Supervisor: J. Magalhães Cruz
Monitor: Diogo Alves Castro
Coordenação MIEIC/MIEIG: Nuno Flores e Miguel Gomes
Outubro de 2012
Segurança informática pessoal na FEUP
Como é usada pelos funcionários?
Trabalho elaborado por:
Andreia Filipa Maia Costa
Gustavo Teixeira Nunes da Silva
Luís Miguel Gonçalves
Maria Beatriz Veiga de Macedo Magalhães Gonçalves
Maria Manuel Pires Afonso dos Santos
Mariana Moreira Fernandes Branco
Rui Costa Cunha
Rui Miguel da Silva Gomes
Outubro de 2012
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Segurança Informática
Resumo
A segurança informática visa assegurar a integridade de um conjunto de
dados que se encontra armazenado num determinado sistema. Na Faculdade
de Engenharia da Universidade do Porto, a manutenção deste sistema
encontra-se à responsabilidade do CICA (Centro de Informática Prof. Correia
de Araújo), que disponibiliza variados serviços de proteção para garantir a
segurança do indivíduo e do sistema informático da faculdade. Ao longo deste
projeto, procurou-se investigar quais as principais ameaças que um
computador enfrenta, as vantagens e desvantagens que os serviços de
proteção acarretam e o grau de sensibilização dos diferentes tipos de
funcionários perante esta problemática.
Secção I
Segurança Informática
Agradecimentos
No decorrer do processo de elaboração deste trabalho de grupo,
pudemos contar com a ajuda de diversas pessoas às quais pretendemos,
naturalmente, agradecer, e sem as quais não poderíamos ter realizado o
presente relatório.
Sendo assim, gostaríamos de mostrar a nossa gratidão para com o
nosso monitor e com o nosso professor supervisor, que nos ajudaram, ao longo
das últimas semanas, com o desenrolar de todo este processo e se revelaram,
desde o início e até ao culminar desta atividade, entidades nas quais pudemos
confiar com o papel de guias e orientadores durante a elaboração do trabalho.
Por último, não poderíamos deixar de mencionar, também, os
funcionários inquiridos, que, abordados por elementos do grupo com vista à
recolha de informação fundamental à realização do trabalho, se prestaram a
responder às questões que lhes foram colocadas no âmbito da segurança
informática pessoal.
Secção II
Segurança Informática
Índice de figuras e gráficos
Figura 1 – Tipo de cuidados tidos durante o uso de sistemas informáticos ..... 16
Gráfico 1 – Percentagem da utilização dos serviços informáticos
disponibilizados pelo CICA ............................................................................... 15
Gráfico 2 – Relação entre o grau académico e o número de cuidados na
utilização do computador ................................................................................. 16
Secção III
Segurança Informática
Índice
Resumo ......................................................................................................................... I
Agradecimentos ............................................................................................................ II
Índice de figuras e gráficos .......................................................................................... III
Introdução..................................................................................................................... 1
Contextualização ................................................................................................ 1
Objetivos ............................................................................................................ 1
Segurança informática – O que é?................................................................................ 2
Controlo de acesso ....................................................................................................... 4
Logins e palavras-passe .................................................................................... 4
Login e logout..................................................................................................... 4
Palavra-passe .................................................................................................... 5
Como escolher uma boa palavra-passe?........................................................ 5
Recuperação do acesso à conta..................................................................... 5
Teste de robustez da FEUP ............................................................................ 6
Sistemas de segurança (tentativas e CAPTCHAs) ............................................. 7
VPN ................................................................................................................... 8
O que é?......................................................................................................... 8
Vantagens ...................................................................................................... 8
Como funciona? ............................................................................................. 8
Sistema de chaves públicas: PGP...................................................................... 8
Cookies .............................................................................................................. 9
Definição ........................................................................................................ 9
Session storage – Uma alternativa aos cookies............................................ 10
Riscos e falhas ........................................................................................................... 11
Proteção anti-spam .......................................................................................... 11
Proteção antivírus/anti-spyware ....................................................................... 12
Auditor de segurança CICA .............................................................................. 13
CSIRT.FEUP .................................................................................................... 14
Análise dos resultados obtidos no inquérito aos funcionários ..................................... 15
Qual a influência da segurança informática na vida pessoal e vice-versa? ...... 18
Conclusão................................................................................................................... 19
Bibliografia .................................................................................................................. 20
Anexos ....................................................................................................................... 23
Anexo I ............................................................................................................. 23
Secção IV
Segurança Informática
Introdução
 Contextualização
No âmbito da unidade curricular “Projeto FEUP”, foi proposta aos
estudantes do Mestrado Integrado em Engenharia Industrial e Gestão e do
Mestrado Integrado em Engenharia Informática e Computação da Faculdade
de Engenharia da Universidade do Porto (FEUP) a realização de um trabalho
sobre Segurança Informática, de forma a desenvolver a capacidade de
pesquisa, seleção e apresentação de dados, também conhecidas como as soft
skills, essenciais para qualquer engenheiro.
A unidade curricular tem também como objetivo a integração e formação
dos recém-estudantes na FEUP e, visando cumprir esse objetivo, o grupo GI18
realizou um trabalho sobre “Segurança Informática”, com um especial foco para
os funcionários da instituição.
 Objetivos
De modo a explorar a totalidade do tema, cobrindo todos os pontoschave essenciais para a total compreensão do que realmente é a segurança
informática e de que forma está a população em estudo sensibilizada para o
assunto, foram definidos diversos objetivos:

Descrever as técnicas mais comuns de proteção informática pessoal e
ferramentas de apoio disponíveis;

Demonstrar a utilização e as limitações das ferramentas disponibilizadas
pelo CICA;

Averiguar a sensibilização dos funcionários da FEUP para o problema
da segurança informática pessoal e a utilização que fazem das
ferramentas de apoio.
Página 1
Segurança Informática
Segurança informática – O que é?
Segurança informática é compreendida como sendo todo o tipo de
medidas de prevenção utilizadas de modo a proteger os dados pessoais de um
dado indivíduo, privando-os consoante a sua vontade do conhecimento por
parte de terceiros. É possível distinguir a importância e os riscos envolvidos na
segurança informática recriada pelo utilizador daquela fornecida pelo sistema
mas deve sempre salvaguardar toda a informação de um dado corpo
informático assente em três princípios: confidencialidade, integridade e
disponibilidade.
O primeiro consiste na habilidade de dispor ao público geral apenas a
informação que o usuário permite, impedindo o acesso indevido a conteúdos
considerados privados pelo utilizador. Deste modo, apesar de toda a
informação publicada pelo indivíduo se encontrar disponível na Internet, é
assegurada a sua privacidade consoante a sua vontade. Assim, é da
responsabilidade das autoridades competentes assegurar este critério de forma
ética e segura.
Seguidamente, a integridade surge na medida de assegurar o utilizador
desde o momento de inscrição num dado sistema, assegurando-lhe a
capacidade de manter conhecimento constante acerca do que possui publicado
na estrutura digital e a possibilidade que lhe é especificamente atribuída de
alterar as credenciais que fornece. Deverá ter ainda a possibilidade de cancelar
qualquer compromisso para com as entidades regentes, resultando por
exemplo na anulação do serviço e na posterior remoção da informação pessoal
que dispôs.
Por último, temos a disponibilidade, que consiste na obrigação por parte
do corpo dirigente em cumprir sem qualquer tipo de falhas todas as condições
que promete aquando do ato de inscrição, de modo a que quem se
compromete à utilização dos dados serviços não se depare com impedimentos
que não permitam o usufruto do sistema em questão. Apenas a existência
uníssona de todas estas vertentes empresariais e técnicas pode assegurar
sucesso em qualquer projeto de cariz informático.
Página 2
Segurança Informática
Consequentemente, é de fácil compreensão a importância díspar que
assumem a segurança informática quer dos estudantes, quer dos funcionários
da Faculdade de Engenharia da Universidade do Porto (FEUP). Qualquer falha
cometida pelas autoridades competentes é passível de abarcar muito mais
dano a todo o sistema informático, ao passo que os efeitos que possam advir
de embaraço específico (nomeadamente, acesso indevido a informação
pessoal alheia) centram na pior das situações um enredo consequencial em
torno deste mesmo conteúdo, não ameaçando todo o corpo universitário como
um só. As ferramentas de segurança informática da FEUP surgem
precisamente com o objetivo de conservar a integridade documental propícia
ao bom funcionamento das unidades curriculares, baseando esta prevenção
numa proteção geral e idêntica das bases de dados académicos da
Universidade do Porto (UP) como um todo, com a concomitante aplicação de
um sistema meticuloso a cada aluno. Fundamentalmente, são evitadas
situações de potencial perigo com base num plano parte todo e todo parte, do
aluno para a UP e vice-versa. Como a informação pessoal é protegida de um
modo geral no corpo estudantil e igual para todas as entidades a este
pertencentes (à exceção das especificações sujeitas à escolha do individuo), a
descoberta de qualquer lapso cifrado e posterior aproveitamento do defeito
poderia resultar na repercussão do ato com a potencial difusão por toda a UP.
Página 3
Segurança Informática
Controlo de acesso
A FEUP, enquanto instituição educacional, zela pela preservação da
qualidade e segurança durante as trocas de informação e, para isso,
disponibiliza diversos recursos informáticos. Porém, este acesso é restrito e
controlado através do auxílio de diferentes métodos.
Qualquer utilizador de um sistema, quer físico, quer tecnológico, pode
interagir com os recursos que lhe são fornecidos, desde que haja um modo de
identificação pessoal. Este processo de autenticação concretiza-se através de
algo que o utilizador tenha conhecimento (p. ex., PIN de um cartão de crédito,
palavra-passe da conta de e-mail), algo que possua (p. ex., cartão de cidadão,
passe de transportes públicos), ou algo que seja, isto é, através das suas
características físicas e/ou biológicas (p. ex., todos os sistemas biométricos,
tais como a comparação de impressões digitais ou a leitura de retina ótica).
Existem também modelos de controlo de acesso a conteúdos que são
baseados nas qualidades atribuídas a cada utilizador, como, por exemplo, a
restrição de idade em sites com conteúdos considerados para adultos ou a
hierarquia estatutária presente em cada sistema. Este último tem um papel
determinante na organização de qualquer sistema informático. A FEUP não é
exceção — os utilizadores não podem instalar aplicações nas suas sessões
pessoais a não ser com a permissão de um administrador, isto é, um utilizador
de poder superior. O mesmo acontece no acesso a páginas privadas
personalizadas consoante o estatuto do utilizador dentro da FEUP: aluno,
docente (professor), funcionário ou colaborador.
Logins e palavras-passe
Ao criar uma conta nos sistemas da FEUP, são requisitadas duas fontes
de informação para que a autenticação seja completada: o login — informação
não confidencial, que identifica o utilizador — e a palavra-passe: informação
confidencial, que, ao ser associada com os dados do login, permite o acesso a
um sistema.
 Login e logout
Como já foi referenciado, a autenticação só se processa quando o login
e a palavra-passe são compatíveis. Quando se deseja terminar uma sessão, o
logout pode efetuar-se de duas formas: automaticamente — desligando o
computador, fechando a página do navegador web — ou manualmente, através
de um comando pessoal, sendo este método o mais seguro, pois é possível
certificar-se de que nenhum erro ocorreu durante o processo de encerramento
da sessão.
Página 4
Segurança Informática
 Palavra-passe

Como escolher uma boa palavra-passe?
A escolha de uma boa palavra-passe é essencial na garantia do não
comprometimento da segurança informática do utilizador. Se alguém tiver
acesso à senha de um determinado utilizador, poderá ler e enviar e-mails em
seu nome, aceder a informações confidenciais guardadas no seu computador
ou fazer-se passar por ele para realizar ataques a outros computadores.
De forma a evitar estas situações, deve tomar-se especial atenção no
momento da escolha da palavra-passe, fazendo com que esta cumpra
determinados parâmetros:




Apresentar um mínimo de 8 carateres (no caso da FEUP) e, de
preferência, que sejam muito variados: letras (maiúsculas e minúsculas)
e números. É de salientar a importância da variedade do tipo de
carateres, em detrimento da sua quantidade;
Não conter palavras presentes em dicionários, uma vez que existem
programas que recorrem a dicionários para decifrarem as senhas dos
utilizadores;
Não conter dados pessoais que possam ser facilmente obtidos (p. ex.,
nome, data de nascimento);
Ser facilmente memorizável.
Para construir uma senha segura e, ao mesmo tempo, simples, pode
recorrer-se ao seguinte método: a partir de uma frase conhecida pelo utilizador,
selecionar apenas a primeira letra de cada palavra constituinte da frase para
formar a palavra-passe. Deve-se, para um incremento da segurança, adicionar
símbolos, no início e/ou fim da palavra-passe, e trocar letras por dígitos. Por
exemplo, com a frase “Gato escaldado de água fria tem medo”, é possível criar
a seguinte palavra-passe: “G3daftM”.

Recuperação do acesso à conta
Se, por algum motivo, um utilizador perde ou esquece a sua palavrapasse, existem diversas vias a que pode recorrer para voltar a obter acesso à
sua conta:

SMS: este serviço é oferecido pela FEUP e destina-se aos utilizadores
que possuam o seu telemóvel pessoal ativo e associado à sua conta no
SIGARRA. Através do serviço de recuperação por SMS, é possível
configurar uma nova palavra-passe a partir de um código de
confirmação que é enviado para o telemóvel do utilizador. Para se poder
utilizar este serviço é necessário, primeiro que tudo, ativá-lo através da
opção “Adesão ao Serviço de Recuperação da Palavra-Passe”, presente
Página 5
Segurança Informática


no menu “Opções” existente na conta pessoal do indivíduo no
SIGARRA;
E-mail: No ecrã de login dos sites existe, geralmente, uma opção
equivalente a “Esqueci-me da palavra-passe”. Após esta opção ser
selecionada, pode ser pedida uma de duas informações: o nome de
utilizador associado à conta ou o endereço de correio eletrónico
associado ao registo. Fornecendo essa informação, é enviada para o email uma mensagem com uma ligação que nos redireciona para uma
página onde podemos definir uma nova palavra-passe;
Resposta a pergunta de segurança: no processo de registo em alguns
serviços (p. ex., Gmail, Hotmail) é pedido que respondamos a uma
pergunta de segurança. Esta refere-se, geralmente, a informações
pessoais do utilizador das quais poucas pessoas têm conhecimento
como, por exemplo, o nome do primeiro animal de estimação ou do
melhor amigo de infância.

Teste de robustez da FEUP
De modo a assegurar a segurança do utilizador, o CICA proporciona
uma interface web, disponível na página do CICA, que testa se a palavra-passe
pretendida é de facto robusta, indo assim de acordo com as boas políticas de
segurança na escolha de uma palavra-passe. A palavra-passe é testada em
tempo real, sendo avaliada segundo a seguinte escala: “Muito Fraca”, “Fraca”,
“Aceitável”, “Boa” e “Muito Boa”.
A quantidade de carateres máxima da palavra-passe é de 40, estando
disponíveis todas as letras do alfabeto português, atentando à diferença entre
letras maiúsculas e minúsculas e ainda algarismos. As classificações atribuídas
baseiam-se em parâmetros como o comprimento da palavra-passe e/ou a sua
vulgaridade, com a simultânea apreciação da variedade de carateres
específicos.
O CICA promove, deste modo, a qualidade e sensibilização relativa à
escolha das palavras-passe utilizadas em todo o sistema informático da FEUP,
protegendo assim toda a rede de utilizadores que usufruem dos serviços,
inclusive os funcionários da universidade e toda a informação a que estes têm
acesso e sobre a que assumem responsabilidade.
Página 6
Segurança Informática
 Sistemas de segurança (tentativas e CAPTCHAs)
Numa tentativa de melhorar a segurança informática de alguns sistemas,
foram desenvolvidos os CAPTCHAs, acrónimo para Completely Automated
Public Turing test to tell Computers and Humans Apart (teste de Turing1 público
completamente automatizado para distinguir computadores de humanos). Já
discutidos e testados desde 1996, um CAPTCHA é um teste dirigido ao
utilizador que se irá assegurar de que este se trata realmente de um humano e
não de uma máquina.
Os CAPTCHAs podem assumir várias formas, desde o reconhecimento
de texto, o mais recorrente, até sistemas que envolvem questões lógicas ou
mesmo identificação de amigos, solução adotada pelo Facebook, e que não
são resolúveis por máquinas.
Com o uso destes simples utilitários, o sistema consegue, ao obrigar o
utilizador a preencher um CAPTCHA após algumas tentativas falhadas de
acesso, evitar ataques de força bruta a contas individuais por parte de
máquinas, que são bastante comuns no mundo dos sistemas digitais,
assegurando-se, assim, de que quem faz o acesso é, na verdade, um humano.
Isto revela-se uma mais-valia para o utilizador, que sabe que a sua palavrapasse permanece mais segura.
Em termos de acessibilidade e fiabilidade, a evolução na tecnologia dos
CAPTCHAs é notória. Desde sistemas complexos de identificação de “amigos”,
que travam de imediato e de forma eficaz a tentativa de acesso por terceiros à
conta do Facebook, até sistemas como o ASIRRA, que requer a identificação
de todas as fotografias que contenham gatos ou cães.
Dada a evolução da tecnologia, e apesar de estarem implementados em
milhões de sítios em toda a web, os CAPTCHAs não são totalmente fiáveis.
Existem maneiras de contornar este tipo de testes, recorrendo a técnicas tais
como OCR (Optical Character Recognition) — reconhecimento ótico de
carateres. Desta forma, e voltando a frisar o assunto, é extremamente
importante a utilização de palavras-passe seguras que necessitem de
bastantes tentativas até serem quebradas por força bruta.
Um “teste de Turing” trata-se de um conjunto de “questões” feitas a um computador que têm
por objetivo avaliar a qualidade de um sistema de inteligência artificial. Um sistema ideal
produz respostas indistinguíveis daquelas que seriam dadas, na mesma situação, por um
humano.
1
Página 7
Segurança Informática
 VPN

O que é?
“Virtual Private Network”, ou rede privada virtual, é uma tecnologia que
tem como principal objetivo facilitar a comunicação e partilha de informação
entre diversos utilizadores, privilegiando a segurança através da criação de
uma espécie de “túnel de informação impenetrável”. Com esta tecnologia,
torna-se possível a criação de redes de comunicações privadas, como as que
existem na Faculdade de Engenharia da Universidade do Porto — “eduroam”,
“feup.conferencias” e “guest-eduroam”, assentes numa rede de comunicações
pública (como a Internet). Esta rede privada é, portanto, de acesso restrito,
sendo apenas acedida através de um login e palavra-passe normalmente
fornecidos pela instituição/empresa.

Vantagens
“O serviço VPN (Virtual Private Network) permite ter acesso a vários
serviços da FEUPnet através de qualquer computador com ligação à Internet
via um ISP.” (CICA 2012)
Uma das principais vantagens destas redes é a possibilidade de aceder
remotamente
a
determinados
serviços
disponibilizados
pelas
empresas/instituições respetivas (desde que se possua ligação à Internet
através
de
um
fornecedor
de
serviços
de
Internet).
A FEUP disponibiliza, através da VPN, a utilização do serviço de impressão
com o qual se pode, a partir de qualquer computador com ligação à Internet,
associar à conta do respetivo utilizador determinados ficheiros e imprimi-los na
faculdade.

Como funciona?
Quando ocorre uma transferência de dados através da VPN existem
protocolos, como IPsec e PPTP (utilizados na FEUP), que fazem o
encapsulamento dos dados em transferência e a sua desencriptação,
transferindo por fim os dados até ao destino da rede local. Desta forma, é
garantida a integridade, autenticidade e criptografia dos dados ao longo da sua
transferência e a segurança da rede já que, se alguém tentar intercetar os
dados encriptados, não os consegue decifrar.
 Sistema de chaves públicas: PGP
O PGP (Pretty Good Privacy) é um programa de encriptação de
mensagens que usa o sistema de criptografia de chave pública. Este sistema
assegura a transmissão de documentação em suporte digital sem interferência
de terceiros e garante a autenticidade dos ficheiros recebidos e do respetivo
autor. Tudo isto só é possível através do serviço de chaves públicas.
Página 8
Segurança Informática
Qualquer aluno ou docente da FEUP tem acesso a um repositório de
chaves públicas, desde que detenha um endereço de correio eletrónico válido e
uma aplicação PGP no seu computador, como o gnuPG e o gnuPG4win
(aplicações para instalação aconselhadas pelo site do CICA). Após a
configuração do programa no computador, o utilizador escolhe o servidor de
chaves públicas a que quer aceder (no caso da FEUP: keysrv.fe.up.pt).
Cada pessoa que utilize uma aplicação PGP tem direito a um par de
chaves individual: uma pública e uma privada. Tal como o seu nome indica, as
chaves públicas são de domínio geral, sendo que todos os inscritos num
determinado servidor têm a capacidade de as conferir. Já a chave privada é
secreta, pois apenas o próprio utilizador tem acesso a ela. A partir daqui, o
processo de troca de ficheiros pode ser efetuado. Para facilitar a compreensão
do processo, usemos um exemplo prático: um estudante pretende enviar um
trabalho para um professor utilizando este serviço. O aluno utiliza a sua chave
privada para assinar o documento digitalmente e, com a chave pública do
docente, encripta-o, evitando o risco de fuga de informação ou falsificação
durante o envio. Depois, o professor, conhecendo a chave pública do aluno,
consegue certificar-se de que o ficheiro recebido é do remetente inicial e,
através da sua chave privada, desencripta o documento, recebendo-o na sua
integridade.
 Cookies

Definição
Um cookie é um conjunto de dados que é enviado pelos servidores dos
sites para os navegadores, ficando armazenados no computador do utilizador.
Os cookies têm como objetivo essencial memorizar informações das
preferências do utilizador numa dada página de Internet, como dados de login e
palavras-chave, sendo recuperadas e utilizadas em sessões posteriores. No
entanto, é de realçar que este armazenamento só se realiza enquanto o
navegador web estiver configurado para tal.
Os cookies são vantajosos quando se trabalha num computador
pessoal, uma vez que tornam a navegação pela Internet mais rápida e fácil,
não existindo a necessidade de estar constantemente a inserir credenciais e
repetir informação. Para além de poder armazenar informações confidenciais,
como dados de login e palavras-passe, permitiu também a personalização de
páginas consoante as preferências do utilizador como, por exemplo, o bloqueio
de conteúdos, os resultados de pesquisa e organização da página.
Os cookies facilitaram, por exemplo, o aparecimento do sistema de
compras online, a partir do qual são armazenados, sob a forma de cookies, os
produtos que adicionamos ao “carrinho de compras”.
Página 9
Segurança Informática
Nenhuma informação confidencial pode ser retirada dos cookies, a não
ser que esta seja pedida pela página web relativa aos dados armazenados.
Contudo, há dados, como a localização geográfica do utilizador ou pesquisas
recentes, que podem ser utilizados para personalizar os anúncios publicitários
que são apresentados durante a navegação. Esta possibilidade leva os
utilizadores mais desatentos a serem enganados, pois as ligações
apresentadas nos anúncios vão de encontro aos seus gostos e preferências.
Uma forma de combater este problema passa por configurar o navegador de
forma a que, no fim de cada sessão, este elimine os cookies armazenados e
bloqueie cookies e dados de sites de terceiros.
Outra desvantagem do uso de cookies centra-se no facto de estes
poderem ser consultados por um utilizador mal-intencionado, uma vez que são
de fácil acesso (basta consultá-las no navegador que as contém). Para além
disso, já que os dados armazenados ocupam espaço em disco, a lentidão
durante a execução dos programas no computador será maior.
Para os funcionários da FEUP, nomeadamente os professores, o mais
seguro será impedir o armazenamento destas informações, uma vez que se
alguém obtiver acesso, de alguma forma, ao seu computador, não conseguirá
aceder a nenhum sistema informático da FEUP utilizando as suas credenciais.
O mesmo se passa, mas com especial atenção, em computadores públicos.

Session storage – Uma alternativa aos cookies
O HTML5 (linguagem utilizada para a estruturação e apresentação de
conteúdo para a World Wide Web) introduziu uma alternativa aos cookies: a
session storage. Esta representa uma alternativa bastante viável uma vez que
através da sua aplicação, os dados ficam armazenados apenas durante uma
“sessão”, isto é, as informações fornecidas pelo utilizador ficam disponíveis
apenas num determinado separador/janela do navegador. Numa mesma
janela, mesmo que o utilizador navegue por vários sites, caso regresse aos
mesmos mais tarde ainda terá disponíveis as informações fornecidas. Uma vez
fechados os separadores/janelas, as informações são perdidas, não havendo o
risco de serem roubadas.
Página 10
Segurança Informática
Riscos e falhas
Todos os sistemas informáticos estão suscetíveis a diversas falhas e
riscos. No entanto, o maior ponto fraco do sistema é o próprio utilizador, que
deve estar informado de forma a evitar vulnerabilidades no sistema. Estas
falhas do utilizador podem resultar em casos de perda de documentação
pessoal ou usurpação de identidade. A prevenção e educação de todos os
funcionários da FEUP é essencial para prevenir tais circunstâncias.
São cada vez mais comuns os ataques a utilizadores de sistemas
através de esquemas de phishing — tentativas de adquirir informação
privilegiada —, os quais, num sistema como o da FEUP, poderiam ser fatais,
devido à obtenção de acesso a dados confidenciais que pudessem ser
explorados. Ao utilizar o sistema da FEUP em computadores pessoais, os
funcionários devem verificar todas as condições de segurança, tais como a
existência de uma solução antivírus atualizada, de forma a evitar a instalação
de software malicioso, tal como spyware, cuja função é recolher dados que de
outro modo estariam armazenados de forma segura.
Tal como foi referido, apesar do controlo do próprio CICA, cabe também
aos utilizadores a responsabilidade de proteger não só a sua informação, mas
também a de todo o sistema informático disponibilizado aos funcionários, até
porque o utilizador é, de facto, o ponto mais fraco de qualquer sistema de
informação.
 Proteção anti-spam
Spam é o termo utilizado para todo o tipo de correio eletrónico que é
recebido em montantes excessivos, normalmente possuindo conteúdo
desnecessário e potencialmente perigoso, com vários objetivos, desde fins
publicitários, menos danosos, até aos casos mais graves de e-mails que
tentam conduzir o indivíduo numa técnica de phishing (fraude virtual), de modo
a obter credenciais de acesso a contas pessoais de importância elevada,
podendo ainda conter em anexo conteúdo malicioso capaz de interromper o
processamento de dados do computador, apagar conteúdo privado ou
possivelmente transferi-los para servidores dedicados de origem desconhecida
por parte da vítima. A proteção anti-spam consiste na deteção destes
remetentes pouco fiáveis, ou com historial conhecido de envio de mensagens
perigosas, e na posterior eliminação ou reencaminhamento destes e-mails para
um local específico (convencionalmente designado por “pasta de spam”), ao
qual o utilizador possui o devido acesso para corrigir casos de filtragem
indevida, dada a simplicidade do sistema de bloqueio, através da qual é natural
a ocorrência de falhas pontuais tais como o bloqueio indesejado de conteúdo
inofensivo.
Página 11
Segurança Informática
O sistema de proteção anti-spam da FEUP é semelhante a muitos
outros, justificando-se a existência da cooperação internacional entre várias
empresas e instituições no combate ao spam com base no facto de que este
sistema precisa de ser constantemente atualizado, dadas as variantes
obscuras que podem adotar novas alternativas de evasão à proteção contra
spam e visto todas estas poderem ser impedidas com o conhecimento prévio
da fonte maligna de correio eletrónico. O utilizador da FEUP tem acesso às
seguintes opções personalizáveis na sua conta de webmail:

Mover automaticamente as mensagens consideradas suspeitas para a
pasta de spam;

Eliminar as mensagens de spam aquando da sua receção;

Eliminar apenas as mensagens de remetentes considerados pelo
utilizador como fontes de spam.
De modo a evitar a sua proliferação, existe um barramento que impede
eventuais tentativas de reencaminhamento de um e-mail etiquetado como
spam. É, assim, possível assegurar a integridade da correspondência
eletrónica na FEUP.
 Proteção antivírus/anti-spyware
Na medida de prevenção contra material maligno e digitalmente infecioso, o
CICA oferece aos estudantes, técnicos e docentes da FEUP proteção contra
malware através da instalação gratuita do “ESET Endpoint Antivirus”.
Por malware define-se todo o conteúdo malicioso que impede o computador
de funcionar corretamente, atrasando os seus processos ou mesmo
inutilizando total ou parcialmente parte dos recursos que possui. Destacam-se,
deste modo, dois tipos de malware: os vírus e o spyware. Os primeiros, mais
amplamente discutidos, caracterizam-se por incapacitarem o computador,
geralmente num processo específico, podendo também corromper a base de
dados pessoal através da eliminação ou a substituição de ficheiros específicos.
Do spyware podem advir consequências mais graves, visto que normalmente
consiste numa falha através da qual o utilizador é ligado a outro dispositivo
e/ou base de dados dedicada através da Internet, permitindo a transferência
e/ou o acesso a conteúdo importante ou mesmo o controlo sobre a máquina do
mesmo por parte de outrem (feito de um modo ativo ou passivo, consoante a
presença do autor do ataque).
O antivírus disponibilizado pela FEUP possui uma licença especial de
educação. Esta versão está preparada para instalação em diversos sistemas
operativos e possui a opção de instalação apenas do antivírus e do antispyware, ou seja, o “ESET Endpoint Antivirus”, ao passo que o “ESET Endpoint
Página 12
Segurança Informática
Security” possui simultaneamente a opção
incrementar/substituir a defesa firewall nativa.
de
bloquear
spam
e
 Auditor de segurança CICA
O auditor de segurança do CICA é uma ferramenta disponibilizada aos
utilizadores da FEUP que lhes proporciona uma rápida e eficaz maneira de
verificar a possível existência nos seus equipamentos de falhas de segurança
que os poderiam vir a comprometer caso estas viessem a ser exploradas por
agentes mal-intencionados na Internet.
Após o acesso à página do auditor, o utilizador introduz as suas
credenciais de acesso aos serviços do SIGARRA e escolhe de entre dois níveis
de auditoria:

Mínimo: teste básico e rápido, desenvolvido com o intuito de pesquisar a
existência das falhas mais comuns conhecidas;

Máximo: teste mais completo (logo, um pouco mais demorado), utilizado
para verificar todos os tipos de brechas de segurança conhecidas, sejam
elas pouco ou muito frequentemente exploradas.
De seguida, o tipo de auditoria escolhido é executado. Assim que este
estiver concluído, os resultados são encaminhados diretamente para a caixa de
entrada de correio eletrónico do utilizador. Para cada problema que seja
apontado, é também exibida informação pormenorizada relativa à forma como
este pode ser corrigido.
Página 13
Segurança Informática
 CSIRT.FEUP
O CSIRT (do inglês Computer Security Incident Response Team —
Equipa de Resposta a Incidentes de Segurança Informática) da FEUP é uma
equipa que, tal como o seu nome indica, está encarregada de divulgar toda a
informação considerada pertinente e relevante após a ocorrência de qualquer
tipo de incidente detetado nos sistemas de proteção informática utilizados pela
faculdade. É aconselhado que os utilizadores vão prestando alguma atenção à
respetiva página, de modo a se permanecerem sempre ao corrente de novas
vulnerabilidades que os possam prejudicar.
Existem diferentes secções do CSIRT que importam mencionar:





A página inicial mostra as informações mais atualizadas
divulgadas tanto pela própria FEUP, como também pelo USCERT, uma instituição semelhante ao CSIRT administrada pelo
governo norte-americano. É possível, ainda, responder a um
inquérito no âmbito da segurança para dar a conhecer os hábitos
dos utilizadores;
Na “Listagem de falhas”, podem ser simplesmente consultadas
todas as falhas alguma vez registadas pela equipa responsável
pelo CSIRT;
Sob “Estatísticas”, são apresentados dois gráficos: o primeiro diz
respeito à quantidade de alertas acionados durante o corrente
mês; o segundo, por sua vez, cataloga todos os alertas de um
dado ano, distribuídos por “canal”, isto é, a plataforma (p. ex.,
Windows, Unix) afetada pela dada falha relatada;
Em “Outros CERTs” e “Links úteis”, o utilizador pode consultar
outras páginas consideradas relevantes no campo da proteção
informática, por exemplo, sítios web de outras equipas
internacionais equiparadas ao CSIRT;
Por fim, através da opção “Contacte-nos”, é possível enviar uma
mensagem de correio eletrónico à equipa responsável pelo portal.
No caso de se possuir acesso, existe a opção de fazer login e aceder à
área privada de cada um, através de qual existe a opção de se proceder a
auditorias remotas, ver alertas de falhas detetadas nos equipamentos do
utilizador e, inclusive, alertar a equipa do CSIRT de quaisquer problemas/falhas
detetadas pelo utilizador e que este considere pertinentes.
Página 14
Segurança Informática
Análise dos resultados obtidos no inquérito aos funcionários
Na tarde do dia 3 de outubro de 2012, foi realizado um questionário
(“Segurança informática pessoal na FEUP: Como é utilizada pelos
funcionários”), pelo grupo GI18 do Projeto FEUP, a 28 funcionários da
Faculdade de Engenharia da Universidade do Porto, com o objetivo de
responder às seguintes questões: “De que modo se processa a sensibilização
dos funcionários perante a questão da importância da segurança informática?”,
“Para que são mais utilizadas as ferramentas dos sistemas informáticos da
FEUP?” e “Qual a relação entre o grau académico e a relevância dada à
segurança em sistemas informáticos?”.
Após observação dos resultados obtidos, verifica-se uma reduzida
percentagem de funcionários que já assistiu a pelo menos uma campanha de
sensibilização sobre a segurança informática (cerca de 25%), sendo que a
maioria teve acesso a esta informação pelo site do CICA ou através do e-mail.
Além disso, é de notar que esta percentagem engloba apenas licenciados,
mestres e doutores.
Teste de Anti-spyware
12%
robustez da
palavra-passe
19%
VPN
12%
Auditor de
Segurança
5%
Anti-spam
19%
Antivírus
25%
G RÁFICO 1 – P ERCENTAGEM
Recuperação
da palavrapasse por SMS
8%
DA UTILIZ AÇÃO DOS SERVIÇOS IN FORMÁTICOS
DISPONIBILIZADOS PEL O
CICA
Ao analisar a percentagem de utilização, por parte dos funcionários da
FEUP, dos serviços informáticos disponibilizados pelo CICA, observa-se que o
anti-spam, o antivírus e o teste de robustez de palavra-passe são os mais
utilizados. Por oposição, o CSIRT.FEUP (alerta de segurança) e o Auditor de
Segurança são os serviços com menor procura.
Página 15
Segurança Informática
F IGURA 1 – T IPO
DE CUIDADOS TIDOS DURANTE O USO
DE SISTEMAS INFORMÁTICOS
Uma outra variável analisada neste inquérito, foi o tipo de cuidados que
os funcionários têm ao utilizar tanto o seu computador pessoal como os
disponibilizados pela FEUP. Após a recolha dos resultados, observa-se que a
maioria dos utilizadores faz sempre logout e cria cópias de segurança de todos
os ficheiros que produz. No entanto, apenas uma pequena percentagem faz
encriptação de ficheiros privados.
Relação entre o grau académico e o número
de cuidados na utilização do computador
Número de inquiridos
4,5
Número de
cuidados na
utilização do
computador
4
3,5
3
0 ou 1
2,5
2 ou 3
2
4 ou 5
1,5
1
0,5
0
Ensino Básico
G RÁFICO 2 – R ELAÇÃO
Ensino Secundário
Licenciatura
Grau académico
Mestrado ou
Doutoramento
ENTRE O GRAU ACADÉMICO E O NÚMERO DE CUIDADOS NA UTILI ZAÇÃO DO
COMPUTADOR
Página 16
Segurança Informática
De uma forma geral, como se observa no gráfico, a preocupação com a
segurança informática tende a aumentar com o grau académico, ou seja,
licenciados, mestres e doutores demonstram maior preocupação com a
prevenção e um maior conhecimento sobre este assunto do que os
funcionários que apenas possuem o ensino básico. Efetivamente, estes últimos
não demonstram qualquer preocupação com este tema.
Concluindo, a sensibilização dos funcionários é feita, maioritariamente,
pelo site do CICA, e as ferramentas mais utilizadas deste site visam a proteção
do computador contra vírus e spam. No entanto, grande parte dos docentes da
FEUP — maioritariamente empregados com o ensino básico e secundário —
não possuem estes conhecimentos nem utilizam estas ferramentas nos seus
computadores pessoais, uma vez que não lidam com esta realidade na sua
profissão e, consequentemente, não compreendem os riscos da insegurança
informática. Deste modo, pode afirmar-se que, na generalidade, quanto maior é
o grau académico, maior é a relevância dada à segurança em sistemas
informáticos.
Página 17
Segurança Informática
 Qual a influência da segurança informática na vida pessoal e viceversa?
Como se sabe, a segurança informática está relacionada com a proteção
de um conjunto de dados e sistemas onde computadores e redes informáticas
são elementos centrais e onde se pretendem atingir os seguintes objetivos:
confidencialidade, disponibilidade, integridade e controlo de acesso.
O nosso estilo de vida revela uma grande influência na segurança
informática: Se formos pessoas conscientes e tivermos certos cuidados, tais
como não ceder informações pessoais a terceiros, instalar um bom antivírus,
possuir uma palavra passe robusta e, sobretudo, não subvalorizar este tema,
podemos tirar proveito das imensas potencialidades que os sistemas
informáticos nos oferecem.
Por sua vez, quando descuramos ou não temos em atenção alguns dos
elementos básicos de segurança informática, tais como não efetuar o logout,
ceder as palavras-passe, visitar sites não protegidos ou aderir excessiva e
despreocupadamente a redes sociais, isto pode dar azo a que fiquemos
vulneráveis e mais expostos a certos riscos quer a nível pessoal como
profissional, nomeadamente a utilização indevida da identidade, a violação da
privacidade, bloqueio de acessos e destruição de dados.
Pelo contrário, se adotarmos uma postura proativa, esta garante-nos
mais comodidade e confiança, quando não só nos faz evitar as filas em
bancos, cinema, balcões de check-in e, consequentemente, nos faz poupar
tempo, mas também quando diminui alguns riscos, é mais económico e até
amigo do ambiente.
Página 18
Segurança Informática
Conclusão
Com o crescente desenvolvimento tecnológico e a importância que este
assume no quotidiano de qualquer indivíduo, ocorre uma inevitável integração
de uma rede de processos responsáveis pelo desenrolar facilitado de várias
tarefas do dia a dia, sujeitando o utilizador a uma simbiose para com a
máquina. É considerada como um fator de importância maioritária e cuja
distinção para com o que é natural se vai revelando cada vez mais ténue.
Surge, assim, a publicação de informação online, providenciada de modo a
facilitar a realização de certas ações sem muitos desgastos e complicações,
tornando-se também essencial garantir a estabilidade e fiabilidade de todos os
fatores envolvidos num sistema informático de modo a salvaguardar a
confiança e segurança do utilizador, considerado bem prioritário em todo o
referido enredo industrial.
Após a realização do trabalho que nos foi incutido pelos docentes da
FEUP, e através da pesquisa de informação e angariação de conhecimento a
ele inerentes, chegámos à conclusão de que é estritamente necessária a
existência de um corpo dedicado à proteção do sistema académico da UP dada
a quantidade de credenciais garantidas à universidade e cujo conhecimento,
tornado público, poderia causar vários problemas de cariz caótico. Perante
todas as variantes de malware existentes, numa medida de prevenção, o corpo
docente da FEUP disponibiliza a pessoal autorizado programas antivírus e/ou o
Auditor de Segurança, entre outros disponibilizados pelo CICA, que garantem o
usufruto da rede universitária sem suscetibilidade a qualquer tipo de dano
causado por origens indevidas. Toda a mais pequena ação computacional é
regulada internamente através do login específico atribuído a cada entidade
participante no corpo académico, ocorrendo uma manutenção conveniente e
assegurada da integridade documental guardada digitalmente.
Foi também realizada uma angariação de dados estatísticos com
recurso a inquéritos formulados em prol de reconhecer o grau de sensibilização
dos funcionários da FEUP. Estes foram sujeitos a um tratamento posterior, com
a obtenção final de resultados satisfatórios comprovativos do esforço realizado
pelas entidades inquiridas na medida de salvaguardar todo o sistema
informático, independentemente do grau de ensino relativo aos intervenientes.
Concluindo, apesar de nos encontrarmos no período de introdução ao
ensino universitário, já revelámos posse de conhecimento viável relativo ao
funcionamento do sistema de segurança informática na FEUP, que se assume
como um sistema ético, prático e de elevada capacidade defensiva.
Página 19
Segurança Informática
Bibliografia
“Access
control.”
Wikipedia.
12
de
outubro
de
2012.
http://en.wikipedia.org/wiki/Access_control (acedido em 12 de outubro de
2012).
“ACID.” Wikipédia. 30 de junho de 2012. http://pt.wikipedia.org/wiki/ACID
(acedido em 12 de outubro de 2012).
“CAPTCHA.”
Wikipedia.
5
de
outubro
de
2012.
http://en.wikipedia.org/wiki/CAPTCHA (acedido em 12 de outubro de
2012).
CICA.
“Acesso
SSH.”
FEUP.
4
de
junho
de
2009.
http://sigarra.up.pt/feup/pt/web_base.gera_pagina?P_pagina=21163
(acedido em 10 de outubro de 2012).
—.
“Auditor
de
Segurança.”
FEUP.
http://sigarra.up.pt/feup/web_base.gera_pagina?P_pagina=2350
(acedido em 9 de outubro de 2012).
—.
“CSIRT.FEUP.”
FEUP.
19
de
julho
de
2010.
http://sigarra.up.pt/feup/pt/web_base.gera_pagina?P_pagina=21399
(acedido em 9 de outubro de 2012).
—.
“FEUPnet
VPN.”
FEUP.
30
de
abril
de
2012.
http://sigarra.up.pt/feup/pt/web_base.gera_pagina?P_pagina=2349
(acedido em 10 de outubro de 2012).
s.d.
—. “Incidentes de Segurança Informática.” FEUP. 19 de agosto de 2010.
http://sigarra.up.pt/feup/pt/web_base.gera_pagina?p_pagina=21423
(acedido em 10 de outubro de 2012).
—. “Repositório de Chaves Públicas PGP.” FEUP. 30 de agosto de 2011.
http://sigarra.up.pt/feup/pt/web_base.gera_pagina?P_pagina=21205
(acedido em 10 de outubro de 2012).
—. “Teste de Robustez de Palavras-Passe.” FEUP. 5 de maio de 2009.
http://sigarra.up.pt/feup/web_base.gera_pagina?P_pagina=21279
(acedido em 10 de outubro de 2012).
—.
“VPN.”
FEUP.
27
de
abril
de
2012.
http://sigarra.up.pt/feup/web_base.gera_pagina?P_pagina=21169
(acedido em 10 de outubro de 2012).
“Computer
crime.”
Wikipedia.
2
de
outubro
de
2012.
http://en.wikipedia.org/wiki/Computer_crime (acedido em 12 de outubro
de 2012).
Página 20
Segurança Informática
“Computer
insecurity.”
Wikipedia.
24
de
setembro
de
2012.
http://en.wikipedia.org/wiki/Computer_insecurity (acedido em 12 de
outubro de 2012).
“Computer
security.”
Wikipedia.
10
de
http://en.wikipedia.org/wiki/Computer_security
outubro de 2012).
outubro
(acedido
de
2012.
em 12 de
CSIRT.FEUP. 2011. http://csirt.fe.up.pt (acedido em 9 de outubro de 2012).
“Email
bomb.”
Wikipedia.
26
de
maio
de
2012.
http://en.wikipedia.org/wiki/Email_bomb (acedido em 12 de outubro de
2012).
“Encryption.”
Wikipedia.
12
de
outubro
de
2012.
http://en.wikipedia.org/wiki/Encryption (acedido em 12 de outubro de
2012).
“HTTP
cookie.”
Wikipedia.
11
de
outubro
de
2012.
http://en.wikipedia.org/wiki/HTTP_cookie (acedido em 12 de outubro de
2012).
“Information
security.”
Wikipedia.
11
de
outubro
http://en.wikipedia.org/wiki/Information_security (acedido
outubro de 2012).
de
em
2012.
12 de
“Information security standards.” Wikipedia. 8 de setembro de 2010.
http://en.wikipedia.org/wiki/Information_security_standards (acedido em
12 de outubro de 2012).
“Information technology security audit.” Wikipedia. 30 de julho de 2012.
http://en.wikipedia.org/wiki/Information_technology_security_audit
(acedido em 12 de outubro de 2012).
“IP
address.”
Wikipedia.
20
de
setembro
de
2012.
http://en.wikipedia.org/wiki/IP_address (acedido em 12 de outubro de
2012).
“IPsec.” Wikipedia. 11 de outubro de 2012. http://en.wikipedia.org/wiki/IPsec
(acedido em 12 de outubro de 2012).
“Malware.”
Wikipedia.
9
de
outubro
de
2012.
http://en.wikipedia.org/wiki/Malware (acedido em 12 de outubro de
2012).
“Password.”
Wikipedia.
12
de
outubro
de
2012.
http://en.wikipedia.org/wiki/Password (acedido em 12 de outubro de
2012).
Página 21
Segurança Informática
“Password
manager.”
Wikipedia.
22
de
setembro
http://en.wikipedia.org/wiki/Password_manager (acedido
outubro de 2012).
de
2012.
em 12 de
“Password
policy.”
Wikipedia.
12
de
outubro
de
2012.
http://en.wikipedia.org/wiki/Password_policy (acedido em 12 de outubro
de 2012).
“Personal identification number.” Wikipedia. 30 de setembro de 2012.
http://en.wikipedia.org/wiki/Personal_identification_number (acedido em
12 de outubro de 2012).
“Pretty
Good
Privacy.”
Wikipedia.
3
de
outubro
de
2012.
http://en.wikipedia.org/wiki/Pretty_Good_Privacy (acedido em 12 de
outubro de 2012).
“Public-key cryptography.” Wikipedia. 12 de outubro de 2012.
http://en.wikipedia.org/wiki/Public-key_cryptography (acedido em 12 de
outubro de 2012).
“Risk.” Wikipedia. 12 de outubro de 2012. http://en.wikipedia.org/wiki/Risk
(acedido em 12 de outubro de 2012).
“Secure
attention
key.”
Wikipedia.
29
de
janeiro
de
2012.
http://en.wikipedia.org/wiki/Secure_attention_key (acedido em 12 de
outubro de 2012).
“Security
testing.”
Wikipedia.
9
de
outubro
de
2012.
http://en.wikipedia.org/wiki/Security_testing (acedido em 12 de outubro
de 2012).
“TCP/IP.”
Wikipédia.
10
de
setembro
de
2012.
http://pt.wikipedia.org/wiki/TCP/IP (acedido em 12 de outubro de 2012).
“Transport Layer Security.” Wikipédia. 16 de março de 2012.
http://pt.wikipedia.org/wiki/Transport_Layer_Security (acedido em 12 de
outubro de 2012).
“User
Account Control.” Wikipedia. 18 de setembro de 2012.
http://en.wikipedia.org/wiki/User_Account_Control (acedido em 12 de
outubro de 2012).
“Virtual Private Network.” Wikipédia. 7 de outubro de 2012.
http://pt.wikipedia.org/wiki/Virtual_Private_Network#Acesso_Remoto
(acedido em 12 de outubro de 2012).
Página 22
Segurança Informática
Anexos
 Anexo I
Inquérito – Segurança informática pessoal na FEUP: Como é utilizada
pelos funcionários
Grau académico:
□ Ensino Básico
□ Ensino Secundário
□ Licenciatura
□ Mestrado
□ Doutoramento
Preocupa-se com a segurança informática?
□ Sim
□ Não
Já assistiu a alguma campanha de sensibilização sobre a segurança
informática na FEUP?
□ Sim
□ Não
Se sim, que tipo de campanha(s)?
□ Palestras
□ Flyers
□ Site do CICA
□ Colegas de trabalho
□ Outra:
Que tipo de cuidados toma ao utilizar tanto o seu computador pessoal como os
disponibilizados pela FEUP?
□ Escolho palavras-passe longas, com números e letras
□ Faço sempre logout
□ Procuro não manusear/guardar dados pessoais
□ Faço encriptação de ficheiros privados
□ Faço backups de todos os ficheiros que produzo
□ Outros:
Página 23
Segurança Informática
Já utilizou algum serviço informático de segurança disponibilizado pelo CICA?
□ Sim
□ Não
Se sim, qual/quais?
□ Recuperação de palavra-passe por SMS
□ Serviços VPN
□ Anti-spam
□ Antivírus
□ Anti-spyware
□ Auditor de segurança
□ CSIRT.FEUP (alerta de segurança)
□ Teste de robustez de palavra-passe
□ Outros:
Página 24