde a
cor do chapéu definia de qual lado (bem ou mal) o personagem estava.
Desta forma, de acordo com Arnone (2005), os Hackers estão divididos em:
• White Hats (Chapéu Branco): Indicam um Hacker, ético, interessado
em segurança, que utiliza os seus conhecimentos na exploração e detecção de
erros de concepção, dentro da lei. A atitude tı́pica de um White Hat assim
que encontra falhas de segurança é a de entrar em contacto com os responsáveis
pelo sistema e informá-los sobre o erro, para que possam tomar medidas
preventivas e correctivas.
• Black Hats (Chapéu Preto): Indicam um Hacker criminoso, malicioso,
sem ética, de perfil abusivo ou rebelde, comparável a um terrorista. Geralmente
são especialistas em invasões maliciosas e silenciosas. Na sua acção, descobrem
falhas de segurança e criam exploits2 para explora-las. Agem para obter
retorno financeiro, ou porque simplesmente gostam do que fazem.
• Gray Hats (Chapéu Cinzento): Têm as habilidades e intenções de um
White Hat, mas por vezes utilizam os seus conhecimentos para propósitos
menos nobres. São, no fundo, White Hats que às vezes utilizam práticas dos
Black Hats para cumprir a sua agenda, pois trabalham tanto para propósitos
defensivos como com propósitos ofensivos, sendo por vezes denominados de
Mercenários. Defendem que é aceitável invadir sistemas desde que não se
cometa roubo, vandalismo ou se infrinja a confidencialidade.
2
Um exploit, em segurança de informação, é um programa de computador, uma porção de dados
ou uma sequência de comandos que se aproveita das vulnerabilidades de um sistema computacional.
3.2. VULNERABILIDADES
3.2
33
Vulnerabilidades
No mundo em que vivemos pouco ou nada é perfeito. Todos os sistemas possuem
falhas e os SI não são excepção. Algumas falhas podem deixar os SI perigosamente
vulneráveis a ataques informáticos, abordados mais à frente.
Estas falhas podem ser provenientes de:
•
Bugs3 em determinados softwares do sistema que podem provocar falhas na
segurança geral do computador ou da rede, principalmente em programas que
têm alguma forma de conexão à Internet, tal como os Browsers. Os Bugs
surgem a partir do momento que o programador de um determinado software
comete um erro, e estão presentes em qualquer programa desde um simples
editor de texto até ao próprio sistema operativo (SO). Por mais insignificantes
que as falhas pareçam, estas podem comprometer a segurança de uma rede
inteira. Alguns bugs causam o aparecimento dos temı́veis ecrãs BSOD (Blue
Screen of Death) e/ou RSOD (Red Screen of Death), ambos exibidos pelos SO
no caso de erros muito graves;
Sabia que:
O ENIAC (Electronic Numerical Integrator and Computer), primeiro
computador digital completamente electrónico, contribuiu para o uso do termo
Bug, que em português significa
Insecto. Este computador era movido
a válvulas que atraiam milhares de insectos.
Como dezenas de válvulas
queimavam a cada hora, o computador, que ocupava o espaço de uma sala, era
aberto frequentemente e montes de insectos mortos eram varridos para fora.
Diz-se que esses insectos provocavam Curto-Circuitos nas placas do ENIAC
levando a falhas nos programas. Dessa relação surgiu o termo Bug que
se tornou sinónimo de falha. Hoje em dia, quando se descobre um erro em
qualquer programa diz-se “Encontrei um Bug”.
3
Bug é um erro no funcionamento de um software, normalmente devido a falhas de programação
do mesmo durante a fase de desenvolvimento. Alguns erros podem impossibilitar a realização de
uma acção na utilização de um programa.
34
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Prevê-se que ocorra um grande Bug em 2038, relacionado com uma falha na
representação de datas em computadores. O problema afecta programas que
utilizam representação POSIX4 , em que a data é calculada através do número
de segundos (ignorando segundos bissextos) desde 1 de Janeiro de 1970. Na
maioria dos sistemas de 32 bits, o tipo de dados utilizado para armazenar esta
contagem é um
inteiro de 32 bits do tipo signed (considera o sinal). No
entanto, o último registo de tempo que pode ser representado neste formato é
03:14:07 na Terça Feira 19 de Janeiro de 2038. Após este momento, a data será
representada por um número decimal negativo, o que resultará, certamente,
em erros de cálculo e de funcionamento na maior parte dos programas.
Ainda não foi encontrada uma forma simples de resolver o problema.
• Configurações de segurança incorrectas: Os administradores necessitam
contratar especialistas com conhecimentos suficientes para detectar e corrigir
as vulnerabilidades do sistema. Caso contrário, acabarão por surgir várias
vulnerabilidades no sistema como ficheiros sem protecção, vulnerabilidades
em mecanismos de controlo de acesso, permissão habilitada para execução de
código externo, etc. Esse esforço tem que ser constante e mesmo assim algumas
vulnerabilidades passam desapercebidas. Ingratamente, o Cracker apenas
precisa descobrir uma única falha para conseguir atingir os seus objectivos.
• Desinteresse dos Administradores pela Segurança: Falta de polı́ticas
de segurança ou planos de contingência. Por vezes nem sequer existe Firewall
e/ou antivı́rus e os updates de segurança estão totalmente desactualizados;
• Incumprimento das regras básicas de segurança: Os utilizadores do
sistema aparecem constantemente como o Elo mais fraco do sistema, criando,
pelas suas acções, várias vulnerabilidades, tais como utilização de passwords
intuitivas e fáceis de decifrar, utilização ou acesso a serviços duvidosos e
inseguros, sem preocupações a nı́vel de segurança tal como o uso de Antivı́rus,
falta de cuidado com a navegação na Internet e com a abertura de ficheiros
desconhecidos, etc (figura 3.1). Estas acções põem em causa a segurança da
informação e do sistema que a suporta.
3.2. VULNERABILIDADES
Figura 3.1 – Utilizador como
35
Elo mais fraco do sistema
Axioma da Segurança: “Uma corrente não é mais forte do que o seu elo mais
fraco”. William James
Figura 3.2 – Vulnerabilidades dos Sistemas de Informação (Fonte: Santos (2007))
Segundo RFC2828 (2010), vulnerabilidade é uma falha no sistema que pode ocorrer
no projecto, na implementação, na operação ou gestão deste e que pode ser explorada
para violar a sua politica de segurança.
As vulnerabilidades dos SI são uma porta aberta para os Crackers acederem à
informação que estes sustentam (figura 3.2). É vital identificar essas vulnerabilidades
e corrigi-las de forma a evitar ataques informáticos (Santos, 2007).
36
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
3.3
Ameaças
Segundo Serrano (2007), “as vulnerabilidades são inevitáveis. Comercialmente 1
erro por cada 1000 linhas de código é considerado um resultado aceitável, mas
estatı́sticamente não é possı́vel escrever código com menos de 1 erro a cada 10 mil
linhas”. O Windows Vista, por exemplo, possui cerca de 60 milhões de linhas de
código, o que se irá traduzir em muitos erros de código, que representarão várias
vulnerabilidades no sistema. Estas vulnerabilidades são, geralmente, difı́ceis de
detectar e de difı́cil resolução. O ActiveX5 , por exemplo, possuı́ bugs que permitem
que, ao visitar um site, o Internet Explorer instale um programa no computador do
utilizador e o execute sem que este perceba. Logo, é válido dizer que:
A existência de uma vulnerabilidade implica sempre a existência de
uma ou mais ameaças.
Do ponto de vista da segurança, os SI apresentam vulnerabilidades e estão sujeitos
a ameaças internas e/ou externas à organização (figura 3.3) (Santos, 2007).
Figura 3.3 – Representação das Ameaças e Vulnerabilidades (Fonte: Santos (2007))
5
ActiveX é uma tecnologia para o desenvolvimento de páginas dinâmicas. Alguns sites requerem
a instalação de controlos ActiveX para a sua visualização ou desempenho de certas tarefas.
3.3. AMEAÇAS
37
Com o objectivo de identificar as principais ameaças que poderão, eventualmente,
afectar os recursos informáticos de uma organização, Pimenta (2005), no âmbito
do seu estudo, recorreu aos dados provenientes do relatório “CSI/FBI - Computer
Crime and Security Survey” de 2004 (tabela 3.1), considerado uma das principais
referências em pesquisas sobre segurança de informação.
Tabela 3.1 – Probabilidade de ocorrência de ameaças
No
Ameaças
Probabilidade de Ocorrência
1
Vı́rus
78%
2
Abuso de Acesso à Internet
59%
3
Acesso não autorizado à Informação
39%
4
Invasão de Sistema
37%
5
Negação de Serviço
17%
6
Roubo de Informação Proprietária
10%
7
Fraude Financeira
5%
Como podemos ver pela tabela 3.1, existem ameaças com uma probabilidade de
ocorrência superior a 50%, o que não é nada animador para quem possui SI com
informação sigilosa, pois é mais provável que acabem por ser atacados do que o caso
contrário.
Este facto deverá consciencializar os administradores de que é vital haver uma
preocupação com a segurança dos seus recursos de modo a reduzir a probabilidade de
ocorrência de todas estas ameaças, algumas delas perigosı́ssimas para a actividade
de negócio das organizações.
Nota: Os SI não são somente atacados remotamente, através da rede, podendo
também sofrer ameaças a nı́vel fı́sico, tal como roubo ou danificação de qualquer
elemento fı́sico da rede. Embora o relatório da CSI/FBI também refira ameaças
fı́sicas, apenas me debruçarei sobre as ameaças do foro lógico, pois as primeiras não
são objecto de estudo desta Dissertação de Mestrado.
38
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
3.3.1
Classificação das ameaças
Tendo em conta que a função do computador ou de uma rede de computadores
é providenciar informação e que, em geral, existe um fluxo de informação de uma
fonte para um destino (alı́nea (a) da figura 3.4), segundo o estudo de Estrela (1998) e
Santos (2007), as ameaças podem ser classificadas de acordo com quatro categorias:
Figura 3.4 – Classificação das ameaças (Fonte: Estrela (1998))
• Interrupção: Um recurso do sistema é destruı́do ou torna-se indisponı́vel
(alı́nea (b) da figura 3.4). Esta é uma ameaça à disponibilidade da informação.
Exemplos de interrupção incluem a destruição de hardware, o corte de uma
linha de comunicação ou a desactivação do sistema de gestão de ficheiros.
• Intercepção: Uma parte não autorizada ganha acesso a um recurso (alı́nea
(c) da figura 3.4). Esta é uma ameaça à confidencialidade da informação. A
parte não autorizada pode ser uma pessoa, um programa ou um computador.
3.3. AMEAÇAS
39
• Modificação: Uma parte não autorizada não só ganha acesso como também
interfere com um recurso (alı́nea (d) da figura 3.4), tornando-se uma ameaça
à Integridade da informação. Exemplos incluem a alteração de valores num
ficheiro de dados, de um programa (de forma a que este funcione de maneira
diferente) e a modificação do conteúdo de mensagens transmitidas numa rede.
• Produção/Fabricação: Uma parte não autorizada insere objectos forjados
na rede (alı́nea (e) da figura 3.4). Consiste numa ameaça à autenticidade
da informação. Exemplos incluem a inserção de mensagens ou transacções
espúrias na rede de comunicação ou a adição de registos numa base de dados.
Caso uma ameaça se concretize torna-se um ataque ou Incidente de Segurança da
Informação, definido na norma ISO/IEC 17799:2005 como um ou mais eventos que
têm uma significativa probabilidade de produzirem danos.
Segundo Estrela (1998), esses ataques podem ser divididos em duas categorias:
• Ataques passivos: São ataques de natureza de escuta ou monitoria de
transmissões. O objectivo do atacante é obter informação que esteja a ser
transmitida. Os ataques passivos são da categoria de ameaças Intercepção e
envolvem dois tipos de acções: obtenção do conteúdo de mensagens e análise
de tráfego. Os ataques passivos são muito difı́ceis de detectar já que não
envolvem qualquer alteração dos dados. No entanto, é possı́vel preveni-los.
• Ataques activos: Estes ataques envolvem alguma modificação do fluxo de
dados ou a criação de dados falsos e podem ser subdivididos em quatro tipos.
O mascaramento, quando uma entidade finge ser outra, permitindo que uma
entidade com poucos privilégios possa obter privilégios extra, fingindo ser uma
entidade que os possui. A repetição, que envolve a captura passiva de dados e
a sua subsequente retransmissão. A modificação de mensagens, quando uma
mensagem legı́tima é alterada. E finalmente, a negação de serviço que evita ou
inibe a utilização normal dos recursos da rede, desactivando-os ou saturandoos com mensagens de forma a degradar o seu desempenho.
É bastante difı́cil prevenir estes ataques já que seria necessária a protecção de
todos os recursos e linhas de comunicação da rede, a tempo inteiro.
40
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
3.3.2
Metodologias de Ataques Informáticos
Na secção anterior vimos que existem 4 categorias de ameaças à informação que
podem traduzir-se em ataques activos e/ou passivos. Contudo, estes ataques podem
ser implementados segundo várias metodologias ou técnicas:
Malware
O termo malware, do Inglês malicious software, é relativo a um software destinado
a infiltrar-se num sistema computacional, de forma ilı́cita, com intuito de causar
algum dano ou roubo de informação. Alguns exemplos de malware são:
• Vı́rus Informático: Segmento de código malicioso, normalmente anexo a
outros programas, desenvolvido para se copiar a si próprio, de computador em
computador, de forma a espalhar-se rapidamente pelos recursos do sistema,
propagando a infecção à medida que circula, tal como um vı́rus biológico.
Os vı́rus informáticos, geralmente, atacam programas e o sector de boot6 do
disco, destroem ficheiros, modificam dados e comprometem sistemas. Porém,
estes necessitam de interacção humana para se espalharem (por exemplo, o
utilizador abrir um ficheiro infectado).
No
Anexo A poderemos ver o
Ranking dos vı́rus informáticos mais
perigosos dos últimos 20 anos, divulgado num estudo da Panda Security,
no âmbito da comemoração do seu 20o aniversário.
• Worms: São uma subclasse de vı́rus informático. Porém, ao contrário deste
último, espalham-se sem a interacção do utilizador, distribuindo cópias de si
próprio através da rede e tomando o controlo de funções do computador que
permitem transportar informação. Depois de entrar no sistema, um worm
movimenta-se sozinho e multiplica-se em grande volume, podendo, para além
de outros tipos de danos, consumir memória ou largura de banda, fazendo com
que o computador fique bloqueado.
6
Boot, em computação, é o termo em inglês para o processo de inicialização do computador que
carrega o sistema operativo quando a máquina é ligada.
3.3. AMEAÇAS
41
• Trojans ou Cavalos de Tróia: São programas disfarçados, aparentando
ser software útil, que executam uma determinada tarefa maligna, com o intuito
de comprometer a segurança do sistema. Acontece com bastante frequência um
utilizador executar um jogo adquirido através da Internet, que secretamente,
instala um Trojan que abre uma porta TCP para possibilitar uma invasão ao
sistema. Entre os mais populares estão o NetBus e o Back Orifice.
Sabia que:
Esta técnica foi buscar a sua designação a um episódio bastante conhecido da
mitologia grega, quando soldados gregos, escondidos dentro do que aparentava
ser um cavalo de madeira, saindo do seu interior tomaram a cidade de Tróia.
Um Trojan usa também um disfarce para atingir os seus propósitos.
• Spyware: Estes programas monitorizam e reportam o uso que fazemos dos
programas, especialmente o uso da Internet, transmitindo toda a informação
do utilizador para uma entidade externa sem o conhecimento ou consentimento
deste. São utilizados, sobretudo, como ferramentas de marketing, e muitas
vezes estão na origem de mail spam7 .
•
Rogueware: São falsos anti-vı́rus (PcLiveGuard ou GreatDefender ), que se
fazem passar por aplicações de software legı́timas para enganar os utilizadores,
levando-os a crer que eliminam as ameaças que afirmam ter detectado em troco
do pagamento da versão completa, roubando-lhes no fundo o seu dinheiro. O
processo de instalação é semelhante ao de qualquer outro antivı́rus, permitindo
que os utilizadores seleccionem o idioma e a localização dos ficheiros. Após a
instalação, para convencer os utilizadores de que estão protegidos, é mostrado
um ı́cone no ambiente de trabalho e na barra de tarefas, tornando-o o mais
autêntico possı́vel. No final, os utilizadores têm instalada uma aplicação que
na realidade nada faz e os seus dados bancários serão provavelmente utilizados
sem o seu consentimento noutras ilegalidades.
7
Spam é uma mensagem electrónica não solicitada enviada em massa. Geralmente, consiste em
e-mails com fins publicitários, mas que, por vezes, são aproveitados para difundir links maliciosos.
42
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Decifragem de Passwords e Falhas de Autenticação
Quando nos queremos conectar a um sistema informático, este pede, na grande
maioria das vezes, um identificador (em inglês
username) e uma palavra-chave
(em inglês password) para que possamos aceder aos seus recursos. Este par de
parâmetros forma assim a chave que nos permite obter um acesso ao sistema. O
identificador é, geralmente, atribuı́do automaticamente pelo sistema ou pelo seu
administrador, porém a escolha da password é deixada frequentemente à escolha
do utilizador. Assim, a maior parte dos utilizadores, considerando que não têm
nada de realmente secreto a proteger, contenta-se em utilizar uma password fácil
de memorizar (o seu nome ou a sua data de nascimento). Este facto tornou-se um
atractivo para os
Crackers, pois segundo Estrela (1998) “o acesso mais fácil a
um sistema é normalmente a porta da frente, isto é, o comando login”. Neste
âmbito, a password do utilizador é normalmente a primeira vulnerabilidade que um
Cracker tenta explorar, existindo para isso várias metodologias de ataque:
•
Ataque por Força Bruta: É um algoritmo trivial, mas de uso geral,
que consiste em enumerar todos os possı́veis candidatos de uma solução e
verificar se cada um satisfaz o problema. Em criptografia, envolve cruzar o
algoritmo de busca de chaves possı́veis até a chave correcta ser encontrada.
No acesso ao sistema, através da chave
username/password , um
ataque
por força bruta poderá ser útil para tentar adivinhar este conjunto através
do meio tentativa e erro até à exaustão, até encontrar o conjunto correcto.
Este ataque terá que ser executado através de um código automatizado, pois
devido à magnitude de soluções é inviável executá-lo manualmente.
•
Ataque por Dicionário: O ataque por força bruta pode demorar horas,
dias, ou até anos de cálculo mesmo com máquinas equipadas com processadores
potentes. Uma alternativa é o Ataque por Dicionário.
Visto que, na maior parte dos sistemas, as passwords são armazenadas de
maneira codificada, num ficheiro ou numa base de dados, sendo de um universo
legı́vel, quando um
Cracker tem acesso ao sistema e obtém este tipo de
ficheiros, é-lhe possı́vel realizar ataques offline com recurso a dicionários.
3.3. AMEAÇAS
O
43
ataque por dicionário consiste, então, na cifragem das palavras de um
dicionário através da função crypt(), e na posterior comparação com os ficheiros
de passwords de utilizadores. Desta forma, quando uma palavra do dicionário
cifrada coincide com a password cifrada de um utilizador, o atacante obtém
a password correcta. Com este ataque o Cracker consegue desvendar uma
password fraca em poucos minutos.
Sabia que:
O ataque por dicionário foi criado por Robert Morris, coincidência ou não,
filho de Robert Morris da NSA (National Security Agency) que foi um dos
pesquisadores que desenvolveu a função crypt(). Ironia do destino, mais tarde
o seu filho utilizou-a para propósitos menos nobres.
• Key Logger: É um software em permanente execução, embora o utilizador
não consiga visualizar a sua actividade, que captura os dados inseridos no
teclado do computador. Esta aplicação tem a capacidade de identificar o
preciso momento em que o utilizador acede a um site protegido, gravando a
partir daı́ a sequência de teclas pressionadas para envio dissimulado para o
atacante, via Internet, para que este possa recolher os dados sigilosos.
• Teclado Virtual Falso: É um software malicioso que abre uma janela de
teclado virtual clonado exactamente sobre o teclado virtual legı́timo do banco,
para que o utilizador coloque lá os seus dados sem a mı́nima desconfiança.
• Mouse Loggers: É um software que captura os movimentos e cliques do
rato com o objectivo de contornar os teclados virtuais dos bancos. Os mais
recentes capturam, inclusive, uma pequena imagem da área onde o clique do
rato ocorreu para reconhecer os dı́gitos seleccionados nos teclados virtuais.
Espionagem: Por vezes, basta observar os papéis em redor do ecrã do utilizador ou
dar uma simples espreitadela aquando da introdução da password para conseguir
decifra-la. Porém, é um ataque de carácter fı́sico e não faz parte deste estudo.
44
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Engenharia Social
Por vezes, para que o Cracker possa chegar à abordagem directa de um ataque,
necessita obter informações de modo indirecto. Para isso, recorre muitas vezes à
chamada
Engenharia Social que consiste, no fundo, em enganar pessoas para
conseguir vantagens, como no caso do indivı́duo que liga para um serviço e pergunta
“Por favor, perdi a minha password de Internet. Poderia consultar o sistema e
relembrar-me os meus dados de acesso?”. Alguns técnicos pedem alguns dados
pessoais para comprovar a identidade da pessoa, outros, como técnicos insatisfeitos
ou ingénuos, ignoram o assunto e fornecem todos os dados que lhe pedirem.
Se o leitor tiver curiosidade, desloque-se a uma companhia telefónica e peça a
segunda via de um cartão qualquer. Muito provavelmente nem sequer lhe pedem
nenhum documento de identificação.
Contudo, a eficiência desta metodologia depende muito das habilidades pessoais do
Cracker, podendo ser realizada através de telefonemas, e-mails, iMessenger, e até
mesmo pessoalmente. Embora não seja propriamente um tipo de ataque a redes
de computadores, permite ao Cracker obter informações importantı́ssimas para
poder realizar um ataque eficaz. Algumas das técnicas utilizadas são:
• Phishing: É uma técnica cibercriminosa, através da qual o atacante utiliza
e-mails fraudulentos, enviados em massa, a solicitar informações confidenciais,
sobretudo financeiras, constituindo uma séria ameaça, tanto para utilizadores
domésticos, como para empresas. Recentemente têm surgido várias variantes
desta técnica, que envolvem o envio de um e-mail que ao invés de conter links
que direccionam para um formulário onde é requerida informação confidencial,
direccionam para páginas que contêm programas maliciosos, dos mais variados
tipos, que se auto-instalam no computador do utilizador.
• Pharming ou DNS poisoning: É uma variante sofisticada de Phishing,
que consiste em corromper o DNS de uma rede de computadores, fazendo com
que o URL de um site passe a apontar para um servidor diferente do original.
O processo é simples: Como um endereço IP é difı́cil de memorizar, existe um
nome de domı́nio, mais amigável, que lhe está associado (www.dominio.pt).
3.3. AMEAÇAS
45
Sempre que é introduzido um nome de domı́nio no browser, este é traduzido
para o endereço IP correspondente, permitindo assim aceder ao site pretendido.
Um ataque de Pharming manipula esta tradução, alterando-a de acordo com
os desejos do atacante. Deste modo, o endereço IP associado a um domı́nio
poderá apontar para uma página fictı́cia, geralmente uma cópia fiel da página
original e com nome de domı́nio muito semelhante, hospedada noutro servidor
com outro endereço IP, que está sobre o controlo do Cracker (figura 3.5).
Desta forma, embora o utilizador introduza o Nome de Domı́nio correcto, é
dirigido para um servidor diferente do pretendido, sem que se aperceba que está
a ser atacado, criando a falsa impressão que está no site desejado, induzindo-o
a fornecer os seus dados pessoais, que serão armazenados pelo servidor falso.
Figura 3.5 – Técnica
•
DNS Poisoning
Scamming: Técnica que visa roubar passwords e números de contas de
clientes bancários enviando um e-mail falso oferecendo um serviço na página
do banco. A maioria dos bancos não enviam e-mails a oferecer seja o que for,
por razões de segurança, logo qualquer e-mail desta espécie é falso.
46
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Negação de Serviço
Este ataque, ilustrado na figura 3.6, consiste, na sua generalidade, em sobrecarregar
um servidor com uma quantidade excessiva de solicitações de serviços, fazendo com
que este fique impedido de processar os pedidos normais, bloqueado-o.
Figura 3.6 – Técnica
Negação de Serviço
Dando um exemplo de um ataque deste tipo, é do conhecimento de todos que a maior
parte dos sistemas são configurados de maneira a bloquear temporariamente a conta
de um utilizador após diversas tentativas de login infrutı́feras. Desta forma, os
sistemas conseguem escapar a
ataques por força bruta, pois apenas permitem
duas ou três tentativas de autenticação, sem que a conta seja bloqueada. Assim, um
Cracker dificilmente conseguirá infiltrar-se no sistema, por esse método.
No entanto, o Cracker pode servir-se desse mecanismo de controlo de acesso para
bloquear constantemente todas as contas, através de um ataque por força bruta,
acabando por impedir o acesso ao sistema a qualquer utilizador. Isto causa uma
indisponibilidade do sistema, isto é, uma Negação de Serviço.
A principal função desta metodologia é, no fundo, impedir que os utilizadores façam
uso de um determinado serviço ou sistema.
Geralmente, é feito através do derrube de conexões e/ou serviços pelo excesso de
dados enviados simultaneamente a uma determinada máquina ou rede.
3.3. AMEAÇAS
47
As variantes mais conhecidas desta metodologia são:
• DDoS (Distributed Denial of Service): É um método de ataque conjunto
e coordenado entre várias máquinas a um servidor vı́tima (figura 3.7).
Figura 3.7 – Ataque Negação de Serviço Distribuı́da
Nesta variante, o agressor invade vários computadores, que podem chegar aos
milhares, onde instala software silencioso, denominado por alguns autores
como zombies. Quando é dada a ordem para iniciar o ataque, cada software
malicioso, instalado em cada máquina, começa a bombardear o servidor alvo
com solicitações. As solicitações atingem um número de tal forma grande que
o servidor acaba por sair de serviço.
Com esta técnica alguns
Crackers conseguiram paralisar sites como o da
CNN, Yahoo!, entre muitos outros.
• Mail Bomb: É a técnica de
inundar um computador com mensagens
electrónicas. Em geral, o agressor usa um script para gerar um fluxo contı́nuo
de mensagens e abarrotar a caixa de correio electrónico de um utilizador. A
sobrecarga tende a provocar negação de serviço no servidor de e-mail. Existem
diversos programas que automatizam o mail bombing.
48
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
• Ping of death: Consiste em enviar um pacote IP com tamanho maior que o
máximo permitido (65535 bytes), para a máquina vı́tima. O pacote é enviado
em fragmentos, pois nenhum tipo de rede permite o tráfego de pacotes com
este tamanho. Quando a máquina tenta montar os fragmentos, inúmeras coisas
podem ocorrer: a maioria das máquinas bloqueiam, algumas reiniciam, outras
abortam e mostram mensagens na consola, etc. Este ataque chama-se Ping
of Death pois as suas primeiras ocorrências foram a partir do comando ping.
• Smurf: Nesta metodologia, o agressor, numa primeira fase (figura 3.8), envia
uma rápida sequência de solicitações Ping (comando básico para testar a
disponibilidade de uma máquina) para um endereço de broadcast fazendo-se
passar por outra máquina (Técnica IP Spoofing (figura 3.11)).
Figura 3.8 – Ataque Smurf, envio de pacotes Ping
3.3. AMEAÇAS
49
Numa segunda fase (figura 3.9), o
Cracker faz com que o servidor de
broadcast encaminhe as respostas não para o seu endereço, mas para o da
vı́tima. Assim, o computador alvo é inundado pelo Ping. Esta técnica pode
utilizar várias máquinas, tal como ilustrado na figura 3.8 e figura 3.9.
Figura 3.9 – Ataque
Smurf, respostas para a vı́tima
• Syn Flood: Esta metodologia de ataque (figura 3.10) consiste no envio de um
grande número de pacotes de abertura de conexão (SYN), com um endereço
de origem forjado (IP Spoofing, figura 3.11), para um determinado servidor.
O servidor ao receber os pacotes, coloca uma entrada na fila de conexões em
andamento e envia um pacote de resposta (SYN-ACK), ficando a aguardar
uma confirmação da máquina cliente.
50
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Como o endereço de origem dos pacotes é falso, a confirmação nunca chega
ao servidor. Deste modo, a fila de conexões do servidor fica lotada e, a partir
daı́, todos os pedidos de abertura de conexão são descartados e o serviço fica
paralisado. Esta paralisação persiste até que o servidor identifique a demora
e remova a conexão em andamento da lista.
Figura 3.10 – Ataque Syn Flood
•
Buffer Overflow: É a técnica de tentar armazenar mais dados do que
a memória do sistema suporta, causando erros e possibilitando a entrada do
invasor. Geralmente, neste tipo de ataque, o Cracker consegue o domı́nio
do programa atacado e privilégios de administrador na máquina hospedeira.
• SQL Injection: Trata-se da manipulação de uma instrução SQL através das
variáveis que compõem os parâmetros recebidos por um script, tal como PHP,
ASP, etc. Esta técnica consiste em passar parâmetros a mais, via barra de
navegação do browser, inserindo instruções não esperadas pela base de dados.
Geralmente o atacante utiliza esta metodologia para roubar dados ou danificar
a base de dados que está no servidor, provocando uma Negação de Serviço.
3.3. AMEAÇAS
51
Bugs & Backdoors
Estes métodos de ataque têm como principal objectivo obter acesso não autorizado
a um determinado sistema, explorando bugs e criando Backdoors.
• Spoofing ou
Acesso por imitação: É a técnica de um determinado
activo se fazer passar por outro computador da rede para conseguir acesso ou
permissões root num determinado sistema. Há muitas variantes desta técnica.
Uma delas é o IP Spoofing (Figura 3.11).
Figura 3.11 – Ataque IP Spoofing
Em primeiro lugar, analisando a figura, vemos que existe uma conexão confiável
entre a máquina X e Y, logo qualquer fluxo de informação entre estas duas
máquinas será considerado válido e seguro.
Começando o seu ataque, o Cracker, através de um pacote legı́timo e com
o endereço de origem verdadeiro, envia vários pedidos de conexão a X. Este
responde com um número de sequência para que o invasor o repita e efectue
a conexão, mas este não tem previlégios e não lhe interessa fechar a conexão.
Logo, apenas guarda os pacotes de X para verificar o seu número de sequência.
52
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Após vários pedidos de conexão com X, o
Cracker pode decifrar o modo
como X gera os seus números de sequência. Quando isso acontece, o atacante
envia um pedido de conexão, desta vez com o endereço de origem forjado,
fazendo-se passar por Y (computador confiável). Isto é possı́vel devido às
caracterı́sticas do protocolo IP, que têm como base uma premissa simples: cada
pacote deverá ir para o endereço de destino e não há verificação do endereço
de origem. Logo, nada impede que um Cracker altere o endereço de origem
de um pacote para que ele pareça ter vindo de outro lugar.
Obviamente, o invasor não vai receber os pacotes de X com os números de
sequência, pois estes irão para o endereço de origem (computador Y), que
nesse momento deverá estar sobrecarregado pelo Cracker, de modo a não
conseguir responder a X. Contudo, com base nos cálculos anteriores, o invasor
prevê o número de sequência de X e envia-o correctamente para este, fechando
a conexão. A partir desse momento, X pensa que está a comunicar com Y,
e o invasor, estando sob esse disfarce ganha as permissões da máquina Y.
Sabia que:
O IP Spoofing ficou famoso após ter sido a
atracção principal do ataque
à rede de Tsutomu Shimomura, um dos maiores especialistas de segurança
do EUA, quando através dele, o mais famoso
Cracker americano, Kevin
Mitnick, invadiu a sua rede particular roubando alguns dos seus programas.
• Rootkits: Um Cracker, ao realizar uma invasão, pode utilizar mecanismos
para esconder e assegurar a sua presença no computador comprometido, de
modo a não deixar pistas e a criar portas de fundo (Backdoors) para futuras
invasões. Estes mecanismos são conhecidos como rootkits.
• Exploits: São programas que exploram vulnerabilidades conhecidas. Estes
programas atraem o público pois, de forma geral, são muito pequenos e fáceis
de usar e os benefı́cios que eles proporcionam são imediatos e satisfatórios.
• Scanning de Portas: Consiste no uso de programas que identificam as portas
activas do sistema, por onde, eventualmente, este poderá ser invadido.
3.3. AMEAÇAS
53
Acesso à Informação
Esta categoria engloba algumas metodologias de ataque com o propósito directo de
aceder à informação. Algumas dessas técnicas são:
• Sniffing: É a técnica de capturar informação de uma determinada máquina
ou o tráfego de uma determinada rede, sem autorização. Os Sniffers são
programas que analisam o tráfego da rede e úteis para a gestão de redes.
Porém, nas mãos erradas permitem roubar informações sigilosas.
• Man-in-the-Middle (MITM): Permite ao atacante intromete-se na ligação
entre duas máquinas, numa posição de intermediário, fazendo com que toda a
informação que circule entre as duas máquinas passe por si (figura 3.12).
Figura 3.12 – Ataque
Man-in-the-Middle
Consideremos um cliente (A) a tentar contactar um servidor (B) através de
uma ligação SSL, por exemplo. Entretanto, um atacante (C) coloca-se no meio
da comunicação numa posição na rede que lhe permite interceptar os pacotes.
Quando (A) tenta estabelecer uma ligação com (B), (C) intercepta os pacotes
e liga-se a (B) fingindo ser (A). O servidor (B) envia o seu certificado para (C)
e estabelece-se uma ligação SSL entre (B) e (C) em que (B) pensa estar a falar
com (A). De seguida (C) cria um certificado com o mesmo subject, envia-o
para (A) e inicia-se uma ligação SSL entre (C) e (A) em que (A) acredita estar
a falar com (B). Desta forma ,toda a informação que é trocada entre (A) e (B)
passa por (C).
54
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Reflexão
Tendo em conta as caracterı́sticas multitarefa das mais variadas técnicas de ataque,
não foi fácil dividi-las, de forma clara, em várias categorias. Se recuarmos aos pontos
anteriores, podemos constatar facilmente que a grande maioria das metodologias
apresentadas enquadram-se em mais do que uma categoria. A tı́tulo de exemplo,
como já tive oportunidade de referir, o ataque por força bruta, que no meu ponto
de vista tem um melhor enquadramento na categoria Decifragem de Passwords e
falhas de autenticação, pode também ser utilizado para provocar
Negações de
Serviço, podendo, assim, também ser enquadrado nesse grupo. Neste sentido,
poderiam ter sido criadas outras categorias ou ter sido feita outra distribuı́ção
das técnicas de ataque. Contudo, independentemente da forma como estas foram
agrupadas, o importante é entender o seu funcionamento e para que propósitos são
utilizadas, de modo a que nos possamos proteger delas de forma eficaz.
Existem muitas mais técnicas de ataque do que aquelas que foram descritas, embora
não sejam tão conhecidas, porém seria inviável enuncia-las e descreve-las a todas.
A figura 3.14 ilustra bem a ideia de aplicabilidade das técnicas de ataque.
Figura 3.13 – Analogia da multiaplicabilidade das técnicas de ataque (Fonte: Serrão (2009))
3.3. AMEAÇAS
3.3.3
55
Anatomia de um Ataque Informático
Tendo em conta toda a variedade de metodologias de ataque, é importante para
este estudo analisá-las para tentar estabelecer um padrão de ataque, ou o modus
operandi dos Crackers, tal como o estudo de Roque et al. (2008) (figura 3.14).
Figura 3.14 – Anatomia de um Ataque Informático (Fonte: Roque et al. (2008))
• Footprinting (Reconhecimento): Nesta fase, o atacante tenta, através
de ferramentas comuns da rede, obter informações essenciais para o ataque
que lhe indiquem a postura e a polı́tica de segurança da empresa (nomes
de máquinas, endereços IP, protocolos, etc). Por vezes, o atacante necessita
recorrer à Engenharia Social para obter essas informações.
• Scanning (Varredura ou mapeamento): Depois de estar na posse das
informações vitais, o atacante necessita determinar quais os activos da rede
alcançáveis e quais as portas activas por onde poderá invadi-los. Para esta
tarefa são utilizas ferramentas simples como o nmap.
• Enumeração: Nesta fase, o Cracker tenta uma colecta de dados intrusiva,
fazendo consultas directas no sistema, identificando passwords válidas, recursos
da rede, vulnerabilidades comuns, permissões, etc. No entanto, nesta fase,
estando conectado ao sistema o atacante pode ser detectado.
56
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
• Invasão: As informações que o cracker conseguiu recolher até este ponto
definem a rota e a estratégia do ataque. Aqui o atacante testa vulnerabilidades
conhecidas que possam ainda não estar corrigidas no sistema alvo, tentando
também adquirir, pelo menos, privilégios de utilizador comum.
• Escalada de privilégios: A partir do momento que o atacante tenha acesso
ao sistema como utilizador comum, este tenta obter acesso completo ao sistema
(administrador, root).
• Acesso à informação: Aqui, o atacante, dependendo dos seus propósitos,
actua contra alguns requisitos de segurança (Confidencialidade, Integridade,
Autenticidade e Disponibilidade), para conseguir obter informações.
• Ocultação de rastos: Nesta fase, o invasor tenta evitar, a todo o custo, a
detecção da sua presença, desabilitando auditorias ao sistema, evitando deixar
buracos nos logs (excessivo tempo de inactividade denuncia o ataque), etc.
• Instalação de
Backdoors: Nesta etapa, o atacante tem como objectivo
a manutenção do acesso, utilizando ferramentas escondidas, mas activas, tal
como rootkits e Trojans, para posteriormente activar Backdoors.
• Denial of Service (Negação de Serviço): O
Cracker pode também
optar por realizar uma Negação de Serviço, bloqueando serviços através do
consumo de banda larga, esgotamento de recursos, etc.
Geralmente, os computadores que não têm elementos relevantes são esquecidos no
projecto de segurança, possibilitando que os
Crackers os invadam facilmente.
No entanto, esses computadores, podem estar localizados no mesmo meio onde
ocorre uma comunicação entre duas máquinas importantes, o que dá, ao invasor,
condições para captar todo o tráfego dessa comunicação. Os Crackers costumam
aproveitar-se disso para executar ataques por salto, que consistem em atacar uma
determinada máquina através de outra, diminuindo o risco de ser localizado.
Nota: Todas as fases de ataque apresentadas constituem o comportamento de um
Cracker, no entanto, dependendo dos seus objectivos, este poderá necessitar de
implementar apenas algumas delas.
3.3. AMEAÇAS
3.3.4
57
Análise e Previsões
Com a crescente proliferação de software, os atacantes descobrem as falhas antes
dos próprios fabricantes. Contudo, há quem defenda que os ataques informáticos,
mesmo os mais devastadores, funcionam como motor de evolução tecnológica, pois
a evolução dos sistemas de segurança obrigam os atacantes a criar ferramentas e
metodologias de ataque cada vez mais poderosas, obrigando a uma nova evolução
dos sistemas de segurança, criando um ciclo vicioso.
O número de vulnerabilidades, no entanto, não pára de aumentar, sendo difı́cil para
os administradores manterem-se actualizados com os novos patches8 .
No seu Annual Report 2009, a Panda Security refere que a principal tendência
verificada em 2009 foi a enorme proliferação de malware, num novo record de 25
milhões de novas ameaças, criadas apenas num ano, contrastando com os 15 milhões
de ameaças detectadas no total dos 20 anos de existência da Panda Security.
O Conficker.C foi considerado o vı́rus que mais danos causou. O relatório destaca
também o ressurgimento de vı́rus tradicionais, até então à beira da extinção.
O Spam esteve também em alta, pois representou cerca de 92% de todo o tráfego de
e-mail. Os truques utilizados captar a atenção das vı́timas e convence-las a abrirem
estes e-mails focaram-se em temas actuais, explorados pelos mı́dia, tal como a morte
de Michael Jackson, o Vı́rus H1N1 (Gripe A) ou frases relacionadas com celebridades
como Angelina Jolie nude, Britney Spears hot images.
Luı́s Corrons, Director técnico da Pandalabs, refere que “os ciber-criminosos estão
sempre a par dos nomes que os utilizadores procuram com maior frequência na
Internet. Depois utilizam estes nomes para enviar spam”.
As redes sociais (Facebook, Twitter, Youtube, MSN) foram o meio preferido dos
crackers para distribuir as suas criações.
Em termos de previsões para 2010, a
Panda Security refere que “o volume de
malware em circulação continuará a crescer exponencialmente” e que “os cibercriminosos continuaram a focar-se nas redes sociais”.
Com o aparecimento do
Windows 7 e com a sua grande aceitação de mercado, será natural que os criminosos
se encarreguem de adaptar as suas criações de malware a esta nova plataforma.
8
Um Patch é um programa criado para actualizar ou corrigir um software.
58
3.4
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Contra-medidas
Até este ponto, foram analisadas as variáveis relacionadas com as vulnerabilidades
presentes nos SI e com o tipo de ameaças e metodologias de ataque a que estes
podem estar sujeitos, de modo a que os possamos proteger da melhor forma.
Tal como afirma Estrela (1998), “é necessário conhecermos as vulnerabilidades, as
ameaças e como se processam os ataques que possamos eventualmente sofrer. Para
enfrenta-los é indispensável conhecer as suas principais técnicas a fim de recorrer a
disposições preventivas”.
Deste modo, todos os controlos de segurança aplicados para eliminar vulnerabilidades
e contrariar ameaças serão denominados de contra-medidas (figura 3.15).
Figura 3.15 – Contra-medidas (Fonte: Santos (2007))
Como podemos observar na última figura, as contra-medidas de segurança podem
focar-se em dois aspectos distintos, ou seja, o administrador poderá optar pela
constante identificação e eliminação das vulnerabilidades presentes no sistema e/ou
na aplicação de medidas de segurança preventivas para ameaças conhecidas.
3.4. CONTRA-MEDIDAS
59
Nesse seguimento, de acordo com Santos (2007) as contra-medidas poderão ser
divididas em 5 categorias distintas:
• Medidas de Prevenção: Corrigem vulnerabilidades, eliminando ameaças e
reduzindo assim a probabilidade, ou o impacto, da ocorrência de um incidente.
• Medidas de Detecção e Correcção: São medidas que têm como objectivo
reduzir o efeito da ocorrência de um incidente de segurança.
• Medidas de Recuperação: Após a concretização de determinado incidente
de segurança, devem ser accionados controlos (exemplo: polı́ticas de backup)
para restabelecimento da normalidade de funcionamento.
• Manobras de Diversão: Criação de cenários fictı́cios, que poderão funcionar,
de forma eficaz, como meio de distracção e/ou armadilhas contra os invasores
do sistema (exemplo: HoneyPots).
• Medidas de Dissuasão: Medidas que visam reduzir a probabilidade de
ocorrer um incidente, sem que para tal haja eliminação de vulnerabilidades
ou ameaças. A maioria dos prevaricadores são dissuadidos a actuar através de
mecanismos, como polı́ticas de segurança ou legislação em vigor, que tenham
em conta sanções para quem não cumprir as regras estipuladas.
Porém, por muito que estudemos todas as técnicas de ataque, que procuremos
vulnerabilidades, que utilizemos uma combinação vasta de ferramentas informáticas,
temos que ter consciência que, se um
Cracker quiser invadir o nosso sistema,
ele, possivelmente, vai mesmo consegui-lo, pois nós temos de encontrar todas as
vulnerabilidades do nosso sistema e corrigi-las, num esforço constante, contudo, um
Cracker apenas necessita encontrar um único ponto fraco para concretizar os
seus objectivos. Para além disso, há parâmetros que nenhum sistema de segurança
consegue controlar, como é o caso das acções dos utilizadores, que aparecem sempre
como o elo mais fraco do sistema, abrindo e-mails duvidosos e usando passwors
fáceis de decifrar, criando assim vulnerabilidades difı́ceis de identificar e controlar.
O investimento, por parte das empresas, na formação dos seus recursos humanos,
na área da segurança informática, é cada vez mais necessário.
60
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
3.4.1
Conselhos Básicos de Segurança
As principais regras que podem ajudar a minimizar os ataques informáticos e a
torná-los menos perigosos, passam pelo utilizador, pela sua consciencialização dos
perigos, pelo cumprimento das polı́ticas de segurança e pela necessidade deste se
manter actualizado em relação ao que se vai passando. Esta tarefa de actualização
está cada vez mais facilitada, existindo na Internet imensa ajuda. Todos os sites
de fornecedores de software têm uma área dedicada à segurança onde podem ser
consultados os seus conselhos e, inclusive, serem feitas actualizações de software.
Para além disso, os próprios fornecedores de serviços na Internet começam também
a contemplar a segurança nos seus pacotes de soluções. Por exemplo, os bancos,
que são das instituições mais alvejadas com ataques informáticos, disponibilizam
informação bastante detalhada sobre os assuntos ligados à segurança informática.
Neste âmbito, algumas regras básicas que o utilizador deve seguir são:
• É vital ter um antivı́rus instalado no computador (convém que o utilizador
conheça bem ou se informe sobre o produto que tem instalado ou pretende
instalar, devido à existência de falsos antivı́rus (rogueware)). Posteriormente
é aconselhável mante-lo activo e actualizado periodicamente (normalmente os
fornecedores de antivı́rus disponibilizam actualizações semanais, figura 3.16);
Figura 3.16 – Actualização do Antivı́rus (Fonte: Estrela (1998))
• É vital ter uma firewall instalada e activa no computador;
• É conveniente actualizar, regularmente, todo o software do computador;
3.4. CONTRA-MEDIDAS
61
• Devem existir cuidados acrescidos com a navegação na Internet, com download
de material informático, com a abertura de e-mails, links ou ficheiros anexos
duvidosos, que podem colocar o computador em risco;
• A password do utilizador deve ser forte e difı́cil de decifrar, respeitando as
seguintes regras:
– Deve ser constituı́da, no mı́nimo, por 8 caracteres, que não formem
palavras presentes no dicionário, calão, sequências numéricas, acrónimos
de indústria (admin, nome da empresa ou departamento) nem, em caso
algum, conter dados pessoais (nome, data de nascimento) ou coincir com
o username do utilizador.
– A password deverá conter uma mistura letras Maiúsculas e Minúsculas,
algarismos e Caracteres especiais (?, @, &, #).
– Exemplos de passwords fortes: S3gUr@nC@ ou Kau3#1TL.
No entanto, este tipo de passwords são, normalmente, difı́ceis de memorizar.
Isto leva a que alguns utilizadores optem por escolher passwords fáceis de
memorizar (o seu nome, a sua data de nascimento, o nome do seu animal
de estimação, etc), mas também fáceis de adivinhar ou decifrar.
Outros
utilizadores optam por apontar a sua password num bloco de notas ou num
pequeno papel, tipicamente próximo do teclado do computador ou até mesmo
num post-it colado no monitor. Porém, é vital para a segurança de qualquer
rede informática que os seus utilizadores consigam garantir e preservar a
confidencialidade da sua password de acesso, evitando aponta-la ou divulga-la
via telefone, imessenger, redes sociais. Para além disso, esta deve ser dificil
de decifrar e frequentemente actualizada de maneira a que a password nova
mantenha, no máximo, 3 caracteres da password antiga.
O utilizador também não deverá, em caso algum, usar a mesma password para
todas as suas actividades na Internet. Deverá usar uma password diferente
para cada caixa de e-mail, uma para websites ou blogs pessoais, outra para
autenticação no sistema da empresa ou no seu computador pessoal e outra
para se registar e aceder a fóruns, redes sociais (twitter, youtube, facebook,
etc) e outros sites de informação e entretenimento.
62
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
• O utilizador deverá verificar sempre o URL dos sites a que pretende aceder,
principalmente sites de caracter privado, como páginas Web de entidades
bancárias. Em alguns ataques, como o Pharming, o utilizador é direccionado
para páginas Web fictı́cias, cópias das páginas reais, levando-o a pensar que
está no sitio correcto e a fornecer os seus dados pessoais. Contudo, o nome
de domı́nio das páginas fictı́cias revela pequenas modificações em relação ao
da página real (www.pedro.com para www.pedr0.com ou www.p3dro.com),
difı́ceis de serem identificadas. Se o utilizador estiver atento ao URL poderá
detectar um ataque, não caindo na armadilha de inserir os seus dados pessoais.
• Medidas de segurança nos Serviços bancários na Internet:
– Minimize a página web do seu banco. Se o teclado virtual for minimizado
também, está correcto. Se ele permanecer no ecrã, sem minimizar, está a
ser alvo de um ataque teclado virtual fictı́cio. Nunca digite nada nesse
teclado fictı́cio, pois tudo o que for lá digitado é informado ao atacante;
– Sempre que se autenticar no site do banco, digite uma password errada,
na primeira vez. Se aparecer uma mensagem de erro significa que, à
partida, o site é realmente o do banco. Se não acusar o erro é sinal que
está a ser alvo de um ataque. Os sites maliciosos não têm como conferir
a validade da password, o objectivo é apenas captura-la.
– Sempre que entrar no site do banco verifique se no rodapé da página
aparece o ı́cone de um cadeado. Além disso clique duas vezes sobre esse
ı́cone. Deverá aparecer uma pequena janela com informações sobre a
autenticidade do site. Em alguns sites fictı́cios o cadeado aparece, mas
apenas como imagem. Ao clicar duas vezes sobre ele, nada acontece.
– Os bancos, por motivos de segurança, não enviam e-mails a oferecer
serviços na sua página oficial. Logo, qualquer e-mail desta espécie é falso.
– Desconfie de e-mails que comecem com “Caro cliente”. Normalmente os
e-mails das entidades bancárias dirigem-se ao cliente pelo nome “Exmo.
Sr. Pedro Rodrigues” e não por “Caro cliente”. O objectivo dos e-mails
fraudulentos é precisamente obter informação pessoal sobre si, pelo que
é difı́cil conhecerem o seu nome de antemão.
3.4. CONTRA-MEDIDAS
3.4.2
63
Ferramentas e Sistemas de Segurança
Embora as regras básicas enunciadas anteriormente sejam uma base importante
para a consciencialização e formação dos recursos humanos das organizações, no
domı́nio da segurança informática, no âmbito do seu uso individual dos recursos do
sistema, estas são apenas medidas preventivas e não têm qualquer utilidade após um
determinado ataque ter sido concretizado com sucesso. De nada vale uma password
forte, a partir do momento que o Cracker consegue invadir o sistema. As regras
básicas de segurança são, assim, apenas a base ou os requisitos mı́nimos de uma
polı́tica de segurança. Contudo, a importância da informação no seio empresarial
exige um nı́vel de segurança muito mais elevado que não se reja apenas por medidas
preventivas, mas também por medidas mais rigorosas.
De seguida apresentarei vários tipos de ferramentas, orientadas à segurança, tendo
como base o
Top 100 Network Security Tools (http://sectools.org/), que
poderão auxiliar o administrador a identificar vulnerabilidades ou a prevenir ameaças
que ponham em causa a segurança do seu sistema.
Antivı́rus
Os antivı́rus são programas, que como o próprio nome indica, são projectados para
detectar, anular e eliminar vı́rus informáticos e outros tipos de malware de um
computador, em tempo real, oferecendo controlo sobre a acção dos programas,
protecção de ficheiros, e-mails e tráfego na Internet. Normalmente, vem instalado
com o computador, sendo fundamental a sua actualização periódica, através do site
do seu fornecedor.
Anti-spyware
São programas utilizados, como o próprio nome indica, para combater spyware,
keyloggers, e outros programas espiões, actuando muitas vezes em conjunto com
os antivı́rus. Existem programas deste modelo, não tão utilizados e divulgados,
como Anti-phishing, Anti-Spam, entre outros.
64
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Firewalls
Segundo Estrela (1998), uma firewall é um dispositivo que arbitra o acesso entre
redes, permitindo alguns tipos de tráfego e bloqueando outros, com base nas regras
da polı́tica de segurança da organização. Essas regras definem essencialmente que
endereços, aplicações e utilizadores serão considerados confiáveis. Dados e serviços
provenientes dessas origens poderão passar o firewall, os restantes serão bloqueados.
A firewall situa-se, normalmente, no ponto onde a rede interna protegida se liga à
Internet. Deste modo, todo o tráfego proveniente da Internet ou com origem na rede
interna passa através deste, fornecendo a possibilidade de concentrar as medidas de
segurança nesse ponto e aumentar, assim, a segurança da rede (Estrela, 1998).
Porém, os firewalls não são uma solução de segurança completa, pois a sua analise
de tráfego é baseada nos endereços de origem e destino dos dados e em números
de portas, e não no seu conteúdo, deixando escapar ameaças como o malware. Por
outro lado depois do atacante invadir a rede protegida, a firewall nada poderá fazer.
Sistemas de Autenticação
Segundo Serrão (2009), a autenticação é o processo para verificar ou testar se
uma determinada identidade é ou não válida, requerendo que o utilizador forneça
informação adicional que deve corresponder exactamente à identidade professada.
Segundo Estrela (1998), a autenticação é o processo de verificação de identidade,
podendo as soluções de autenticação ser categorizadas como:
•
algo que você sabe - sistema tradicional de autenticação, feito através da
chave de acesso username/password;
•
algo que você tem - SmartCards de identificação, tokens, etc;
•
algo que você é - É o campo das biométricas, incluindo as técnicas de leitura
de impressões digitais, leitura de retina, análise de voz, etc.
A chave username/password é o sistema mais utilizado, contudo não é de todo o
mais seguro, sendo até um dos menos eficientes, sendo fácil de manipular e decifrar.
3.4. CONTRA-MEDIDAS
65
Criptografia
De acordo com Estrela (1998), a criptografia é a solução usual para a necessidade
de comunicar sobre ligações inseguras sem exposição do sistema.
Em Soares (2005) é definida como o estudo dos princı́pios e técnicas pelas quais a
informação pode ser transformada da sua forma original para outra ilegı́vel, de forma
que possa ser apenas conhecida pelo seu destinatário (detentor da chave secreta),
o que torna difı́cil ser lida por alguém não autorizado. Deste modo, apenas o receptor
da mensagem pode ler a informação com facilidade.
No entanto, este método de segurança serve apenas como codificador da informação
propriamente dita, não realizando nenhuma análise a qualquer tipo de malware.
Alguns utilitários open-source que se fazem valer da criptografia são:
OpenSSL (http://www.openssl.org/): Esta ferramenta é vista como a melhor
biblioteca criptográfica SSL/TLS (Transport Layer Security/Secure Socket Layer),
sendo estes protocolos criptográficos que fornecem segurança para as comunicações
através de redes como a Internet.
OpenSSH/ SSH (http://www.openssh.com/) é, simultaneamente, um programa
de computador e um protocolo de rede que permite a conexão com outro computador
na rede. Possui as mesmas funcionalidades do Telnet, com a vantagem da conexão
entre o cliente e o servidor ser criptografada.
OpenVPN (http://openvpn.net/): Software de rede virtual confiável que presta
serviços de comunicação segura, não só cumprindo as exigências da tradicional VPN
comercial, mas também respondendo às demandas da seguinte onda dos serviços
Web de VPN.
Truecrypt (http://www.truecrypt.org): É um software open-source de encriptação
de discos para Windows, Linux e MacOS X. Os utilizadores podem criptografar
todo o sistema de ficheiros (nomes de pastas e ficheiros, o conteúdo de cada ficheiro,
espaço livre, etc), encriptando-o e desencriptando-o quando necessário, sem a sua
intervenção para além de inserir, inicialmente a sua password.
66
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Ferramentas Básicas
Entre tantas ferramentas sofisticadas disponı́veis para apoiar a gestão dos mais
variados aspectos de segurança, não se podem esquecer as denominadas ferramentas
básicas, pois podem ser bastante úteis para resolver, facilmente, alguns problemas.
• Ping: É um comando que usa o protocolo ICMP para testar a conectividade
entre equipamentos. O seu funcionamento consiste, fundamentalmente, no
envio de pacotes
ping para o equipamento de destino e na
escuta das
respostas provenientes deste. Se o equipamento de destino estiver activo,
devolverá uma resposta (o pong, em analogia ao famoso jogo de ping-pong)
ao computador solicitante. Mais em: http://pt.wikipedia.org/wiki/Ping
• Traceroute: Consiste em obter o caminho que um pacote percorre através de
uma rede de computadores até chegar ao destinatário. O traceroute também
ajuda a detectar onde ocorrem os congestionamentos na rede, já que é dada
no relatório, a latência em cada máquina interveniente.
Mais em: http://pt.wikipedia.org/wiki/Traceroute
• Whois: É um protocolo UDP especı́fico para consultar informações de contacto
DNS sobre entidades na Internet, tal como um nome de domı́nio ou um
endereço IP. Mais em: http://pt.wikipedia.org/wiki/Whois;
• Telnet: É um protocolo cliente-servidor, baseado em TCP, usado para permitir
a comunicação entre computadores ligados numa rede. De um modo simplista,
é um protocolo de acesso remoto a um computador. Antes de existirem os
chats, o telnet já permitia esse género de funções. No entanto, este tem vindo
a ser substituı́do pelo SSH, onde a informação é criptografada, pois com o
telnet todas as comunicações entre o cliente e o servidor podem ser vistas,
inclusive as passwords, já que são somente texto simples, permitindo que,
com o uso de algumas aplicações, os pacotes que a conexão transporta sejam
interceptados. Mais em: http://pt.wikipedia.org/wiki/Telnet;
• Netstat: Identifica e exibe as conexões TCP activas, as portas activas no
computador, a tabela de IP routing e as estatı́sticas Ethernet, IPv4 e IPv6.
3.4. CONTRA-MEDIDAS
67
Vulnerability Scanners
Os
Vulnerability Scanners são software projectado para analisar e avaliar os
sistemas informáticos à procura de vulnerabilidades que estes possam, eventualmente,
possuir, passı́veis de serem exploradas para a execução de um ataque.
O Nessus (http://www.nessus.org/) é um dos programas mais eficazes desta
categoria. É composto por uma tecnologia cliente/servidor, em que o cliente mostra
ao utilizador, o avanço dos testes e o resultado das auditorias realizadas, permitindo
que este configure as suas tarefas e consulte os relatórios resultantes. O servidor,
por sua vez, executa os testes programados.
O Nessus verifica redes com o objectivo de encontrar e inventariar vulnerabilidades,
corrigir falhas, e realizar auditorias. Inicialmente, verifica todas as portas lógicas,
sendo capaz de detectar uma vulnerabilidade num servidor Apache escondido na
porta 46580. De seguida, liga-se a cada porta activa, simulando invasões de modo a
detectar problemas de segurança, utilizando para o efeito diversos exploits (escritos
em NASL - Nessus Attack Scripting Language). É capaz de efectuar mais de 1200
verificações remotas, detectar servidores activos e realizar provas no próprio SO. No
final produz relatórios que inventariam as vulnerabilidades detectadas e os passos
que devem ser seguidos para as eliminar.
Outras ferramentas: GFI LANguard Network Security Scanner, SAINT (http://
www.saintcorporation.com/), ou SARA (http://www-arc.com/sara).
Vulnerability Exploitation tools
Este tipo de software tem a função detectar vulnerabilidades de sistemas, usando
uma enorme quantidade de exploits para executar testes de penetração, simulações
de invasão, tentando de forma activa e exaustiva quebrar a segurança do sistema. O
Metasploit Framework (http://www.metasploit.com/) é uma das ferramentas
mais usada e eficaz nesta tarefa. Este software é uma plataforma open-source
avançada, com o propósito de desenvolver, testar e utilizar o
exploit code para
testar uma enorme quantidade de vulnerabilidades, utilizando centenas de exploits.
68
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Password Crackers
Os Password Crackers têm como principal objectivo decifrar passwords.
John the ripper (http://www.openwall.com/john/): É um software rápido,
flexı́vel e eficaz, que tem como principal objectivo detectar e decifrar passwords
fracas e recuperar passwords perdidas. Consegue identificar automaticamente qual
foi o algoritmo de criptografia utilizado para cifrar as passwords presentes no ficheiro
ou programa indicado pelo utilizador. Também foi desenvolvido um Patch, de nome
MPI (www.bindshell.net/tools/jonhtheripper), para que este software possa
utilizar vários processadores numa mesma máquina ou um cluster de máquinas para
conseguir decifrar senhas mais complexas. Existem também ficheiros com listas de
palavras para possibilitar um ataque por dicionário.
Cain& Abel (http://www.oxid.it/cain.html): Tenta decifrar passwords através
da monitorização da rede, da pesquisa de passwords cifradas usando ataques por
dicionário e/ou
ataques por força bruta, da recuperação de chaves de redes
wireless, da gravação de conversas VoIP, da descodificação de passwords baralhadas
em cache, entre outros.
Aircrack-ng (http://www.aircrack-ng.org/): É o decifrador mais rápido de
passwords WEP/WPA disponı́vel.
OS Detection tools
Este tipo de software permite identificar o SO presente num dado sistema.
Xprobe2 (http://xprobe.sourceforge.net/): é um software activo que permite
identificar o SO de uma máquina remota, aparecendo como uma alternativa a
ferramentas fortemente dependentes do uso do protocolo TCP para a identificação
de SO remotos.
P0f: é um software passivo e versátil de identificação de SO, capaz de identificar o
SO de um host examinando, simplesmente, os pacotes capturados, mesmo quando
o host está por trás de uma firewall.
3.4. CONTRA-MEDIDAS
69
Port Scanners
Este tipo de programas têm como principal funcionalidade verificar o estado das
portas lógicas de um sistema computacional, incluindo os serviços ou protocolos que
estão a utiliza-las.
Nmap (Network Mapper) (http://nmap.org): é um famosı́ssimo e eficaz utilitário
open-source para exploração de redes e auditoria de segurança. O Nmap utiliza
pacotes IP em estado bruto, de forma inovadora, para determinar quais os hosts
disponı́veis na rede, que serviços oferecem , qual o SO que estão a executar e
dezenas de outras caracterı́sticas. Embora o Nmap seja normalmente utilizado
para auditorias de segurança, muitos administradores de sistemas consideram-no
útil para tarefas rotineiras tais como o inventário da rede, monitoria de hosts e
testes de disponibilidade de serviço.
Uma informação chave devolvida por este software é a tabela de portas que lista
o número de cada porta verificada, o protocolo e o serviço que a estão a utilizar e o
seu estado (aberto, filtrado, fechado ou não filtrado).
Embora o Nmap não seja um port scanner exclusivo, sendo considerado, até, por
muitos autores, um
vulnerability scanner, decidi coloca-lo neste grupo, pois a
verificação de portas e o modo como o faz é uma das funcionalidades que faz dele
uma das ferramentas mais utilizadas em todo o mundo.
Sabia que:
O Nmap é muito utilizado em operações informáticas, simuladas, de filmes de
ficção cientifica. O Matrix é um dos filmes mais famoso onde este software
foi utilizado.
Angry IP Scanner (http://www.angryip.org): é uma ferramenta open-source
de verificação do estado das portas e endereços IP.
Scanrand: É um serviço de rede extraordinariamente rápido de descoberta de
topologias, identificação de hosts e verificação do estado das portas lógicas.
70
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
IDS (Intrusion Detection System)
Os IDS são produtos que automatizam a inspecção de logs9 , em tempo real. Em
termos práticos, detectam tentativas de intrusão no sistema, tendo a capacidade de
as terminar ou interromper (bloquear portas, endereços, desactivar a comunicação
num determinado segmento), tentando também identificar a localização fı́sica e
lógica do atacante, alertando os administradores de todas as actividades suspeitas.
Além disso, trancam ficheiros ou capacidades importantes do sistema, identificam
as suas vulnerabilidades, configuram routers e firewalls para evitar a repetição de
ataques conhecidos e avaliam o desempenho global do sistema. Devem ser usados
em conjunto com outras ferramentas de segurança e requerem manutenção.
Snort (http://www.snort.org/): Software open-source de detecção de intrusos,
capaz de efectuar análises, em tempo real, de tráfego capturado em redes IP. Permite
analisar protocolos, procurar conteúdos e pode ser usado para desactivar diversos
ataques, nomeadamente buffer overflows, port scanners furtivos, entre outros.
Netcats
O Netcat (http://netcat.sourceforge.net/) é um programa de consultadoria
de redes muito conhecido, considerado o canivete suı́ço da rede, devido, sobretudo, à
sua versatilidade, podendo ir desde um simples telnet até uma ferramenta de ataque
por força bruta. No seu modo de operação, o Netcat é um simples utilitário que
lê e escreve dados de e para uma rede usando os protocolos TCP e UDP.
A principio foi concebido para ser um telnet aprimorado e até hoje é isso que ele faz
(conectar-se a um host). Porém tornou-se uma ferramenta poderosa de análise de
problemas e exploração de redes, uma vez que permite criar praticamente qualquer
tipo de ligação que seja necessária e possui diversas capacidades interessantes.
9
Log: termo referente ao processo de registo de eventos relevantes num SO. Esse registo é útil
para restabelecer o estado original de um sistema e conhecer o seu comportamento no passado.
3.4. CONTRA-MEDIDAS
71
Security-Oriented OS
São Sistemas Operativos orientados à segurança informática.
OpenBSD (http://www.openbsd.org): É um SO proactivamente seguro.
O projecto OpenBSD produziu um SO multi-plataforma, baseado em UNIX . Os
esforços dos seus projectistas enfatizam a portabilidade, padronização, correcção,
segurança proactiva e criptografia integrada. Este sistema é gratuito.
Backtrack: Distribuição Linux, live CD, com foco em Pen-test. Reune mais de
300 ferramentas para análise e teste de vulnerabilidades. É uma das melhores
distribuições Linux com foco em testes de penetração. Sem nenhuma instalação, esta
plataforma é iniciada directamente do CD-ROM ou Pen-Drive, sendo completamente
acessı́vel em minutos.
Outros exemplos de SO, dedicados à segurança:
Knoppix (http://www.knoppix.org),
Bastille (http://www.bastille-unix.org).
Rootkit Detectors
A função principal das ferramentas desta categoria é, tal como o próprio nome indica,
detectar Rootkits infiltrados nos sistemas computacionais.
Tripwire (http://www.tripwire.com): é um verificador de integridade de pastas
e ficheiros que ajuda os administradores a monitorizar quaisquer modificações em
conjuntos arbitrários de ficheiros. É usado regularmente em ficheiros crı́ticos do
sistema. Este software também notifica os administradores acerca da existência
de ficheiros corrompidos para que estes possam iniciar, atempadamente, acções de
controlo de estragos.
RkHunter: Software open-source detector de rootkits para UNIX. Verifica se há
sinais de software desagradável no sistema, como rootkits e exploits, e executa testes,
tal como comparações de hash MD5, procura de nomes de ficheiros usados por
rootkits, verificação de permissões erradas de ficheiros ou strings suspeitas, e procura
de ficheiros ocultos.
72
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Packet Sniffers
Estas ferramentas permitem implementar um método de espionagem que consiste
em interceptar os pacotes de dados transmitidos por outros computadores através
da rede. Em redes Ethernet10 , por exemplo, os pacotes são transmitidos para todos
os computadores da rede, daı́ dizer-se que as redes Ethernet usam uma topologia
lógica de barramento. Em teoria, somente a placa de rede que tiver o endereço MAC
correcto poderá ler os pacotes, sendo estes ignorados pelas restantes. De qualquer
forma, todos os outros computadores recebem os pacotes, não sendo assim tão difı́cil
burlar este sistema frágil, sendo assim possı́vel a uma máquina ter acesso a todos os
dados transmitidos através da rede.
WireShark (http://www.wireshark.org/) (Antigo Ethereal): É uma ferramenta
de análise de protocolos. Na prática, é um analisador de tráfego de rede e um
verificador de falhas de segurança multi-plataforma que permite a observação de
dados capturados da rede, em tempo real ou previamente capturados, guardados
num ficheiro ou disco. Esta ferramenta é utilizada, com frequência, para a análise
e diagnóstico de problemas em redes de computadores, como pacotes mal formados
que estejam a atrapalhar o tráfego da rede.
O WireShark é capaz de capturar pacotes de diferentes tecnologias de rede, como
Ethernet, FDDI, TOken-Ring, IEEE 802.11, entre outras.
Ettercap (http://ettercap.sourceforge.net/): É uma ferramenta open-source
utilizada para inspecção, intercepção e registo de tráfego em redes Ethernet. É
capaz de identificar e analisar, de forma passiva ou activa, inúmeros protocolos,
inclusive os que são criptografados em SSH ou HTTPS. É ainda capaz de injectar
dados em ligações estabelecidas e filtrar dados das mesmas, em tempo real, sem as
dessincronizar.
10
Ethernet é uma tecnologia de interconexão de redes locais (LAN) baseada no envio de pacotes.
3.4. CONTRA-MEDIDAS
73
Traffic Monitoring tools
Este tipo de software tem como principal finalidade monitorizar o tráfego da rede
ou estabelecer um sistema de alarmı́stica.
Nagios (http://www.nagios.org): É um sistema open-source de monitoria de
redes que verifica hosts e serviços que o utilizador especificar, alertando-o quando as
coisas estão a correr mal e quando melhoram. Os seus recursos incluem monitoria de
serviços de rede (SMTP, POP3, HTTP, etc), monitoria de recursos de host (carga
do processador, uso do disco, etc), e notificações de contacto quando problemas
ocorrerem e quando ficarem resolvidos (via e-mail, pager, ou método definido pelo
utilizador). Este sistema de vigilância poderoso permite às organizações identificar
e resolver problemas antes que estes afectem os processos crı́ticos de negócios.
Outras ferramentas: Zabbix (www.zabbix.com); OpenNMS (www.opennms.org).
HoneyPots
Os HoneyPots, numa perspectiva simplista, são armadilhas para atrair, detectar,
desviar, ou de alguma forma contrariar as tentativas de uso não autorizado de
SI. Geralmente são compostos por um computador, dados ou uma rede local que
parecem legı́timos e fazer parte de uma determinada rede, mas que na realidade
são isolados, 100% falsos, protegidos e monitorizados, dando a ideia de conterem
informações ou recursos de grande valor para os atacantes, apresentando-se como
sistemas vulneráveis, vulgares, e apetecı́veis para estes. Além de desviarem as
atenções dos sistemas reais em produção, podem garantir a captura de informação
da actividade dos invasores, podendo permitir a sua identificação e o conhecimento
das suas técnicas, actividades e intenções.
Sabia que:
Foi através de um HoneyPot que o famoso especialista em segurança Tsutomu
Shimomura conseguiu capturar o famoso Cracker Kevin Mitnick, atraindo-o
para a armadilha, identificando-o e desmascarando as suas actividade ilegais.
74
3.4.3
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Polı́ticas de Segurança
A segurança informática é imprescindı́vel e vital para as organizações, no entanto,
os mecanismos de segurança implementados podem provocar um embaraço a nı́vel
da actividade dos utilizadores e da funcionalidade do sistema. Por outro lado, as
regras vão-se tornando cada vez mais complexas à medida que a rede vai crescendo.
Figura 3.17 – Segurança Vs Usabilidade (Fonte: Serrão (2009))
Pela figura 3.17, podemos verificar que é necessário encontrar um meio-termo entre a
usabilidade do sistema e a sua segurança. Um sistema demasiadamente protegido,
com anti-vı́rus, anti-spyware, anti-spam, firewalls, e dezenas de outras ferramentas
básicas e avançadas (vulnerability scanners, IDS, ...) possivelmente dificultará
a actividade dos utilizadores, pois estas ferramentas emitem relatórios, activam
alarmes, fazem pedidos de actualização, executam código, por vezes, pesado (alto
consumo de tempo de processamento), entre outras tarefas que acabam, muitas
vezes, por importunar os utilizadores e o bom funcionamento do sistema. Por outro
lado, uma rede que não esteja suficientemente protegida e monitorizada regularmente,
facilita as acções dos utilizadores, mas não fornece confiança suficiente para a sua
actividade.
3.4. CONTRA-MEDIDAS
75
Assim, a segurança do sistema deve ser estudada de maneira a que se consiga
encontrar um equilibrio entre a segurança e a usabilidade do sistema, de forma
a não impedir os utilizadores de desenvolverem as tarefas que lhes são necessárias, e
possibilitar ao mesmo tempo que possam realiza-las em segurança e com confiança.
Esta é uma das razões pela qual é importante, para cada empresa, definir uma
polı́tica de segurança. A implementação destas polı́ticas depende de quatro etapas:
1. Identificar as necessidades da rede informática, em termos de segurança, os
riscos informáticos que pesam sobre esta e as suas eventuais consequências.
Este passo possibilitará ao administrador requisitar apenas as ferramentas de
segurança necessárias para combater as ameaças conhecidas ou detectadas, de
modo a não condenar a usabilidade do sistema com software desnecessário.
2. Elaborar regras e procedimentos a implementar nos diferentes serviços da
organização para os riscos identificados.
3. Supervisionar e detectar as vulnerabilidades do SI e manter-se informado das
falhas existentes nas aplicações e softwares utilizados;
4. Definir as acções a empreender e as pessoas a contactar em caso de detecção
de uma ameaça ou de um ataque.
Desta forma, de acordo com a recomendação orientada à segurança RFC2196 (2010)
(the security handbook) “uma polı́tica de segurança resulta num conjunto formal de
regras que devem ser seguidas pelos utilizadores dos recursos de uma organização,
devendo ter uma implementação realista e definir claramente as responsabilidades
desde utilizadores comuns, até à direcção. Deve também adaptar-se a alterações na
organização, definir procedimentos de segurança adequados, processos de auditoria
e estabelecer uma base para procedimentos legais na sequência de ataques”.
Para Estrela (1998), a politica de segurança deve especificar: os objectivos de
segurança da organização, onde recai a responsabilidade pela segurança do sistema e
o compromisso de segurança da organização (este compromisso deve surgir do mais
alto nı́vel da organização, alavancado pelo reconhecimento dos sérios problemas que
poderiam resultar da divulgação, modificação ou indisponibilidade da informação).
76
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
O documento que define a polı́tica de segurança deve, então, ser de fácil leitura e
compreensão, além de resumido, abordando as duas filosofias por detrás de qualquer
polı́tica: a proibitiva (tudo o que não é expressamente permitido é proibido) e a
permissiva (tudo o que não é proibido é permitido). Uma abordagem adoptada por
muitas organizações é a criação de uma polı́tica concisa e simples, que sirva de ponto
de partida para outros documentos onde são estabelecidos padrões, procedimentos
e orientações para o comportamento dos utilizadores em relação à segurança.
As áreas especı́ficas a ser cobertas numa polı́tica de segurança corporativa incluem:
• Quem é o responsável e presta contas pela segurança em todos os nı́veis da
organização, e quais são as linhas hierárquicas para essas funções;
• Padrão mı́nimo de segurança a ser aplicado a todos os sistemas corporativos,
e orientação quanto à análise de risco para a identificação de sistemas que
merecem medidas extra de protecção;
• A segurança deverá ser implementada nos vários procedimentos operacionais,
incluindo controlos de acesso e auditoria interna para avaliação da adequação
das medidas de segurança;
• Definição da polı́tica de segurança pessoal (verificação dos antecedentes de
candidatos antes da admissão e punição no caso de violações de segurança);
• Polı́tica de treino de pessoal, essencial para a consciencialização do quadro da
organização quanto a questões de segurança;
• Referência a procedimentos de controlo de material proprietário e licenças de
uso de software, a procedimentos para registo e certificação de sistemas, e
arranjos para garantir a conformidade com a legislação aplicável;
• Polı́tica quanto à conexão a sistemas externos, à investigação de incidentes de
segurança e ao planeamento da continuidade do serviço;
• Distinção clara entre as responsabilidades dos gestores, administrador da rede
e utilizadores.
• Especificar as normas, directrizes e práticas a serem obedecidas.
3.5. ENQUADRAMENTO LEGAL E NORMATIVO
3.5
77
Enquadramento Legal e Normativo
Independentemente da politica de segurança implementada, o processo de determinar
o quão seguro é um SI é uma tarefa complicada. Em primeiro lugar porque as
ameaças reais não são fáceis de quantificar em termos de risco, sendo apenas possı́vel
fazer uma estimativa com base em ameaças conhecidas, sendo as desconhecidas
imprevisı́veis. Em segundo lugar porque os SI são sistemas altamente complexos
que escondem, na maior parte das vezes, as próprias vulnerabilidades. Por último,
mas não menos importante, porque a segurança do SI depende de um vasto conjunto
de factores, não só tecnológicos mas também humanos (sendo estes particularmente
sensı́veis). Por tudo isto, as organizações necessitam de métodos expeditos para
avaliação e quantificação dos nı́veis de segurança do seu sistema. Segundo Pimenta
(2005), “uma das questões associadas à realização de tal tarefa é a adopção de
normas e critérios de avaliação de segurança de informação”
3.5.1
Normas e Critérios
As avaliações de segurança desempenham um papel crı́tico, estabelecendo garantias
acerca de determinadas caracterı́sticas de segurança de um produto ou sistema e
fornecendo mecanismos para a certificação (Pimenta, 2005). A figura 3.18 mostra,
cronológicamente, as várias normas e critérios de avaliação de segurança.
Figura 3.18 – Cronologia de Normas e Critérios (Fonte: Pimenta (2005))
78
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
TCSEC
Publicado pela primeira vez em 1983 e revisto em 1985, o US Trusted Computer
System Evaluation Criteria (TCSEC) era utilizado para avaliação de SO. Como
a comunidade foi ganhando experiência na realização de avaliações de segurança,
tornou-se óbvio que a sua utilização podia ser mais abrangente (Pimenta, 2005).
O TCSEC concentra-se sobretudo na funcionalidade e operacionalidade dos controlos
de Segurança propostos e na sua correcta instalação. O ambiente operacional no
qual o produto irá ser utilizado não é tido em conta (Soares, 2005).
A NCSC (US National Computer Security Center) realizou avaliações de segurança
nos EUA, no âmbito do Programa de Avaliação de Produtos e a cada produto
contemplado com sucesso neste programa foi atribuı́da uma classificação TCSEC,
colocada no US Evaluated Products List (EPL). Durante o processo, o TCSEC foi
utilizado como um guia técnico para avaliação total do produto.
ITSEC
O Information Technology Security Evaluation Criteria (ITSEC) surgiu, em 1991,
como resultado do esforço de harmonização de critérios de avaliação de Segurança
de quatro paı́ses europeus (França, Alemanha, Holanda, Reino Unido), substituindo
cada critério existente nos paı́ses citados e tornando-se num critério europeu de
avaliação e certificação.
Se uma organização pretende uma avaliação ITSEC de um produto ou sistema, terá
que identificar préviamente todo o tipo de ameaças existentes no ambiente em causa e
seleccionar um conjunto de mecanismos de segurança a implementar, face às ameaças
identificadas. Em seguida, é solicitada uma avaliação ITSEC para um determinado
nı́vel de segurança predefinido. Face a isto, o ITSEC assegurar-se-á que todos os
mecanismos de segurança identificados foram efectivamente integrados no produto,
correctamente instalados e que são os adequados face às ameaças identificadas.
No final de uma avaliação ITSEC bem sucedida, o corpo governamental denominado
Certification Body (CB) emite um relatório e um certificado, atribuindo um nı́vel
de classificação correspondente ao nı́vel de segurança do produto ou sistema.
3.5. ENQUADRAMENTO LEGAL E NORMATIVO
79
Common Criteria (ISO/IEC 15408)
O International Common Criteria for Information Technology Security Evaluation,
ou simplemsmente Common Criteria (CC), constitui um esforço comum entre os
EUA e a União Europeia para o desenvolvimento de um conjunto de critérios de
avaliação de segurança reconhecidos internacionalmente. A 1a versão foi publicada
em Janeiro de 1996 e a 2a em Dezembro de 1997, sendo submetida a aprovação
na International Organization for Standardization (ISO) em 1998 e aprovada em
1999 como norma ISO 15408, substituindo assim o americano TCSEC e o europeu
ITSEC, assumindo-se como o critério de avaliação de segurança internacional.
Desta forma, o CC veio evitar a constante avaliação dos mesmos produtos, segundo
vários critérios de avaliação. O CC tem um esquema de avaliação semelhante ao
ITSEC, sob a vigilância do Communications-Electronics Security Group (CESG) no
Reino Unido, da NSA nos EUA e dos respectivos órgãos governamentais de cada
paı́s signatário deste critério. Os produtos que superem uma avaliação CC são
classificados e colocados numa lista de produtos certificados.
BS7799 e ISO/IEC 17799
É sobejamente reconhecido que um dos maiores problemas relacionado com o tema
da segurança, reside naquilo que se convencionou designar por engenharia social e
no elo mais fraco - o ser humano. Ao mesmo tempo que são desenvolvidas melhores
tecnologias de segurança dificultando a exploração de vulnerabilidades técnicas, os
atacantes exploraram cada vez mais o elemento humano.
Por outro lado, a identificação do conjunto mais eficaz de controlos de segurança
constituiu, desde sempre, um problema. Nesse âmbito, a análise e gestão do risco
(capı́tulo 4) foi reconhecida como a aproximação mais eficaz face a tal problema. Já
os manuais de boas práticas de segurança são vistos como uma solução alternativa
para a identificação de um mı́nimo de controlos de segurança.
A segurança contudo, não é um produto, é um processo. Assim, é vital que todos
os procedimentos para a sua implementação sejam acompanhados de metodologias
especı́ficas e adequadas às respectivas finalidades.
80
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Por estas razões, o estabelecimento de uma norma, reconhecida internacionalmente,
de práticas e polı́ticas de Segurança revestiu-se de uma enorme importância.
O Code of Practice for Information Security Management (CoP) foi desenvolvido
pelo Department of Trade and Industry (DTI) do Reino Unido, com a colaboração
de um grupo de organizações internacionais. Inicialmente publicado em Setembro
de 1993, baseou-se numa compilação das boas práticas de segurança de informação
utilizadas em várias companhias internacionais de renome.
Em 1995, o CoP tornou-se na norma Britânica BS7799, pelo British Standard
Institute (BSI), contendo um conjunto de controlos de segurança e práticas de
gestão de segurança de informação, para suporte de organismos governamentais
e indústrias.
A BS7799 encontra-se dividida em duas normas distintas:
• BS 7799-1 - Código de Práticas para Segurança de Informação;
• BS 7799-2 - Especificações para Sistemas de Gestão de Segurança de Informação.
A norma BS 7799-1 contém apenas recomendações de segurança. Devido a esse
facto, não é utilizada em processos de certificação.
A norma BS 7799-2 define um Sistema de Gestão de Segurança de Informação Information Security Management System (ISMS), de acordo com os controlos e
objectivos de segurança definidos pelo BS 7799-1, que é objecto de certificação.
Se uma organização superar todos os testes de avaliação, será certificada e os
resultados serão publicados pelo United Kingdom Accreditation Service (UKAS).
O interesse suscitado pela BS7799-1 levou a que, em Dezembro de 2000, fosse
submetida à ISO, motivando a publicação da norma ISO/IEC 17799, entretanto
revista, recentemente, em 2005, e que se assume como a norma internacional de
gestão de segurança de informação.
Para a norma ISO/IEC 17799, a segurança de informação encontra-se intimamente
ligada à preservação da sua confidencialidade, integridade e disponibilidade.
Esta norma encontra-se dividida em 12 secções diferentes e tem em conta parâmetros
como a classificação de risco, polı́ticas de segurança; controlo de acessos, aquisição,
desenvolvimento e manutenção de SI, gestão de incidentes de segurança, entre outros.
3.5. ENQUADRAMENTO LEGAL E NORMATIVO
81
ISO/IEC 27000 - Série
A série de normas ISO/IEC 27000 oferece recomendações de melhores práticas de
gestão de segurança de informação, riscos e controlos, similar ao projecto de gestão
de qualidade (a série ISO 9000).
Desta forma, todas as organizações são incentivadas a avaliar os seus riscos de
segurança da informação e a implementar, em seguida, controlos de segurança
adequados às suas necessidades, seguindo as orientações e sugestões se for o caso.
Dada a natureza dinâmica da segurança da informação, são necessárias também
actividades de melhoria contı́nua, que procuram abordar mudanças nas ameaças,
vulnerabilidades e incidentes de segurança.
Segundo a ISO, a série ISO/IEC 27000 é composta por um conjunto de normas e
documentos, alguns já publicados e outros agendados para publicação:
• ISO/IEC 27000: Publicada em Maio de 2009, sob o tı́tulo “Tecnologias da
Informação - Técnicas de Segurança - Sistemas de Gestão da segurança da
informação - Visão Geral e Vocabulário”, define o vocabulário, os princı́pios e
os conceitos para a série inteira e é distribuı́da gratuitamente para a promover.
• ISO/IEC 27001: Publicada em Outubro de 2005, substitui, essencialmente,
a antiga BS7799-2, reforçando-a e harmonizando-a com outras normas padrão.
O objectivo da norma é proporcionar um modelo para a criação, implementação,
operação, monitoria, análise, manutenção e melhoria de um Sistema de Gestão
de Segurança da Informação. O processo de certificação ISO/IEC 27001 está
enunciado em http://www.27000.org/ismsprocess.htm.
• ISO/IEC 27002: Esta norma veio substituir a norma ISO/IEC 17799, como
um código de boas práticas para a segurança da informação, estabelecendo
directrizes e princı́pios gerais para iniciar, implementar, manter e melhorar a
sua gestão dentro de uma organização e ajudar a construir a confiança em
actividades inter-organizacionais.
• Existem outras normas, nesta série, mas não entram no contexto desta análise
cronológica das normas relativas à segurança da informação.
82
3.5.2
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
Enquadramento Legal Português
Até este ponto analisamos várias contra-medidas de combate à ameaças informáticas,
desde as regras mais básicas de boa conduta destinadas aos utilizadores, passando
pelas diversas ferramentas e sistemas de segurança, até aos critérios e normas padrão
que orientam a certificação de produtos e sistemas de segurança.
No entanto, mesmo que os mecanismos de segurança implementados não sejam
suficientes para contrariar os ataques informáticos, a lei portuguesa prevê punições
para os cibercriminosos e medidas dissuasoras contra o cibercrime. Desta forma,
qualquer prática que envolva a invasão não autorizada de um sistema informático,
que afecte o seu bom funcionamento, ou o acesso e modificação de informação sigilosa
sem a devida autorização, apagando-a, destruindo-a, danificando-a, suprimindo-a,
modificando-a ou divulgando-a, é considerada crime.
A 15 de Setembro de 2009 foi publicado no Diário da Republica, 1a Série - No 179,
a aprovação da Lei no 109/2009, “relativa ao domı́nio do Cibercrime e da recolha de
prova em suporte electrónico”.
Esta lei é dividida em 5 capı́tulos e 32 artigos. As penas dos actos consumados variam
de 1 a 10 anos de prisão e as multas vão até 600 dias, dependendo da infracção.
A tentativa, em algumas situações, também é punı́vel. Este factor funciona como
medida dissuasora de segurança informática, pois as penas e multas elevadas podem,
em certos casos, condicionar e dissuadir os Crackers mais temerosos, que receiam
ser punidos pelos seus actos. Para além disso, também são previstas na lei várias
questões relacionadas com a cooperação internacional entre organizações, para fins
de formação técnica, investigação e recolha de informação fora de fronteiras.
A Comissão Nacional de Protecção de Dados (CNPD) apresenta as várias leis,
internacionais (Directivas e decisões da Comissão Europeia) e nacionais relativas
à prática de Cibercrime (Lei 109/2009 - Lei do cibercrime), à protecção de dados
pessoais (Artigo 35o da Constituição da Republica Portuguesa; Lei 67/98 - Lei da
Protecção de Dados Pessoais) e às comunicações electrónicas (Lei 41/2004 - Regula a
protecção de dados pessoais no sector das Comunicações Electrónicas), entre outras.
3.5. ENQUADRAMENTO LEGAL E NORMATIVO
3.5.3
83
Entidades orientadas à Segurança Informática
Existem também organizações governamentais e empresas privadas, nacionais e
internacionais, que se dedicam à segurança da informação:
CNPD: Autoridade Nacional de Controlo de Dados Pessoais, que funciona junto da
Assembleia da República e em cooperação com autoridades de controlo e protecção
de dados de outros estados. Tem a função controlar e fiscalizar o processamento de
dados pessoais, em rigoroso respeito pelos direitos do Homem e pelas liberdades e
garantias consagradas na Constituição e na lei. http://www.cnpd.pt.
Policia Judiciária (PJ): A PJ executa a maioria das investigações no âmbito de
ataques e burlas informáticas. http://www.policiajudiciaria.pt.
Instituto Português da Qualidade (IPQ): Organismo responsável, em Portugal,
pelo desenvolvimento de actividades de Normalização, Metrologia e Qualificação. É
da sua responsabilidade a aprovação e disponibilização do Programa de Normalização
(PN), bem como a aprovação e homologação das Normas Portuguesas, possuindo
ligações institucionais a organismos internacionais de normalização, como o Comité
Europeu de Normalização (CEN), Comité Europeu de Normalização Electrotécnico
(CENELEC), ou a ISO. http://www.ipq.pt.
Agência Europeia para a Segurança das Redes e da Informação (ENISA):
Agência Europeia que tem como função o aconselhamento e a coordenação das
medidas tomadas pela Comissão Europeia e pelos Estados-Membros para proteger
as suas redes e sistemas de informação. http://www.enisa.europa.eu/.
Open Source Vulnerability Database (OSVDB): Base de dados criada por e
para a comunidade de segurança, com o objectivo de fornecer informações técnicas
precisas, detalhadas, actuais e imparciais sobre as vulnerabilidades de segurança,
promovendo uma colaboração, mais aberta, entre empresas e utilizadores individuais,
com vista a eliminar trabalhos redundantes, e reduzir as despesas inerentes ao
desenvolvimento e manutenção de BDs de vulnerabilidades. http://osvdb.org/.
84
CAPÍTULO 3. SEGURANÇA EM REDES E SISTEMAS DE INFORMAÇÃO
National Security Agency (NSA): Agência de segurança integrada no robusto
Departamento de Defesa Norte-Americano, e responsável pela SIGNIT (Signals
intelligence), isto é, inteligência obtida a partir de sinais, sendo dessa forma o maior
núcleo de conhecimento em criptologia mundial. É supostamente a maior agência
de segurança do EUA e do mundo. http://www.nsa.gov/.
Instituto da Defesa Nacional (IDN): É tutelado pelo ministério da Defesa
Nacional e responsável pelo estudo, investigação e divulgação dos problemas da
segurança e defesa nacional e internacional. http://www.idn.gov.pt.
CERT: Serviço de Resposta a Incidentes de Segurança Informática que contribui
para o esforço de cibersegurança nacional na produção de alertas e recomendações
de segurança e na promoção de uma cultura de segurança. http://www.cert.pt.
Serviço de Informações de Segurança (SIS): Serviço público, inserido no
Sistema de Informações da República Portuguesa (SIRP), incumbido da produção
de informações de segurança destinadas a garantir a segurança interna e necessárias
a prevenir a sabotagem, o terrorismo, a espionagem e a prática de actos que, pela
sua natureza, possam alterar ou destruir o Estado de direito constitucionalmente
estabelecido, incluindo ataques de natureza informática. http://www.sis.pt.
Center for Education and Research in Information Assurance and Security
(CERIAS): É visto como um dos principais centros do mundo de ensino e pesquisa
na área de segurança da informação. A sua abordagem multidisciplinar aos problemas
vai desde questões puramente técnicas até questões éticas, jurı́dicas, educacionais,
comunicacionais, linguı́sticas e económicas. http://www.cerias.purdue.edu/.
Information Systems Security Association (ISSA): É uma associação dedicada
a fornecer serviços à comunidade de segurança da informação, tal como promover
a sua ampliação de conhecimentos e competências nesse domı́nio, incentivar o livre
intercâmbio de técnicas de segurança, abordagens e resolução de problemas, entre
outros. http://www.issa.int/.
4
Gestão do Risco
É praticamente impossı́vel abordarmos a temática da segurança da informação sem
nos depararmos com termos como Gestão do Risco ou Análise de Risco. De
facto, ambos os conceitos encontram-se intimamente relacionados com o processo
de Gestão da Segurança da Informação, nomeadamente ao nı́vel organizacional,
constituindo aspectos determinantes para a escolha das medidas e controlos de
segurança a implementar, de acordo com as necessidades e objectivos especı́ficos
destas entidades, no que concerne à garantia da manutenção da confidencialidade,
integridade, autenticidade e disponibilidade da sua informação crı́tica de negócio.
Neste âmbito, a gestão de risco é definida:
• Por Krause (2008) e Whitson (2003), como um vasto conjunto de práticas e
procedimentos com carácter cı́clico, definidas pelas seguintes etapas:
– Identificação de informação crı́tica;
– Análise e cálculo do risco, com base no valor da informação crı́tica, e na
probabilidade do impacto que a concretização de ameaças;
– Planificação, implementação, monitorização e controlo das medidas de
segurança a adoptar.
85
86
CAPÍTULO 4. GESTÃO DO RISCO
• No estudo de Pimenta (2005), como um processo detalhado de identificação de
factores que podem contribuir para danificar ou revelar informação confidencial.
• Na norma ISO/IEC 13335, como um processo que consiste na identificação,
controlo, eliminação ou minimização de certos eventos que possam afectar os
recursos de um sistema.
O Risco, por sua vez, segundo a norma ISO/IEC 13335, define-se como o potencial
de determinadas ameaças explorarem vulnerabilidades de um ou mais recursos do
sistema causando danos a uma organização.
No capı́tulo 3 foram apresentadas várias fontes de vulnerabilidades de sistema, as
ameaças que são passı́veis de serem concretizadas a partir da exploração das mesmas
e as contra-medidas que podem prevenir e/ou minimizar essas ameaças.
Visto isto, o
Risco pode ser apresentado como a manipulação prática destas 3
variáveis, segundo a formula matemática:
Risco =
Ameacas ∗ V ulnerabilidades
ContraMedidas
É fácil provar a veracidade desta equação:
Cada vulnerabilidade de um determinado recurso implica obrigatoriamente, pela
sua exploração, a existência de uma ou mais ameaças. Logo se as vulnerabilidades
aumentam, aumentam também as ameaças, o que consequentemente faz aumentar
o risco de ocorrência de um incidente de segurança nesse recurso.
No denominador da equação temos as contra-medidas numa relação inversamente
proporcional às restantes variáveis. Logo, se aumentarmos as contra-medidas de
protecção do recurso, na prática estamos a eliminar vulnerabilidades, diminuindo
assim o número de ameaças. Desta forma, matematicamente, estamos a aumentar
o valor do denominador e a diminuir o valor do numerador, não necessariamente na
mesma proporção, levando a que o valor do risco diminua consideravelmente.
Esta equação, na minha opinião, é perfeita para descrever o processo de Gestão do
Risco, pois através dela é possı́vel visualiza-lo e perceber-lo através da manipulação
das variáveis que nele intervêm. Porém, na prática este revela-se bem mais complexo.
4.1. PROCESSO DE GESTÃO DE RISCO
4.1
87
Processo de Gestão de Risco
O processo de gestão de risco (figura 4.1) tem por objectivo minimizar o risco de
incidente de segurança a que um SI está sujeito.
Segundo Pimenta (2005) esse processo inclui as seguintes fases: análise e classificação
do risco, planeamento e selecção de controlos, implementação e avaliação.
Figura 4.1 – Processo de Gestão de Risco (Fonte:Pimenta (2005))
4.1.1
Análise e Classificação do Risco
De acordo com a norma ISO/IEC 17799, a análise e classificação do risco deve
identificar, quantificar e agrupar, segundo prioridades, os riscos de acordo com
critérios de aceitação e objectivos relevantes para a organização. Os resultados
obtidos deverão servir de suporte a acções de gestão de risco e implementação
de controlos adequados. Esta fase deve incluir uma aproximação sistemática da
estimativa da magnitude dos riscos - subtarefa geralmente designada por análise de
risco - e a posterior comparação desses riscos com critérios considerados relevantes
para a organização, com o propósito de determinar a sua importância - subtarefa
designada por avaliação ou classificação do risco.
88
CAPÍTULO 4. GESTÃO DO RISCO
Análise do Risco
Segundo Pimenta (2005), a análise de risco é um processo que consiste na recolha de
factos, estimativas e realização de cálculos para geração de resultados que expressem,
de alguma forma o valor do risco (quer seja quantitativo ou qualitativo).
Para efectuar uma análise de risco é vulgar sistematizar o processo no seguinte
conjunto de tarefas:
• Identificação e classificação dos recursos com o propósito de identificar
a protecção apropriada, baseada no valor do recurso em causa (monetário ou
em termos de criticidade ou sensibilidade);
• Identificação das ameaças que poderão afectar a segurança de operações,
procedimentos e recursos da organização. Deve ser igualmente estimada a
probabilidade de ocorrência de acidentes associados, baseada no histórico de
incidentes, pesquisas ou inquéritos a outras organizações.
• Detecção e análise de vulnerabilidades que poderão ser exploradas pelas
potenciais fontes de ameaças. Podem ser de ı́ndole organizacional (falhas no
modo de actuação dos utilizadores) ou técnica (detectadas através ferramentas
informáticas apropriadas, como vulnerability scanners).
• Cálculo do risco existente: Segundo Pimenta (2005), o risco pode ser
calculado analiticamente, de acordo com dois pontos de vista: os métodos
quantitativos e os métodos qualitativos.
– Os métodos quantitativos recorrem, sobretudo, a estudos estatı́sticos e
a ferramentas matemáticas, e tipicamente calculam o custo dos danos
e a expectativa de perda anual para cada ameaça, aplicando a seguinte
equação:
Risco = P ∗ L
, onde P é a probabilidade de ocorrência de um incidente e L representa
a perda motivada por essa ocorrência.
4.1. PROCESSO DE GESTÃO DE RISCO
89
– Os métodos qualitativos assumem que uma perda não pode ser expressa
em valores monetários ou eventos discretos e tendem a expressar o risco
através de variáveis descritivas, baseadas no conhecimento e julgamento
de um analista. São métodos onde o ı́ndice do risco é descrito através de
adjectivos (por exemplo, bom, aceitável, excelente).
Classificação do Risco
A avaliação ou classificação do risco consiste na comparação entre os resultados
obtidos através da análise de risco e determinado referencial ou critério de aceitação,
para determinação de aceitabilidade do risco actual.
4.1.2
Planeamento e Selecção de Controlos
Uma vez conhecidos os nı́veis de risco, chega a fase de identificação e selecção das
medidas de segurança mais adequadas a implementar. Nesse sentido, existem várias
estratégias a adoptar em relação ao risco (Santos, 2007; Pimenta, 2005):
• Aceitar o risco: É uma decisão tomada pelos órgãos de gestão, no caso em
que os custos de implementação de controlos superam largamente os custos
das possı́veis perdas causadas por incidentes. Daı́ considera-se o ı́ndice de risco
aceitável para a organização e não são implementadas quaisquer medidas;
• Reduzir o risco: Consiste na implementação dos controlos julgados mais
adequados para prevenir ou minimizar o impacto das ameaças e reduzir o
risco a nı́veis aceitáveis. Esta á a estratégia mais utilizada pelas organizações;
• Transferir o risco. Neste caso, a organização não reduz directamente o risco.
Este é endossado a outras organizações (seguradoras). Em caso de ocorrência
de incidentes de segurança, a organização é compensada monetariamente;
• A rejeição do risco: Ocorre quando determinada organização despreza o
risco existente, esperando que, se este for ignorado, nunca será explorado. É
considerada uma estratégia pouco prudente e bastante perigosa.
90
CAPÍTULO 4. GESTÃO DO RISCO
Visto isto, segundo Santos (2007), e conforme descrito na secção 3.4, existem vários
tipos de controlos de segurança que podem ser implementados. Neste sentido, cada
conjunto de medidas de segurança é aplicado com um determinado objectivo, tendo
em conta as circunstâncias de risco de cada caso particular.
Para simplificar o processo de planeamento de controlos de segurança, Pimenta
(2005) desenvolveu, durante o seu estudo, um modelo de segurança de informação
(figura 4.2) que ilustra num diagrama as relações directas entre os vários conjuntos
de medidas de segurança e as restantes variáveis do processo dinâmico de controlo
e gestão de risco.
Figura 4.2 – Modelo para a Segurança da Informação (Fonte: Pimenta (2005))
Nesse âmbito, podemos ver que as medidas de prevenção incidem mais sobre a
correcção das vulnerabilidades do sistema, enquanto as medidas de correcção se
preocupam com a minimização do impacto de cada ataque.
4.1. PROCESSO DE GESTÃO DE RISCO
91
Estas duas medidas podem ser disparadas por medidas de detecção, no instante em
que estas detectam certos eventos maliciosos ou suspeitos. Finalmente as medidas
dissuasivas, apresentam uma actuação mais passiva, visando apenas diminuir a
probabilidade de ocorrência de ataques, não realizando normalmente qualquer tipo
de acção intrusiva no sistema.
No entanto, é impossı́vel afirmarmos que o risco pode ser completamente controlado
ou eliminado. Seja qual for a estratégia utilizada e os controlos seleccionados, haverá
sempre um nı́vel de risco presente no sistema, normalmente considerado aceitável,
denominado risco residual (figura 4.3). Este nı́vel de risco terá que ser definido pela
própria organização, de acordo com as caracterı́sticas do seu SI, tendo também em
conta os seus objectivos de segurança e a sua actividade de negócio.
Figura 4.3 – Risco Residual
92
CAPÍTULO 4. GESTÃO DO RISCO
4.1.3
Implementação de Controlos
O objectivo desta etapa é, subretudo, assegurar que os controlos de redução de risco
são implementados correctamente e fornecem a protecção adequada aos recursos da
organização. Nesse sentido, são executados planos de implementação baseados na
lista de controlos oriunda da fase de planeamento, para mitigar os riscos identificados
na fase de análise. É importante garantir não apenas o correcto funcionamento de
cada controlo mas igualmente o funcionamento simultâneo de todos os controlos
seleccionados, pois podem existir incompatibilidades que os impeçam de serem
implementados em conjunto, comprometendo todo o processo.
Problemática do processo de implementação
Apesar de aparentar ser um processo simples, o processo de gestão de risco, em
particular a fase de implementação de medidas de segurança é um processo complexo
que envolve mais variáveis, para além das componentes técnicas.
Segundo as referências de Soares (2005) e Baskerville (1992), os principais problemas
que podem assolar o processo de implementação são:
• Tardia consideração dos requisitos de segurança. Frequentemente, as questões
de segurança só são tidas em conta após as fases de análise, concepção e
implementação dos sistemas, o que implica esforços acrescidos.
• As restrições orçamentais. As organizações dificilmente suportam os custos
necessários à implementação eficaz dos mecanismos de segurança ou, então,
talvez considerem existir outras prioridades orçamentais mais prementes.
• Sensibilidade inadequada dos utilizadores para as questões relacionadas com a
segurança, não demonstrando possuir a preocupação e postura necessárias para
garantir um comportamento promotor da segurança do SI da sua organização.
• Falta de competências técnicas, por parte dos técnicos das organizações, no
domı́nio da segurança. Isto devido à complexidade técnica associada à tarefa
de prover de segurança os SI das organizações.
4.1. PROCESSO DE GESTÃO DE RISCO
93
• A atribuição das responsabilidades de segurança a uma unidade organizacional
independente das unidades operacionais conduz ao surgimento de conflitos.
Embora esta atribuição e estruturação possa fazer sentido sob o ponto de vista
da racionalização de recursos, na prática verifica-se que os requisitos definidos
pela unidade responsável pela segurança afectam, por vezes de forma gravosa,
os requisitos de negócio da parte operacional e são muito dispendiosos ou
mesmo impossı́veis de implementar. Além disso, constata-se que os restantes
agentes organizacionais não nutrem qualquer sentimento de propriedade em
relação às medidas de segurança adoptadas, dada a sua definição ser promovida
por uma unidade externa.
Estes problemas apontam para a necessidade de se ponderarem, para além dos
aspectos técnicos da implementação, as influências dos factores organizacionais,
humanos e sociais como parte do processo. A falta de consideração destes factores
pode levar a que a implementação das medidas de protecção encontre resistência por
parte das pessoas, especialmente quando as práticas de negócio e normas vigentes
entram em conflito com as restrições impostas pelas medidas de segurança.
Tal como afirma Soares (2005), ”apesar da implementação de medidas de segurança
beneficiar da conjugação da perspectiva tecnológica com a perspectiva funcional, essa
implementação só será bem sucedida se também se reconhecer o papel desempenhado
pelos aspectos éticos e humanos na prossecução de um ambiente com o nı́vel de
segurança adequado”.
Visto isto, de modo a garantir o sucesso da implementação das medidas de segurança
seleccionadas para assegurar a protecção do SI da organização é necessário estarem
reunidas várias condições, principalmente a nı́vel humano.
Acima de tudo, é vital que exista uma relação de cooperação e uma combinação
das visões e experiências, entre os gestores e os especialistas com responsabilidades
técnicas, para que se possam minimizar os eventuais conflitos que emanam de uma
visão de negócio que raramente compreende as complexidades técnicas das soluções
tecnológicas de segurança e de uma visão técnica que muitas vezes não leva em
consideração as especificidades funcionais e operacionais das unidades para as quais
os controlos são projectados.
94
CAPÍTULO 4. GESTÃO DO RISCO
Ao reconhecer-se a interdependência entre estas duas visões e a necessidade da sua
conjugação, estar-se-á a contribuir para que o processo de implementação possa ser
bem sucedido. Caso contrário, o processo de implementação poderá deparar-se com
vários obstáculos, ficando o esforço de segurança aquém do inicialmente almejado.
O apoio da gestão de topo tem um papel crucial, pois permite dar continuidade ao
desenvolvimento dos projectos e responder de forma célere e económica a mudanças
que se verifiquem durante a implementação.
É igualmente vital que aqueles que vão ter que adoptar novas medidas de segurança,
ou que por elas vão ser afectados no seu dia-a-dia, participem no processo de
mudança de um ambiente percepcionado como insuficientemente seguro para um
novo ambiente com um nı́vel de segurança reconhecido como mais apropriado.
Para isso, é necessário que a par da implementação dos controlos seleccionados, a
organização institua um conjunto de recompensas que facilite a adopção dos novos
controlos e que preveja um perı́odo inicial para que as pessoas se possam adaptar à
nova forma de trabalhar. Em determinados casos, poderá ser necessário investir-se
em programas de sensibilização e educação, que ensinem às pessoas novos valores,
novos conhecimentos na área de segurança, de modo a que se consigam enquadrar e
adaptar a uma nova polı́tica de segurança.
4.1.4
Avaliação e Monitorização
O valor dos recursos de uma organização, a probabilidade de concretização das
ameaças que pendem sobre os mesmos, o panorama tecnológico, organizacional e
legislativo variam consoante o decorrer do tempo. Em adição, quando um sistema
é implementado, a segurança nunca é perfeita, pois os utilizadores, de uma forma
deliberada ou casual, acabam por descobrir sempre novas formas de subverter todo o
processo. Tais factores tornam necessária a monitorização e revisão da aplicabilidade
e eficácia das medidas implementadas para garantir a continuidade e aperfeiçoamento
de todo o processo de gestão do risco numa organização.
As normas e critérios de avaliação de segurança, assumem um papel importante
nesta fase. Segundo a norma ISO/IEC 17799 “a segurança da informação depende
duma gestão racional dos riscos. A gestão do risco é um processo contı́nuo”.
4.2. ANÁLISE DO MODELO ISO/IEC 13335
4.2
95
Análise do Modelo ISO/IEC 13335
Existem vários modelos, mais ou menos elaborados, que pretendem apontar a rota a
seguir na execução das quatro fases de gestão de risco, descritas anteriormente, tendo
na sua génese métodos estatı́sticos. Alguns exemplos destes modelos são, o modelo
OCTAVE, o modelo ISRAM e o modelo normalizado e reconhecido mundialmente,
aconselhado pela norma ISO/IEC 13335.
A norma ISO/IEC 13335 surgiu como uma das normas publicadas pela ISO para
o processo da gestão do risco. Segundo esta, a primeira etapa no estabelecimento
de um processo de gestão do risco na organização, passa por definir quais são os
objectivos de segurança. Estes devem estar em sintonia com a missão e a natureza da
organização e a respectiva regulamentação legal a que a organização está obrigada.
Os objectivos devem também ser definidos com base na relação de dependência da
organização em relação aos SI.
Logo, durante o processo de gestão de risco é importantı́ssimo que os responsáveis
pelo projecto de segurança coloquem e reflitam sobre determinadas questões, com o
propósito de definir a estratégia a adoptar para o controlo do risco e promover a sua
consciencialização acerca da dependência da actividade de negócio da organização
em relação às infra-estruturas informáticas.
Quais são os sectores da organização que dependem directamente dos SI?
Qual o seu grau de dependência e a sua importância no âmbito organizacional?
Quais são as tarefas que não podem ser executadas sem o suporte das TI?
Que decisões dependem da integridade e da disponibilidade da informação?
Que informação deverá ser mantida confidencial?
Quais as implicações que tem um acidente de segurança para a organização?
Que nı́vel do risco é aceitável para a organização?
Neste sentido, a norma ISO/IEC 13335 define e propõe quatro abordagens diferentes
para a gestão do risco, definidas de seguida.
96
4.2.1
CAPÍTULO 4. GESTÃO DO RISCO
Abordagem baseada em boas práticas
De uma forma genérica, esta abordagem consiste na aplicação de medidas mais ou
menos genéricas e consensuais aos sistemas existentes na organização. Estas medidas
resultam de normas, documentos e directrizes cuja aplicação genérica revelou a sua
utilidade. A sua aplicação produz um limiar mı́nimo de segurança sem que para tal
haja alterações apreciáveis nos processos de negócio da organização ou um elevado
esforço de implementação.
4.2.2
Abordagem informal
A abordagem informal sugere que não seja usado nenhum método estruturado para
a gestão do risco. Propõe que a gestão do risco seja implementada com base no
conhecimento e na sensibilidade de quem está responsável por este processo.
4.2.3
Abordagem baseada na análise detalhada do risco
Esta abordagem tem como ponto central a análise do risco de cada recurso, cujo
valor é relevante para a vida da organização. A análise detalhada do risco inclui
a identificação e determinação do valor de cada recurso do SI e a determinação da
probabilidade da ocorrência de um ataque. Com base nestes valores é calculado o
valor do risco de cada recurso e são decididas as medidas a implementar de forma a
mitigar o risco.
4.2.4
Abordagem heterogénea
Esta abordagem (figura 4.4), por sua vez, propõe que, a partir dos objectivos de
segurança, se dividam os sistemas da organização em sistemas crı́ticos e não crı́ticos.
Um sistema poderá ser classificado como critico sempre que uma quebra de segurança
no mesmo provoque um dano elevado à organização, quer ao nı́vel económico ou
funcional, quer ao nı́vel de imagem.
4.2. ANÁLISE DO MODELO ISO/IEC 13335
97
De acordo com a figura 4.4, os sistemas crı́ticos serão alvo de uma abordagem
baseada na análise detalhada do risco. Desta forma, é possı́vel determinar um ı́ndice
do risco de cada recurso e assim estabelecer um conjunto de medidas de forma a
diminuir esse ı́ndice.
Aos sistemas classificados como não crı́ticos será aplicada uma abordagem baseada
em boas práticas, seleccionadas com base nas caracterı́sticas técnicas e funcionais
do sistema em causa.
Figura 4.4 – Abordagem heterogénea de Gestão do Risco
98
CAPÍTULO 4. GESTÃO DO RISCO
4.3
Metodologia proposta
Como vimos anteriormente, a tarefa de Gestão de Risco possui 4 etapas principais.
No entanto, é na primeira etapa (Análise e Classificação do Risco) que se encontra
a chave de todo o processo, pois a forma definimos e analisamos os recursos do
sistema é fundamental para a obtenção de nı́veis de risco próximos da realidade, que
facilitem a seleccção das medidas de segurança mais adequadas.
Desta forma, o responsável pelo processo de análise de risco tem que ponderar
todos os modelos à sua disposição, em comparação com os requisitos de segurança
do seu sistema, optando ou por aplicar integralmente um determinado modelo ou
por desenvolver o seu próprio modelo. Neste caso particular, a metodologia ou
modelo proposto terá como base a “Abordagem baseada na análise detalhada do
risco”referenciada na norma ISO/IEC 13335 e descrita na secção anterior, adaptada
às caracterı́sticas e necessidades de segurança do sistema em estudo.
4.3.1
Análise do Sistema de Informação Organizacional
A primeira acção a ser tomada para o desenvolvimento do projecto de gestão de
risco será o estudo e análise do sistema onde este projecto vai ser implementado.
Neste âmbito, os aspectos que terão que ser levados em conta na análise são:
1. Descrição geral da rede da organização
Nesta subtarefa terão que ser recolhidos e analisados dados sobre a rede
informática da organização, tal como a sua descrição, topologia, localização
geográfica, existência ou não de sub-redes, esquema geral da rede, equipamento
activo que a compõem (switchs, routers, servidores, máquinas fı́sicas, máquinas
virtuais), entre outros aspectos relevantes.
Esta análise possibilita, eventualmente, que os responsáveis pela segurança
possam detectar pontos sensı́veis da rede, susceptı́veis a incidentes graves, a
nı́vel de segurança. Desta forma, é mais fácil determinar os pontos estratégicos
onde será monitorizado o nı́vel de risco de toda a rede.
4.3. METODOLOGIA PROPOSTA
99
2. Identificação do software utilizado
Depois da análise aos aspectos fı́sicos da rede (hardware), é também necessário
analisar o tipo de software instalado, de modo a identificar, à partida, alguns
tipos de ameaças. Uma rede composta, a nı́vel de software, por plataformas
Windows, é mais susceptı́vel a ataques e exige um maior rigor a nı́vel de
segurança, do que uma rede composta por plataformas baseadas em UNIX.
3. Identificação dos serviços disponibilizados
Para além da análise ao hardware e software da rede, é também importante
detalhar os serviços disponibilizados pelo sistema informático. Esta tarefa
auxilia a detecção de pontos crı́ticos como os serviços remotos que exigem
bastante mais atenção a nı́vel de segurança do que os serviços locais, de uso
interno da organização.
4. Identificação de máquinas crı́ticas
Cruzando toda a informação dos pontos anteriores é possı́vel identificar as
máquinas crı́ticas da rede, ou seja, os activos mais vulneráveis a ataques
informáticos e que exigem uma monitorização mais rigorosa. Uma máquina
crı́tica poderá ser, por exemplo, uma máquina situada num ponto vulnerável
da topologia da rede, com plataforma Windows e que executa serviços remotos.
5. Identificação de Processos Crı́ticos
Para terminar a análise ao SI, resta identificar os processos crı́ticos da rede, ou
seja, processos, serviços, acções de negócio ou gestão impossı́veis de realizar se
a rede se encontrar indisponı́vel. A quantidade de serviços crı́ticos, dará aos
responsáveis pela segurança da rede uma estimativa do nı́vel de dependência da
organização em relação às suas infraestruturas informáticas. Uma organização
totalmente dependente da sua rede informática para promover a sua actividade
de negócio terá que implementar medidas de segurança muito mais rigorosas do
que uma organização que apenas dependa da sua rede para realizar actividades
rotineiras e de pouca importância.
100
CAPÍTULO 4. GESTÃO DO RISCO
4.3.2
Elementos de Informação
Após a analise do SI da organização é também vital analisar aquilo para o qual os
sistemas de segurança foram concebidos e têm responsabilidade de proteger, isto é,
os elementos de informação.
1. Identificação dos elementos da informação
Nesta primeira fase terão que ser identificados todos os elementos de informação
alocados e transaccionados através da rede da organização. Esta identificação
terá que ir desde a informação mais básica até à informação mais crı́tica e
confidencial. Quantos mais elementos de informação forem identificados, mais
rigorosa será a análise do risco.
2. Agregação dos elementos da informação em grupos homogéneos
A tarefa de identificação dos elementos de informação da rede pode ser bastante
demorada, devido ao frequente elevado número de items a analisar. Para
contornar esta adversidade é conveniente procurar agrupar toda a informação
em conjuntos homogéneos, de modo a reduzir a complexidade do processo.
4.3.3
Estimativa do Valor da informação
O nı́vel de risco a que uma determinada rede informática está sujeita, calcula-se a
partir de equação:
R=P ∗L
, onde P é a probabilidade de ocorrência das ameaças, e L as perdas por ocorrência
dessas ameaças, tendo em conta o valor da informação.
No entanto, ainda não existem dados que nos indiquem o valor de cada conjunto
de informação identificado na etapa anterior. Logo, esta etapa tem o objectivo de
estimar o valor de cada um desses conjuntos.
4.3. METODOLOGIA PROPOSTA
101
Mas como poderá ser calculado esse valor?
A maior das dificuldades que esta etapa apresenta é a ausência, na literatura, de
qualquer referencial que permita estimar o valor de cada grupo de informação.
Se a informação em causa estivesse ligada a uma área de natureza económica, uma
das soluções possı́veis seria usar o valor monetário que, naturalmente, lhes estava
associado. Não sendo possı́vel esta associação no tipo de informação com que se
está a trabalhar, poder-se-ı́a pensar em usar as coimas definidas pela lei portuguesa
para os casos de se verificar uma quebra de segurança, afim de estimar o valor da
informação. Todavia, na legislação portuguesa as coimas e as penas previstas são
genéricas, ou seja, não existe uma diferenciação segundo o tipo de documento ou
informação que foi alvo da quebra de segurança.
Nesta ausência de referências, propõe-se que a estimativa do valor de cada grupo
genérico de informação seja efectuada com base no valor do impacto negativo da
ocorrência de uma quebra de segurança que afecte cada grupo.
Atendendo à definição assumida para a segurança da informação e com vista a uma
melhor clarificação do efeito de uma eventual quebra de segurança, a estimativa
do valor será efectuada em função das dimensões confidencialidade, integridade,
disponibilidade e autoria/responsabilidade. É de referir que esta análise por dimensão
deriva do modelo ISO/IEC 13335.
Como poderemos estimar o valor do impacto negativo,
segundo cada dimensão?
Uma das soluções que se pode adaptar neste contexto, é a utilização de uma técnica
de consenso suportada por métodos estatı́sticos.
De acordo com a literatura, existem vários métodos de consenso, como o método
de Delphi, o método do grupo nominal e o método da conferência de consenso. Os
métodos mais utilizados na área das TI são os dois primeiros, pelo que serão descritos
de seguida, com o propósito de discutir qual deles se adapta melhor ao problema em
questão.
102
CAPÍTULO 4. GESTÃO DO RISCO
Método do grupo nominal
Segundo Santos (2007), o método do grupo nominal consiste na realização de duas
reuniões de forma a obter o consenso sobre um determinado assunto. Para isso, na
primeira etapa do método define-se o problema, seguindo-se a selecção do conjunto
de peritos, que varia tipicamente entre 9 e 12 elementos, que irão propor uma solução.
A etapa seguinte consiste na realização da primeira reunião. Nesta reunião todos
os peritos devem estar presentes e expor as suas ideias sobre o assunto em análise.
Depois de discutidas todas as ideias que foram dadas para cada questão colocada,
procede-se a uma votação individual e secreta, com base numa escala predefinida,
de forma a pontuar cada uma das ideias em função da sua relevância.
Após a votação é realizada a análise estatı́stica e determinada a posição relativa de
cada uma das ideias. A primeira reunião termina com a apresentação dos resultados.
Na segunda reunião, onde se exige igualmente a presença dos peritos, é efectuada a
discussão da ordenação obtida na primeira reunião e procede-se a uma nova votação
de forma a obter a ordenação final.
Método de Delphi
O método de Delphi, ou o painel de Delphi, como é designado em alguma literatura, é
um processo estruturado, que visa a obtenção de um consenso sobre um determinado
assunto, com base na opinião de um grupo de peritos.
O nome do método é baseado na mitologia grega e no oráculo de Delphi onde os
feiticeiros previam o futuro utilizando vapores alucinogénicos e entranhas de animais.
Segundo o estudo de Santos (2007), o método de Delphi foi criado na década de 50,
destinando-se ao uso militar, tendo sido permitido o uso civil na década de 60.
Desde aı́ tem sido aplicado em áreas como a educação, a saúde, engenharia, ciências
sociais, turismo e gestão (van Zolingen and Klaassen, 2003; Angus et al., 2003).
Do ponto de vista conceptual, o método de Delphi consiste na elaboração e aplicação
de uma sequência de questionários a peritos. Cada aplicação do questionário recebe
o nome de ronda. Entre cada ronda, o grupo de peritos, especialmente constituı́do
para o efeito, tem ao seu dispor a avaliação estatı́stica dos dados da ronda anterior.
4.3. METODOLOGIA PROPOSTA
103
Serão realizadas tantas rondas quantas as necessárias para obter um determinado
grau de consenso (Andres, 2000; Jones and Hunter, 1995; Graham et al., 2003).
No seu formato original, o processo começa com um questionário aberto (1a ronda),
com o objectivo de descobrir quais os itens relacionados com o estudo em causa.
Estes itens, depois de analisados e tratados pelo investigador, irão fazer parte do
segundo questionário (2a ronda) (Keeney et al., 2001; Santos, 2004).
Na segunda ronda e seguintes, o painel de peritos é convidado a dar a sua opinião
sobre a pertinência de cada item e a sua importância relativa para a questão em
causa, podendo cada elemento do painel mudar de opinião, tendo em conta a análise
estatı́stica das respostas dadas pelo grupo de peritos na ronda anterior.
Porém, com o intuito de diminuir o número de rondas do processo de Delphi existem
algumas variações do método original. De uma forma genérica todas estas versões
tendem a restringir o grau de liberdade de respostas, com o objectivo do método
convergir mais rapidamente (Alahlafi and Burge, 2005; Stewart et al., 1999).
Análise comparativa
Uma das diferenças entre o método do grupo nominal e o método de Delphi é
que, no primeiro são realizadas reuniões com a presença obrigatória dos diversos
peritos, enquanto que, no segundo não existem momentos de reunião dos elementos
que pertencem ao painel. Esta diferença é importante, especialmente quando os
elementos do painel são em número elevado ou quando são de serviços ou organismos
diferentes, o que dificulta a determinação de uma data para a realização das reuniões.
Por outro lado, o método de Delphi tem a vantagem de eliminar a influência que
um ou mais peritos possam ter nas respostas dos restantes. Esta influência pode
advir do estatuto hierárquico, do estatuto social e/ou da facilidade de argumentação
que alguns peritos possam apresentar. Outra vantagem que o método de Delphi
apresenta, é o anonimato total das respostas.
Face às vantagens apresentadas, deverá utilizar-se o método de Delphi para estimar o
valor do impacto negativo de uma quebra de segurança em cada grupo de informação.
104
CAPÍTULO 4. GESTÃO DO RISCO
4.3.4
Aplicação do método de Delphi
Uma vez escolhido o método de Delphi, é necessário definir que critérios servem para
a selecção dos elementos do painel de peritos, qual o formato dos questionários e
qual o critério de consenso a utilizar.
Constituição do Painel de peritos
Segundo Goodman (2000), o perito deve ser alguém imparcial e a informação que
ele fornece deve ser o reflexo do seu conhecimento, da sua formação, experiência
profissional, ou da sua percepção actual sobre um determinado assunto.
O painel deve ser heterogéneo e multi-disciplinar de forma a que nele, estejam
reflectidas as diversas sensibilidades sobre o assunto em apreço (Keeney et al., 2001).
Quanto ao número de peritos, a literatura não é consensual. Existem aplicações que
usam apenas 10 elementos e outras que atingem os 400 peritos.
Desta forma, a formação do painel de peritos de respeitar os seguintes critérios:
• Ser preferencialmente constituı́do por elementos seniores que ocupem cargos
de chefia ou equivalentes;
• Ser preferencialmente constituı́do por elementos ligados à área das TI, que
representem a opinião dos colaboradores da organização (engenheiros, técnicos
de TI, administradores de sistemas, entre outros);
• Todos os elementos devem trabalhar na unidade onde é realizada a análise;
• Incluir elementos directamente relacionados com a gestão dos serviços a que
pertence a informação em análise (administração, gestão de recursos humanos,
contabilidade, gestão do SI, entre outros);
• Incluir, sempre que possı́vel, o responsável pela segurança, gestão e manutenção
da rede informática da organização.
• Incluir colaboradores que demonstrem entusiasmo por questões de segurança.
4.3. METODOLOGIA PROPOSTA
105
Elaboração dos questionários
O questionário da primeira ronda será composto por um conjunto de perguntas
indexadas aos grupos genéricos de informação identificados, tendo sempre em conta
as várias dimensões de segurança, de acordo com o seguinte formato:
• “Qual o impacto negativo para a organização, quando a informação XPTO
sofre uma quebra de segurança segundo a dimensão confidencialidade?”
• “Qual o impacto negativo para a organização, quando a informação XPTO
sofre uma quebra de segurança segundo a dimensão integridade?”
• “Qual o impacto negativo para a organização, quando a informação XPTO
sofre uma quebra de segurança segundo a dimensão disponibilidade?”
• “Qual o impacto negativo para a organização, quando a informação XPTO
sofre uma quebra de segurança segundo a dimensão autoria/responsabilidade”
Definiu-se que a resposta a cada pergunta seria dada com base numa escala bipolar
(escala de Likert 1 ), crescente, de 7 pontos, de acordo com o que é a prática comum
em estudos similares. Na escala usada o número 1 corresponde ao impacto mais
baixo enquanto que o 7 corresponderá ao impacto mais elevado.
Para além das perguntas anteriores, o questionário deverá conter:
• Uma breve introdução sobre a problemática da segurança da informação;
• Um enquadramento dos objectivos do questionário;
• Um conjunto de definições relacionados com a problemática da segurança da
informação, usadas ao longo do questionário;
• Uma descrição dos grupos genéricos de informação em avaliação;
• As instruções do preenchimento do questionário.
1
A escala de Likert é uma lista ordenada de respostas, que tipicamente tem 5 ou 7 pontos.
106
CAPÍTULO 4. GESTÃO DO RISCO
O questionário da segunda ronda e das rondas seguintes, será igual ao primeiro, com
a diferença de se acrescentar a cada pergunta a seguinte informação:
• Média e desvio padrão das respostas da ronda anterior;
• Distribuição de frequências das respostas da ronda anterior;
• A resposta dada pelo perito a que se destina o questionário, na ronda anterior.
Critério de Consenso
Para determinar o nı́vel de consenso das respostas é proposto que se utilize o
coeficiente alpha de Croanbach. Este coeficiente mede a consistência interna das
respostas a um questionário, a partir da qual se pode inferir o grau de consenso
(Graham et al., 2003). O valor do coeficiente a partir do qual se considera que
existe consenso, está , para a maioria dos estudos, compreendido entre 0,7 e 0,8,
segundo a relação da tabela 4.1:
Tabela 4.1 – Alpha de Cronbach e o grau de Consenso
Alpha de Cronbach
Consenso
α ≥ 0, 9
Excelente
0, 8 ≤ α < 0, 9
Bom
0, 7 ≤ α < 0, 8
Razoável
0, 6 ≤ α < 0, 7
Fraco
α < 0, 6
Inaceitável
Após a conclusão de cada ronda de questionários é calculado o coeficiente alpha de
Cronbach para cada dimensão de segurança. Se o seu valor para uma certa dimensão
indicar um consenso razoável ou superior então, na ronda seguinte, o estudo dessa
dimensão será excluı́do, elaborando-se o questionário apenas para as dimensões em
que ainda não se tenha atingido consenso. Quando todas as dimensões evidenciarem
um nı́vel de consenso razoável ou superior considera-se concluı́do o estudo.
4.3. METODOLOGIA PROPOSTA
107
O Valor da Informação
O valor de cada grupo genérico de informação, segundo uma determinada dimensão,
corresponde ao valor médio das respostas obtidas na última ronda, referentes a cada
grupo e à dimensão em causa. Assim para cada dimensão, é possı́vel construir uma
matriz (Matriz 4.1, Matriz 4.2, Matriz 4.3 e Matriz 4.4) onde cada posição representa
o valor de um determinado grupo de informação.
Nas matrizes utilizam-se a seguinte nomenclatura:
• Vconf.Grupoi - valor do grupo genérico de informação i (Grupoi ) quando sofre
uma quebra de segurança segundo a dimensão confidencialidade;
• Vint.Grupoi - valor do grupo genérico de informação i (Grupoi ) quando sofre uma
quebra de segurança segundo a dimensão integridade;
• Vdisp.Grupoi - valor do grupo genérico de informação i (Grupoi ) quando sofre
uma quebra de segurança segundo a dimensão disponibilidade;
• Vresp.Grupoi - valor do grupo genérico de informação i (Grupoi ) quando sofre
uma quebra de segurança segundo a dimensão autenticidade/responsabilidade;
V alorconf.


Vconf.Grupo1


Vconf.Grupo2 




Vconf.Grupo3 

=


.






.


Vconf.Grupoi
(4.1)
4.1. Valor dos grupos genéricos de informação em função da confidencialidade
108
CAPÍTULO 4. GESTÃO DO RISCO

V alorint.
Vint.Grupo1



Vint.Grupo2 




= Vint.Grupo3 


..


.


(4.2)
Vint.Grupoi
4.2. Valor dos grupos genéricos de informação em função da integridade

V alordisp.
Vdisp.Grupo1



Vdisp.Grupo2 




= Vdisp.Grupo3 


..


.


(4.3)
Vdisp.Grupoi
4.3. Valor dos grupos genéricos de informação em função da disponibilidade

V alorresp.
Vresp.Grupo1



Vresp.Grupo2 




= Vresp.Grupo3 


..


.


Vresp.Grupoi
(4.4)
4.4. Valor dos grupos de informação em função da autenticidade/responsabilidade
4.3. METODOLOGIA PROPOSTA
109
Após estabelecidas as quatro matrizes referentes às quatro dimensões da informação,
cada grupo genérico de informação terá que ser classificado, de acordo com a média
dos valores obtidos nas quatro dimensões (Vmedioi ):
Vmedioi =
Vconf.Grupoi + Vint.Grupoi + Vdisp.Grupoi + Vresp.Grupoi
4
A tabela 4.2 mostra a correspondência entre o valor médio obtido no cálculo subjectivo
do valor da informação com a classificação da mesma quanto ao seu grau de criticidade.
Tabela 4.2 – Classificação da informação segundo a criticidade
Valor Médio
Classificação
da Informação
Vmedio ≥ 6
Crı́tica
5 ≤ Vmedio < 6
Sensı́vel
3 ≤ Vmedio < 5
Restrita
1 ≤ Vmedio < 3
Pública
110
4.3.5
CAPÍTULO 4. GESTÃO DO RISCO
Probabilidade de concretização de uma ameaça
Paralelamente à estimativa do valor de cada grupo genérico de informação, tendo
em conta a equação de cálculo do risco é necessário também estimar a probabilidade
de concretização das ameaças a que cada grupo está sujeito.
Processos Genéricos
As organizações da área das TI têm como principal actividade desenvolver sistemas,
garantindo a sua instalação, bom funcionamento, suporte e manutenção ao longo do
tempo. Isto tudo suportado por uma forte estrutura hierárquica (figura 4.5).
Figura 4.5 – Organigrama standard de uma organização de TI
Visto isto, cada nı́vel de actividade tem a necessidade de gerar, aceder, processar e
armazenar informação quer para o exercer das suas actividades, quer para responder
a solicitações dos outros nı́veis, gerando-se assim fluxos de informação, dentro de
departamentos, entre departamentos, e entre a organização e o ambiente exterior.
4.3. METODOLOGIA PROPOSTA
111
Deste fluxo de informação e após uma análise cuidada, é possı́vel identificar um
conjunto de processos genéricos a que a informação está sujeita, ao longo do seu
ciclo de vida, nomeadamente:
• Consultar - processo que permite, a quem de direito, aceder a um determinado
documento e conhecer o seu conteúdo;
• Criar - processo que permite que uma entidade origine um documento;
• Editar - processo que permite alterar o conteúdo de um documento;
• Organizar - processo que, ao ser executado, permite organizar um conjunto
de documentos em suporte de papel;
• Eliminar - processo que permite eliminar parte ou a totalidade da informação;
• Comunicar - processo que permite a transferência de informação;
• Armazenar - processo que reúne os procedimentos inerentes à conservação e
guarda da informação num determinado local.
Neste sentido, as ameaças a um determinado grupo genérico de informação derivam
das ameaças associadas aos diversos processos, descritos acima, a que a informação
está sujeita durante a sua existência.
Identificação de ameaças
O passo seguinte consiste na identificação das ameaças associadas a cada processo,
por forma a poder determinar a probabilidade de concretização de cada uma delas.
Este processo, normalmente, é constituı́do pelas seguintes fases:
1. Análise de vulnerabilidades;
2. Identificação das ameaças de acordo com essas vulnerabilidades;
3. Classificação e descrição das ameaças;
112
CAPÍTULO 4. GESTÃO DO RISCO
No entanto, esta fase é bastante problemática, pois não é fácil identificarmos as
vulnerabilidades do sistema analiticamente, sem recurso a ferramentas informáticas,
como
vulnerability scanners ou
audit tools. Porém, podemos socorrer-nos
de outros factores para conseguir identificar algumas ameaças à informação. Nesse
sentido, recorrendo à análise das secções 3.2 e 3.3, podemos assumir duas abordagens:
• Recorrer a estudos estatı́sticos
Ao longo dos anos, têm sido feitos vários estudos pontuais, primeiro para determinar
as ameaças mais comuns presentes no ambiente empresarial e posteriormente, estimar
a probabilidade de ocorrência da cada uma delas (tabela 4.3).
Tabela 4.3 – Probabilidade de ocorrência de ameaças
No
Ameaças
Probabilidade de Ocorrência
1
Vı́rus
78%
2
Abuso de Acesso à Internet
59%
3
Acesso não autorizado à Informação
39%
4
Invasão de Sistema
37%
5
Negação de Serviço
17%
6
Roubo de Informação Proprietária
10%
7
Fraude Financeira
5%
Porém, este tipo de abordagem é demasiado especı́fica, considerando apenas ameaças
comuns que nem sempre se adequam a determinados ambientes empresariais. Para
além disso, consideram frequentemente aspectos referentes a ameaças fı́sicas, como
roubo e/ou destruição de hardware, que não interessam a este estudo.
Por outro lado, este tipo de estudos nem sempre fornecem o número de amostras
consideradas, para que possamos ter ideia do nı́vel de rigor e fiabilidade da análise.
Assim, os resultados acabam por variar de estudo para estudo, de análise para
análise, sendo desta forma, difı́cil usar esses dados com confiança, sem correr o risco
do resultado final sair deturpado ou distante da realidade.
4.3. METODOLOGIA PROPOSTA
113
• Abordagem subjectiva
A alternativa aos estudos estatı́sticos, feitos por entidades externas, é a realização
do nosso próprio estudo, num âmbito particular e interno à organização, tomando
em conta apenas dados que lhe digam respeito.
A primeira fase desta abordagem deve preocupar-se em dividir todas as ameaças
conhecidas, em categorias.
Se consultarmos a secção 3.3, verificamos que as ameaças podem ser divididas
em quatro classes principais: interrupção, intercepção, modificação e fabricação.
Utilizando apenas estas quatro categorias conseguimos englobar todo o tipo de
ameaças à informação e diminuir o tempo de cálculo necessário para a estimativa
da probabilidade de concretização de cada uma delas. Para além disso podemos
também criar uma correspondência entre estas classes de ameaças e as quatro
dimensões de segurança em apreciação (figura 4.6).
Figura 4.6 – Identificação de ameaças
Nota: Considerando que os dados resultantes de estudos estatı́sticos ficam obsoletos
rapidamente, que nem sempre são fiáveis nem podem, em muitos dos casos, ser
adaptados a casos particulares, sugere-se a utilização da abordagem subjectiva.
114
CAPÍTULO 4. GESTÃO DO RISCO
Contudo, neste caso particular, não há registos sobre as ocorrências de ataques que
permitam inferir o valor da probabilidade que se pretende calcular. Assim, tal como
no calculo do valor da informação, o valor da probabilidade será estimado de forma
subjectiva, com base na opinião de um conjunto de peritos (modelo de Delphi).
4.3.6
Aplicação do Modelo de Delphi
A segunda implementação do método de Delphi, seguirá o mesmo procedimento da
primeira, havendo, no entanto, as necessárias adaptações.
Constituição do painel de peritos
O painel de peritos deverá ser constituı́do, na sua maioria, por elementos com
experiência profissional acumulada, isto porque o valor que pretendemos determinar
exige um alto conhecimento empı́rico sobre os vários parâmetros do SI, de modo a
ser possı́vel a cada elemento do painel estimar uma probabilidade de ocorrência das
várias classes de ameaça próxima da realidade, tendo como base e argumento a sua
vasta experiência.
Elaboração do Questionário
O questionário a usar na primeira ronda será dividido em duas partes. A primeira
parte contém os seguintes itens:
• Uma breve introdução com um conjunto de definições de conceitos, relativos à
problemática da segurança da informação, usados ao longo do questionário,
nomeadamente conceitos referentes às diferentes classes de ameaças e aos
diferentes processos genéricos que manipulam a informação;
• Descrição dos grupos genéricos de informação referidos no questionário;
• Instruções de preenchimento do questionário.
4.3. METODOLOGIA PROPOSTA
115
A segunda parte do questionário é composta por um conjunto de questões destinadas
a obter o valor da probabilidade da concretização de uma ameaça, sempre que um
grupo genérico de informação seja sujeito a um processo genérico.
O modelo tı́pico da pergunta que se propõe é o seguinte:
Quando a informação XPTO é sujeita ao processo genérico XZY, qual a
probabilidade de a ameaça ABC se concretizar ?
Contudo, este modelo pode ser adaptado em função do grupo de informação, do
processo ou da ameaça, de forma a tornar a pergunta mais clara para o perito.
A probabilidade de um evento é representada como um número real entre 0 e 1, ou
em percentagem, de 0 a 100. Deste modo, propõe-se para as respostas uma escala
bipolar de 10 pontos. Para auxiliar os peritos na sua avaliação, a tabela 4.4 oferece
a correlação de cada valor da escala bipolar com um intervalo de percentagens.
Tabela 4.4 – Escala de resposta de probabilidades
Item da Escala
Intervalo
de
Percentagem
1
[0;10]
2
]10;20]
3
]20;30]
4
]30;40]
5
]40;50]
6
]50;60]
7
]60;70]
8
]70;80]
9
]80;90]
10
]90;100]
À semelhança da primeira aplicação do modelo de Delphi, a partir da segunda ronda
serão acrescentados os dados estatı́sticos de feedback, da ronda anterior.
116
CAPÍTULO 4. GESTÃO DO RISCO
Critério de Consenso
Tal como na estimativa do valor de cada grupo genérico de informação, o coeficiente
alpha de Cronbach será também aqui usado para determinar o grau de consenso
em cada ronda de questionários. Da mesma forma, usar-se-á a Tabela 4.1 para
determinar o valor qualitativa do consenso obtido.
Após a conclusão da 2a ronda e até que o coeficiente alpha de Cronbach indique um
nı́vel de consenso aceitável, serão aplicadas tantas rondas quantas as necessárias.
Probabilidade de ocorrência das ameaças por dimensão de segurança
Como a metodologia proposta está alicerçada nas quatro dimensões da segurança, é
conveniente que os valores das probabilidades sejam indexados às mesmas dimensões.
Não é difı́cil verificar, após uma análise cuidada das definições usadas, que uma
determinada classe de ameaças afecta uma ou mais dimensões da segurança.
A Tabela 4.5 estabelece as dimensões que são predominantemente afectadas quando
se concretiza cada classe de ameaças proposta.
Tabela 4.5 – Correspondência entre as classes de ameaças e
as dimensões de segurança
Ameaça
Dimensão afectada
Conf
Intercepção (A1)
X
Modificação (A2)
X
Interrupção (A3)
Fabricação (A4)
1
Confidencialidade
Integridade
3
Disponibilidade
4
Autenticidade/Responsabilidade
2
1
Int
2
Disp
3
Resp
X
X
X
4
4.3. METODOLOGIA PROPOSTA
117
Conjugando a tabela anterior com os processos genéricos identificados e os vários
grupos genéricos de informação em estudo é possı́vel, para cada uma das dimensões
de segurança, construir uma matriz de probabilidades, onde:
• P Gk representa o processo genérico k, com k = 1, 2, ..., m;
• Gi representa o grupo genérico de informação i, com i= 1,2,3,..., n;
• Ap representa a classe de ameaças, onde p ε [1;4]
• Pi(P Gk Ap ) representa a probabilidade da concretização da ameaça Ap quando o
grupo genérico de informação Gi é alvo do processo P Gk . Esta probabilidade é
calculada com base na média das respostas obtidas na ronda onde foi atingido
o consenso entre o painel de peritos.
Quando um determinado grupo de informação não é alvo de um determinado
processo, a probabilidade da concretização das ameaças associadas ao processo
em causa é, naturalmente, zero (Pi,(P Gk Ap ) = 0).
É necessário ter em atenção que para a dimensão de segurança disponibilidade,
por exemplo, só poderá ser considerada a ameaça interrupção aplicada a todos os
processos genéricos, pois as restantes ameaças, de acordo com a tabela 4.5, não
afectam essa mesma dimensão. Realizando o mesmo raciocı́nio para as restantes
dimensões, é possı́vel formar as seguintes matrizes de probabilidades:

Pconf.
P1,(P G1 A1 ) P1,(P G1 A2 ) ... P1,(P Gm A1 ) P1,(P Gm A2 )



P2,(P G1 A1 ) P2,(P G1 A2 ) ... P2,(P Gm A1 ) P2,(P Gk A2 ) 




= P3,(P G1 A1 ) P3,(P G1 A2 ) ... P3,(P Gm A1 ) P3,(P Gm A2 ) 


..
..
..
..


.
.
.
.


Pn,(P G1 A1 ) Pn,(P G1 A2 ) ... Pn,(P Gm A1 ) Pn,(P Gm A2 )
Matriz 4.5. Probabilidade da concretização de uma ameaça
que afecta a confidencialidade
(4.5)
118
CAPÍTULO 4. GESTÃO DO RISCO

Pint.
P1,(P G1 A2 ) ... P1,(P Gm A2 )



 P2,(P G1 A2 ) ... P2,(P Gk A2 ) 




=  P3,(P G1 A2 ) ... P3,(P Gm A2 ) 


..
..


.
.


(4.6)
Pn,(P G1 A2 ) ... Pn,(P Gm A2 )
Matriz 4.6. Probabilidade da concretização de uma ameaça
que afecta a integridade

Pdisp.
P1,(P G1 A3 ) ... P1,(P Gm A3 )



 P2,(P G1 A3 ) ... P2,(P Gk A3 ) 




=  P3,(P G1 A3 ) ... P3,(P Gm A3 ) 


..
..


.
.


(4.7)
Pn,(P G1 A3 ) ... Pn,(P Gm A3 )
Matriz 4.7. Probabilidade da concretização de uma ameaça
que afecta a disponibilidade

Presp.
P1,(P G1 A4 ) ... P1,(P Gm A4 )



 P2,(P G1 A4 ) ... P2,(P Gk A4 ) 




=  P3,(P G1 A4 ) ... P3,(P Gm A4 ) 


..
..


.
.


Pn,(P G1 A4 ) ... Pn,(P Gm A4 )
Matriz 4.8. Probabilidade da concretização de uma ameaça
que afecta a autenticidade/responsabilidade
(4.8)
4.3. METODOLOGIA PROPOSTA
4.3.7
119
Cálculo do Risco
Uma vez estimado o valor de cada grupo genérico de informação e as probabilidades
da concretização das ameaças, cabe agora calcular o ı́ndice do risco, segundo a
relação:

Risco = 
P robabilidade.de.ocorrer


V alor.perdido.na

×

uma.quebra.de.seguranca
quebra.de.seguranca
(4.9)
Com base nas matrizes da probabilidade da concretização das ameaças (Matriz 4.5,
Matriz 4.6, Matriz 4.7 e Matriz 4.8), e segundo o estudo de Santos (2007), podem-se
construir quatro matrizes (n x n), de modo a uniformizar o tamanho das matrizes,
onde cada valor da diagonal principal é igual ao valor máximo da respectiva linha
da matriz, tomando os restantes elementos da matriz o valor zero.
As matrizes resultantes são a Matriz 4.10, a Matriz 4.11, a Matriz 4.12 e a Matriz
4.13, onde Max (y) é uma função matemática que determina o maior valor absoluto
de uma série de valores.
PM AXconf.

a11 0

 0 a22

= .
..
 ..
.

0 0
Onde,
a11 = Max (Valores da linha 1 da matriz Pconf. )
a22 = Max (Valores da linha 2 da matriz Pconf. )
ann = Max (Valores da linha n da matriz Pconf. )
...
...
...
0
0
..
.
... ann







(4.10)
120
CAPÍTULO 4. GESTÃO DO RISCO

PM AXint.
a11



=


0
..
.
0
0
...
0
a22 ...
.. . . .
.
0
..
.
0

... ann






0

(4.11)
Onde,
a11 = Max (Valores da linha 1 da matriz Pint. )
a22 = Max (Valores da linha 2 da matriz Pint. )
ann = Max (Valores da linha n da matriz Pint. )

PM AXdisp.



=


a11
0
..
.
0
0
...
a22 ...
.. . . .
.
0
Onde,
a11 = Max (Valores da linha 1 da matriz Pdisp. )
a22 = Max (Valores da linha 2 da matriz Pdisp. )
ann = Max (Valores da linha n da matriz Pdisp. )
0
..
.
... ann






(4.12)
4.3. METODOLOGIA PROPOSTA
121

PM AXaut.



=


a11
0
..
.
0
0
...
0
a22 ...
.. . . .
.
0
..
.
0
... ann







(4.13)
Onde,
a11 = Max (Valores da linha 1 da matriz Paut. )
a22 = Max (Valores da linha 2 da matriz Paut. )
ann = Max (Valores da linha n da matriz Paut. )
Portanto, o ı́ndice do risco segundo a dimensão confidencialidade é uma matriz
(nx1), designada por Riscoconf. em que cada elemento riscoconf.Grupoi representa o
valor do risco para o grupo genérico de informação Gi , segundo essa dimensão.
A matriz Riscoconf. é calculada pelo produto entre a matriz PM AXconf. e a matriz
V alorconf. . Efectua-se um cálculo semelhante para as outras dimensões, conforme
se ilustra nas fórmulas seguintes.

Riscoconf.
Riscoconf.Grupo1

 Risco

conf.Grupo2


=  Riscoconf.Grupo3


..

.

Riscoconf.Grupon






 = PM AXconf. ∗ V alorconf.




(4.14)
Fórmula 4.14 - Índice de Risco segundo a dimensão confidencialidade
122
CAPÍTULO 4. GESTÃO DO RISCO

Riscoint.
Riscoint.Grupo1

 Risco

int.Grupo2


=  Riscoint.Grupo3


..

.

Riscoint.Grupon






 = PM AXint. ∗ V alorint.




(4.15)
Fórmula 4.15 - Índice de Risco segundo a dimensão integridade

Riscodisp.
Riscodisp.Grupo1

 Risco

disp.Grupo2


=  Riscodisp.Grupo3


..

.

Riscodisp.Grupon






 = PM AXdisp. ∗ V alordisp.




(4.16)
Fórmula 4.16 - Índice de Risco segundo a dimensão disponibilidade

Riscoaut.
Riscoaut.Grupo1

 Risco

aut.Grupo2


=  Riscoaut.Grupo3


..

.

Riscoaut.Grupon






 = PM AXaut. ∗ V aloraut.




Fórmula 4.17 - Índice de Risco segundo a dimensão
autenticidade/responsabilidade
(4.17)
4.3. METODOLOGIA PROPOSTA
4.3.8
123
Análise e Classificação do Risco
A equipa responsável pela gestão do risco informático do sistema deve ter uma noção
prévia, tendo em conta as caracteristicas do SI e as preocupações de segurança da
organização, do risco máximo aceitável para que o SI seja considerado seguro.
Depois de se definirem os valores aceitáveis de risco, deve realizar-se uma comparação
desses valores com os dados resultantes do processo de cálculo do risco descrito
anteriormente. Com base nesta comparação deve ser classificado cada ı́ndice de
risco resultante da análise ao SI.
A classificação do ı́ndice de risco pode ser dada pelos nı́veis:
• Mau - Quando o ı́ndice de Risco calculado é superior ao valor máximo de risco
aceitável;
• Aceitável - Quando o ı́ndice de Risco calculado é muito próximo do valor
máximo aceitável;
• Bom - Quando o ı́ndice de Risco calculado é bastante inferior ao valor máximo
aceitável;
• Excelente - Quando o ı́ndice de Risco calculado é próximo do valor de risco
residual, isto é, próximo de zero;
4.3.9
Selecção de controlos
De acordo com o ı́ndice de risco obtido no processo de cálculo, e com todos os dados
resultantes da análise do SI, devem ser seleccionados os controlos ou medidas de
segurança adequadas. Essas medidas poderão ser, consoante o caso, de correcção,
dissuasão, prevenção, detecção, diversão, recuperação.
Caso seja necessário deverão ser actualizados alguns parâmetros presentes na Polı́tica
de Segurança da empresa, caso esta exista.
124
4.3.10
CAPÍTULO 4. GESTÃO DO RISCO
Esquema proposto
A metodologia proposta está representada e resumida no diagrama da figura 4.7.
Figura 4.7 – Metodologia proposta
5
Implementação da
metodologia proposta
Segundo o esquema da figura 4.7, passa-se a descrever o processo de cálculo do risco.
5.1
Análise do Sistema de Informação
Segundo Pimenta (2005), os SI de uma organização para além da componente técnica
(hardware e software), compreendem também uma dimensão social formada pelas
acções e relações entre utilizadores. Contudo, a metodologia que se apresenta não
contempla uma análise à dimensão social. Logo, propõe-se uma análise aos SI da
instituição, assente na caracterização da infraestrutura tecnológica e dos processos
automatizados existentes, sobretudo aqueles que lidam com informação crı́tica.
Esta primeira fase divide-se em quatro etapas:
• Descrição da Rede informática da organização (Hardware);
• Identificação do software utilizado nas diversas plataformas;
• Identificação das máquinas crı́ticas do sistema;
• Identificação dos serviços suportados pelo sistema, principalmente os serviços
crı́ticos (100% dependentes da infra-estrutura informática);
125
126
5.1.1
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Descrição da Infraestrutura Informática
De modo a evitar a divulgação, no momento da publicação desta Dissertação de
Mestrado, de dados confidenciais da rede em estudo, esta descrição será o mais geral
possı́vel, omitindo nomes de máquinas, serviços, e outros dados sigilosos.
Figura 5.1 – Esquema Geral da Rede Informática em estudo
Conforme ilustrado na figura 5.1, a rede é guarnecida por dois serviços de Internet,
de modo a que, se por algum motivo, algum deles falhe, o segundo consiga continuar
a suportar os serviços da rede.
5.1. ANÁLISE DO SISTEMA DE INFORMAÇÃO
127
Em termos de topologia, a rede apresenta-se num esquema em estrela distribuı́da,
devido ao facto de possuir dois pontos centrais, tendo acesso fı́sico e acesso wireless
protegido. Inclui túneis VPN para prestação de serviços a clientes especı́ficos.
Entre os serviços de Internet e a rede interna encontra-se uma barreira de segurança,
constituı́da por uma firewall e um router, integrados na mesma máquina. O fluxo
que
atravessa o filtro é direccionado para um switch de 24 portas que faz a
distribuição da informação para a rede interna (figura 5.2).
Figura 5.2 – Esquema da Rede interna
128
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Fazendo um zoom da rede interna (figura 5.2), podemos constatar que o fluxo da
rede é distribuı́do pelo siwtch 24 portas para máquinas especı́ficas da rede, para a
storage, que permite fazer armazenamento e backup de informação, e para outros
switches que servirão de pontos de acesso à Internet, aos vários colaboradores.
A grande maioria das máquinas, em produção, com a finalidade de prestar serviços,
desenvolver e testar plataformas especı́ficas, são máquinas virtuais.
Esta breve análise poderá facilitar a identificação de ameaças à informação suportada
pela rede e determinar as que têm mais ou menos probabilidade de se virem a
concretizar.
5.1.2
Identificação do software da rede
Com vista a estabelecer um suporte fiável e eficaz aos seus
serviços internos e
ao desempenho outsourcing e interno dos seus colaboradores, as organizações de TI
costumam fornecer e utilizar várias gamas de software, adequadas a cada plataforma
e/ou a cada circunstância.
Neste caso concreto, a organização baseia a sua actividade de negócio na aposta em
software Open-Source, embora utilize software com licenças privadas. Nesse âmbito,
a lista de plataformas de software que compõem a infraestrutura informática é:
• Versões Microsoft Windows (XP, Vista, 7)
• Windows Server
• Distribuições Linux (Ubuntu, Fedora, CentOS)
• Gestores de base de dados (Oracle, MySQL, PgSQL)
• Ferramentas open-source:
– Orientadas à segurança: Babel Enterprise, OpenVas;
– Orientadas à monitoria e gestão de redes: Nagios, Zabbix;
– OpenVPN;
– Entre outras.
5.1. ANÁLISE DO SISTEMA DE INFORMAÇÃO
5.1.3
129
Identificação dos serviços disponibilizados
No exercı́cio da sua actividade, as empresas de TI têm duas classes de serviços
distintas: os serviços internos para uso exclusivo dos seus colaboradores e os serviços
com propósito comercial, destinados aos clientes. Em muitos casos, alguns serviços
podem servir para uso interno e uso comercial simultaneamente.
Neste caso concreto, entre os serviços internos poderemos encontrar: Webmail; DNS;
DHCP; LDAP; SUGAR; redmine; wiki; Instant Messenger; entre outros.
Da parte de serviços com propósitos comerciais encontram-se soluções de:
• Monitoria e gestão de redes;
• Auditoria de Redes;
• Acessos por VPN;
• Gestão de base de dados;
• Backups;
• Business Inteligence;
• Entre outros.
Analisando a actividade de negócio desta empresa em concreto, e levando em conta
todos os os factores descritos no ponto anterior conclui-se facilmente que esta é
totalmente dependente da sua infraestrutura informática. Logo, se por qualquer
motivo, o SI ficar temporariamente indisponı́vel, durante esse perı́odo de tempo a
empresa ficará impossibilitada de prestar qualquer tipo de serviço aos seus clientes,
podendo apenas realizar pequenas acções de gestão que não dependem do SI.
Este factor crı́tico deve alertar os administradores da organização para a necessidade
de implementação de medidas rigorosas de segurança, com o propósito principal de
salvaguardar a disponibilidade da rede.
130
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
5.1.4
Identificação de máquinas crı́ticas
Tendo em conta o esquema da rede interna da figura 5.2, não podemos afirmar, com
rigor, que existem máquinas com falhas graves de segurança ou que se situem em
pontos vulneráveis da rede, susceptı́veis de serem consideradas crı́ticas.
Em sı́ntese, os activos presentes na rede poderão ser divididos em 5 categorias:
• Máquinas particulares de cada colaborador, na sua maioria computadores
portáteis: Estas máquinas são destinadas ao desenvolvimento da actividade
particular de cada colaborador, desde a elaboração de documentos até ao
acesso remoto a máquinas de desenvolvimento e prestação de serviços;
• Máquinas de desenvolvimento e testes: Estas máquinas, na sua grande
maioria máquinas virtuais, estão destinadas ao desenvolvimento e teste de
plataformas, como por exemplo, desenvolvimento e testes de auditoria de redes,
backups ou gestão de base de dados.
• Máquinas em Produção: Estas máquinas, na sua grande maioria máquinas
virtuais, são destinadas a suportar serviços em produção, isto é, plataformas
dedicadas ao fornecimento directo dos serviços contratados por cada cliente.
Devido a este facto, estas máquinas carecem de uma maior atenção e rigor em
termos de medidas de segurança.
• Dispositivos de rede: Switches e routers da rede.
• Servidor/Blade Enclosure: Esta plataforma central é o coração da rede,
pois suporta todas as máquinas virtuais de desenvolvimento e de produção,
permite a realização de Backups e/ou a criação de redundância de informação
em vários pontos da rede. Existe também uma unidade de armazenamento
que possibilita que toda a informação seja armazenada e salvaguardada.
Dada a importância desta plataforma central, esta deve ser considerada o
activo mais crı́tico da rede e que carece de medidas de segurança mais rigorosas,
pois o controlo desta unidade, por parte de um processo não autorizado poderá
ter consequências catastróficas para a organização.
5.1. ANÁLISE DO SISTEMA DE INFORMAÇÃO
5.1.5
131
Conclusões
Desta análise à infraestrutura informática, objecto deste estudo, podem retirar-se
várias conclusões importantes.
Em primeiro lugar, os responsáveis pela segurança da rede deverão ter absoluta
consciência do elevado grau de dependência da actividade de negócio da organização
relativamente à sua infraestrutura informática, sem a qual não consegue sequer
garantir requisitos mı́nimos que suportem os serviços prestados aos clientes.
Num nı́vel crı́tico, as máquinas em produção, o bloco central
servidores/blade
enclosure, e o router principal de entrada na rede devem ter uma atenção especial a
nı́vel de segurança, pois é nestes pontos que se centra toda a informação da empresa.
As comunicações via VPN, embora já garantam um bom nı́vel de protecção, também
devem ser tidas como pontos crı́ticos da rede.
As máquinas de desenvolvimento e as máquinas particulares dos colaboradores,
embora não sejam consideradas crı́ticas, não devem, de modo algum, ser desprezadas
no plano de segurança, caso contrário representarão pontos vulneráveis de acesso
fácil à rede, e consequentemente aos seus activos mais valiosos.
Em termos de malware os riscos são reduzidos, visto que a grande maioria dos SO
utilizados são baseados em UNIX e o restante software é open-source.
No plano de acção foram constatados certos cuidados de segurança por parte dos
responsáveis, como comunicações seguras (VPN, SSH, SSL), utilização de firewalls,
polı́tica de backups e sistemas de controlo de acesso. Para prevenir interrupção de
serviços existe um sistema UPS para precaver falhas de energia e duas linhas de
Internet distintas para precaver a falha de um dos fornecedores.
Contudo há várias lacunas graves que deverão ser corrigidas, nomeadamente a falta
de uma polı́tica de passwords, de uma polı́tica de segurança clara e directa ao
utilizador e de registos que possibilitem a realização de uma auditoria externa.
Desta forma, embora a rede esteja, teoricamente, bem projectada com uma vasta
variedade de medidas de segurança, principalmente a nı́vel das comunicações e
disponibilidade de serviço, ainda existem pontos que devem ser melhorados.
Estas falhas tornam as ameaças reais, colocando certamente o nı́vel de risco acima
do risco desejado (risco residual).
132
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
5.2
Elementos de Informação
Depois de analisada a rede, a nı́vel de hardware, software e serviços que sustentam
toda a actividade de negócio, resta-nos analisar o factor mais importante, para o
qual os mecanismos de segurança foram propositadamente criados: a informação.
5.2.1
Identificação dos elementos de informação
Analisando atentamente a informação suportada pela infraestrutura informática,
conseguem-se identificar os seguintes elementos de informação:
• Informação Pessoal dos Colaboradores:
– Nome, naturalidade, estado civil, contacto telefónico, e-mails, etc.
• Informação administrativa dos colaboradores:
– Serviços desempenhados, cargo, tipo e duração de contrato, histórico de
carreira, horário de trabalho, etc.
• Informação administrativa de saúde dos colaboradores:
– Atestados, comparticipações, seguros, etc.
• Informação financeira dos colaboradores:
– Remunerações, descontos fiscais, informação bancária, prémios, etc.
• Informação de identificação de bens móveis e veı́culos:
– Identificação e descrição do bem, custo, afectação, estado de conservação,
operacionalidade, vida útil, abate, etc.
• Informação de identificação de imóveis:
– Identificação, descrição e classificação, custo, classe orçamental, inscrição
matricial e afectação, estado de conservação, operacionalidade, etc.
5.2. ELEMENTOS DE INFORMAÇÃO
133
• Informação geral de fornecedores e instituições parceiras:
– Nome, contactos, tipo de produtos e serviços, etc.
• Informação sobre a carteira de clientes:
– Nome, tipo de cliente, contactos, tipo de serviços prestados, etc.
• Informação sobre registo de expedientes:
– Horas extras, prevenções, escalas, reclamações, etc.
• Informação financeira de fornecedores e instituições parceiras:
– NIBs, compras, vendas, facturas, etc.
• Dados de autenticação (controlos de acesso):
– Informação do sistema LDAP, usernames, passwords, etc.
• Informação contida em e-mails
• Informação contida no site oficial da organização
• Informação sobre processos de certificação:
– Normas, politicas de formação, procedimentos, etc.
• Informação sobre as estratégias de negócio da empresa
– Área de mercado, novas soluções, novos serviços, etc.
• Informação sobre práticas de desenvolvimento:
• Informação sobre serviços actuais
• Informação financeira da instituição
– Financiamentos, orçamentos, contas bancárias e movimentos, subsı́dios,
programas de apoio, facturação, etc.
134
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
5.2.2
Agregação dos elementos de informação
Segundo Pimenta (2005), os elementos de informação devem ser agregados em
conjuntos homogéneos, de acordo com determinados critérios que representem as
suas caracterı́sticas (tipo de informação, origem, sensibilidade, e tempo de vida).
A tabela 5.1 apresenta os grupos genéricos de informação que servem de base aos
questionários de Delphi. Os critérios utilizados para a formação destes grupos foram,
sobretudo, a sensibilidade e o tipo de informação, de modo a que a quebra de
segurança de elementos de informação do mesmo grupo provoque o mesmo impacto
negativo à organização.
Tabela 5.1 – Grupos genéricos de informação (Gi )
Grupo
Elementos de informação
a) Informação Pessoal dos Colaboradores
G1
b) Informação administrativa dos colaboradores
c) Informação administrativa de saúde dos colaboradores
G2
Informação financeira dos colaboradores
G3
a) Informação de identificação de bens móveis e veı́culos
b) Informação de identificação de imóveis
a) Informação geral de fornecedores e instituições parceiras
G4
b) Informação sobre a carteira de clientes
c) Informação sobre registo de expedientes
G5
Informação financeira de fornecedores e instituições parceiras
G6
Dados de autenticação (controlos de acesso)
G7
Informação contida em e-mails
G8
Informação contida no site oficial da organização
G9
Informação sobre processos de certificação
a) Informação sobre as estratégias de negócio da empresa
G10
b) Informação sobre práticas de desenvolvimento
c) Informação sobre serviços actuais
G11
Informação financeira da instituição
5.2. ELEMENTOS DE INFORMAÇÃO
5.2.3
135
Cálculo do Valor da Informação
Actualmente vivemos na
era da informação, onde esta é puxada, empurrada,
arrastada, disseminada através de cabos, fibra óptica e outros dispositivos fı́sicos,
tornando-nos fortemente dependentes dela como indivı́duos, organizações e agências
governamentais.
As organizações estão imersas em informação, que assume um papel central para o
seu sucesso. Porém, o valor da informação não é estático, pois diferentes indivı́duos
ou organizações podem atribuir diferentes valores à mesma informação. Desta forma,
apesar da percepção do valor que esta fornece, a maioria das organizações não
consegue quantificá-lo ou desenvolver ferramentas para o efeito.
No entanto sabemos que a informação é uma moeda de duas faces, possuindo valor
positivo quando utilizada como recurso para auxiliar determinada organização na
sua actividade de negócio e valor negativo quando é usada, abusada e revelada para
derrubar governos, destruir organizações e causar danos pessoais inqualificáveis.
Desta forma, a importância da segurança da informação cresce exponencialmente,
à medida que nos tornamos mais e mais dependentes da tecnologia, assumindo
valor acrescentado devido ao aumento das ameaças aos sistemas que a armazenam,
processam, apresentam e transmitem.
Contudo, antes de se estabelecerem medidas de protecção adequadas a cada recurso
de informação, deverá ser estabelecido um mecanismo que permita, de alguma forma,
inferir o seu valor. Isto porque, do ponto de vista de segurança, deve ter-se sempre
em conta o valor da informação de forma a verificar se um possı́vel investimento
em medidas de protecção não será largamente superior ao valor dos recursos que
determinamos proteger.
Neste sentido, um sistema de avaliação e classificação de informação que obedeça
a uma metodologia adequada e que assente no senso comum, no conhecimento da
cultura organizacional e na sensibilidade associadas à informação, assumir-se-á como
uma vantagem significativa, para a maioria das organizações.
É neste sentido e com o objectivo de calcular o valor da informação suportada pelo
SI em estudo, que foi adoptado, conforme já indicado na secção 4.3.4, o Modelo de
Delphi (figura 5.3).
136
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Figura 5.3 – Procedimento de Delphi
5.2. ELEMENTOS DE INFORMAÇÃO
137
Analisando o diagrama da figura 5.3, que representa as várias fases do modelo de
Delphi, e tendo em conta as regras, enunciadas na secção 4.3.4, para a sua aplicação,
será descrito de seguida todo o processo de cálculo do valor da informação.
Escolha do painel
Segundo Santos (2007), de modo a que seja possı́vel escolher os elementos mais
adequados para integrar o painel de Delphi, é necessário analisar previamente toda
a estrutura de recursos humanos da organização envolvida no estudo.
Neste caso particular, a organização possui cerca de 20 colaboradores. Contudo,
tal como é requerido na secção 4.3.4, só deverão pertencer ao painel elementos que
tenham uma longa experiência profissional de interacção com o SI. Desta forma,
o grupo de colaboradores a integrar o painel fica reduzido a 11 colaboradores,
isto porque os restantes ou se encontram a prestar serviços de outsourcing, não
estando em contacto com a rede ou são colaboradores recentes que ainda não têm
conhecimento que lhes permita avaliar o valor de cada grupo genérico de informação.
Em termos de funções, a organização possui dois grupos internos de trabalho,
administradores, gestores de recursos humanos e responsáveis pela infraestrutura
informática. Desse modo, entre os 11 elementos que constituem o painel, respeitando
todos os requisitos enunciados na secção 4.3.4, encontram-se:
• Quatro representantes do Grupo de Trabalho 1;
• Quatro representantes do Grupo de Trabalho 2;
• Responsável pela gestão, manutenção e Segurança da rede em estudo;
• Representante do sistema de gestão de recursos humanos;
• Representante da administração da empresa.
Todos estes elementos são ligados à área de consultoria de TI e desempenham as
suas funções na unidade onde é realizada a análise do risco. Para além disso, estão
directamente ligados aos serviços onde pertence a informação em análise.
138
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Nota:
Devido ao número de elementos do painel ser diminuto, o método de Delphi não
produz resultados estatisticamente significativos, pois as conclusões alcançadas
pelo painel não predizem as respostas de uma larga população ou de outro
painel. Representam apenas a sı́ntese da opinião de um grupo particular.
Elaboração dos questionários
Respeitando as regras impostas na secção 4.3.4, os questionários tiveram como
base os grupos genéricos de informação, enunciados na tabela 5.1, de modo a ser
possı́vel determinar e classificar o seu valor, segundo as dimensões de segurança:
Confidencialidade, Integridade, Disponibilidade e Autenticidade/Responsabilidade.
Antes do envio da 1a ronda de questionários, os elementos do painel foram informados,
pessoalmente, acerca dos objectivos do estudo, do método utilizado e respectivas
caracterı́sticas (anonimato e confidencialidade das respostas, feedback controlado
entre rondas e obrigatoriedade de alcance de um nı́vel aceitável de consenso nas
respostas). Foram igualmente focados pormenores relativos ao preenchimento do
questionário e dissipadas dúvidas existentes e inerentes a todo o processo.
O prazo estabelecido para devolução dos questionários foi de 15 dias, pois um
processo deste tipo deve ser executado no mı́nimo espaço temporal possı́vel, sob
pena de desactualização das variáveis em questão e das condições gerais do estudo.
Os questionários e instruções de preenchimento foram submetidos individualmente,
via e-mail, meio igualmente utilizado para o retorno dos mesmos, devidamente
preenchidos. Em cada questionário era pedido, ao especialista, que classifica-se,
separadamente, sob o ponto de vista organizacional, o impacto negativo da perda
da confidencialidade, integridade, disponibilidade e autenticidade/responsabilidade,
de cada grupo genérico de informação apresentado, numa escala de 1 a 7.
Finda a 1a ronda, os dados obtidos dos questionários foram sujeitos a um tratamento
estatı́stico, procedendo-se à determinação de medidas de localização (média) e de
dispersão (desvio padrão) parciais e totais.
5.2. ELEMENTOS DE INFORMAÇÃO
139
Resultados Finais - O valor da Informação
Na secção 4.3.4 foi decidido utilizar a variável α de Cronbach para determinar o
nı́vel de consenso das respostas do painel, adoptando-se a tabela 4.1 para associar
cada gama de valores a um determinado grau de consenso. Segundo a mesma tabela,
o alcance do consenso será obtido com o α de Cronbach igual ou superior a 0,7.
A 1a Ronda de questionários obteve um grau de consenso na ordem dos 0,5, para
todas as dimensões de segurança, o que se revelou insuficiente para terminar o
processo de cálculo. No entanto, apesar de ser necessário realizar uma nova ronda
de questionários com o propósito de melhorar o nı́vel de consenso, este já se encontra
próximo do grau aceitável.
Em seguida, foi elaborado um novo questionário (Anexo B), exactamente com
as mesmas perguntas, mas desta vez com o auxilio de informação de feedback,
nomeadamente a média, o desvio padrão, a frequência de respostas de todo o
painel para cada questão, e a resposta dada pelo especialista na ronda anterior.
Esta medida permite a cada especialista a comparação das suas respostas com as
tendências globais de todo o painel para, se assim o entender, proceder a alterações,
de modo a diminuir a dispersão de opiniões e atingir um maior grau de consenso.
Deste modo, o grau de consenso aceitável foi atingido na 2a Ronda para as quatro
dimensões de segurança em análise, dando-se assim por terminadas as rondas de
questionários e obtidos os resultados finais que determinam o valor da informação.
Nota:
O tratamento estatı́stico dos dados dos questionários e o cálculo da variável α
de Cronbach realizaram-se recorrendo ao software Microsoft Excel 2007;
Por uma razão de sı́ntese, serão apenas apresentados os resultados finais do estudo,
resultantes da 2a Ronda de questionários (tabela 5.2, tabela 5.3, tabela 5.4 e tabela
5.5), visto que são os únicos dados de interesse para o cálculo do risco e para a
compreensão de todo o processo envolvido.
140
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Segundo a dimensão confidencialidade os resultados obtidos foram:
Tabela 5.2 – Resultados para a dimensão Confidencialidade
Confidencialidade
Grupo Média Desvio Padrão
G1
4
0
G2
6
0,82
G3
4,25
0,50
G4
4,75
0,50
G5
6,75
0,50
G6
6,75
0,50
G7
6,50
0,58
G8
1
0
G9
3,50
1
G10
5,25
1,26
G11
7
0
α de Cronbach = 0,81 (Bom)
A matriz relativa ao valor de informação segundo a dimensão confidencialidade,
resulta do valor médio das respostas obtidas, na última ronda, para essa dimensão:

V alorconf.
4

 6


4, 25

4, 75


6, 75


=
6, 75

6, 50


 1


3, 50

5, 25

7


























(5.1)
Matriz 5.1. Matriz ”Valor da Informação”, segundo a dimensão Confidencialidade
5.2. ELEMENTOS DE INFORMAÇÃO
141
Segundo a dimensão integridade os resultados obtidos foram:
Tabela 5.3 – Resultados para a dimensão Integridade
Integridade
Grupo Média Desvio Padrão
G1
5
0
G2
6
0
G3
4
0
G4
5,75
0,50
G5
6
0
G6
6,75
0,50
G7
6
0
G8
6,50
0,58
G9
5,75
0,50
G10
5,75
0,50
G11
7
0
α de Cronbach = 0,84 (Bom)
De acordo com a tabela de resultados acima representada, a matriz, segundo a
dimensão integridade, que será posteriormente utilizada para o cálculo do risco é:

V alorint.
5

 6


 4

5, 75


 6


=
6, 75

 6


6, 50


5, 75

5, 75

7


























Matriz 5.2. Matriz ”Valor da Informação”, segundo a dimensão Integridade
(5.2)
142
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Segundo a dimensão disponibilidade os resultados obtidos foram:
Tabela 5.4 – Resultados para a dimensão Disponibilidade
Disponibilidade
Grupo Média Desvio Padrão
G1
4
0,82
G2
3,25
0,50
G3
3
0
G4
6,25
0,50
G5
6,25
0,50
G6
5,25
0,50
G7
6,75
0,50
G8
6,25
0,50
G9
5,25
0,50
G10
5,75
0,50
G11
5
0,82
α de Cronbach = 0,81 (Bom)
De acordo com a tabela de resultados, acima representada, a matriz, segundo a
dimensão disponibilidade, que será posteriormente utilizada para cálculo do risco é:

V alordisp.
4

3, 25


 3

6, 25


6, 25


=
5, 25

6, 75


6, 25


5, 25

5, 75

5


























(5.3)
Matriz 5.3. Matriz ”Valor da Informação”, segundo a dimensão Disponibilidade
5.2. ELEMENTOS DE INFORMAÇÃO
143
Segundo a dimensão Autenticidade/Responsabilidade os resultados obtidos foram:
Tabela 5.5 – Resultados Autenticidade/Responsabilidade
Autenticidade/Responsabilidade
Grupo Média Desvio Padrão
G1
4
0
G2
4
0
G3
4,25
0,50
G4
5,25
0,50
G5
5,75
0,50
G6
5
0
G7
6
0
G8
5,50
0,58
G9
5,25
0,50
G10
6,25
0,50
G11
5,75
0,50
α de Cronbach = 0,85 (Bom)
A matriz do valor da informação na dimensão autenticidade/responsabilidade, é:

V alorresp.
4

 4


4, 25

5, 25


5, 75


=
 5

 6


5, 50


5, 25

6, 25

5, 75


























Matriz 5.4. Matriz ”Valor da Informação”, segundo a dimensão
Autenticidade/Responsabilidade
(5.4)
144
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Classificação da informação
A classificação de cada grupo de informação foi realizada de acordo com os nı́veis
impostos na tabela 4.2 e determinada a nı́vel parcial (tabela 5.6), segundo cada
dimensão de segurança, e geral (tabela 5.7).
Tabela 5.6 – Classificação parcial da informação
Grupo
G1
G2
G3
G4
G5
G6
G7
G8
G9
G10
G11
Conf.
4
6
4,25
4,75
6,75
6,75
6,50
1
3,5
5,25
7
Class.
Restrita
Crı́tica
Restrita
Restrita
Crı́tica
Crı́tica
Crı́tica
Pública
Restrita
Sensı́vel
Crı́tica
Int.
5
6
4
5,75
6
6,75
6
6,50
5,75
5,75
7
Class.
Sensı́vel
Crı́tica
Restrita
Sensı́vel
Crı́tica
Crı́tica
Crı́tica
Crı́tica
Sensı́vel
Sensı́vel
Crı́tica
Disp.
4
3,25
3
6,25
6,25
5,25
6,75
6,25
5,25
5,75
5
Class.
Restrita
Restrita
Restrita
Crı́tica
Crı́tica
Sensı́vel
Crı́tica
Crı́tica
Sensı́vel
Sensı́vel
Sensı́vel
Resp.
4
4
4,25
5,25
5,75
5
6
5,5
5,25
6,25
5,75
Class.
Restrita
Restrita
Restrita
Sensı́vel
Sensı́vel
Sensı́vel
Crı́tica
Sensı́vel
Sensı́vel
Crı́tica
Sensı́vel
A classificação geral da informação (tabela5.7) é obtida através do cálculo da média
dos valores obtidos na tabela 5.6 para cada grupo de informação:
Tabela 5.7 – Classificação geral da informação
Grupo
G1
G2
G3
G4
G5
G6
G7
G8
G9
G10
G11
Valor Médio
4,25
4,81
3,88
5,50
6,19
5,94
6,31
4,81
4,94
5,75
6,19
Classificação
Restrita
Restrita
Restrita
Sensı́vel
Crı́tica
Sensı́vel
Crı́tica
Restrita
Restrita
Sensı́vel
Crı́tica
5.2. ELEMENTOS DE INFORMAÇÃO
5.2.4
145
Conclusões
Relativamente ao cálculo do valor da informação, através do tratamento estatı́stico
dos dados obtidos dos questionários retiveram-se os seguintes aspectos:
• Todos os questionários foram devolvidos, e sem respostas nulas, o que denota
o interesse da totalidade dos elementos do painel.
• O elevado grau de participação e de interesse pelo exercı́cio, por parte de todo
o painel de especialistas traz maior credibilidade aos resultados alcançados.
• Na 1a Ronda não foi atingido, para nenhuma dimensão, um grau de consenso
superior a 0,7, embora estivesse já bastante aproximado desse valor, o que
facilitou, com a ajuda da informação de feedback, que se atingi-se o consenso
total, logo na ronda seguinte.
• Na 2a e última ronda o consenso foi atingido, com a variável α de Cronbach a
assumir valores situados entre 0,80 e 0,90. Estes resultados são extremamente
satisfatórios para este tipo de estudo.
Em termos da classificação da informação foram identificados 3 grupos de informação
crı́ticos (G5, G7, G11) que exigem uma maior atenção em termos de rigor das
medidas de segurança implementadas. Estes 3 grupos representam a informação
financeira de gestão da empresa, informação financeira relativa aos fornecedores e
instituições parceiras, e informação contida em e-mails (meio de comunicação mais
comum, que contém frequentemente dados altamente confidenciais).
É também de realçar que existem outros 3 grupos que se aproximam bastante
do nı́vel crı́tico, nomeadamente os grupos G4, G6 e G10, relativos à informação
geral de fornecedores, carteira de clientes, dados de autenticação e informação
de desenvolvimento de projectos.
Embora não esteja rotulada como crı́tica, a
proximidade do nı́vel crı́tico exige que as medidas de segurança sejam igualmente
apertadas.
Os restantes grupos de informação são tidos apenas como restritos, não exigindo
medidas de segurança tão rigorosas.
146
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
5.3
Probabilidade de ocorrência de Ameaças
Para o cálculo da probabilidade de ocorrência de ameaças, outra das variáveis para
o cálculo do risco, são necessários três elementos: os grupos genéricos de informação
avaliados no ponto anterior, os processos dos quais essa informação é alvo, e por
último, as ameaças associadas a cada um desses processos.
5.3.1
Processos Genéricos
De acordo com o modelo proposto na secção 4.3.5, a informação da área de TI é
alvo de um conjunto de processos, ao longo do seu ciclo de vida: Consultar, Criar,
Editar, Organizar, Eliminar, Comunicar e Armazenar.
Contudo, se considerarmos que existem quatro classes de ameaças associadas a
cada processo, isso irá traduzir-se em 28 permutações (7 processos x 4 ameaças),
relativas a 11 grupos genéricos de informação, o que dará um total de 308 questões
no questionário (28 associações x 11 grupos de informação). Isto resultaria num
processo bastante demoroso e trabalhoso, tanto para o coordenador do exercicio
como para os elementos do painel. Visto isto, é importante reduzir o número de
processos a simplificar o método de cálculo. Nesse sentido foi eliminado o processo
Organizar, relativo a documentos em suporte de papel que não são suportados
pela infraestrutura informática e agrupados os restantes processos da seguinte forma:
• Grupo 1 (Criar/Editar/Eliminar): Este três processos foram reunidos num
grupo único, pois ambos pressupõem a alteração do conteúdo da informação.
• Grupo 2 (Consultar): O processo consultar permite aceder à informação, sem
a alterar, motivo pelo qual não pôde ser incluı́do no grupo 1.
• Grupo 3 (Comunicar): O processo comunicar também é independente dos
restantes, visto que apenas tem em conta a transferência da informação.
• Grupo 4 (Armazenar): Este processo é igualmente independente, visto que
só considera aspectos relacionados com o armazenamento da informação.
5.3. PROBABILIDADE DE OCORRÊNCIA DE AMEAÇAS
5.3.2
147
Identificação de Ameaças
Na secção 4.3.5, foram analisadas várias abordagens de identificação de ameaças.
A primeira abordagem ponderada foi o aproveitamento de estudos estatı́sticos que
identificam, periodicamente, as ameaças mais comuns do ambiente empresarial e
determinam a probabilidade de ocorrência de cada uma delas, como é exemplo o
relatório da CSI/FBI - Computer Crime and Security Survey de 2004, utilizado
no estudo de Santos (2007). Contudo, essa proposta foi posta de parte visto que
os dados resultantes das análises estatı́sticas ficam frequentemente obsoletos, o que
pode comprometer a fiabilidade dos resultados finais do estudo em curso.
Para contornar este problema, a norma ISO 17799 identifica 17 grupos genéricos
de ameaças que poderão ser utilizados em métodos de cálculo subjectivos, como o
modelo de Delphi. Entre os grupos de ameaças estão os “acessos não autorizados”,
“interrupções”, “revelações”, “modificações”, “roubos”, “acidentes”, “malware”, etc.
Porém, embora desta forma, as ameaças já estejam agrupadas, a análise continua
a ser muito particular, isto porque 17 grupos de ameaças, à semelhança do número
inicial de processos, tornaria o método de cálculo bastante demoroso e trabalhoso,
com 68 permutações (17 ameaças X 4 processos), que resultariam num enorme
número de questões. Desta forma, é necessário reduzir o número de grupos de
ameaças, eliminando as ameaças de carácter fı́sico que estão fora do âmbito deste
estudo, unificando grupos com ameaças em comum e agrupando os restantes. Como
resultado desta análise formaram-se os seguintes grupos de ameaças:
• Intercepção (A1): Ameaças que implicam o acesso à informação, violando
a sua dimensão de confidencialidade.
• Modificação (A2): Ameaças que implicam não só o acesso à informação,
mas também a sua modificação, violando a dimensão Integridade.
• Interrupção (A3): Ameaças que implicam a indisponibilidade da informação,
violando a dimensão de segurança disponibilidade.
• Produção ou Fabricação (A4): Ameaças que corrompem a informação,
violando a sua dimensão de autenticidade.
148
5.3.3
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Cálculo da probabilidade de ocorrência de ameaças
Para o cálculo da probabilidade de ocorrência de ameaças a cada grupo genérico de
informação em estudo, segundo as suas quatro dimensões de segurança, utilizou-se
novamente o modelo de Delphi, respeitando a estrutura da figura 5.3.
Nesse âmbito, e tal como previamente decidido na secção 4.3.6, optou-se por manter
integralmente o painel de especialistas que participou no processo de cálculo do valor
da informação, visto que cumpre todos os requisitos exigidos para a avaliação da
probabilidade de ocorrência de ameaças.
Em termos de questionários, a metodologia proposta prevê duas alterações principais
em relação aos questionários utilizados para o cálculo do valor da informação. A
primeira alteração notória é o modelo de pergunta, pois para além dos grupos
genéricos de informação e das dimensões de segurança envolvidas como parâmetros
de avaliação da informação, neste caso a questão terá de ter também em conta cada
um dos processos genéricos apresentados e as ameaças que lhe estão associadas.
A segundo grande alteração é a escala numérica de avaliação, isto é, visto que a
probabilidade de um determinado evento é dada normalmente em percentagem,
teve que se alterar a avaliação para uma escala bipolar de 1 a 10, onde cada valor
dessa escala equivale a um intervalo de percentagens, como se mostra na tabela 4.4.
No que se refere à estimativa do grau de consenso das respostas dadas por todo o
painel de especialistas voltou-se a recorrer à variável α de Cronbach, respeitando a
mesma tabela de avaliação (tabela 4.1), enunciada na secção 4.3.4.
À semelhança do que ocorreu na primeira implementação do modelo de Delphi, para
que o processo de cálculo possa ser dado como terminado, o grau de consenso terá
de ser igual ou superior a 0,7, para todas as dimensões de segurança.
Seguindo estes critérios, foi possı́vel avaliar, de forma sustentada, a probabilidade de
ocorrência de cada grupo de ameaças, identificados na secção 5.3.2, associadas aos
diversos processos, descritos na secção 5.3.1, a que os grupos genéricos de informação
estão sujeitos durante a sua existência.
O consenso das respostas do painel de especialista foi alcançado na 2a ronda de
questionários, a partir dos quais se obtiveram os resultados finais, enunciados nas
tabelas 5.8, 5.9, 5.10, 5.11.
5.3. PROBABILIDADE DE OCORRÊNCIA DE AMEAÇAS
149
Relativamente aos processos “Criar”, “Editar”e “Eliminar”, grupo 1, a média de
probabilidades obtidas dos questionários é representada na tabela 5.8.
Tabela 5.8 – Resultados finais para os Processos do grupo 1
Processos (Grupo 1)
Grupo A1 A2 A3 A4
G1
5
3,25 2,75 3,25
G2
2,75
2
2,50 2,25
G3
3
1,25 2,25
2
G4
4,5 2,25 3,75 2,50
G5
2,25 1,50
2
2,25
G6
3,25 2,50
2
3,25
G7
4
2,75 3,25 3,25
G8
7,50 2,75 2,75 2,75
G9
3,75 2,25 2,75 2,50
G10
3,50 1,50 2,75 2,75
G11
2
2
2,25 1,50
α de Cronbach = 0,87 (Bom)
Quanto ao processo “Consultar”, grupo 2, a média de probabilidades é:
Tabela 5.9 – Resultados finais para os Processos do grupo 2
Processos (Grupo 2)
Grupo A1 A2 A3 A4
G1
3,50 2,50 2,75 2,75
G2
2,25 1,50 1,50 1,25
G3
2,50 1,25 1,50 1,50
G4
3,50 1,50 3,25 2,50
G5
2,25 1,50 1,50 1,50
G6
3,50 2,75 3,25 2,75
G7
5
2,50 3,50 2,50
G8
5,25 2,50 3,50 2,75
G9
3,25 1,50
2
1,50
G10
3,25 1,50 2,50 2,25
G11
2
1,25
2
1,25
α de Cronbach = 0,83 (Bom)
150
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Relativamente ao processo “Comunicar”, incluı́do no grupo 3, a média de probabilidades
obtidas dos questionários é representada na tabela 5.10.
Tabela 5.10 – Resultados finais para os Processos grupo 3
Processos (Grupo 3)
Grupo A1 A2 A3 A4
G1
2
1,50 2,25 1,50
G2
2,25 1,50 1,50 1,25
G3
1,25 1,25 1,50 1,25
G4
3,50 2,50 3,50 2,50
G5
1,25 1,50 2,25 1,50
G6
2,75 2,75 3,25 2,50
G7
3,25 2,75
4
2,75
G8
3,75 3,50 3,50 3,25
G9
2,50 2,50
2
2
G10
2,25 2,25 3,50 2,50
G11
1,25 1,50 1,50 1,25
α de Cronbach = 0,89 (Bom)
Quanto ao processo “Armazenar”, grupo 4, a média de probabilidades é:
Tabela 5.11 – Resultados finais para os Processos grupo 4
Processos (Grupo 4)
Grupo A1 A2 A3 A4
G1
3,50 2,75 3,25
0
G2
3,25
2
2,25
0
G3
2
2
2
0
G4
3,50
2
2,50
0
G5
2
2
2
0
G6
1,50 1,50 2,50
0
G7
2,75 1,50 2,75
0
G8
3,50
2
2,75
0
G9
3,25 1,50 2,50
0
G10
2,75 1,50 2,50
0
G11
2
2
1,50
0
α de Cronbach = 0,83 (Bom)
5.3. PROBABILIDADE DE OCORRÊNCIA DE AMEAÇAS
151
Através dos dados das tabelas 5.8, 5.9, 5.10 e 5.11, podemos construir as matrizes
probabilidade relativas a cada dimensão de segurança. Isto é feito considerando a
relação estabelecida na tabela 4.5, relativa às dimensões que são predominantemente
afectadas quando se concretiza cada classe de ameaça. Desta forma, as matrizes (5.5,
5.6, 5.7, 5.8) resultantes do processo de avaliação de probabilidades são:

Pconf.
5
3, 25 3, 50 2, 50

2, 75


 3


4, 50


2, 25


= 3, 25

 4


 7, 5


3, 75


3, 50

2
2
2
1, 50 3, 50 2, 75
2, 25 1, 50 2, 25 1, 50 3, 25
1, 25 2, 50 1, 25 1, 25 1, 25
2
2, 25 3, 50 1, 50 3, 50 2, 50 3, 50
1, 50 2, 25 1, 50 1, 25 1, 50
2
2, 50 3, 50 2, 75 2, 75 2, 75 1, 50
2, 75
5
2, 50 3, 25 2, 75 2, 75
2, 75 5, 25 2, 50 3, 75 3, 50 3, 50
2, 25 3, 25 1, 50 2, 50 2, 50 3, 25
1, 50 3, 25 1, 50 2, 25 2, 25 2, 75
2
2
1, 25 1, 25 1, 50
2


2 


2 


2 


2 

1, 50


1, 50


2 


1, 50


1, 50

2
Matriz 5.5. Probabilidade da concretização de uma ameaça
que afecta a confidencialidade
Pint.

3, 25

 2


1, 25

2, 25


1, 50


=
2, 50

2, 75


2, 75


2, 75

1, 50

2
2, 50 1, 50 2, 75
1, 50 1, 50
1, 25 1, 25
1, 50 2, 50
1, 50 1, 50
2, 75 2, 75
2, 50 2, 75
2, 50 3, 50
1, 50 2, 50
1, 50 2, 25
1, 25 1, 50


2 


2 

2 


2 


1, 50


1, 50


2 


1, 50

1, 50

2
Matriz 5.6. Probabilidade da concretização de uma ameaça
que afecta a integridade
152
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA

Pdisp.
2, 75 2, 75 2, 25 2, 75

2, 50


2, 25


3, 75


 2


= 2

3, 25


2, 75


2, 75


2, 75

2, 25
1, 50 1, 50
1, 50 1, 50
3, 25 3, 50
1, 50 2, 25
3, 25 3, 25
3, 50
4
3, 50 3, 50
2
2
2, 50 3, 50
2
1, 50


2 


2 


2 


2 

1, 50


1, 50


2 


1, 50


1, 50

2
Matriz 5.7. Probabilidade da concretização de uma ameaça
que afecta a disponibilidade

Presp.
3, 25 2, 75 1, 50 0

2, 25


 2

2, 50


2, 25


=
3, 25

3, 25


2, 75


2, 50

2, 75



1, 25 1, 25 0


1, 50 1, 25 0

2, 50 2, 50 0


1, 50 1, 50 0


2, 75 2, 50 0


2, 50 2, 75 0


2, 75 3, 25 0


1, 50
2
0

2, 25 2, 50 0

1, 50 1, 25 1, 25 0
Matriz 5.8. Probabilidade da concretização de uma ameaça
que afecta a autenticidade/responsabilidade
Nota: A matriz 5.8 possui uma coluna de zeros devido ao facto da classe de ameaças
“Produção”não se aplicar ao processo “Armazenar”incluı́do no grupo 4.
5.3. PROBABILIDADE DE OCORRÊNCIA DE AMEAÇAS
5.3.4
153
Conclusões
Esta segunda aplicação do modelo de Delphi revelou-se mais trabalhosa devido
à quantidade de variáveis utilizadas para o efeito. Considerando os 4 grupos de
processos genéricos e as 4 classes de ameaças que estão associadas a cada um
deles, obtiveram-se 16 permutações (4 processos x 4 ameaças), relativas a 11 grupos
genéricos de informação, o que resultou num total de 176 questões. Este número
elevado de questões dificultou o tratamento estatı́stico dos dados e a consequente
construção das matrizes que entraram para o cálculo do risco.
No entanto, o
procedimento foi terminado com sucesso e permitiu reter as seguintes conclusões:
• Todos os questionários foram devolvidos, e sem respostas nulas, o que denota
o interesse dos elementos do painel. Este elevado grau de participação e de
interesse pelo exercı́cio traz maior credibilidade aos resultados alcançados.
• Na 1a Ronda não foi atingido um grau de consenso superior a 0,7 para nenhum
grupo de processos, estando alguns deles bastante distantes do grau aceitável.
Isto poderá dever-se ao facto da escala de avaliação ser mais alargada, com 10
hipóteses de escolha, fazendo com que as respostas dos especialistas do painel
não converjam tão rapidamente para um determinado valor.
• Na 2a ronda o consenso foi atingido, com o α de Cronbach a assumir valores,
situados entre 0,8 e 0,9, resultados extremamente satisfatórios. No caso do
grupo 3, o grau de consenso aproximou-se bastante do nı́vel “Excelente”.
Analisando os resultados, podemos constatar que os valores gerais de probabilidade
não são expressivos. O valor mais alto obtido foi a probabilidade de ocorrência da
ameaça “Intercepção”(A1) associada aos processos Criar/Editar/Eliminar (Grupo 1)
relativamente à informação contida no site da organização (G8), classificada com 7,5
valores. Os restantes valores variam entre 1 e 5 valores, com maior frequência entre
1 e 3, significando que na grande maioria dos casos a probabilidade de ocorrência
de ameaças não ultrapassa os 30%.
Este facto demonstra que o painel de especialista reconhece um nı́vel de segurança
aceitável à rede e tem confiança na sua utilização.
154
5.4
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
O Risco
Uma vez estimado o valor de cada grupo genérico de informação e a probabilidade
de concretização de cada ameaça, cabe agora calcular o ı́ndice de risco, em função
de cada dimensão de segurança, respeitando a fórmula geral do Risco utilizada nos
modelos de gestão de risco mais comuns:

Risco = 
P robabilidade.de.ocorrer


V alor.perdido.na

×

uma.quebra.de.seguranca
quebra.de.seguranca
Porém, embora este cálculo seja apenas baseado no produto de duas matrizes,
tornou-se necessário proceder a ajustes para resolver alguns entraves matemáticos.
Visto que as escalas de avaliação utilizadas nas aplicações do modelo de Delphi são
diferentes, [1;7] (escala de Likert) para a avaliação do valor da informação e [1;10]
para a avaliação da probabilidade de concretização de ameaças, é matematicamente
inviável o cálculo dos ı́ndices de risco. Neste contexto foi decidido uniformizar todos
os valores para uma escala [0;1], convertendo inicialmente os valores da escala [1;7]
para a escala [0;6] e posteriormente para a escala [0;1], e multiplicando os valores
da escala [1;10] apenas pelo escalar 0,1, devido ao facto da gama de percentagens
correspondente à escala estar definida naturalmente em [0,100].
Para além da questão da uniformização de escalas, surgiu outro problema, desta vez
relativo às regras anexas ao cálculo matricial. Para ser possı́vel calcular o nı́vel de
risco, pelo produto de duas matrizes, a operação terá de ter o formato:
P m,p × Vp,n = Riscom,n
Contudo, embora as matrizes associadas ao valor da informação tenham todas a
mesma dimensão (V11×1 ), o mesmo não se passa com as matrizes probabilidade
(Pconf11×8 , Pint11×4 , Pdisp11×4 , Presp11×4 ). Para além disso, para ser possı́vel o produto
entre estes dois tipos de matrizes, as matrizes probabilidade terão que ter a dimensão
P11×11 , respeitando a regra imposta anteriormente:
P robabilidade11×11 × V alor11×1 = Risco11×1
5.4. O RISCO
155
Visto isto, com base nas matrizes de probabilidade (Matriz 5.5, Matriz 5.6, Matriz
5.7 e Matriz 5.8) e segundo o estudo de Santos (2007), podem construir-se quatro
matrizes (n x n), em que cada valor da diagonal principal é igual ao valor máximo
da respectiva linha da matriz, tomando os restantes elementos o valor de zero, tal
como enunciado na secção 4.3.7 (Matriz 4.10, Matriz 4.11, Matriz 4.12, Matriz 4.13),
resultando nas matrizes de probabilidade máxima:
5
0
0
0
0
0
0
0
0
0
0
0
3,25
0
0
0
0
0
0
0
0
0
0
0
3
0
0
0
0
0
0
0
0
0
0
0
4,50
0
0
0
0
0
0
0
0
0
0
0
2,25
0
0
0
0
0
0
0
0
0
0
0
3,50
0
0
0
0
0
0
0
0
0
0
0
5
0
0
0
0
0
0
0
0
0
0
0
7,50
0
0
0
0
0
0
0
0
0
0
0
3,75
0
0
0
0
0
0
0
0
0
0
0
3,50
0
0
0
0
0
0
0
0
0
0
0
2
Matriz 5.9. Probabilidade máxima da concretização de uma ameaça
que afecta a confidencialidade PM AXconf
3,25
0
0
0
0
0
0
0
0
0
0
0
2
0
0
0
0
0
0
0
0
0
0
0
2
0
0
0
0
0
0
0
0
0
0
0
2,50
0
0
0
0
0
0
0
0
0
0
0
2
0
0
0
0
0
0
0
0
0
0
2,75
0
0
0
0
0
0
0
0
0
0
0
2,75
0
0
0
0
0
0
0
0
0
0
0
3,50
0
0
0
0
0
0
0
0
0
0
0
2,75
0
0
0
0
0
0
0
0
0
0
0
2,25
0
0
0
0
0
0
0
0
0
0
0
2
Matriz 5.10. Probabilidade máxima de ocorrência de ameaças à Integridade PM AXint
156
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
2,75
0
0
0
0
0
0
0
0
0
0
0
2,50
0
0
0
0
0
0
0
0
0
0
0
2,25
0
0
0
0
0
0
0
0
0
0
0
3,75
0
0
0
0
0
0
0
0
0
0
0
2,25
0
0
0
0
0
0
0
0
0
0
0
3,25
0
0
0
0
0
0
0
0
0
0
0
4
0
0
0
0
0
0
0
0
0
0
0
3,50
0
0
0
0
0
0
0
0
0
0
0
2,75
0
0
0
0
0
0
0
0
0
0
0
3,50
0
0
0
0
0
0
0
0
0
0
0
2,25
Matriz 5.11. Probabilidade máxima de ocorrer ameaças à Disponibilidade PM AXdisp
3,25
0
0
0
0
0
0
0
0
0
0
0
2,25
0
0
0
0
0
0
0
0
0
0
0
2
0
0
0
0
0
0
0
0
0
0
0
2,50
0
0
0
0
0
0
0
0
0
0
0
2,25
0
0
0
0
0
0
0
0
0
0
0
3,25
0
0
0
0
0
0
0
0
0
0
0
3,25
0
0
0
0
0
0
0
0
0
0
0
3,25
0
0
0
0
0
0
0
0
0
0
0
2,50
0
0
0
0
0
0
0
0
0
0
0
2,75
0
0
0
0
0
0
0
0
0
0
0
1,25
Matriz 5.12. Probabilidade máxima de ocorrerem ameaças à Autenticidade PM AXresp
5.4. O RISCO
5.4.1
157
Cálculo do Risco
O risco será dado por uma matriz coluna RiscoDimensao em que cada elemento
riscoDimensaoGi representa o ı́ndice de risco para o grupo de informação Gi , segundo
uma dada dimensão. Desta forma os resultados finais são:
PM AXconf =
0,50
0
0
0
0
0
0
0
0
0
0
0
0,33
0
0
0
0
0
0
0
0
0
0
0
0,30
0
0
0
0
0
0
0
0
0
0
0
0,45
0
0
0
0
0
0
0
0
0
0
0
0,23
0
0
0
0
0
0
0
0
0
0
0
0,35
0
0
0
0
0
0
0
0
0
0
0
0,50
0
0
0
0
0
0
0
0
0
0
0
0,75
0
0
0
0
0
0
0
0
0
0
0
0,38
0
0
0
0
0
0
0
0
0
0
0
0,35
0
Matriz 5.13. Probabilidade máxima da concretização de uma ameaça
que afecta a Confidencialidade, na escala [0,1]
V alorconf.

0, 57

0, 86


0, 61

0, 68


0, 97


=
0, 97

0, 93


0, 14


 0, 5

0, 75

1


























Matriz 5.14. Matriz “Valor da informação”, segundo a dimensão
Confidencialidade, na escala [0,1]
0
0
0
0
0
0
0
0
0
0
0,20
158
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
A matriz Riscoconf. é calculada pelo produto entre a matriz PM AXconf. e a matriz
V alorconf. . Logo, o ı́ndice de risco, segundo a dimensão confidencialidade é:

Riscoconf.












=












0, 29


0, 28 


0, 18 

0, 31 


0, 22 


0, 34 
 = PM AXconf. ∗ V alorconf.

0, 47 


0, 11 


0, 19 

0, 26 

0, 20
Matriz 5.15 - Índice de Risco segundo a dimensão Confidencialidade
Passando agora para a dimensão integridade, teremos que considerar as matrizes
PM AXint e V alorint. , na escala [0;1], para o cálculo do risco:
PM AXint =
0,33
0
0
0
0
0
0
0
0
0
0
0
0,20
0
0
0
0
0
0
0
0
0
0
0
0,20
0
0
0
0
0
0
0
0
0
0
0
0,25
0
0
0
0
0
0
0
0
0
0
0
0,20
0
0
0
0
0
0
0
0
0
0
0
0,28
0
0
0
0
0
0
0
0
0
0
0
0,28
0
0
0
0
0
0
0
0
0
0
0
0,35
0
0
0
0
0
0
0
0
0
0
0
0,28
0
0
0
0
0
0
0
0
0
0
0
0,23
0
Matriz 5.16. Probabilidade máxima da concretização de uma ameaça
que afecta a Integridade, na escala [0,1]
0
0
0
0
0
0
0
0
0
0
0,20
5.4. O RISCO
159

V alorint.
0, 71

0, 86


0, 57

0, 82


0, 86


=
0, 97

0, 86


0, 93


0, 82

0, 82

1


























Matriz 5.17. Matriz “Valor da informação”, segundo a dimensão
Integridade, na escala [0,1]
A matriz Riscoint. é obtida pelo produto entre a matriz PM AXint. e a matriz V alorint. .
Logo, o ı́ndice de risco, segundo a dimensão integridade é:

Riscoint.












=












0, 23


0, 17 


0, 11 

0, 21 


0, 17 


0, 27 
 = PM AXint. ∗ V alorint.

0, 24 


0, 33 


0, 23 

0, 19 

0, 20
Matriz 5.18 - Índice de Risco segundo a dimensão Integridade
160
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
Quanto à dimensão da disponibilidade, teremos que considerar as matrizes PM AXdisp
e V alordisp. para o cálculo do risco, ambas na escala [0,1].
PM AXdisp =
0,28
0
0
0
0
0
0
0
0
0
0
0
0,25
0
0
0
0
0
0
0
0
0
0
0
0,23
0
0
0
0
0
0
0
0
0
0
0
0,38
0
0
0
0
0
0
0
0
0
0
0
0,23
0
0
0
0
0
0
0
0
0
0
0
0,33
0
0
0
0
0
0
0
0
0
0
0
0,40
0
0
0
0
0
0
0
0
0
0
0
0,35
0
0
0
0
0
0
0
0
0
0
0
0,28
0
0
0
0
0
0
0
0
0
0
0
0,35
0
Matriz 5.19. Probabilidade máxima da concretização de uma ameaça
que afecta a Disponibilidade, na escala [0,1]

V alordisp.
0, 57

0, 47


0, 43

0, 89


0, 89


=
0, 75

0, 97


0, 89


0, 75

0, 82

0, 72


























Matriz 5.20. Matriz “Valor da informação”, segundo a dimensão
Disponibilidade, na escala [0,1]
0
0
0
0
0
0
0
0
0
0
0,23
5.4. O RISCO
161
A matriz Riscodisp. é calculada pelo produto entre a matriz PM AXdisp. e a matriz
V alordisp. . Esta operação resulta na matriz:

Riscodisp.












=












0, 16


0, 12 


0, 10 

0, 34 


0, 21 


0, 25 
 = PM AXdisp. ∗ V alordisp.

0, 39 


0, 31 


0, 21 

0, 29 

0, 17
Matriz 5.21. - Índice de Risco segundo a dimensão Disponibilidade
Finalmente, resta-nos analisar a dimensão da autenticidade/responsabilidade.
Tal como nas restantes dimensões, teremos que considerar a matriz PM AXresp. e a
matriz V alorresp. , ambas na escala [0,1].
0,33
0
0
0
0
0
0
0
0
0
0
0
0,23
0
0
0
0
0
0
0
0
0
0
0
0,20
0
0
0
0
0
0
0
0
0
0
0
0,25
0
0
0
0
0
0
0
0
0
0
0
0,23
0
0
0
0
0
0
0
0
0
0
0,33
0
0
0
0
0
0
0
0
0
0
0
0,33
0
0
0
0
0
0
0
0
0
0
0
0,33
0
0
0
0
0
0
0
0
0
0
0
0,25
0
0
0
0
0
0
0
0
0
0
0
0,28
0
0
0
0
0
0
0
0
0
0
0
0,13
Matriz 5.22. Probabilidade máxima de ocorrerem ameaças à
Autenticidade/Responsabilidade PM AXresp , na escala [0,1]
162
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA

V alorresp.
0, 57

0, 57


0, 61

0, 75


0, 82


=
0, 72

0, 86


0, 79


0, 75

0, 89

0, 82


























Matriz 5.23. Matriz “Valor da informação”, segundo a dimensão
Autenticidade/Responsabilidade, na escala [0,1]
A matriz Riscoresp. é calculada pelo produto entre a matriz PM AXresp. e a matriz
V alorresp. . Desta operação resulta a matriz:

Riscoresp.












=












0, 19


0, 13 


0, 12 

0, 19 


0, 19 


0, 24 
 = PM AXresp. ∗ V alorresp.

0, 28 


0, 26 


0, 19 

0, 25 

0, 11
Matriz 5.24. - Índice de Risco segundo a dimensão Autenticidade/Responsabilidade
5.4. O RISCO
5.4.2
163
Avaliação do Risco
A última etapa consiste na avaliação e classificação dos ı́ndices de risco obtidos.
Tal como é referido na secção 4.3.8, o processo de classificação terá de ser baseado
num referencial de risco adoptado pela organização (tabela 5.20).
Tendo em conta a forte dependência da organização envolvida neste estudo em
relação à sua infraestrutura informática, foi decidido colocar o limite de risco aceitável
inferior a 0,5 (50%), isto porque é impensável o risco da rede ser atacada ser igual
ou aproximado ao risco de não o ser. Deste modo colocou-se o nı́vel de risco máximo
aceitável nos 0,4 (40%), e dividida a restante escala no seguintes nı́veis:
Tabela 5.20 – Nı́veis de referência ao processo de classificação
Nı́vel
Risco > 0, 4
0, 3 < Risco ≤ 0, 4
0, 2 < Risco ≤ 0, 3
0, 1 < Risco ≤ 0, 2
Risco < 0, 1
Classificação
Mau
Aceitável
Bom
Excelente
Residual
Perante os nı́veis da tabela 5.20, a classificação do risco pode ter várias abordagens.
A primeira abordagem que se impõe prevê a classificação de todos os ı́ndices de
risco obtidos no processo de cálculo. Porém, este tipo de classificação não dá noção
dos nı́veis de perigo a que a informação está sujeita, isto porque para a mesma
informação existem 4 ı́ndices de risco distintos.
Deste modo, para que consigamos obter um ı́ndice de risco único que nos dê de
imediato, num primeiro olhar, a noção do nı́vel de risco de cada grupo de informação,
necessitamos adoptar outra abordagem.
Nesse sentido, temos duas soluções: ou maximizamos o risco, escolhendo o maior
ı́ndice de risco de entre os 4 ı́ndices, relativos a cada dimensão de segurança, ou
calculamos a média dos mesmos.
Desta feita, a maximização do risco fornece um ı́ndice de risco maior, o que obriga
a aplicar medidas de segurança mais rigorosas, enquanto que o cálculo da média é
útil para obter uma estimativa do ı́ndice de risco geral da rede.
164
CAPÍTULO 5. IMPLEMENTAÇÃO DA METODOLOGIA PROPOSTA
A tabela 5.21 apresenta a classificação do risco, segundo as abordagens descritas.
Tabela 5.21 – Classificação dos ı́ndices de risco referentes a
cada grupo genérico de informação Gi
Gi
G1
G2
G3
G4
G5
G6
G7
G8
G9
G10
G11
Conf.
0,29
0,28
0,18
0,31
0,22
0,34
0,47
0,11
0,19
0,26
0,20
Int.
0,23
0,17
0,11
0,21
0,17
0,27
0,24
0,33
0,23
0,19
0,20
Disp
0,16
0,12
0,10
0,34
0,21
0,25
0,39
0,31
0,21
0,29
0,17
Resp.
0,19
0,13
0,12
0,19
0,19
0,24
0,28
0,26
0,19
0,25
0,11
Risco Geral da Rede =
Max.
0,29
0,28
0,18
0,34
0,22
0,34
0,47
0,33
0,23
0,29
0,20
Nı́vel
Bom
Bom
Excelente
Aceitável
Bom
Aceitável
Mau
Aceitável
Bom
Bom
Bom
Média
0,22
0,18
0,13
0,26
0,20
0,28
0,35
0,25
0,21
0,25
0,17
Nı́vel
Bom
Excelente
Excelente
Bom
Bom
Bom
Aceitável
Bom
Bom
Bom
Excelente
0,29
Bom
0,23
Bom
Nota: Todo o cálculo matricial envolveu um arredondamento grosseiro a duas casas
decimais, visto que apenas se trata de uma estimativa, que já por si admite uma gama
de erro significativa, visto que existem factores que não foram tidos em conta, tal
como as ameaças fı́sicas ou a identificação de classes de ameaças mais especı́ficas.
Desta forma o erro proveniente dos arredondamentos pode ser desprezado.
Analisando os valores obtidos comprovamos que, na maioria dos casos, os resultados
são bastante bons. Contudo, existem ainda arestas por limar, nos casos dos ı́ndices
classificados como aceitáveis, isto porque uma simples alteração de uma variável
de análise poderá
atirar o ı́ndice para valores reprováveis. Porém, o caso mais
grave verificado é o ı́ndice de risco relativo à informação contida em e-mails (G7),
que ultrapassou o nı́vel aceitável, o que indica que deverão ser consideradas medidas
de segurança mais severas na plataforma onde esta informação está alocada.
Em termos de Risco Geral da Rede os valores obtidos são satisfatórios, porém já
se encontram bastante próximos do nı́vel aceitável, o que não é um nı́vel confiável
para a segurança futura da actividade de negócio.
6
Babel Enterprise
Como se pode constatar facilmente pelo capı́tulo 5, o processo de cálculo e gestão
do risco é bastante trabalhoso e prolongado, envolvendo em todo o procedimento,
um painel de especialistas, a elaboração de questionários e o tratamento estatı́stico
de dados (que por vezes se torna intragável ou bastante complexo). Todo o processo
de análise e cálculo pode demorar meses a ser concluı́do o que faz com que, em
determinadas circunstâncias, quando se atingem os resultados finais, as variáveis
iniciais já estejam desactualizadas, ou pelo surgimento de novas ameaças, ou pela
mudança na estrutura da informação, ou por outro motivo válido.
Se tivermos também em conta, que todo o processo de análise de risco tem de ser
executado periodicamente a situação agrava-se ainda mais, isto porque é bastante
trabalhoso elaborar vários questionários e dividi-los por várias rondas, realizando
sempre cálculos intermédios.
Em termos de recursos humanos é necessário perturbar vários actores do sistema, o
que na maioria das vezes se torna incomodo, tanto para quem está a coordenar o
processo como para quem pertence ao painel de especialistas e tem que despender
de uma quantidade de tempo considerável. Por outro lado, visto que os painéis têm,
normalmente, um número razoável de elementos é difı́cil conseguir estimula-los a
responder aos questionários dentro dos prazos e a interessarem-se pela problemática
da segurança, o que dificulta ainda mais o exercı́cio.
165
166
CAPÍTULO 6. BABEL ENTERPRISE
Fora os problemas logı́sticos inerentes ao processo, também os parâmetros técnicos
apresentam alguns entraves.
Se pretendermos efectuar um estudo rigoroso, temos de aprofundar o processo de
identificação das variáveis necessárias para o seu cumprimento. Neste caso concreto,
quanto mais aprofundada for a análise aos elementos de informação, aos processos
que a manipulam e às ameaças que lhe estão associadas, mais rigoroso e credı́vel
será o resultado final. No entanto, isso levaria a que tivéssemos várias dezenas
de elementos de informação e ameaças, que originariam centenas de tabelas de
preenchimento para cada questionário, o que seria impraticável, pois dificilmente
alguém aceitaria preencher tal enormidade de perguntas, e mesmo que o fizessem o
tratamento estatı́stico dos dados seria bastante complexo.
Isto leva a que os coordenadores do exercı́cio, tal como ocorreu neste estudo, optem
por reunir os elementos de informação, as ameaças e até os processos genéricos de
manuseamento em grupos genéricos. Porém, com isto, poupa-se trabalho e tempo,
mas perde-se no rigor e na credibilidade dos valores finais, que podem ter associados
erros bastante significativos.
Desta forma, por todos estes factores, é vital que existam ferramentas informáticas
que permitam identificar as vulnerabilidades do sistema e saber, em tempo real,
o nı́vel de risco que estas implicam para a informação, segundo uma determinada
polı́tica de segurança. Esta acção é, geralmente, realizada através de uma auditoria,
que de acordo com IPN (2010), “é o processo que averigua o nı́vel de segurança
de uma infraestrutura informática, baseado num conjunto de metodologias precisas
e pormenorizadas a todos os nı́veis da infraestrutura, sendo esta detalhadamente
testada”. Executada periodicamente, a auditoria garante um alto nı́vel de segurança,
afirmando-se como um pilar importante na continuidade da actividade de negócio.
Neste contexto, surge o Babel Enterprise, como um software capaz de auditar as
principais tecnologias do mercado, dividido nas versões: Babel Enterprise 1.x e
Babel Enterprise 2.0. A primeira versão surge bastante centrada na parte técnica,
mas carece de algumas funcionalidades importantes como a capacidade de agregar
dados de diferentes fontes e de trabalhar sobre polı́ticas de segurança, parâmetros
a partir dos quais se desenvolveu a versão Babel Enterprise 2.0 que se apresentou
como um quadro de indicadores de segurança altamente versátil.
6.1. CARACTERÍSTICAS
6.1
167
Caracterı́sticas
Segundo a Artica ST e OpenIdeas (2010), o Babel Enterprise 2.0 é uma plataforma
de auditoria de redes e sistemas que disponibiliza um dashboard de segurança, 100%
adaptável às necessidades de cada empresa. Tem como principais caracterı́sticas:
• Software Livre, sob licença GPL, e Open-Source, permitindo aos utilizadores
modifica-lo livremente, de forma a adapta-lo às suas necessidades;
• Permite integrar diferentes dados de diferentes fontes, incluindo fontes externas
(Nessus, Snort, etc), de forma a realizar uma auditoria mais completa;
• Capacidade de detectar vulnerabilidades que ponham em causa a segurança
do sistema, e calcular, a partir desses dados, o nı́vel de risco correspondente;
• Capacidade de avaliar e validar o grau de cumprimento de uma polı́tica de
segurança ou normativa (ISO/IEC 13335, ISO/IEC 27001, etc);
• Capacidade de salvaguardar toda a informação recolhida numa base de dados,
durante um tempo limitado, para a sua consulta posterior;
• É uma ferramenta não intrusiva, pois não realiza nenhuma alteração nos
sistemas que audita, executando apenas os testes necessários e facultando os
resultados num relatório detalhado, em formato HTML e PDF.
O Babel Enterprise está capacitado para gerir a segurança de sistemas num contexto
grande e complexo, com diferentes tecnologias e diferentes SO, com distintas versões
e configurações, podendo ser gerido por diferentes equipas humanas com diferentes
capacidades e responsabilidades.
O Babel Enterprise possui agentes para versões Microsoft Windows e sistemas
Unix mais comuns como Solaris, AIX, SUSE, GNU/Linux e Debian, podendo ser
facilmente adaptado a outros sistemas como o BSD ou HPUX.
A sua documentação está disponı́vel em: http://babel.svn.sourceforge.net,
http://babelenterprise.com e http://openideas.info/wiki
168
CAPÍTULO 6. BABEL ENTERPRISE
6.2
Arquitectura Geral
O Babel Enterprise 2.0 é caracterizado por uma arquitectura cliente-servidor, onde
a parte cliente é responsável tanto pela configuração como pela execução dos testes
de auditoria. A parte do servidor apenas é responsável por receber, processar e
apresentar os dados de auditoria de forma concisa e organizada.
Figura 6.1 – Arquitectura Cliente (Fonte: OpenIdeas (2010) e ArticaST (2010))
Pela figura 6.1 vemos que o Babel Enterprise trabalha com três fontes de dados:
•
Dados do Sistema colectados pelos agentes Babel Enterprise instalados no
sistema. São dados provenientes do processo directo de auditoria.
•
Dados de terceiras partes provenientes de ferramentas externas. Estes dados
são obtidos através de colectores de eventos ou módulos especı́ficos.
•
Entradas do utilizador são dados especificados pelos utilizadores, através
do preenchimento de formulários em formato digital.
Através destas três fontes de dados, o Babel Enterprise recolhe toda a informação
relativa aos sistemas que audita. Posteriormente, essa informação é enviada para o
lado servidor (figura 6.2) para que possa ser processada e relacionada com uma base
de dados de
backend com informação de segurança actualizada periodicamente
pela Artica ST, empresa criadora da solução Babel Enterprise.
6.2. ARQUITECTURA GERAL
169
Figura 6.2 – Arquitectura Servidor (Fonte: OpenIdeas (2010) e ArticaST (2010))
No final do processo de auditoria são gerados dois tipos de relatórios (figura 6.2):
os
Management Reports gerados de acordo com as configurações definidas na
dashboard e apresentados sob forma de gráficos estatı́sticos para efeitos de gestão
global do sistema (incluem a indicação e evolução do ı́ndice de risco geral do sistema),
e os Technical Reports também gerados de acordo com as configuração definidas
na dashboard, mas tendo também em conta as vulnerabilidades encontradas em cada
máquina auditada, apresentando-se assim como um inventário técnico individual das
não conformidades encontradas durante a auditoria, em cada uma delas.
Desta forma, o responsável pela gestão e segurança do sistema consegue obter
dados gerais sobre a evolução do ı́ndice de risco geral, podendo aplicar medidas de
segurança mais apertadas para o diminuir, se assim for necessário. Por outro lado,
o utilizador de cada máquina auditada obtem um inventário das vulnerabilidades
que esta apresenta (ı́nclui ı́ndice de risco da máquina), podendo assim corrigi-las,
eliminando o risco que lhe está associado.
170
CAPÍTULO 6. BABEL ENTERPRISE
A arquitectura Babel Enterprise não possui um bloco único para o cliente e para o
servidor. O cliente é dividido em agentes, módulos, colectores e consola web, por
outro lado o servidor é formado pelo componente servidor e por uma base de dados
SQL. Desta forma o Babel Enterprise apresenta-se como uma estrutura modular,
fácil de expandir e personalizar, que permite redundância dos seus componentes.
6.2.1
Agentes Babel Enterprise
Os agentes são software multiplataforma, que deve ser instalado nos activos da
empresa que se pretendem auditar, sendo responsáveis por recolher e enviar para o
servidor informação de segurança sobre vários parâmetros sensı́veis do sistema.
Os agentes definem-se com base em módulos independentes com extensão ?.bem
(Babel Executable Module). Cada módulo verifica uma porção diferente da auditoria
(contas de utilizador, permissões, portas activas, passwords, etc).
Para ajudar na sua acção, a maioria dos módulos tem associado uma pequena base
de dados no formato de ficheiro em texto simples, com extensão .lst. Isto permite
ao administrador parametrizar e configurar, facilmente, cada módulo, de acordo com
as suas necessidades ou preocupações a nı́vel de segurança.
Em termos de funcionamento, cada agente recolhe, no final da auditoria, os dados
gerados por cada módulo, e reúne-os de forma organizada num ficheiro único que
será enviado para o servidor, para que toda a informação seja processada.
No caso particular dos Colectores de Dados é permitido recolher informação de fontes
muito heterogéneas, isto é, ao contrário dos agentes, os colectores permitem recolher,
de uma só vez, informação proveniente de varias fontes. Existe, por exemplo, um
colector Nessus e um colector Snort.
6.2.2
Consola Web
A Consola Web (figura 6.3) é a Interface Gráfica do Utilizador (GUI), onde é possı́vel
configurar testes, gerir a estrutura lógica do Babel Enterprise (Polı́ticas, Domı́nios,
Áreas, etc) e aceder a todo tipo de informação resultante da auditoria.
6.2. ARQUITECTURA GERAL
171
Figura 6.3 – Interface Web de utilizador(Fonte: OpenIdeas (2010) e ArticaST (2010))
Esta interface revela-se bastante amigável, intuitiva, versátil e eficaz, traduzindo-se
num dos pontos fortes apresentados por esta ferramenta de auditoria.
6.2.3
Servidor Babel Enterprise
O Servidor é o componente que processa os ficheiros de dados, gerados e enviados
pelos agentes, que contêm uma série de informação separada por módulos.
Inicialmente, o servidor processa os dados gerais de auditoria e de seguida, executa,
uma a uma, as diferentes polı́ticas de segurança que irão filtrar o conjunto de dados
processados inicialmente, de acordo com os objectivos de segurança configurados.
Após o processamento de todos os dados, o Servidor converte-os em dados visı́veis
para o utilizador, e disponibiliza-os através da consola Web.
6.2.4
Base de Dados
A Base de Dados (MySQL) armazena toda a informação do Babel Enterprise:
informação dos agentes, elementos de auditoria, elementos de configuração, etc.
172
CAPÍTULO 6. BABEL ENTERPRISE
6.3
Organização lógica do Babel Enterprise
O Babel Enterprise 2.0 alterou radicalmente a forma de entender e processar a
informação, através da implementação de uma organização lógica (figura 6.4).
Figura 6.4 – Organização lógica (Fonte: OpenIdeas (2010) e ArticaST (2010))
• Grupos técnicos: É um agrupamento técnico que classifica os agentes de
acordo com a máquina onde estão instalados (Servidor, Workstation, etc).
• Domı́nios: É uma divisão organizativa como, por exemplo, um grupo de
empresas filiais dentro de uma empresa mãe, uma série de departamentos, ou
simplesmente, diferentes clientes. Os agentes associam-se a domı́nios.
• Áreas: São grupos de conhecimento lógico que agrupam informação, como
por exemplo, a ISO 27001, a ISO 13335 e bases de dados de vulnerabilidades.
• Polı́ticas: Funcionam como um filtro de informação configurável regulado
pelas preocupações de segurança da organização. As polı́ticas aplicam-se sobre
domı́nios e executam-se nos agentes pertencentes a esses domı́nios. Têm como
base de conhecimento as Áreas. Exemplos: Gestão de Patches, cumprimento
da ISO 27001, System Hardening.
6.4. PRINCÍPIO DE FUNCIONAMENTO
6.4
173
Princı́pio de Funcionamento
A gestão do Babel Enterprise realiza-se, fundamentalmente, através da consola Web.
A partir desta, o administrador pode configurar agentes, criar Domı́nios, definir
Polı́ticas, administrar a base de dados, consultar nı́veis de risco, relatórios e
gráficos detalhados resultantes das auditorias, etc.
Contudo, para entendermos melhor o funcionamento do Babel Enterprise por trás
da linguagem amigável da consola Web, consideremos um agente, recém instalado,
numa determinada máquina da empresa:
1. Inicialmente é necessário criar e configurar o agente na consola Web, através
do preenchimento de determinados campos, como por exemplo:
• Nome do agente: Aconselha-se colocar o nome da máquina a auditar,
de forma a ser facilmente associado à mesma;
• Endereço IP: Endereço IP da máquina onde está instalado;
• Intervalo: Periodicidade de execução do agente (em segundos);
• Definição do modo: No modo normal o agente executa apenas os
módulos que lhe foram inicialmente atribuı́dos. No modo aprendizagem
o agente executa e associa-se, automaticamente, não só aos módulos
atribuı́dos na sua configuração inicial, mas também a todos os novos
módulos dos quais receba dados (recomenda-se este).
• Criticidade: Valor a multiplicar pelo nı́vel de risco atribuı́do ao agente
(Recomenda-se o valor 1). Caso o utilizador queira
jogar com este
parâmetro, deve colocar o valor 1 em agentes instalados em máquinas
neutras e superior a 1 em agentes de máquinas crı́ticas do sistema, de
modo a forçar o aumento do nı́vel de risco, obrigando a que sejam tomadas
medidas de segurança mais rigorosas para o manter num nı́vel aceitável.
2. É vital atribuir um domı́nio ao agente, para que este possa ter acesso às
polı́ticas associadas ao domı́nio e fique pronto a receber dados. Normalmente
atribui-se o domı́nio onde estão associados os agentes das restantes máquinas
que compõem a rede informática da organização.
174
CAPÍTULO 6. BABEL ENTERPRISE
3. É aconselhável verificar as polı́ticas associadas ao domı́nio do agente, pois
poderá ser necessário criar uma nova polı́tica, mais ajustada às necessidades
de segurança da máquina onde este está instalado.
4. Depois de configurar o agente é necessário tratar dos seus componentes vitais:
Os módulos. Os módulos são o coração do Babel Enterprise, pois é nestes
que estão configurados todos os testes para a verificação do nı́vel de segurança
de um sistema. Os módulos são definidos através de campos, como:
• Nome: Aconselha-se um nome intuitivo em relação à sua função;
• Tipo: Tipo de módulo (All Values, Only bad Values, Plugin);
• Peso: Valor numérico atribuı́do ao módulo em função da sua importância.
Este valor é importante, pois por cada não conformidade que um módulo
detecte, este acrescenta o valor do seu peso ao ı́ndice de risco do agente.
Existem três tipos de módulos:
• All Values: Inventariam dados, mas não os avaliam, nem aumentam o
ı́ndice de risco. O patch.bem, por exemplo, lista os patches instalados
no sistema, mas não avalia se cada patch é bom ou mau.
• Bad Values only: Comprovam uma parte da configuração do sistema,
verificando se esta está correcta e adicionando o seu peso ao ı́ndice de
risco do agente por cada má configuração encontrada.
• Plugin: Permitem relacionar valores do tipo
All Values com uma
lista pré-definida. É possı́vel relacionar a lista de patches instalados no
sistema, gerada pelo patch.bem, com uma lista de patches pré-definida.
Se um pacth pré-definido não constar da lista de patches instalados no
sistema, adiciona-se o peso do módulo ao ı́ndice de risco do agente.
Nota: Os módulos tipo plugin apenas podem ser adicionados através da consola
web. No caso dos restantes módulos não é necessário, pois quando o primeiro
pacote de dados de um módulo chega ao agente (em modo aprendizagem), este é
automaticamente criado e adicionado à lista de módulos.
6.4. PRINCÍPIO DE FUNCIONAMENTO
175
Alguns módulos presentes na versão Babel Enterprise 2.0 são:
Módulo Passwords: Comprova se as passwords dos utilizadores do sistema são
seguras, verificando se se podem quebrar através de um ataque por força bruta,
ou se existem passwords tı́picas, fáceis de decifrar com ataques por dicionário.
Inclui também ataques do tipo joey (password igual ao username). Este módulo
possui os ficheiros password.bem com o código shellscript e o password.lst com
o dicionário que pode ser editado para colocar as passwords tı́picas da organização.
Módulo permissões de ficheiros: Comprova as permissões, utilizadores e grupos
proprietários dos ficheiros do sistema. É constituı́do pelo
shellscript e pelo editável
fileperm.bem com o
fileperm.lst com a lista de permissões, utilizadores e
grupos proprietários que alguns ficheiros do sistema devem possuir. Caso os valores
não correspondam é denunciada a não conformidade e aumentado o ı́ndice de risco.
Módulo dos serviços do Sistema: Verifica os serviços que estão configurados no
arranque do sistema. Este módulo possui o
services.bem com o shellscript e o
editável services.lst com os serviços válidos que poderão constar no arranque do
sistema. Cada serviço presente no arranque do sistema que não esteja na lista do
services.lst é reportado como não confiável e é aumentado o ı́ndice de risco.
Módulo de Acessos Remotos: Verifica as configurações de serviços remotos como
o SSH, Rlogin, Telnet, FTP. Apenas possui o remote.bem com o shellscript.
Módulo de portas activas: Identifica todas as portas activas do sistema, assim
como o nome dos processos ou protocolos que as estão a utilizar. Para além do
ficheiro openport.bem com o código shellscript possui também o ficheiro editável
openport.lst que contém a lista de portas padrão que serão ignoradas pelo módulo.
As portas activas fora desta lista serão reportadas como vulnerabilidades do sistema,
com o posterior aumento do ı́ndice de risco.
Módulo
bigfiles: Procura ficheiros com um tamanho superior ao tamanho
definido em bigfiles.bem (10 MB por defeito).
176
CAPÍTULO 6. BABEL ENTERPRISE
Módulo de Software: Detalha todos os pacotes de software instalados no sistema.
Esta informação é muito útil para formar um inventário centralizado do Software
de todas as máquinas do sistema. Deste modo, ao pesquisar-se um software pode
saber-se em quantas máquinas este está instalado, para saber em que maquinas este
tem que ser actualizado, caso seja susceptı́vel a riscos de segurança.
Módulo
filehash: Permite calcular o hash MD5 de cada ficheiro especificado
pelo utilizador no filehash.lst, mantendo um inventário de assinaturas dos ficheiros
importantes do sistema de modo a saber quando estes são modificados ou apagados.
No futuro, este módulo alimentará um conector de
trojans conhecidos, o que
permitirá identificar software malicioso, automaticamente, pelo seu hash.
Módulo de análise de redes: Este módulo analisa redes à procura de máquinas
activas, usando a análise ICMP do nmap.
Outros: Módulo configurações de Harware; Módulo Tomcat; Módulo Apache2;
Módulo contas utilizador; Módulo polı́tica de logs; Módulo ambiente root; Módulo
user policy; Módulo SUID0; Módulo UID0; etc.
Nota:A grande parte dos módulos podem ser editados e adaptados às necessidades
de cada empresa. Também poderão ser desenvolvidos e adicionados novos módulos
que abordem aspectos do sistema que não são verificados pelos módulos já existentes.
Em resumo: Cada máquina do sistema deverá ter um agente Babel Enterprise
instalado. O agente tem que estar, obrigatoriamente, associado a um domı́nio, caso
contrário, não vai conseguir obter dados, já que não terá polı́ticas associadas que
orientem a sua auditoria. Por outro lado, se o agente não obtiver dados não terá
módulos associados, pois este adiciona os módulos, automaticamente, mal comece a
receber os seus pacotes de dados. Concluindo, se não há domı́nio não há politicas,
se não há politicas não há dados, se não há dados, não há módulos.
A partir do momento em que comece a receber dados, o agente passa a ter atribuı́dos
todos os módulos relativos às polı́ticas associadas ao seu domı́nio.
6.4. PRINCÍPIO DE FUNCIONAMENTO
177
Como são calculados os ı́ndices de risco?
Durante a auditoria os agentes executam os seus módulos, cada um com um peso
associado configurável, permitindo que o administrador pondere alguns módulos
mais que outros em função da sua importância na polı́tica de segurança da empresa.
Cada módulo audita um determinado aspecto do sistema, acrescentando o seu
peso (exceptuando os all values) a um contador numérico, por cada parâmetro
incorrecto encontrado. Este contador numérico é o ı́ndice de risco do módulo. A
partir deste ponto, cada módulo possui o seu próprio ı́ndice de risco.
Visto que a informação gerada pelos módulos sofre uma filtragem, por parte das
polı́ticas, estas apenas contabilizarão os ı́ndices de risco dos módulos que lhe estão
associados.
Logo, a soma dos ı́ndices de risco dos módulos associados a uma
determinada polı́tica, determina o ı́ndice de risco dessa polı́tica.
Contudo, um agente pode estar associado a um domı́nio com várias polı́ticas. Desse
modo, o ı́ndice global de risco de cada agente será dado pela média dos ı́ndices de
risco das polı́ticas pertencentes ao seu domı́nio, multiplicada pela sua criticidade:
(Risco T otal Agente) = (Risco medio das politicas)X(Criticidade)
Já o ı́ndice de risco de um domı́nio é dado pela soma dos ı́ndices de risco dos agentes
que lhe estão associados.
Desta forma, o Babel Enterprise gera uma estrutura lógica que permite avaliar o
nı́vel de segurança de sistemas, actualizando e guardando todos os ı́ndices de risco
gerados de modo a manter um histório, extremamente útil, da sua evolução.
Qual é o principio de funcionamento do Babel Enterprise? (figura 6.5)
Inicialmente, os agentes instalados nas máquinas da empresa, executam todos os
módulos que lhe estão associados. Cada módulo irá devolver, ao agente, dados de
auditoria (não conformidades do sistema) que este vai reunindo de forma organizada
num ficheiro XML, alocado numa directoria temporária. Quando a auditoria termina,
o agente transfere a saı́da XML resultante para o servidor. Esta transferência pode
ser feita via FTP (comunicação insegura), SSH (comunicação segura) ou Tentacle,
protocolo de comunicação, desenvolvido pela Artica ST, para substituir comandos
mais complexos como o scp e ftp, e as chaves SSH.
178
CAPÍTULO 6. BABEL ENTERPRISE
Porém, tal como enunciado na secção 6.2, o Babel Enterprise 2.0 também permite
integrar dados de fontes externas, como dados do Snort, do Nessus ou de um agente
de antivı́rus pré-processado. A integração de dados de fontes externas pode fazer-se
através de dois métodos:
• Colectores de dados: Introduzem a informação relativa a cada agente,
associando os diferentes dados ao seu endereço IP de destino, colocando-os
posteriormente nos módulos correspondentes, permitindo assim que toda a
informação externa seja incluı́da nos diversos agentes de uma só vez.
• Módulos de agente: Com mais um módulo .bem, podem-se incluir dados
externos. No entanto, por este método, não haverá forma de diferenciar a
informação que vem de um e de outro equipamento.
Figura 6.5 – Princı́pio de funcionamento
Tal como podemos ver na figura 6.5, depois de receber todos os dados reúnidos
e enviados pelo agente no ficheiro XML, o servidor processa-os e envia-os para a
consola web para que possam ser visualizados de forma concisa e organizada pelo
administrador do sistema e pelos responsáveis das diversas máquinas auditadas.
Para além disso são disponibilizados relatórios de cada auditoria em formato HTML
e PDF. Os dados gerados e processados durante este processo são guardados numa
base de dados para posterior consulta e constituição de um histórico de testes.
6.4. PRINCÍPIO DE FUNCIONAMENTO
179
O Babel Enterprise está muito longe de ser uma ferramenta isolada, com um modo
de funcionamento solitário, pois recorre, frequentemente, a outras ferramentas para
realizar as suas auditorias, aumentando significativamente a eficácia da sua acção
e a versatilidade dos testes que realiza. Para além disso, todas essas ferramentas a
funcionar em conjunto com a auditoria do Babel Enterprise acabam por formar um
pacote de soluções de segurança poderosissimo. Vejamos por exemplo:
• O módulo passwords.bem utiliza a ferramenta John The Ripper para tentar
detectar passwords fracas no sistema;
• O módulo openport.bem realiza a verificação das portas activas do sistema
recorrendo à famosa ferramenta nmap;
• O módulo
network scan recorre à análise ICMP do nmap para mapear a
rede, sabendo assim quais os hosts ligados à infraestrutura informática e os
endereços IP que lhes estão atribuı́dos;
• Embora o Babel Enterprise identifique as mais variadas vulnerabilidades do
sistema através de vários testes, essa informação pode ser complementada com
dados externos recolhidos do Nessus, Snort, Antivı́rus, etc.
É importante que se entenda que o Babel Enterprise não protege o sistema, de
nenhuma forma. A sua principal função é realizar auditorias periódicas ao sistema,
de forma não intrusiva, com o objectivo de identificar as vulnerabilidades nele
existentes, reportando-as para o administrador, para que ele possa tomar as medidas
correctivas e preventivas mais convenientes. Visto isto, é vital que se realce que o
uso do Babel Enterprise não substitui o uso de Firewall, Antivı́rus ou outro tipo de
software de protecção activa ao sistema.
A grande vantagem do Babel Enterprise é o grande contributo que este presta no
processo de gestão do risco, calculando o nı́vel de risco a que o sistema está sujeito e
apontando as suas vulnerabilidades, em tempo real, possibilitando ao administrador
tomar as melhores decisões, atempadamente, para garantir um nı́vel de protecção
aceitável e credı́vel, evitando o longo e trabalhoso processo analı́tico de gestão de
risco (capı́tulo 5).
180
6.5
CAPÍTULO 6. BABEL ENTERPRISE
Fase de Implementação
O objectivo inicial desta Dissertação de Mestrado consistia fundamentalmente no
estudo, implementação, teste, e análise de resultados obtidos através da plataforma
Babel Enterprise. A fase inicial de estudo envolveu alguma pesquisa e consulta da
documentação fornecida pela empresa de desenvolvimento deste software, com vista
a compreender o seu principio de funcionamento e a sua organização interna, tanto
a nı́vel lógico como a nı́vel de componentes. Quanto à fase de instalação, foi apenas
o continuar da fase de estudo, com o objectivo de perceber o modo de instalação e
interacção entre componentes.
Contudo, foi na fase de implementação e teste que surgiu o primeiro grande impasse.
Tendo em conta que este projecto envolve, essencialmente, o estudo de um software
torna-se importante haver um modelo de referência, neste caso um software de
referência com funcionalidades similares às do objecto de estudo, para que seja
possı́vel avaliar eficazmente o seu desempenho, através da comparação de resultados
obtidos pelas duas plataformas. Desta forma, a validação e análise da fase de testes
e a argumentação das conclusões retiradas ficarão vincadamente argumentadas e
fundamentadas. Contudo, o grande problema esteve na dificuldade em encontrar
ferramentas informáticas, open-source, capazes de realizar auditorias de segurança
e representar um modelo de referência fiável aos testes do Babel Enterprise.
Numa primeira fase de pesquisa, as ferramentas que mais se aproximavam das
funcionalidades exigidas eram os vulnerability scanners, que testam os sistemas,
detectando e inventariando as suas vulnerabilidades. Porém, a grande maioria,
não consegue integrar dados externos nem calcular ı́ndices de risco, funcionalidades
vincadas nas ferramentas de auditoria.
No entanto, com o avançar do projecto, foi descoberto um novo software, denominado
OpenVas que garante ser capaz de auditar sistemas quando aliada a um aplicativo
dado pelo nome de SLAD (Security Local Auditing Daemon).
Com isto, a fase de implementação prevista inicialmente para este projecto mudou
um pouco a sua rota, passando de um objectivo claro de análise exaustiva ao Babel
Enterprise, para uma comparação Babel Enterprise Vs OpenVas, tendo em conta
parâmetros de desempenho, arquitectura interna, princı́pio de funcionamento...
6.5. FASE DE IMPLEMENTAÇÃO
6.5.1
181
Introdução ao OpenVas
O OpenVas é um fork do poderoso vulnerability scanner Nessus, ou seja, visto
que este último seguiu a via comercial, um conjunto de desenvolvedores decidiu criar
uma nova plataforma que mantivesse algumas das suas funcionalidades numa base
open-source. Deste modo, nasce o OpenVas Group que, hoje em dia é composto
por universidades, entidades comerciais, e até mesmo particulares que se propôem
a manter activa e a desenvolver esta nova plataforma livre.
A grande maioria dos membros deste grupo tem um longo histórico profissional em
consultoria de segurança e/ou desenvolvimento de software. O grupo está aberto a
novos membros, sendo no entanto necessário cumprir algumas exigências.
O OpenVas é um vulnerability scanner com possibilidade de realizar auditorias
de segurança. O seu modo de funcionamento é baseado, à semelhança do Babel
Enteprise, numa arquitectura cliente/servidor (figura 6.6). Porém, o principio de
funcionamento de ambas as ferramentas é bastante diferente.
Figura 6.6 – Arquitectura Interna OpenVas
182
CAPÍTULO 6. BABEL ENTERPRISE
O OpenVAS é constituı́do por cinco partes distintas:
• OpenVAS-Server: Este é o componente central do OpenVAS que contém as
funcionalidades utilizadas para a execução de um grande número de testes, a
uma alta velocidade. As acções de teste são sempre provenientes do host onde
o OpenVAS-Server está em execução, portanto, esta máquina tem de ser capaz
de atingir os objectivos pretendidos. O servidor requer três outros módulos:
– OpenVAS-Libraries: Este módulo contem as funcionalidades utilizadas
pelo OpenVAS-Server.
– OpenVAS-LibNASL: O conjunto de testes de vulnerabilidades de rede
(NVTs) são escritos em “Nessus Attack Scripting Language”(NASL).
Este módulo contém as funcionalidades que o OpenVAS-Server necessita
para a interface com o NASL.
– OpenVAS-Plugins: Este módulo contém um conjunto básico de testes
(NVTs). Se for necessário realizar uma actualização dos NVTs deverá
ser considerada a aquisição da assinatura de um feed NVT.
• OpenVAS-Client: o OpenVAS-Client é constituı́do por uma interface gráfica
(figura 6.7), onde é possı́vel controlar a actividade do OpenVAS-Server, através
da configuração dos testes que deverão ser realizados por este. Para além
disso é nesta interface que o utilizador pode consultar os resultados finais.
O OpenVAS-cliente pode ser executado em qualquer máquina capaz de se
conectar ao OpenVAS-Server e pode controlar múltiplos servidores. Por razões
de segurança, a comunicação entre o componente Servidor e o componente
Cliente apenas é possı́vel através de conexões SSL criptografadas.
Através da análise da figura 6.6 é possı́vel descrever, facilmente, todo o principio de
funcionamento deste software. Primeiro de tudo é importante perceber que os testes
OpenVas são executados através de plugins. Segundo isso, a equipa responsável pelo
OpenVas desenvolveu um repositório de plugins ou NVTs, que tem vindo a aumentar
à medida que vão sendo conhecidas novas vulnerabilidades. Todas as actualizações
estão disponı́veis através da assinatura de um serviço feed NVT.
6.5. FASE DE IMPLEMENTAÇÃO
183
Ao contrário do Babel Enterprise, aqui é o servidor que realiza os testes aos sistemas
alvo.
Desta forma, os plugins de teste terão que estar alocados no servidor e
actualizados frequentemente através do serviço de feed NVT. A partir deste ponto,
o servidor está capacitado para executar todos os plugins de testes que aloca, para
identificar as vulnerabilidades do sistema alvo.
O cliente OpenVas revela-se bastante mais estático em comparação com o cliente
Babel Enterprise, possibilitando apenas a selecção de tarefas (tasks), que são um
género de blocos que englobam determinadas sub-tarefas (scopes), seleccionadas
pelo utilizador, que comunicam com o servidor e dão ordem de acção aos plugins
correspondentes, fornecendo o endereço IP do sistema alvo. Cada subtarefa tem
associado um determinado número de relatórios que contêm os dados recolhidos
durante a fase de testes.
Figura 6.7 – Interface gráfica do OpenVas (Cliente)
Resumindo, através da interface gráfica, o utilizador apenas pode configurar os
testes, definindo tarefas (tasks) e sub-tarefas (scopes), ordenar a sua execução e
consultar os relatórios resultantes.
184
CAPÍTULO 6. BABEL ENTERPRISE
6.5.2
Plataforma de Testes
Para a concretização da fase de implementação foi elaborada, propositadamente,
uma plataforma de testes constituı́da por três máquinas virtuais ligadas em rede:
• dev-babel1.vi.pt
– Sistema Operativo: CentOS 5.4;
– Componentes Babel Enterprise instalados: Agente GNU/Linux, Consola
Web, Servidor, Base de dados SQL;
– Componentes OpenVas instalados: Cliente Linux, Servidor;
• dev-babel2.vi.pt
– Sistema Operativo: CentOS 5.4;
– Componentes Babel Enterprise instalados: Agente GNU/Linux;
– Componentes OpenVas instalados: Cliente Linux;
• dev-babel3.vi.pt
– Sistema Operativo: Windows Vista Business Edition;
– Componentes Babel Enterprise instalado: Agente Windows;
– Componentes OpenVas instalados: Cliente Windows;
Terminada a configuração da plataforma de testes haviam três abordagens em cima
da mesa que poderiam ser implementadas. A primeira abordagem previa a realização
da bateria de testes sem qualquer modificação prévia no sistema. Por sua vez, a
segunda abordagem, consistia na elaboração de cenários, alterando propositadamente
vários parâmetros do sistema com vista a criar vulnerabilidades que teriam de ser
detectadas por ambas as ferramentas. A terceira e mais elaborada abordagem, serı́a
a utilização de um software extra, por exemplo o famoso Metasploit, que realizasse
uma série de ataques remotos, verificando posteriormente se essas acções serı́am
detectadas pelas duas ferramentas, construindo uma relação do tipo polı́cia/ladrão.
Numa primeira análise decidiu-se descartar a primeira abordagem, visto que esta
não permitiria a apresentação de resultados significativos após a primeira auditoria.
6.5. FASE DE IMPLEMENTAÇÃO
185
Comparando as restantes abordagens, concluiu-se que a utilização de um software
com propósitos de ataque é uma proposta bastante interessante e aliciante, no
entanto, não permite criar um ambiente de testes controlado, pois desta forma não é
possı́vel saber, na totalidade, que tipo de modificações foram efectuadas no sistema,
e a partir daı́ identificar que vulnerabilidades foram ou não detectadas. Por outro
lado, a elaboração de cenários permite criar uma variedade de vulnerabilidades, e
identificar facilmente se essas vulnerabilidades são ou não detectadas por ambas as
ferramentas de segurança, criando assim um ambiente de testes controlado.
Por esta razão optou-se por escolher a 2a abordagem, elaborando-se a bateria de
testes correspondente, tendo em conta vários cenários, como por exemplo:
• Passwords: Deverão ser criados vários utilizadores com passwords fracas sequências numéricas ou palavras de dicionário - (ex: pedro), aceitáveis (ex:
pedro25), e fortes - combinação de letras maiúsculas, minúsculas, algarismos
e caracteres especiais - (ex: vi&P3Dr05) e virificar quais são detectadas.
• Permissões de ficheiros: Deverão ser alteradas uma série de permissões de
ficheiros e confirmada a detecção dessas alterações.
• Portas activas: Activar portas aleatórias e verificar se são detectadas;
• Serviços: Activar serviços no arranque e verificar se são detectados;
• Hash MD5: Deverá ser alterado o conteúdo de alguns ficheiros de modo a
comprovar se as ferramentas detectam a alteração através do seu Hash MD5;
• Serviços remotos: Deverá ser activado um acesso remoto às máquinas de
teste, por exemplo, via Telnet, e comprovar se esse acesso é reconhecido.
O objectivo desta bateria de testes foi obter resultados que permitam comparar o
desempenho das duas ferramentas de segurança.
Uma vez que não há um matching perfeito entre os módulos do Babel Enteprise e os
plugins do OpenVas, ficaram registadas várias particularidades de cada teste, com
a pretensão de ser possı́vel distinguir, identificar e apontar falhas e pontos fortes de
ambas as ferramentas em análise.
186
6.5.3
CAPÍTULO 6. BABEL ENTERPRISE
Análise Crı́tica
Embora, tanto o Babel Enterprise como o OpenVas, tenham a capacidade de realizar
auditorias de segurança a sistemas, a sua base funcional é bastante diferente.
O Babel Enterprise é uma ferramenta de auditoria genuı́na, desenvolvida pela Artica
ST, categorizada como ”audit tool”. O OpenVas, por sua vez, é um vulnerability
scanner, um fork open-source do software Nessus, mantido pelo OpenVas Group.
Como deriva do Nessus, o OpenVas acaba por herdar bastantes funcionalidades
deste, nomeadamente o conjunto de testes (NVTs) escritos em NASL, a interface
gráfica, o principio de funcionamento, a abordagem de testes, entre outros aspectos.
É, então, importante haver a consciência de que o Openvas não é, na sua base, uma
ferramenta de auditoria.
Contudo, a parecença entre a acção de ambos os softwares, pode lançar a questão:
“Se ambas os softwares identificam vulnerabilidades do sistema, independentemente
do seu principio de funcionamento, porque é que um é considerado uma ferramenta
de auditoria e o outro um Vulnerability Scanner?”
A resposta reside, principalmente, no facto do Babel Enterprise conseguir integrar
dados de fontes externas, funcionando como um software que integra e analisa
dados de diferentes fontes, como
Password Crackers,
IDS e até mesmo dos
próprios Vulnerability Scanners, entre outros. Ao funcionar como um “ponto”de
convergência de dados, aliado à funcionalidade de avaliação de ı́ndices de risco o
Babel Enterprise é promovido à categoria de ferramenta de auditoria de sistemas.
Contudo, o OpenVas possui um
aliado, denominado SLAD, que lhe permite
integrar dados de ferramentas externas, e realizar auditorias a sistemas.
Em termos de documentação, o Babel Enterprise oferece poucos recursos, carecendo
de um bom guia de utilizador. Quanto ao OpenVas, oferece uma grande variedade
de documentação útil, porém com muitos procedimentos obsoletos.
No processo de instalação, o Babel Enterprise encontra-se melhor definido, com
todos os seus componentes actualizados na mesma versão (2.0). Porém, no caso do
OpenVas, existe uma grande confusão entre as 3 versões existentes.
6.5. FASE DE IMPLEMENTAÇÃO
187
Os módulos openvas-libraries e openvas-client já vão na versão 3.0, os módulos
openvas-libnasl e openvas-server apenas atingiram a versão 2.0, enquanto que os
módulos openvas-plugins e openvas-client para windows ainda não saı́ram da primeira
versão. Este factor revelou-se um enorme entrave no processo de instalação, devido
à incompatibilidade entre as versões, pois inicialmente houve a tentativa de instalar
o cliente mais actual (versão 3.0), mas tal não foi possı́vel devido ao facto de serem
requeridas versões mais recentes dos restantes módulos. Optou-se pela versão 2.0.
Em termos de SO, as plataformas Windows foram despresadas por estas duas
ferramentas, que se preocuparam sobretudo com as plataformas livres. O Babel
Enterprise apenas funciona até ao Windows XP SP2. Por sua vez, o OpenVas
abandonou o seu cliente windows na versão 1.0. Como o OpenVas derivou do Nessus,
usou na versão 1.0, o protocolo de comunicação utilizado por este, conhecido como
Nessus Transfer Protocol (NTP). A evolução do módulo servidor para a versão
2.0 permitiu que fosse desenvolvido um novo protocolo de comunicação para o
OpenVas, denominado OpenVas Transfer Protocol (OTP). Porém o surgimento
deste novo protocolo deitou por terra o cliente Windows, pois o cliente windows 1.0
não conseguirá comunicar com o servidor 2.0 e aproveitar as suas funcionalidade,
visto que estes componentes utilizam protocolos de comunicação diferentes.
Visto isto, foi decidido abdicar dos testes em plataformas Windows, devido ao facto
de não ser possı́vel avaliar eficazmente o desempenho das duas ferramentas nestas
plataformas, pois os seus componentes revelam-se completamente obsoletos.
Para a fase de testes foram criados, no Babel Enterprise, três domı́nios: O domı́nio
Administration onde foram associados os agentes instalados nas máquinas de
administração, o Laptops para os agentes instalados no computador pessoal de
cada colaborador e o Versao Integral para os agentes da plataforma teste.
Figura 6.8 – Domı́nios Babel Enterprise
188
CAPÍTULO 6. BABEL ENTERPRISE
Foram criadas 4 polı́ticas a associar aos domı́nios criados:
File Security para
filtrar os dados relativos a verificações de ficheiros, a Local Checks relacionada
com verificações locais no sistema, a Remote Checks para verificações remotas e
a User Policy direccionada aos utilizadores do sistema.
Figura 6.9 – Polı́ticas Babel Enterprise
Com o propósito de avaliar a evolução dos testes foram criadas duas áreas: a
Business Security apresentou a evolução das vulnerabilidades afectas ao negócio
e a Workstation security as vulnerabilidades afectas ao ambiente de trabalho.
Figura 6.10 – Áreas Babel Enterprise
A configuração dos testes OpenVas é bastante mais rudimentar, visto que não possui
uma estrutura lógica. Apenas se podem criar blocos de tarefas (tasks) que agrupam
algumas sub-tarefas (scopes), definidas pelo utilizador, que dão ordem de execução
a determinados plugins de teste.
Neste âmbito, para a fase de testes foram criadas quatro tarefas (figura 6.11): A
tarefa Local Checks contém as sub-tarefas que executam os plugins relacionados
com verificações de parâmetros locais, a Remote Checks engloba as sub-tarefas
que executam os plugins relativos a verificações de parâmetros remotos e as restantes
tarefas agrupam as sub-tarefas que executam todos os outros plugins.
É também importante referir que o número de plugins de teste disponı́veis ao
utilizador ultrapassam largamente os 17000, o que dá uma ideia de quão poderosa
é a plataforma de testes do OpenVas.
6.5. FASE DE IMPLEMENTAÇÃO
189
Figura 6.11 – Tarefas e sub-tarefas configuradas
A falta de uma organização lógica da informação é uma das grandes desvantagens
do OpenVas, pois não lhe é permitido guiar a auditoria por polı́ticas e normativas de
segurança nem realizar uma gestão inteligente e organizada da informação recolhida.
Outra vantagem do Babel Enterprise em relação ao OpenVas é a sua interface
gráfica, bastante amigável e intuitiva, que se apresenta, em termos funcionais, como
um poderoso Dashbord de segurança, que permite ao utilizador configurar testes,
consultar relatórios, gráficos estatı́sticos, ı́ndices de risco, definir a estrutura lógica,
gerir a base de dados, e até alterar o fundo do seu ambiente de trabalho.
Por sua vez, o OpenVas apresenta uma interface gráfica simples, intuitiva, mas
muito fraca a nı́veis funcionais, não permitindo que sejam realizadas muitas acções
por parte do utilizador, para além de definir tarefas, sub-tarefas, consultar relatórios
e anexar-lhes comentários ou informação adicional.
Quanto à divulgação de resultados, estes são apresentados unicamente em formato
de texto, de modo desorganizado, pouco apelativo e sem gráficos estatı́sticos de
análise da informação, o que representa uma desvantagem quando pretendemos ter
uma ideia imediata da criticidade ou tendência dos resultados.
190
CAPÍTULO 6. BABEL ENTERPRISE
Na figura 6.12 são apresentados os dados de uma auditoria do OpenVas.
Figura 6.12 – Apresentação de dados no OpenVas
Pela figura 6.12 constatamos que o OpenVas cria duas colunas de resultados. A
primeira coluna, lista as vulnerabilidades por ordem de gravidade, sendo as mais
graves assinaladas com o ı́cone do sinal de trânsito sentido proibido e as de menor
gravidade marcadas com o sinal de trânsito
Perigos Vários. Os apontamentos
sobre os serviços encontrados no sistema e a porta a que recorrem são assinalados
com o sı́mbolo de uma lâmpada. Ao clicar em cada uma das vulnerabilidades é
apresentado na segunda coluna o relatório mais pormenorizado.
O relatório apresenta a causa da vulnerabilidade, o impacto que pode ter no sistema,
a que tipo de ataques pode conduzir, o factor de risco associado (low, medium e
high), referencias e sugestões que poderão oferecer soluções para resolver o problema,
etc. Embora o OpenVas perca no modo como apresenta os resultados, sem recorrer
a gráficos estatı́sticos nem a históricos, ganha pontos no modo como tenta esclarecer
o utilizador, dando-lhe indicações de como poderá resolver cada problema.
6.5. FASE DE IMPLEMENTAÇÃO
191
O Babel Enterprise, por sua vez, utiliza outro tipo de representação (figura 6.13).
Figura 6.13 – Apresentação de dados no Babel Enterprise
Neste caso concreto, o Babel Enterprise, apresenta os parâmetros do Kernel que
estão fora dos valores considerados como seguros e aconselháveis, recomendando de
seguida o valor correcto. Para além disso, permite ao utilizador identificar as novas
vulnerabilidades, surgidas após a última auditoria, quais as que foram eliminadas
no mesmo perı́odo e quais os parâmetros que foram modificados, mas que ainda não
atingiram os valores recomendados como seguros (figura 6.14).
Figura 6.14 – Detecção de vulnerabilidades novas, eliminadas e alteradas
Este tipo de histórico e representação de dados apresenta vantagens valiosas para
quem pretende ter o controlo total das vulnerabilidades presentes no sistema.
192
CAPÍTULO 6. BABEL ENTERPRISE
Outra vantagem da interface Babel Enterprise é a construção de gráficos estatı́sticos
a partir dos dados de cada auditoria e também a partir dos dados gravados em
histórico, permitindo a construção de gráficos de evolução.
De acordo com esta análise da apresentação de resultados, por parte das duas
ferramentas, concluiu-se que seria óptimo convergir numa única solução ambas as
abordagens de representação de dados, ou seja, convergir numa única plataforma a
apresentação de resultados de forma organizada e apelativa, recorrendo a gráficos
estatı́sticos, com criação de histórico de dados de auditoria do Babel Enterprise, e a
informação de orientação do OpenVas, nomeadamente soluções para a resolução de
cada problema encontrado e a indicação do tipo de impacto que cada vulnerabilidade
pode ter no sistema.
Como era expectável, não foi possı́vel definir um matching entre os testes das duas
plataformas. Logo, apenas foram executados os plugins do OpenVas que testam,
minimamente, parâmetros que o Babel Enterprise consegue auditar, de modo a ser
possı́vel tirar conclusões relativas à eficácia de cada ferramenta.
Depois de definida a bateria de testes e analisados todos os cenários a executar,
iniciou-se a fase de implementação.
Numa primeira análise reteve-se que ambas as ferramentas afectam a performance
das máquinas auditadas, devido ao elevado consumo de tempo de processamento,
durante a fase de testes. No caso do Babel Enterprise, este facto agrava-se com
a execução de determinados módulos, enquanto que o OpenVas provoca um maior
impacto na máquina no momento em que descarrega os mais de 17000 plugins do
servidor para o cliente, para serem seleccionados. Em termos de duração, cada
auditoria demora entre 5 e 10 minutos, dependendo da carga de testes configurada.
A nı́vel de acção, ambas as ferramentas são não intrusivas, isto é, identificam e
inventariam as vulnerabilidades encontradas no sistema, mas não efectuam qualquer
tipo de modificação para as corrigir. Terá de ser o administrador a analisar essas
vulnerabilidades e a tomar medidas correctivas ou preventivas por conta própria.
No entanto, neste parâmetro o OpenVas apresenta uma vantagem sobre o Babel
Enterprise, visto que, ao contrário deste último, fornece referências e possı́veis
soluções para auxiliar o administrador a colmatar cada falha encontrada.
6.5. FASE DE IMPLEMENTAÇÃO
193
A principal desilusão da fase de implementação, foi a impossibilidade de realizar
uma comparação integral entre o Babel Enterprise e o seu modelo de referência
OpenVas. Visto que o Babel Enterprise apenas possui 25 módulos de teste contra os
mais de 17000 plugins do OpenVas, torna-se impossı́vel criar uma correspondência
fiel de testes, devido à discrepância de números.
Contudo, o maior entrave à comparação de desempenho entre estas duas ferramentas
foram as suas diferentes abordagens de teste, pois cada software dá destaque a
determinado tipo de parâmetros, que o outro ignora ou não é tão eficaz.
Enquanto que o Babel Enterprise tem uma abordagem mais próxima do utilizador,
dando-lhe orientações de como este pode melhorar as configurações de alguns sectores
locais do seu sistema, o OpenVas tem uma abordagem mais distante, fazendo apenas
testes remotos, desprezando aspectos como permissões de ficheiros, polı́ticas de logs,
e levando mais em conta, os serviços activos, que portas estes utilizam e que tipo de
vulnerabilidades possuem, entre outros aspectos.
Fazendo uma breve analogia, o Babel Enterprise é como um segurança interno de um
Banco ou de um Casino, que tenta identificar que tipo de vulnerabilidades internas os
seus sistemas possuem, centrando-se fundamentalmente na verificação de parâmetros
de segurança locais, no que se passa na sua proximidade e como se podem proteger
do exterior. Por outro lado, o OpenVas é um falso segurança, isto porque se coloca
numa perspectiva exterior ao sistema que pretende proteger, encarnando a pele
de um atacante, tentando a partir daı́ identificar, através de uma grande base de
testes remotos, que tipo de acções podem ser levadas a cabo que permitam invadir
o sistema, reportando as vulnerabilidades encontradas ao utilizador.
Desta forma, o OpenVas não possui plugins que verifiquem permissões de ficheiros
ou polı́ticas de logs e que calculem o HashMd5 de ficheiros crı́ticos com vista a
detectar modificações no seu conteúdo, deixando os módulos do Babel Enterprise
que testam estes parâmetros sem valores de referência. O mesmo acontece com os
plugins que testam passwords, parâmetros do kernel, entre outros testes locais, que
não produziram qualquer tipo de resultado que sirva de referência.
Noutra perspectiva, o Babel Enterprise, focado mais nas variáveis locais do sistema,
também não conseguiu detectar vulnerabilidades identificadas e inventariadas pelo
OpenVas, nomeadamente as falhas nos módulos do servidor apache2.
194
CAPÍTULO 6. BABEL ENTERPRISE
Neste sentido, constata-se que o que o Babel Enterprise ganha nos testes locais,
perde na abordagem remota, onde o OpenVas produz uma resposta bem mais eficaz,
detectando várias vulnerabilidades que estão fora do alcance dos módulos Babel, e
que constituem verdadeiras portas abertas para o sistema.
Fazendo o balanço de ambas as plataformas de testes, o Babel Enterprise sai,
claramente a perder. Primeiro perde no número de testes, que é ı́nfimo comparado
com o batalhão de plugins apresentado pelo OpenVas. Outro factor negativo, é
o facto de se preocupar, essencialmente, com parâmetros locais, ignorando ou tendo
uma má prestação em termos de testes remotos.
Desta forma, o Babel Enterprise poderá ser uma ferramenta útil para detectar
incidentes depois do atacante já ter invadido o sistema e estar a modificar permissões
de ficheiros, alterar o seu conteúdo ou a tentar estabelecer privilégios de utilizador
root. No entanto, pouco faz para ajudar o administrador a proteger o seu sistema de
invasões, dando apenas alertas de passwords fracas e portas activas. Porém exige-se
bastante mais de uma ferramenta de auditoria.
Para além disso, alguns módulos funcionam bastante mal ou estão obsoletos. Isto
deve-se ao facto da plataforma de testes do Babel Enterprise ser bastante rudimentar,
não tendo qualquer tipo de análise crı́tica aos resultados. O próprio código fonte dos
módulos é bastante simples, realizando apenas uma análise
string compare dos
dados, o que pode resulta em erros graves. Dando um pequeno exemplo, o módulo
de verificação de permissões de ficheiros fileperm.bem, consulta o ficheiro auxiliar
fileperm.lst para conhecer quais as permissões recomendadas para cada ficheiro,
consultando paralelamente quais são as permissões reais definidas para cada um
deles, fazendo finalmente uma comparação entre as duas strings. Se as permissões
reais e as recomendadas forem diferentes, é reportada uma não conformidade para
o agente.
Até aqui tudo bem!
O problema é que, como apenas é feito uma
simples análise string compare, acontece frequentemente que as permissões reais
de alguns ficheiros são até mais seguras do que as permissões recomendadas pelo
Babel Enterprise. Contudo, visto que as strings não são iguais, é reportada da
mesma forma uma vulnerabilidade, sendo aumentado erradamente o ı́ndice de risco.
Em comparação, OpenVas possui uma plataforma de teste, programada em NASL,
bem mais robusta e fiável.
6.5. FASE DE IMPLEMENTAÇÃO
195
Outro aspecto que acabou por se revelar bastante grave, é o facto do agente Babel
Enterprise e os respectivos módulos se encontrarem instalados na própria máquina
do utilizador. Isto cria a desvantagem do utilizador conseguir, muito facilmente,
falsear e manipular os resultados. Tendo ao seu dispor o código de cada módulo e
do próprio agente, ambos programados numa linguagem bastante simples e intuitiva,
é muito fácil fazer com que os testes não verifiquem vários parâmetros, deixando de
detectar e inventariar várias vulnerabilidades, reportando assim um ı́ndice de risco
bastante mais baixo, tornando o sistema ficticiamente mais seguro.
Porém, no caso do OpenVas este problema não se verifica, pois todos os testes estão
alocados no lado do servidor e são executados a partir deste, remotamente. Por outro
lado, a linguagem NASL não é uma linguagem trivial, que permita fazer alterações
fáceis ao código fonte, sendo assim difı́cil manipular os resultados.
Em termos de interface de utilizador, acontece exactamente o inverso. Neste caso é o
Babel Enterprise que sai claramente a ganhar, tanto na configuração dos testes, como
na forma de apresentação de resultados. A interface gráfica do Babel Enterprise
apresenta-se como um autentico e poderoso quadro de comandos de segurança, com
uma vasta gama de funcionalidades.
Enquanto a rudimentar interface do OpenVas apenas permite configurar os testes e
consultar os relatórios que deles resultam, em formato de texto simples, a Dashboard
do Babel Enterprise permite muitas mais acções, apresentando claras vantagens na
apresentação de resultados, fazendo-se valer de gráficos estatı́sticos, do cálculo de
nı́veis de risco, da interacção com a base de dados e da criação de um histórico de
auditorias. Tudo isto junto numa interface intuitiva, amigável e funcional.
Analisemos, então, os resultados obtidos na dashboard do Babel Enterprise.
Em primeiro lugar, para se poder ter uma noção da criticidade de cada ı́ndice de
risco obtido, é importante conhecer a escala de pesos utilizada nos módulos, pois,
como já vimos, são estes pesos que estão na base do cálculo dos vários ı́ndices de
risco. Neste âmbito, visto que o cálculo teórico do risco (Capı́tulo 5) foi baseado
numa escala normalizada entre “0”e “1”, optei também por colocar todos os pesos
dentro da mesma ordem de grandeza, por motivos de coerência e com o propósito
de facilitar uma futura comparação entre valores.
196
CAPÍTULO 6. BABEL ENTERPRISE
Entre outra informação, o Babel Enterprise dá-nos a expressividade que cada módulo
tem em cada nı́vel de risco. Na imagem 6.15 podemos verificar que os módulos file
attributes e Filehash são aqueles que contribuı́ram, em maior escala, para o nı́vel
de risco do sistema. Isto facilita a acção do utilizador, que sabe automaticamente
em que parâmetros tem que aplicar medidas de correcção mais rigorosas.
Figura 6.15 – Expressividade dos módulos no nı́vel de risco
Quanto às polı́ticas podemos consultar o seu ı́ndice de risco, o nı́vel médio de risco
das polı́ticas, e a sua evolução de auditoria em auditoria (figura 6.16).
Figura 6.16 – Gráfico de evolução do ı́ndice de risco de cada polı́tica de segurança
6.5. FASE DE IMPLEMENTAÇÃO
197
Na figura 6.17 podemos ver a forte queda do ı́ndice de risco de uma das polı́ticas.
Figura 6.17 – Evolução dos valores de risco de uma polı́tica
Também no campo dos domı́nios o administrador pode consultar dados. Na figura
6.18 podemos ver a proporção do risco entre os três domı́nios configurados.
Figura 6.18 – Proporção de risco por domı́nio
198
CAPÍTULO 6. BABEL ENTERPRISE
A mancha vermelha que aparece no gráfico é a proporção do risco nos últimos 7 dias,
enquanto que a mancha azul é a proporção de risco actual. Nesse sentido, podemos
ver claramente que o risco nos três domı́nios diminuiu drásticamente.
Caso o administrador prefira uma representação numérica também lhe é possı́vel
consultar uma tabela de ı́ndices de risco, no campo dos domı́nios (figura 6.19).
Figura 6.19 – Evolução dos valores de risco dos domı́nios
Se analisarmos atentamente a tabela anterior, vemos uma clara diminuição do ı́ndice
de risco nos três domı́nios configurados para a fase de testes.
À semelhança dos domı́nios também as áreas possuem dados indicativos da evolução
do seu ı́ndice de risco. Desta forma, é disponibilizada ao administrador do sistema
uma tabela numérica de representação do ı́ndice de risco (figura 6.20).
Figura 6.20 – Evolução dos valores de risco das áreas
Como se pode, facilmente, verificar, também neste campo se denota uma clara
diminuição do ı́ndice de risco, reforçando ainda mais a eficácia da representação
de dados do Babel Enterprise, relativamente ao seu contributo para a orientação do
administrador para a colmatação das vulnerabilidades mais crı́ticas ou significativas
do seu sistema.
Tal como no caso anterior, também é disponibilizada ao administrador do sistema
uma proporção gráfica do risco entre as duas áreas configuradas (figura 6.21).
6.5. FASE DE IMPLEMENTAÇÃO
199
Figura 6.21 – Proporção de vulnerabilidades por área
Por análise do gráfico pode ver-se um claro destacamento das vulnerabilidades na
área da segurança de negócio. Porém, neste caso concreto, estes valores não são
preocupantes, isto porque, embora a proporção seja bastante desequilibrada, ambos
os ı́ndices de risco das áreas configuradas estão abaixo do nı́vel considerado seguro,
ou seja, inferiores a 200, conforme é confirmado na figura 6.20.
Para além dos dados de auditoria fornecidos pelo Babel Enterprise a nı́vel de módulos,
polı́ticas, domı́nios e áreas, é fundamental analisar o ı́ndice de risco de cada máquina
auditada, ou seja, o ı́ndice de risco dos seus agentes (figuras 6.22 e 6.23).
Figura 6.22 – Nı́vel de risco por agente (Primeira Auditoria)
200
CAPÍTULO 6. BABEL ENTERPRISE
Nesse sentido, tal como é mostrado na figura 6.22, é-nos apresentado o nome do
agente, o SO da máquina onde está instalado, o ı́ndice de risco acompanhado por
um código de cores (verde - risco baixo (inferior a 150); amarelo - risco médio (entre
150 e 300); laranja - risco elevado (entre 300 e 500); vermelho - risco crı́tico (superior
a 500)), o ı́ndice de risco obtido na auditoria anterior, a indicação do tempo que
passou desde a última execução e do que resta para a execução seguinte.
A figura 6.22, em particular, apresenta os dados resultantes da primeira auditoria
realizada no âmbito da fase de testes. Analisando os resultados podemos verificar
que quatro dos agentes já apresentaram um nı́vel de risco bastante baixo, não
necessitando de grande atenção. Porém, os restantes agentes apresentaram ı́ndices de
risco preocupantes que carecem de um maior rigor a nı́vel de controlo de segurança.
Depois de eliminadas grande parte das vulnerabilidades identificadas nas máquinas
auditadas, o resultado final apresenta os seguintes ı́ndices de risco (figura 6.23):
Figura 6.23 – Nı́vel de risco por agente (teste final)
Como se constata, a maioria dos ı́ndices de risco apresentaram uma redução bastante
significativa, principalmente os ı́ndices crı́ticos. Por outro lado, embora existam
ainda ı́ndices de risco catalogados como risco médio, a sua proximidade do nı́vel
baixo (150) não exige nem justifica medidas de segurança mais rigorosas.
6.5. FASE DE IMPLEMENTAÇÃO
201
Há vários factores que contribuem para a diferença de ı́ndices de risco relativos
aos diferentes agentes instalados nas várias máquinas do sistema. Para além de,
logicamente, cada máquina apresentar vulnerabilidades distintas e/ou em proporções
diferentes, também existem outros factores que podem ter impacto no ı́ndice de risco
de cada agente. Entre esses factores está, por exemplo, o
nı́vel de criticidade,
atribuı́do pelo administrador a cada agente, baseado na importância da informação
que cada máquina suporta. Por outro lado, cada domı́nio tem um conjunto diferente
de polı́ticas associadas. Deste modo, o mesmo agente poderá indicar um ı́ndice de
risco diferente, dependendo do domı́nio a que estiver associado.
Para além do ı́ndice de risco de cada agente, o administrador também poderá
consultar o ı́ndice geral de risco do sistema, que representa um dos parâmetros mais
importantes apresentados pelo Babel Enterprise. Este valor é dado numa espécie de
velocı́metro (figura 6.24) situado na página principal da consola web e que indica
o ı́ndice geral de risco actual (ponteiro vermelho), o ı́ndice geral de risco anterior
(ponteiro azul) e o ı́ndice geral de risco que se pretende atingir (ponteiro verde).
Figura 6.24 – Relação entre ı́ndice geral de Risco inicial e final do sistema
Como se pode verificar, na primeira auditoria obteve-se um ı́ndice geral de risco de
728,3 valores (nı́vel crı́tico - superior a 500). Este resultado preocupante desencadeou
várias medidas urgentes de controlo de risco. Deste modo estabeleceu-se de imediato
um valor de risco, a atingir durante a fase de testes, colocado nos 200 valores.
202
CAPÍTULO 6. BABEL ENTERPRISE
Visto que o ı́ndice geral de risco resulta da média do ı́ndice de risco de todos os
agentes, à medida que iam sendo corrigidas as vulnerabilidades identificadas nas
máquinas auditadas, esse nı́vel de risco foi descendo gradualmente até atingir um
valor próximo do objectivo proposto (193.9), o que deu por finalizada a longa fase
de testes, e possibilitou a classificação do sistema, como seguro e confiável.
A figura 6.25 representa a evolução do ı́ndice geral de risco ao longo da fase de testes.
Figura 6.25 – Curva de evolução do ı́ndice geral de Risco do sistema
Em termos de relatórios, o Babel Enterprise disponibiliza os dados de auditoria em
formato HTML e PDF. Já o OpenVas disponibiliza os seus relatório nos formatos
HTML, PDF, XML, LaTeX, texto ASCII e *.nbe (extensão Nessus).
6.5. FASE DE IMPLEMENTAÇÃO
6.5.4
203
Conclusões
Através dos diversos cenários pré-estabelecidos para a fase de implementação deste
projecto foi possı́vel construir um ambiente de testes controlado que apresentou
resultados bastante satisfatórios e que permitiu alcançar algumas conclusões válidas.
Em primeiro lugar, foi claro que não é possı́vel comparar os resultados obtidos pelos
dois softwares em questão devido à enorme diferença entre as suas abordagens de
teste. O Babel Enterprise preocupa-se essencialmente com parâmetros locais do
sistema, focando os seus testes na análise de ficheiros de configuração, enquanto
que o OpenVas despreza essa abordagem e opta por privilegiar os testes remotos,
testando uma vasta gama de vulnerabilidades conhecidas que podem ser exploradas
remotamente, revelando-se uma plataforma bastante mais eficaz e credı́vel.
Contudo, nem tudo esteve perdido. Embora não tenha sido possı́vel fazer um
matching entre os testes realizados pelas duas ferramentas, foi muito enriquecedor
para este projecto analisar e comparar as suas diferentes abordagens. O que começou
como uma mera comparação entre um objecto de estudo (Babel Enterprise) e o
seu modelo de referência (OpenVas), em termos de resultados, tornou-se numa
interessante e intensa relação entre abordagens que criou várias discussões, com
objectivo de determinar qual a mais eficaz e adequada para o processo de auditoria.
Em rigorosa análise, cada ferramenta tem as suas vantagens e desvantagens em
relação à outra. Cada caso concreto, dependendo dos objectivos de segurança a
atingir, é que dita qual delas é a mais adequada, de acordo com todas as suas
potencialidades e caracterı́sticas.
As grandes vantagens do Babel Enterprise em relação ao OpenVas:
• Fornece vários nı́veis de risco relativos ao sistema, evitando o processo analı́tico,
longo e trabalhoso, de Gestão de Risco, prestando um contributo valiosı́ssimo;
• Interface gráfica amigável e intuitiva, em formato de uma poderosa Dashbord
de segurança, com uma vasta gama de funcionalidades;
• Armazenamento das informações numa base de dados, permitindo a criação
de um histórico de dados de auditoria;
204
CAPÍTULO 6. BABEL ENTERPRISE
• Possui uma estrutura lógica constituı́da por domı́nios, polı́ticas, áreas, grupos
técnicos e agentes que traz uma alta flexibilidade à configuração dos testes de
cada auditoria.
• Possibilidade de colectar dados de fontes externas sem o auxilio de aplicações
secundárias como o SLAD;
• Gera gráficos estatı́sticos que ajudam e orientam o administrador para os
pontos crı́ticos do sistema;
• Os pesos associados aos módulos permitem ao administrador pondera-los de
acordo com a sua importância para a politica de segurança da empresa;
• Possibilidade de atribuir um nı́vel de criticidade a cada agente, de acordo com
a importância da máquina onde se encontra instalado.
Principais desvantagens do Babel Enterprise:
• Base de testes bastante rudimentar;
• Ausência de uma interface para configuração dos parâmetros dos módulos;
• Alguns módulos podem conduzir a um consumo excessivo do CPU do sistema:
account, bigfiles, patch, packages, filehash.
• Alguns módulos estão obsoletos ou apresentam um mau funcionamento;
• O agente Babel Enterprise é instalado no computador do utilizador. Isto tem
a desvantagem deste poder alterar os parâmetros da auditoria e fazer com que
o agente deixe de emitir alguns alarmes, ficando o nı́vel de risco desse activo
muito mais baixo. Deste modo o sistema é considerado mais seguro, quando
na realidade não está.
• Não apresenta soluções para eliminar as vulnerabilidades que identifica;
• Carece das funcionalidades de ferramentas IDS, contudo pode integrar dados
de ferramentas deste tipo, como por exemplo do Snort;
6.5. FASE DE IMPLEMENTAÇÃO
205
A tabela 6.1 mostra as principais diferenças entre estes dois softwares.
Tabela 6.1 – Babel Enterprise Vs OpenVas
Caracterı́stica
Babel Enterprise
OpenVas
Tipo
Audit tool
Vulnerability Scanner
Interface Gráfica
Dashboard
bastante
Muito rudimentar a nı́veis
amigável e intuitiva,
funcionais e de apresentação
com uma vasta gama
da informação
de funcionalidades.
Componentes
que
Lado
do
Cliente
Lado do Servidor (NVT
executam os testes
(Módulos)
através de Plugins)
Integração de dados
Sim
Sim ( apenas aliado ao
de fontes externas
SLAD)
Calcula ı́ndices de
Sim
Risco
Não
(apenas
dá
uma
estimativa da gravidade de
cada vulnerabilidade)
Soluções com vista
Não
Sim
Gráficos estatı́sticos
Sim
Não
Base de Dados
Sim (MySQL)
Não
à
resolução
de
problemas
Como conclusão final, é importante reter alguns aspectos.
Primeiro, o Babel Enterprise demonstrou bastantes fragilidades no que se refere à sua
plataforma de testes, desde o facto dos módulos estarem instalados no lado do cliente,
permitindo a fácil manipulação de resultados, até ao mau funcionamento de alguns
módulos. O OpenVas, por outro lado, demonstrou ter uma forte plataforma de
testes, disponibilizando mais de 17000 testes, ganhando assim uma clara vantagem
sobre o Babel Enterprise. Porém, embora ganhe pontos no campo de implementação
de auditorias, o OpenVas perde bastante terreno no que toca á apresentação de
resultados, pois não consegue competir com a poderosa dashboard Babel Enterprise.
206
6.5.5
CAPÍTULO 6. BABEL ENTERPRISE
Proposta de inovação
Através de uma análise cuidada da fase de testes e das vantagens e desvantagens
apontadas à abordagem de cada software em estudo, podemos facilmente concluir
que estes são complementares, visto que os pontos fracos de um são, na grande
maioria das vezes, os pontos fortes do outro.
Neste sentido, pudemos comprovar pelos resultados alcançados neste estudo que o
grande ponto fraco do Babel Enterprise é, sem dúvida, a sua plataforma de testes,
fundamentada na análise de parâmetros locais do sistema e baseada num código
bastante simples que possibilita a fácil manipulação de resultados. Para além disso,
o mau funcionamento de alguns módulos, deitou por terra muitas das expectativas
iniciais relativas a esta ferramenta de auditoria.
O OpenVas, por sua vez, apresentou-se com uma plataforma de testes bastante
robusta e credı́vel, que permite executar mais de 17000 verificações ao sistema,
traduzindo-se no seu ponto forte.
Contudo, no lado oposto, revelou bastantes
fragilidades relativamente à sua interface gráfica, que apenas permite configurar
testes, de uma forma muito rudimentar, e consultar os relatórios de cada auditoria,
unicamente em formato de texto, sem recorrer a gráficos estatı́sticos, a cálculos de
ı́ndices de risco ou a qualquer tipo de histórico de dados.
Porém, o que aparece como ponto fraco do OpenVas, traduz-se no ponto forte do
Babel Enterprise, que possui uma interface gráfica altamente funcional, no formato
de dashbord de segurança, que permite ao administrador orientar a sua atenção para
os pontos crı́ticos do seu sistema e reduzir significativamente o seu ı́ndice de risco.
Tendo em conta esta complementaridade entre as duas ferramentas, seria bastante
útil e interessante aproveitar este estudo como um ponto de partida para a criação
e desenvolvimento de uma nova solução de auditoria que representasse a fusão das
melhores caracterı́sticas e potencialidades destes 2 softwares, reunindo assim a base
de testes do OpenVas e a dashboard de segurança do Babel Enterprise numa única
plataforma, que se tornaria, certamente, numa das aplicações mais úteis e credı́veis
do mundo da segurança informática, tornando o presente estudo ainda mais valioso,
devido ao seu contributo para esse projecto ambicioso e inovador.
7
Conclusões Finais
Não restam dúvidas sobre a importância da informação como activo principal da
actividade empresarial. Este nı́vel de importância e a relação de dependência que a
informação impõe justifica, inequivocamente, a necessidade da sua protecção.
No entanto, não há sistemas infalı́veis. Cada SI apresenta as suas vulnerabilidades,
provenientes de diversas fontes, desde erros de programação que originam bugs
nos mais diversos softwares, passando pela falta de preocupação com questões de
segurança por parte dos administradores, até às acções do elo mais fraco do sistema,
o utilizador comum, que utiliza passwords fracas facilmente decifráveis, abre e-mails
duvidosos, fornece dados confidenciais, entre outras acções dificilmente detectáveis
e fora do controlo de qualquer ferramenta informática.
Todas estas vulnerabilidades, convenientemente exploradas, representam autenticas
portas de entrada para o SI da organização e consequentemente um fácil acesso
à informação confidencial que este sustenta, colocando em risco toda a estrutura
empresarial, podendo, em casos extremos, significar o fim da actividade de negócio.
Neste sentido, pode concluir-se que a cada vulnerabilidade estão associadas uma ou
mais ameaças. Estas ameaças podem assumir quatro vertentes principais que vão
desde a intercepção da informação (violação da sua confidencialidade), passando
pela sua modificação (violação da sua integridade), não acessibilidade (violação da
sua disponibilidade) até à sua corrupção (violação da sua autenticidade).
207
208
CAPÍTULO 7. CONCLUSÕES FINAIS
As ameaças podem, assim, traduzir-se em ataques passivos, que implicam apenas
a consulta da informação, e ataques activos que envolvem também a alteração ou
eliminação do seu conteúdo.
Neste âmbito, a forte relação de dependência entre as organizações e a sua infraestrutura informática apresenta-se como um factor agravante que implica a urgência
de se desenvolverem medidas de protecção cada vez mais eficazes e credı́veis, que
implementem um forte sentimento de confiança e segurança em toda a actividade
empresarial. Desta forma, com o propósito de prevenir, contrariar e/ou minimizar
todas as ameaças, surgem as denominadas contra-medidas de segurança, divididas
em medidas preventivas, correctivas, dissuasoras, de recuperação e manobras de
diversão, que têm o objectivo comum de proteger a informação de eventuais ataques
a que esta esteja sujeita.
Visto isto, os responsáveis pelas redes informáticas começaram a ter em mãos
três variáveis cuja relação se revelou vital para a segurança dos seus recursos: as
vulnerabilidades, as ameaças e as contra-medidas. É desta ampla relação que surge
a variável e o conceito mais importante do plano da segurança: o Risco.
O Risco aparece, assim, como a variável que, pela relação entre as vulnerabilidades
identificadas no sistema, as ameaças que lhes estão associadas e as contra-medidas
de protecção aplicadas, representa o nı́vel de segurança de uma rede ou sistema
informático. Neste âmbito, um nı́vel de risco baixo comprova que o sistema é seguro
e confiável, por outro lado, um ı́ndice de risco alto indica graves falhas de segurança
ou medidas de protecção insuficientes face às ameaça existentes.
Desta forma, através da análise e avaliação do ı́ndice de Risco de um sistema, o
administrador tem a noção imediata do nı́vel de segurança da sua infra-estrutura
informática, o que lhe permite, caso necessário, adoptar medidas de protecção
adequadas e em tempo útil, com o propósito de minimizar o Risco apresentado.
Neste sentido, tendo em conta a importância da análise e avaliação periódica do
nı́vel de risco de um dado sistema, foram desenvolvidos ao longo do tempo vários
modelos analı́ticos, baseados essencialmente na utilização de ferramentas estatı́sticas
e modelos de avaliação subjectivos, que propõem diversas abordagens de análise e
recomendações úteis para o cálculo e gestão do ı́ndice de Risco. Entre estes métodos
estão os modelos OCTAVE, ISRAM e ISO 13335, enunciados no capı́tulo 4.
209
Contudo, cada um destes modelos de análise do risco só é verdadeiramente eficaz
para infra-estruturas informáticas com caracterı́sticas especı́ficas, sendo por vezes
necessário desenvolver de raı́z um novo modelo, melhor adaptado à rede informática
onde se pretende realizar a avaliação do ı́ndice de risco. Foi com este argumento que
se desenvolveu, na secção 4.3 desta Dissertação, um modelo de análise optimizado,
adequado à rede informática envolvida no presente estudo.
É com a aplicação prática deste modelo de gestão de risco, descrita no capı́tulo 5,
que se começam a delinear as primeiras conclusões deste projecto.
Em termos de resultados, a implementação do modelo proposto na secção 4.3,
permitiu obter valores bastante aceitáveis em termos globais, isto porque o ı́ndice
geral de risco da rede não ultrapassou os 30%, o que é óptimo tendo em conta a
forte dependência da organização em relação à rede informática em estudo.
No entanto, a nı́vel da análise particular de cada grupo genérico de informação
identificado no sistema, os resultados obtidos revelaram algumas arestas por limar.
O caso mais grave detectado foi o facto do ı́ndice de risco associado ao grupo genérico
de informação G7, relativo à informação contida em e-mails, ter ultrapassado o nı́vel
de risco máximo tido como aceitável. Este resultado é compreensı́vel, pois o e-mail é
a principal via de comunicação da organização envolvida no estudo para a prestação
de serviços e contém frequentemente informação altamente confidencial. Este mau
resultado indica que devem ser tomadas medidas de segurança mais rigorosas com
vista a reduzir o nı́vel de risco obtido para valores aceitáveis.
Este tipo de orientação do administrador para os pontos crı́ticos do seu sistema
revelou trazer vantagens importantı́ssimas para a selecção de medidas de segurança
adequadas. Contudo, embora este tipo de análise traga muitas vantagens, o método
proposto traduziu-se num processo bastante trabalhoso e prolongado, demorando
mais de um mês a concretizar, devido à necessidade de elaborar vários questionários
para rondas distintas, que implicaram sempre o tratamento estatı́stico intermédio
dos dados (que por vezes se pode revelar bastante complexo) e a perturbação
frequente dos elementos do painel de especialistas escolhido para o efeito, o que na
maioria das vezes se tornou um incomodo, tanto para quem coordenou o processo
como para quem pertenceu ao painel e teve de despender uma quantidade de tempo
considerável, entre outros constrangimentos, constatados no capı́tulo 5.
210
CAPÍTULO 7. CONCLUSÕES FINAIS
Este longo prolongamento da acção faz com que, em certas circunstâncias, quando
se atingem os resultados finais, as variáveis iniciais já estejam desactualizadas, ou
pelo surgimento de novas ameaças, ou de novos elementos de informação, ou por
qualquer outro motivo.
Por outro lado, é muito difı́cil construir uma análise rigorosa ao sistema, de elemento
de informação em elemento de informação, de ameaça em ameaça, pois isso levaria
a que tivéssemos dezenas de elementos de informação e dezenas de tipos de ameaças
para analisar, o que se traduziria em várias centenas de tabelas de preenchimento
para cada questionário, o que seria impraticável, pois ninguém concordaria preencher
tal enormidade de perguntas, e mesmo que o fizessem, o tratamento estatı́stico dos
dados seria demasiado complexo. Isto leva a que o coordenador do exercı́cio, tal como
ocorreu neste estudo, opte por agrupar os elementos de informação, as suas ameaças e
até os seus processos genéricos de manuseamento, em conjuntos homogéneos. Porém,
com isto, poupa-se no trabalho e no tempo de execução do método, mas perde-se
no rigor dos valores finais, que podem ter associados erros bastante significativos.
Se considerarmos que todo este processo terá de ser executado periodicamente a
situação agrava-se ainda mais.
Tendo em conta que todos os métodos analı́ticos de gestão de risco representam
um processo longo e trabalhoso, que acaba por produzir muita das vezes resultados
tardios, associados a uma falta de rigor e baseados apenas na opinião de um grupo
reduzido de especialistas, é vital que sejam criadas e desenvolvidas ferramentas
informáticas que nos auxiliem neste processo, identificando as vulnerabilidades do
sistema e calculando, em tempo útil, o nı́vel de risco que estas implicam, no âmbito
de uma determinada polı́tica de segurança.
É neste contexto que surge o Babel Enterprise, como uma ferramenta de auditoria
de segurança capaz de identificar as vulnerabilidades de um determinado sistema e
apresentar, em poucos minutos, o seu ı́ndice de risco. A partir deste ponto, utilizando
esta ferramenta, passou a ser possı́vel evitar o processo longo, trabalhoso e sem rigor
associado aos modelos analı́ticos do risco. O que demorava um mês passou a demorar
apenas alguns minutos e o que implicava uma infinidade de cálculos ficou à distância
de algumas configurações rápidas e de alguns comandos básicos adicionais.
211
Embora, inicialmente, estivesse prevista a comparação entre os resultados obtidos
analiticamente e os resultados obtidos pelo Babel Enterprise, tal não foi possı́vel
realizar. Isto porque, em primeiro lugar, os resultados obtidos analiticamente foram
normalizados numa escala [0,1] facilmente convertı́vel para a escala [0%,100%], sendo
que o problema reside na impossibilidade de normalizar os valores calculados pelo
Babel Enterprise, devido ao facto de poderem atingir uma gama de valores ilimitada,
sendo apenas possı́vel definir limites aceitáveis para os ı́ndices de risco. Por outro
lado, o Babel Enterprise apenas considera os parâmetros técnicos da análise de risco,
nomeadamente as vulnerabilidades do sistema, enquanto que o modelo analı́tico tem
em conta para além dos aspectos técnicos, a informação propriamente dita e o factor
humano relativo à experiência profissional dos utilizadores e à sua opinião acerca
dos parâmetros de segurança do sistema.
Contudo, no inicio da fase de testes do Babel Enterprise foi possı́vel verificar que
alguns agentes, instalados em várias máquinas da rede informática, apresentavam
ı́ndices de risco bastante acima do desejado, indicando, tal como no método analı́tico,
que deverão ser consideradas medidas de segurança mais rigorosas para alguns
parâmetros especı́ficos do sistema.
Este facto comprova que, embora não seja
possı́vel a comparação de resultados entre a abordagem analı́tica e a abordagem
do Babel Enterprise, ambas conduziram à mesma conclusão.
Com o avançar da fase de implementação, o Babel Enterprise revelou bastantes
fragilidades no que se refere à sua plataforma de testes, desde o facto dos agentes
estarem instalados no lado do cliente, permitindo a fácil manipulação de resultados,
até ao mau funcionamento de alguns módulos que, assim, tiram a credibilidade
dos seus resultados e deitam por terra algumas expectativas iniciais relativas a
esta ferramenta de auditoria. O OpenVas, por outro lado, demonstrou ter uma
forte plataforma de testes, disponibilizando mais de 17000 verificações ao sistema,
executadas pelo servidor, impossibilitando a manipulação de resultados, ganhando
assim uma clara vantagem sobre o Babel Enterprise. Porém, embora ganhe pontos
no campo da implementação, o OpenVas perde bastante terreno no que toca à
apresentação de resultados, pois a sua interface gráfica não consegue competir com
a poderosa e amigável dashboard de segurança do Babel Enterprise.
212
CAPÍTULO 7. CONCLUSÕES FINAIS
Desta forma, as duas ferramentas revelaram-se complementares, quase na perfeição,
pois o ponto fraco de uma é geralmente o ponto forte da outra e vice-versa. Este
factor, tal como sugerido no final do capı́tulo anterior, poderá abrir portas à criação
e desenvolvimento de uma nova plataforma de auditoria inovadora que reúna as
melhores caracterı́sticas e potencialidades de ambos os softwares, isto é, a base de
testes poderosa do OpenVas e a Dashbord de segurança altamente funcional do Babel
Enterprise.
Embora tenha ficado clara a impossibilidade de comparação de resultados entre
o Babel Enterprise e o seu software de referência OpenVas, devido à diferença
significativa entre as suas abordagens de teste, a discussão e reflexão que se gerou à
volta dos seus distintos princı́pios de funcionamento constitui uma mais valia para
o enriquecimento e aumento de credibilidade do presente estudo.
Nota: A nı́vel de testes, tanto os agentes Babel Enterprise como o cliente OpenVas
revelaram-se obsoletos para plataformas Microsoft Windows. Este factor inviabilizou
a execução de testes neste ambiente.
É importante que se entenda que o Babel Enterprise não protege os sistemas que
audita, de nenhuma forma. A sua principal função é realizar auditorias periódicas
ao sistema, de forma não intrusiva, com o objectivo de identificar vulnerabilidades
nele existentes, reportando-as para o administrador, para que ele possa tomar as
medidas correctivas e preventivas mais convenientes. Visto isto, é vital que se realce
que o uso do Babel Enterprise não substitui o uso de Firewall, Antivı́rus ou outro
tipo de software de protecção activa ao sistema.
A grande vantagem do Babel Enterprise é o grande contributo que este presta no
processo de gestão do risco, calculando o nı́vel de risco a que o sistema está sujeito e
apontando as suas vulnerabilidades, em tempo útil, possibilitando ao administrador
tomar as melhores decisões, atempadamente, para garantir um nı́vel de protecção
aceitável e credı́vel, evitando assim o longo e trabalhoso processo analı́tico de gestão
de risco (capı́tulo 5).
Referências bibliográficas
Alahlafi, A. and Burge, S. (2005). What should undergraduate medical students
know about psoriasis? involving patients in curriculum development: modified
delphi technique. BMJ, 330. 103
Albuquerque, R. and Ribeiro, B. (2002). Segurança no desenvolvimento de Software.
Editora Campus. 26, 30
Amaral, L. A. M. (1997). Gestão de sistemas de informação. Master’s thesis,
Universidade do Minho (UM).
ANCP (2010). Empresas e a internet. Disponı́vel em: http://www.ancp.gov.pt/.
Andres, C. P. (2000). Deben estar las técnicas de consenso incluidas entre las técnicas
de investigación cualitativa. Revista Espanha Saúdr Pública, 74. 103
Angus, A., McNally, S., and Sutton, M. (2003). The setting of standards for
agricultural nitrogen emissions: a case study of the delphi technique. Journal
of Environmental Management, 69. 102
Arnone, M. (2005). White hat, gray hat, black hat. Computer Crime Research
Center. 32
213
214
ArticaST (2010).
REFERÊNCIAS BIBLIOGRÁFICAS
Babel enterprise project.
Disponı́vel em:
http://
babelenterprise.com/. 168, 169, 171, 172
Baskerville, R. (1992). The developmental duality of information systems security.
Journal of Management Systems. 92
Boar, B. H. (2001). Art of Strategic Planning for information technology. John
Wiley and Sons, Lda.
Borges, M. M. (2002). Conexão, (r)evolução e informação. Ciências da Informação.
8, 9, 10, 19, 25
Calazans, A. (2006). Conceitos e uso da informação organizacional e informação
estratégica. TransInformação. 8
Campbell, S. M., Cantrill, J. A., and Roberts, D. (2000). Prescribing indicators for
uk general practice: Delphi consultation study. BMJ, 321.
Capurro, R. and Birger, H. (2007). O conceito de informação: Perspectivas em
ciência de informação. S.N.
Castells, M. (2003). A sociedade em Rede, volume 1. Paz e Terra, 7 edition.
Dizard, W. (2000). A nova mı́dia: a comunicação de massa na era da informação.
Jorge Zahar.
Drucker, P. (1993). Post Capitalist Society. Harper Business.
Drucker, P. (1999). Managment Challenges for the 21st. Thomson. 11
Drucker, P. (2000). O futuro já chegou. Exame Digital. 13
Durval (2007).
Tecnologias de informação.
Disponı́vel em:
http://
cadernododurval.blogspot.com/. 9, 10, 12, 13, 16
Estrela, J. M. M. (1998). Segurança em redes de computadores. Master’s thesis,
Faculdade de Engenharia da Universidade do Porto. 38, 39, 42, 58, 60, 64, 65, 75,
231
REFERÊNCIAS BIBLIOGRÁFICAS
Freitas, H. (2010).
215
Inforganização - a era pós-onformática.
Technical report,
Freitas e Associados. Disponı́vel em: http://www.freitas-associados.com.
br/freitas/?cc=1. 20
Goodman, C. M. (2000). The delphi technique: a critique. Journal of Clinical
Nursing, 12. 104
Graham, B., Regehr, G., and Wright, J. G. (2003). Delphi as a method to establish
consensus for diagnostic criteria. Journal of Clinical Epidemiology, 56. 103, 106
Grego,
M.
Disponı́vel
(2009).
em:
Evolução
da
tecnologia
de
informação.
http://marisagrego.blogspot.com/2009/06/
evolucao-da-tecnologia-da-informacao.html. 13
IAPMEI (2001). Portugal digital. Technical report, IAPMEI. Disponı́vel em:
http://www.iapmei.pt/iapmei-nwl-02.php?tipo=1&id=7.106.
ime (1999). A revolução digital e a sociedade do conhecimento. Disponı́vel em:
http://www.ime.usp.br/~ is/ddt/mac333/aulas/tema-2-18mar99.html. 14
IPN, C. (2010). Processos de auditoria. Disponı́vel em: http://www.cert.ipn.pt.
166
Jones, J. and Hunter, D. (1995). Qualitative research: Consensus methods for
medical and health services research. BMJ, 311. 103
Keeney, S., Hasson, F., and McKenna, H. P. (2001). A critical review of the delphi
technique as a research methodology for nursing. International Journal of Nursing
Studies, 38. 103, 104
Krause, H. T. M. (2008). Handbook of Information Security Management. CRC
Press. 85
Landeta, J. (2006).
Current validity of the delphi method in social sciences.
Technological Forecasting and Social Change, 73.
Lévy, P. (2001). Filosofia world: Epistemologia e sociedade. Technical report,
Instituto Piaget. 15
216
REFERÊNCIAS BIBLIOGRÁFICAS
Magno, M. (2010). Revolução industrial e a revolução da informação. Disponı́vel
em: http://magnno.wordpress.com/2009/05/10/. 13
Masuda, Y. (1981). A Sociedade da Informação como Sociedade pós-industrial.
Editora Rio.
Morais, E. P. (1999). Criação de empresas na sociedade da informação. Master’s
thesis, Faculdade de Engenharia da Universidade do Porto (FEUP). 8, 14, 20, 23
Neto, R. (2009). O que é o conhecimento?
Disponı́vel em: http://read.adm.
ufrgs.br/read25/artigos/artigo4.pdf.
O’Brien, J. (2003). Management Information Systems: managing information in
the business enterprise. McGraw-Hill.
Oliveira, A. (2003). A informação digital e as tics: um estudo de caso no programa
de engenharia de produção da ufsc. Technical report, UFRN. 10, 15, 24, 25
OpenIdeas (2010). Babel enterprise. Disponı́vel em: http://www.openideas.info/
wiki/index.php?title=Babel. 167, 168, 169, 171, 172
Pimenta, J. A. D. (2005).
Estudo de modelos de avaliação de segurança de
informação. Master’s thesis, Universidade do Minho (UM). 37, 77, 78, 86, 87, 88,
89, 90, 125, 134
Pinsdorf,
R. (2009).
Disponı́vel
em:
A revolução da informação e do conhecimento.
http://innovationpasta.blogspot.com/2009/01/
revoluo-da-informao-e-do-conhecimento.html. 22
Pinto, T. C. (2008). Relações sociais na empresa. Master’s thesis, Instituti Superior
de Economia e Gestão de Lisboa.
Piropo, B. (2009). Computadores i: Dados e informações. Disponı́vel em: http://
www.forumpcs.com.br/coluna.php?b=119903.
Prusak, L. and Davenport, T. (1998). Working Knowledge: How organizations
manage what they know. Harvard Business School Press. 6, 7
REFERÊNCIAS BIBLIOGRÁFICAS
217
Rayens, M. K. and Hahn, E. J. (2000). Building consensus using the policy delphi
method. Policy Polit Nurs Pract, 1.
Rezende, D. A. and Abreu, A. F. (2000). Tecnologia da Informação Aplicada a
Sistemas de Informação Empresariais. Atlas. 30
RFC2196 (2010). The security Handbook. 75
RFC2828 (2010). Glossário de Segurança de Internet (RFC 2828). 35
Ribeiro, J. C. and Santos, J. F. (2005). Dilemas competitivos da empresa nacional:
Algumas reflexões. Master’s thesis, Universidade do Minho (UM): Núcleo de
Investigação em Polı́ticas económicas.
Ribeiro, T. V. (2005). Interactividade na era digital: Tecnologia extensora do
homem. Technical report, Famecos/PUCRS. 23
Roque, R., Feitosa, E., and Sadok, D. (2008). Segurança da informação. Technical
report, Universisdade Federal de Pernambuco. 55
Santos, A. M. R. C. (2007). Segurança nos sistemas de informação hospitalares:
Polı́ticas, práticas e avaliação. Master’s thesis, Universidade do Minho (UM).
xxiii, xxiv, 35, 36, 38, 58, 59, 89, 90, 102, 119, 137, 147, 155
Santos, D., Barbosa, W., and Cardoso, A. (2007). Importância do sistema de
informação nas empresas. Universidade Federal da Bahia. 7, 31
Santos, G. and Maranhão, S. (2008). Sistemas de informação e as novas tecnologias.
Technical report, Escola de relações públicas (ESURP). 11, 20
Santos, H. D. (2002). O combate electrónico - ataques e defesas sobre a rede.
a evolução tecnológica na protecção da informação em sistemas distribuı́dos.
Technical report, INstituto de Defesa Nacional (IDN).
Santos, L. D. (2004). Factores determinantes do sucesso de serviços de informação
online em sistemas de gestão de ciência e tecnologia. PhD thesis, Universidade
do Minho. 103
218
REFERÊNCIAS BIBLIOGRÁFICAS
Sapo, T. (2002). Evolução das tecnologias da informação. Disponı́vel em: http://
tek.sapo.pt/noticias/. 21
Serrano, J. (2007). Segurança informática: uma vantagem competitiva. Technical
report, Panda Security. 36
Serrão, C. (2009). Gestão de sistemas de informação (acetatos de aulas teóricas).
Technical report, ISCTE/DCTI. 24, 25, 26, 28, 54, 64, 74
Sêmola, M. (2003). Gestão da Segurança da Informação: Uma visão Executiva.
Editora Campus. 30
Soares, J. F. (2005). Interpretação da segurança de sistemas de informação segundo
a teoria de acção. Master’s thesis, Universidade do Minho. 65, 78, 92, 93
Stewart, J., Harrigan, P., and Barton, J. R. (1999). Identifying appropriate tasks
for the preregistration year: modified delphi technique. BMJ, 319. 103
Ugarte, M. C. D. (2004).
Da revolução industrial à revolução da informação.
Technical report, IX Simpósio Internacional do Processo Civilizador. 20
UMIC (2010). Estatisticas - empresas. Technical report, UMIC. Disponı́vel em:
http://www.umic.pt/.
van Zolingen, S. J. and Klaassen, C. A. (2003). Selection processes in a delphi study
about key qualifications in senior secondary vocational education. Technological
Forecasting and Social Change, 70. 102
Vieira, T. and Castanho, M. (2008). Sociedade actual e revolução da informação:
ganhos e perdas. Technical report, Universidade Católica de Campinas. 7, 8, 9,
11, 12, 13, 15, 26
Whitson, G. (2003).
Computer security:
Theory, process and management.
Technical report, The University of Texas. 85
Wisetel (1998). A revolução da informação. Executive Digest. Disponı́vel em:
http://www.wisetel.com.br/espaco_de_futuros/revinfo.htm. 16, 20, 22
A
Ranking das ameaças
informáticas mais perigosas
dos últimos 20 anos
Ranking das piores ameaças informáticas
No âmbito do 20o aniversário da Panda Security, empresa desenvolvedora de sistemas
de segurança informática, os especialistas da PandaLabs elaboraram um ranking das
ameaças mais perigosas, tanto para utilizadores particulares como para empresas,
dos últimos 20 anos:
• Sexta feira 13 ou Jerusalém: Criado em Israel em 1988 e reportado pela
primeira vez em Jerusalem, supostamente comemorava o 40o aniversário de
Israel. Em todas as sexta-feiras que coincidiam com o dia 13, eliminava todos
os programas que se tentavam executar no computador infectado.
• Barrotes: O primeiro vı́rus de origem Espanhola a atingir grande notoriedade
surgiu em 1993. Após introduzir-se nos computadores, permanecia oculto até
à chegada do dia 5 de Janeiro, data em que se activava mostrando uma série
de barras no monitor, como se o sistema estivesse preso numa cadeia.
• Cascade ou Falling Letters: Criado na Alemanha em 1997. Sempre que
infectava um computador, as letras que eram mostradas no ecrã caı́am em
cascata.
219
220
APÊNDICE A. RANKING DAS PIORES AMEAÇAS INFORMÁTICAS
• CIH ou Chernobyl: Produzido em Taiwan em 1998, em comemoração do
desastre de Chernobyl, demorou apenas uma semana a propagar-se e a infectar
milhares de computadores. Eliminava não só ficheiros como danificava a BIOS.
• Melissa: Surgiu em 1999 nos EUA. Este código malicioso extremamente
inteligente utilizava técnicas de engenharia social para se propagar, com uma
mensagem que dizia: “Here is that document you asked for. Don’t show anyone
else ;-)”. Infectava ficheiros do Word e distribuia-se automaticamente pelos
primeiros 50 contactos definidos no Outlook dos computadores infectados.
• ILoveYou ou Loveletter: Tão famoso que nem precisa de apresentações.
Este vı́rus romântico teve origem nas Filipinas, no ano 2000. Chegando num
e-mail com o assunto “I love You”, infectou milhões de computadores em
todo o mundo, e até organizações como o Pentágono. As diversas variantes
dificultaram a vida aos laboratórios de detecção e análise de vı́rus.
• Klez: Criado em 2001 na Alemanha, infectava computadores no 13o dia dos
meses ı́mpares. Corrompia ficheiros com dados aleatórios, impossibilitando a
sua recuperação.
• Nimda: O nome é um anagrama da palavra “admin”invertida, por ser capaz
de criar recursos partilhados numa rede, possibilitando o acesso à mesma e à
criação de uma conta com privilégios de administração. Teve origem na China
a 18 de Setembro de 2001.
• SQLSlammer: Esta foi uma das principais dores de cabeça para as empresas.
Surgiu a 25 de Janeiro de 2003, e afectou mais de meio milhão de servidores
em apenas alguns dias. Gerava endereços IP aleatórios e distribuia-se através
destes.
• Sobig: Este vı́rus Alemão ficou famoso no Verão de 2003. A variante F foi a
mais destrutiva, gerando mais de um milhão de cópias. A Microsoft chegou a
oferecer 250.000 dólares de recompensa por informação sobre o seu criador. A
10 de Setembro desactivou-se permanentemente e deixou de representar uma
ameaça.
221
• Blaster: Este vı́rus, criado nos EUA a 11 de Agosto de 2003, continha uma
mensagem no seu código: “I just want to say LOVE YOU SAN!!”(ainda se
desconhece o significado da palavra “san”), e “Billy gates, why do you make
this possible? Stop making money and fix your software”. Mostrava uma
mensagem de sistema com contagem decrescente de 60 segundos até reiniciar o
computador, e lançava ataques de negação de serviços ao windowsupdate.com
em dias especı́ficos.
• Bagle: Esta ameaça surgiu a 18 de Janeiro de 2004, e foi um dos vı́rus mais
prolı́feros no que diz respeito ao número de variantes, causando inúmeras
infecções. Chegava através de um anexo em e-mails.
• Netsky: Este worm também é proveniente da Alemanha, em 2004, e explorava
vulnerabilidades no Internet Explorer. O seu criador foi também o responsável
pelo famoso vı́rus Sasser. Propagava-se por e-mail e por redes de partilha de
ficheiros.
• Conficker: O último da lista e o mais recente, surgiu em Novembro de 2008.
Atacava sistemas Windows e propagava-se por unidades USB. A Microsoft
chegou a oferecer também uma recompensa para identificar os seus criadores.
Estranhamente, se o seu teclado estiver configurado em Ucraniano, o Conficker
não o afecta...
B
Questionário para a
determinação do valor da
informação
Modelo de Delphi
O valor da informação na estrutura empresarial
Questionário - 2a Ronda
223
224
APÊNDICE B. QUESTIONÁRIO DE DETERMINAÇÃO DO VALOR DA INFORMAÇÃO
Introdução
É sobejamente conhecido o valor que a informação acarreta a qualquer organização,
em termos de produtividade e competitividade, assumindo um papel igualmente
preponderante nas tomadas de decisão, estratégias a seguir e polı́ticas da instituição.
O processo de medição desse valor e os seus benefı́cios para uma determinada
organização revela-se sempre problemático, não existindo qualquer tipo de método
standard e 100% eficaz para o efeito, pois os parâmetros a avaliar variam consoante
o tipo de instituição, e com a forma como cada uma organiza a sua informação.
Objectivos
Este inquérito tem como propósito implementar um método subjectivo, denominado
método de Delphi, que possibilitará o cálculo do valor da informação existente
no sistema de informação desta estrutura empresarial. O questionário é baseado em
parâmetros relevantes, associados à área de Segurança de Informação e ao próprio
ambiente empresarial. É utilizado, para essa finalidade, o modelo de Delphi, que
se apresenta como um método de prospecção e uma ferramenta de comunicação e
análise subjectiva.
Este método tem como técnica a procura de um consenso de opiniões por parte de
um painel de especialistas em determinada matéria ou assunto e justifica-se o seu
uso, no presente caso, devido à intangibilidade e subjectividade associada ao objecto
de estudo.
A contribuição dos envolvidos é realizada mediante a resposta a uma série de
questionários sobre o tema em causa, até se atingir consenso entre o painel, sem,
contudo, existir qualquer tipo de comunicação directa entre os diversos especialistas
participantes.
225
Definições
Segundo a norma ISO/IEC 27002/2007 - Código de prática para gestão de segurança
de Informação - define-se:
Segurança de Informação como a protecção da informação contra uma ampla
gama de ameaças, com o propósito de assegurar a continuidade da actividade de
negócio, minimizar prejuı́zos e maximizar o retorno de investimentos e oportunidades
comerciais, estando intimamente ligada à preservação de:
Confidencialidade como garantia de que a informação somente pode ser acedida
por pessoas explicitamente autorizadas. Logo, não deve acontecer a divulgação
intencional (ou não) de informações reservadas;
Integridade como a garantia da salvaguarda da exactidão e incorruptibilidade de
informações, isto é, a informação deve ser recebida no destino tal e qual como foi
enviada. Este requisito é a protecção da informação contra modificações por parte
de pessoas ou processos não autorizados;
Disponibilidade como a garantia de que utilizadores autorizados tenham acesso
a informações e recursos associados, quando necessário, ou seja, a informação deve
estar disponı́vel no momento em que a mesma for necessária;
Assume igualmente acrescida relevância para a Segurança de Informação a existência
de uma clara identificação dos proprietários da informação na organização, ou seja,
dos responsáveis pela sua criação, manutenção e destruição.
226
APÊNDICE B. QUESTIONÁRIO DE DETERMINAÇÃO DO VALOR DA INFORMAÇÃO
Instruções de preenchimento
Tal como na 1a Ronda de questionários, cada elemento do painel terá que avaliar
e classificar o impacto que a empresa sofre com a violação da Confidencialidade,
Integridade, Disponibilidade e Autenticidade/Responsabilidade, de cada
grupo genérico de informação (G1 ... G11).
Grupo
Elementos de informação
a) Informação Pessoal dos Colaboradores
G1
b) Informação administrativa dos colaboradores
c) Informação administrativa de saúde dos colaboradores
G2
Informação financeira dos colaboradores
G3
a) Informação de identificação de bens móveis e veı́culos
b) Informação de identificação de imóveis
a) Informação geral de fornecedores e instituições parceiras
G4
b) Informação sobre a carteira de clientes
c) Informação sobre registo de expedientes
G5
Informação financeira de fornecedores e instituições parceiras
G6
Dados de autenticação (controlos de acesso)
G7
Informação contida em e-mails
G8
Informação contida no site oficial da organização
G9
Informação sobre processos de certificação
a) Informação sobre as estratégias de negócio da empresa
G10
b) Informação sobre práticas de desenvolvimento
c) Informação sobre serviços actuais
G11
Informação financeira da instituição
Essa classificação deverá ser feita numa escala de 1 a 7:
Muito crı́tico
7
Sem qualquer gravidade
6
5
4
3
2
1
227
Contudo, nesta 2a ronda de questionários, para ajudar a melhorar o nı́vel de consenso
entre os elementos do painel, são fornecidas algumas indicações sobre as respostas
da primeira versão, como se pode ver na tabela:
Impacto
1
2
3
4
5
1a Ronda
6
7
Opção
Média
Anterior
Conf.
F
Padrão
5
6
0,5
7
6,75
0,5
4
5,75
1,29
2
2
0
2X
Int.
F
3X
Disp.
F
N/A
Aut./Resp.
F
Desvio
4X
• A resposta dada pelo elemento do painel na 1a Ronda do questionário;
• A média das respostas dadas pelos vários elementos do painel;
• O Desvio Padrão: medida de dispersão estatı́stica para medir a variação dos
valores à volta da média. O valor mı́nimo do desvio padrão é 0 indicando que
não há variação, isto é, que todos os valores são iguais à média.
• A Frequência (F) das respostas dadas em cada questão. 2X na linha F indica
que uma determinada resposta foi dada 2 vezes. O 3X indicaria, que a resposta
foi dada por 3 elementos, e o 4X que foi obtida de 4 elementos e assim
sucessivamente. A nomenclatura N/A, indica que todos os elementos do painel
deram uma resposta diferente ou que não existe nenhum consenso.
O especialista deverá assinalar a sua resposta com o sı́mbolo (X), independentemente
da sua resposta se manter igual ou não à dada na ronda anterior.
228
APÊNDICE B. QUESTIONÁRIO DE DETERMINAÇÃO DO VALOR DA INFORMAÇÃO
Questionário
Classifique o impacto da quebra de cada dimensão de segurança, relativamente ao
Grupo genérico 5 :
Impacto
1
2
3
4
5
1a Ronda
6
7
Opção
Média
Anterior
Conf.
F
F
7
6,75
0,5
6
6,25
0,5
6
5,75
0,5
6
5,80
1,25
5X
Disp.
4X
Aut./Resp.
F
Padrão
6X
Int.
F
Desvio
6X
Nota: Esta tabela foi apenas um exemplo, que se repete para todos os outros
grupos genéricos de informação. Por questões de confidencialidade dos dados, foram
omitidas as restantes tabelas.
Sugestões e comentários:
Os resultados finais do estudo ser-lhe-ão remetidos, via e-mail.
Todas as respostas que fornecer, no âmbito deste inquérito, serão revestidas de
carácter confidencial.
C
Questionário de determinação
da probabilidade de ameaças
Modelo de Delphi
Probabilidade de ocorrência de ameaças
Questionário - 2a Ronda
229
230
APÊNDICE C. QUESTIONÁRIO DE DETERMINAÇÃO DA PROBABILIDADE DE AMEAÇAS
Introdução
É sobejamente conhecido o valor que a informação acarreta a qualquer organização,
em termos de produtividade e competitividade, assumindo um papel igualmente
preponderante nas tomadas de decisão, estratégias a seguir e polı́ticas da instituição.
Porém essa informação, devido às vulnerabilidades existentes nas redes informáticas,
está sujeita a vários tipos de ameaças.
Tendo em conta que a função do computador ou de uma rede de computadores é
providenciar informação e que, em geral, existe um fluxo de informação de uma fonte
para um destino (alı́nea (a) da figura), de acordo com vários autores, as ameaças
associadas à manipulação da informação podem ser classificadas da seguinte forma:
• Interrupção: Um recurso do sistema é destruı́do ou torna-se indisponı́vel
(alı́nea (b) da figura). Esta é uma ameaça à disponibilidade da informação.
EXEMPLO: Ataque Negação de Serviço;
• Intercepção: Uma parte não autorizada ganha acesso a um recurso (alı́nea
(c) da figura). Esta é uma ameaça à confidencialidade da informação. A
parte não autorizada pode ser uma pessoa, um programa ou um computador.
EXEMPLO: PACKET SNIFFING.
• Modificação: Uma parte não autorizada não só ganha acesso como também
interfere com um recurso (alı́nea (d) da figura), tornando-se uma ameaça à
Integridade da informação. Exemplos incluem a alteração de valores num
ficheiro de dados, de um programa (de forma a que este funcione de maneira
diferente) e a modificação do conteúdo de mensagens transmitidas numa rede.
EXEMPLO: MAN-IN-THE-MIDDLE
• Fabricação/Produção: Uma parte não autorizada insere dados forjados no
sistema (alı́nea (e) da figura). Consiste numa ameaça à autenticidade da
informação Exemplos incluem a inserção de mensagens ou transacções espúrias
numa rede de comunicações ou a adição de registos numa base de dados.
EXEMPLO: IP SPOOFING.
231
Figura C.1 – Classificação das ameaças (Fonte: Estrela (1998))
No entanto, a probabilidade de ocorrência de cada tipo de ameaças varia de acordo
com a forma como a informação está a ser manipulada, isto é, é muito mais provável
que a informação seja interceptada por um cracker no momento em que esta está
a ser comunicada/transferida entre activos da rede ou da rede para o exterior, do
que quando esta está apenas a ser consultada ou armazenada. Logo, é importante
identificar os processos genéricos a que a informação está sujeita, ao longo do seu
ciclo de vida. Neste sentido, após uma análise cuidada, foi possı́vel estabelecer um
conjunto de processos envolvidos na manipulação da informação:
• Consultar - processo que permite, a quem de direito, aceder a um determinado
documento e conhecer o seu conteúdo;
• Criar - processo que permite que uma entidade origine uma informação;
• Editar - permite a uma certa entidade alterar o conteúdo da informação;
• Eliminar - permite a uma entidade eliminar parte ou a totalidade de um
documento;
• Comunicar - permite a transferência de documentos entre duas entidades;
• Armazenar - reúne todos os procedimentos inerentes à conservação e guarda
dos documentos num determinado local.
232
APÊNDICE C. QUESTIONÁRIO DE DETERMINAÇÃO DA PROBABILIDADE DE AMEAÇAS
Com o propósito de minimizar o tempo de cálculo envolvido no tratamento estatı́stico
dos dados obtidos dos questionários, os processos foram agrupados da seguinte
forma:
Grupo 1 - Criar/Editar/Eliminar
Grupo 2 - Consultar
Grupo 3 - Comunicar
Grupo 4 - Armazenar
Desta forma, as ameaças a um determinado grupo genérico de informação derivam
das ameaças associadas aos diversos processos, descritos acima, a que a informação
está sujeita durante a sua existência.
Objectivos
Este inquérito tem como objectivo implementar um método subjectivo, denominado
modelo de Delphi, que possibilitará o cálculo da probabilidade de ocorrência de
ameaças à informação existente na rede desta estrutura empresarial.
Este modelo tem como técnica a procura de um consenso de opiniões por parte de
um painel de especialistas em determinada matéria ou assunto e justifica-se o seu
uso, no presente caso, devido à intangibilidade e subjectividade associada ao objecto
de estudo.
A contribuição dos envolvidos é realizada mediante a resposta a uma série de
questionários sobre o tema em causa, até se atingir consenso entre o painel, sem,
contudo, existir qualquer tipo de comunicação directa entre os diversos especialistas
participantes.
O questionário é baseado em parâmetros relevantes, associados à área de Segurança
de Informação e ao próprio ambiente empresarial.
233
Instruções de preenchimento
Tal como na 1a Ronda de questionários, cada elemento do painel terá que avaliar
a probabilidade de ocorrência de ameaças (intercepção, interrupção, modificação,
fabricação/produção) a cada grupo genérico de informação considerado (G1 a G11),
tendo em conta os processos genéricos a que esta está sujeita (Grupo 1 a Grupo 4).
Grupo
Elementos de informação
a) Informação Pessoal dos Colaboradores
G1
b) Informação administrativa dos colaboradores
c) Informação administrativa de saúde dos colaboradores
G2
Informação financeira dos colaboradores
G3
a) Informação de identificação de bens móveis e veı́culos
b) Informação de identificação de imóveis
a) Informação geral de fornecedores e instituições parceiras
G4
b) Informação sobre a carteira de clientes
c) Informação sobre registo de expedientes
G5
Informação financeira de fornecedores e instituições parceiras
G6
Dados de autenticação (controlos de acesso)
G7
Informação contida em e-mails
G8
Informação contida no site oficial da organização
G9
Informação sobre processos de certificação
a) Informação sobre as estratégias de negócio da empresa
G10
b) Informação sobre práticas de desenvolvimento
c) Informação sobre serviços actuais
G11
Informação financeira da instituição
234
APÊNDICE C. QUESTIONÁRIO DE DETERMINAÇÃO DA PROBABILIDADE DE AMEAÇAS
Essa classificação deverá ser feita numa escala de 1 a 10, em que cada valor desta
escala bipolar corresponde a uma gama de percentagem, tal como é apresentado na
seguinte tabela:
Item da Escala
Intervalo
de
Percentagem
1
[0;10]
2
]10;20]
3
]20;30]
4
]30;40]
5
]40;50]
6
]50;60]
7
]60;70]
8
]70;80]
9
]80;90]
10
]90;100]
Contudo, nesta 2a ronda de questionários, para ajudar a melhorar o nı́vel de consenso
entre os elementos do painel, são fornecidas algumas indicações sobre as respostas
da primeira ronda:
• A resposta dada pelo elemento do painel na 1a Ronda do questionário;
• A média das respostas dadas pelos vários elementos do painel;
• O Desvio Padrão: medida de dispersão estatı́stica para medir a variação dos
valores à volta da média. O valor mı́nimo do desvio padrão é 0 indicando que
não há variação, isto é, que todos os valores são iguais à média.
• A Frequência (F) das respostas dadas em cada questão. 2X na linha F indica
que uma determinada resposta foi dada 2 vezes. O 3X indicaria, que a resposta
foi dada por 3 elementos, e o 4X que foi obtida de 4 elementos e assim
sucessivamente. A nomenclatura N/A, indica que todos os elementos do painel
deram uma resposta diferente ou que não existe nenhum consenso.
235
A tabela de avaliação será a seguinte:
Probabilidade
Gi
1
2
3
4
5
6
7
8
9
10
Opção
Média
Anterior
Desvio
Padrão
G1
F
G2
F
G3
F
G4
F
G5
F
G6
F
G7
F
G8
F
G9
F
G10
F
G11
F
O especialista deverá assinalar a sua resposta com o sı́mbolo (X), independentemente
da sua resposta se manter igual ou não à dada na ronda anterior.
236
APÊNDICE C. QUESTIONÁRIO DE DETERMINAÇÃO DA PROBABILIDADE DE AMEAÇAS
Questionário
O grupo de processos Criar/Editar/Eliminar, agrupa o conjunto de acções exercidas
sobre a informação, com o objectivo de registar, modificar ou eliminar o seu conteúdo.
Quando cada grupo genérico de informação é criado/editado/eliminado, qual é a
probabilidade de poder haver intercepção, de parte ou totalidade, do seu conteúdo?
Probabilidade
Gi
1
2
3
4
5
6
7
8
9
10
Opção
Anterior
G1
F
G2
F
G3
F
G4
F
G5
F
G6
F
G7
F
G8
F
G9
F
G10
F
G11
Média
Desvio
Padrão
237
Quando cada grupo genérico de informação, em análise, é criado/editado/eliminado,
qual é a probabilidade de poder haver modificação, de parte ou da totalidade, do
seu conteúdo?
Probabilidade
Gi
1
2
3
4
5
6
7
8
9
10
Opção
Anterior
G1
F
G2
F
G3
F
G4
F
G5
F
G6
F
G7
F
G8
F
G9
F
G10
F
G11
F
Média
Desvio
Padrão
238
APÊNDICE C. QUESTIONÁRIO DE DETERMINAÇÃO DA PROBABILIDADE DE AMEAÇAS
Quando cada grupo de informação está em via de ser criado/editado/eliminado, qual
é a probabilidade de o colaborador não o conseguir fazer devido à indisponibilidade
(interrupção) da plataforma de registo (base de dados por, exemplo)?
Probabilidade
Gi
1
2
3
4
5
6
7
8
9
10
Opção
Anterior
G1
F
G2
F
G3
F
G4
F
G5
F
G6
F
G7
F
G8
F
G9
F
G10
F
G11
F
Média
Desvio
Padrão
239
No momento em que cada grupo de informação é criado/editado/eliminado, qual é
a probabilidade de haver uma falsa identidade (por omissão ou usurpação) de quem
efectua o registo da informação (ataque à autenticidade)?
Probabilidade
Gi
1
2
3
4
5
6
7
8
9
10
Opção
Anterior
G1
F
G2
F
G3
F
G4
F
G5
F
G6
F
G7
F
G8
F
G9
F
G10
F
G11
F
Média
Desvio
Padrão
240
APÊNDICE C. QUESTIONÁRIO DE DETERMINAÇÃO DA PROBABILIDADE DE AMEAÇAS
Nota: As quatro tabelas apresentadas nas páginas anteriores são apenas um exemplo
da relação de probabilidade que resulta da associação das ameaças com cada grupo
de informação, associados, por sua vez, ao grupo 1 de processos genéricos. O
questionário e o modelo de pergunta repetem-se para os restantes grupos de processos
genéricos.
Sugestões e comentários:
Os resultados finais do estudo ser-lhe-ão remetidos, via e-mail.
Todas as respostas que fornecer, no âmbito deste inquérito, serão revestidas de
carácter confidencial.
Sobre o Autor
Pedro Edgar Bessa Rodrigues iniciou a sua incursão na área
tecnológica ainda no ensino secundário, onde frequentou o curso
cientifico-tecnológico de Electrónica/Electrotécnica, obtendo o
grau de técnico electrotécnico de 2o grau.
Já no ensino superior obteve o grau de Licenciado em
Engenharia Electrotécnica e de Computadores (LEEC) na
Universidade de Trás-os-Montes e Alto Douro (UTAD), em
2008, destacando-se em várias áreas.
Actualmente, encontra-se a terminar o
Mestrado em Engenharia Electrotécnica e de Computadores (MEEC), na área
da Segurança Informática, acumulando paralelamente o cargo de Consultor de
Tecnologias de Informação, como colaborador da Versão Integral,Lda, integrando
o grupo de Redes Inteligentes (Intelligence Network) da plataforma NGIN da
PTinovação, em Aveiro.
241