27 Ed2 - CS Seguran

1
Revista Eletrônica Lato Sensu – Ano 2, nº1, julho de 2007. ISSN 1980-6116
http://www.unicentro.br - Ciências Sociais e Aplicadas
SEGURANÇA DE INFORMAÇÕES: AMEAÇAS VIRTUAIS
Autor: Sebastião Sidnei Vasco de Oliveira1

Co-autor: Hamilton Edson Lopes de Souza2
Resumo
A constante e crescente utilização dos recursos tecnológicos, em todos os

setores da sociedade, resulta em uma preocupação também constante em
relação à segurança das informações oriundas dessa utilização. Busca-se
através de pesquisas bibliográficas, relatar alguns dos principais problemas
relacionados a esse uso, muitas vezes, sem critérios, das facilidades
proporcionadas pela internet, traz-se, ainda que sucintamente, quais as
principais pragas que hoje prejudicam as organizações e os usuários
domésticos, já que, atualmente, o computador tornou-se ferramenta
indispensável também nos lares, como suporte para o aprendizado e também
como facilitador para serviços bancários, compras e uma gama de opções,
cabendo ao usuário, sua melhor aplicação. Busca-se também relatar sobre as
principais áreas da auditoria e sua ramificação para a Auditoria em Ambientes
Informatizados, cientes de que ela não pode ficar inerte frente às grandes
ameaças que a informação, que hoje é um dos bens mais valiosos que as
organizações possuem, vem enfrentando. Relata-se ainda alguns depoimentos
de profissionais envolvidos com a segurança lógica, seja em âmbito interno de
uma organização, como também no âmbito de atuação de agentes de segurança
com poderes de polícia, os quais, devido à desatualizada legislação brasileira,
pouco pode fazer para coibir e penalizar crimes cometidos por meio do
computador e, finalmente, descreve-se algumas orientações úteis de segurança
em informática.
Palavras Chaves: Auditoria, informática, segurança, vírus.
Abstract
The constant and growing use of the technological resources, in all the sections
of the society, results a constant concern in relation to the safety of the
information originated from its usage. One searchs through bibliographical
researches, to show some of the main problems related to this use, a lot of times
1
Pós-Graduando do Curso de Especialização ( Pós-Graduação lato sensu) em Gestão e
Auditoria de Negócios. UNICENTRO. 2006.
2
Professor Orientador. Mestre em Administração – Gestão e Políticas Institucionais.
SPEI.
OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

2
without approaches, of the facilities provided by the internet, it is brought a brief

list with the main plagues that today harm the organizations and the domestic
users, since now the computer became also on indispensable tool in at home, as
support for the learning and also as facilitator for bank services, purchases and a
range of options, fitting to the user, its best application. One also looked for to tell
about the main areas of the audit and its ramification for the Audit in
Computerized Atmospheres, aware that it cannot be inert front to the great
threats that the information, that today is one of the most valuable goods that the
organizations possess, it comes facing. One still tells some professionals' reports
involved with the logical safety, be in internal ambit of an organization, as well as
in the ambit of agents' of safety performance with police powers, the ones which,
due to out of date Brazilian legislation, not much they can do to restraint and to
pain crimes made through the computer, and finally one describes some useful
orientations of safety in computer science.
Key words: Audit, computer science, safety, virus
1. Introdução
O objetivo deste trabalho é demonstrar algumas das conseqüências e

também dos prejuízos causados por vírus e outras ameaças virtuais e, também a
apresentação de conceitos básicos de informática, tendo como base para a
fundamentação teórica, algumas obras específicas que relatam estudos sobre a
segurança da informação.
O interesse específico nesse tema surgiu após serem ministrados os
conteúdos da disciplina de Auditoria de Ambientes Informatizados, no curso de
Especialização em Gestão e Auditoria de Negócios, na UNICENTRO.
Antes, porém, de analisar as questões sobre o assunto principal, sentiu-se a
necessidade de expor sobre o tema Auditoria, em algumas de suas formas e
definições.
A metodologia utilizada na elaboração deste trabalho deu-se sob a forma
de pesquisas bibliográficas em obras específicas, leituras de matérias publicadas
em periódicos específicos e busca via internet de assuntos relevantes ao
trabalho proposto.
2. Conceito de Auditoria
O termo auditoria não pode mais estar restrito somente ao campo

contábil, embora sua essência original tenha como objetivo verificar a gestão
como um todo de algum ramo ou negócio. Atualmente, a auditoria ganhou uma
abrangência que extrapolou o campo contábil, em que, historicamente,
estruturou-se, partindo para atividades variadas tais como: auditoria de gestão,

3
auditoria da qualidade, auditoria em ambientes informatizados, auditoria fiscal,

dentre outras.
2.1. Tipos de auditorias

Gil (1998) enfatiza que a auditoria evoluiu e foi exigida a ultrapassar os
limites originais de auditoria contábil e tributária para assumir postura de
operacional surgindo, também a auditoria em ambientes informatizados. Esse
tipo tornou-se um canal de comunicação da alta administração para enfrentar a
complexidade e o crescimento das atividades empresariais e a participação
integral do computador na vida das organizações.
Segundo Dias (2000), não existe na literatura especializada uma
classificação ou denominação padronizada da natureza ou tipos de auditorias
existentes na atualidade, mas apresenta os tipos mais comuns, levando em
consideração a área envolvida, como segue:
a) Auditoria de programas de governo – responsável por
acompanhar, examinar e avaliar a execução de programas e projetos
governamentais específicos;
b) Auditoria do planejamento estratégico – que visa verificar se os
objetivos e estratégias principais da organização estão sendo respeitadas;
c) Auditoria administrativa – englobando o plano da organização,
bem como seus procedimentos e documentos de suporte à tomada de decisões;
d) Auditoria contábil – visa conservar a fidedignidade das contas
contábeis da organização, com finalidade de fornecer certa garantia de que
operações e acesso a ativos estejam em conformidade com as autorizações;
e) Auditoria financeira – com objetivo de análise das contas,
situação financeira, legalidade e regularidade das operações e aspectos
contábeis;
f) Auditoria de legalidade – consiste na análise da legalidade e
regularidade das atividades, funções e gestão de recursos, verificando sua
conformidade com a legislação;
g) Auditoria operacional – que incide em todos os níveis de
gestão, nas fases de programação, execução e supervisão, sob o ponto de vista
da economia, eficiência e eficácia, auditando todos os sistemas e métodos
utilizados para tomada de decisões;
h) Auditoria integrada – que consiste na ação simultânea da
auditoria financeira e da operacional;
) Auditoria da tecnologia da informação – consiste na análise, por
parte dos auditores, dos sistemas de informática, ambiente computacional,
segurança das informações e controle interno da entidade fiscalizada,
identificando seus pontos fortes e fracos.

4
Todas as considerações anteriores culminam no fato de que a auditoria,

independente da área, está sendo cada vez mais exigida nos dias atuais, em
que as operações on-line (ou em tempo real), precisam de respaldo, para operar
com segurança e ter a certeza de que as informações prestadas estão de acordo
com a realidade da organização.
Neste trabalho, é enfatizada a auditoria em ambientes informatizados,
tendo em vista que a área em estudo, segurança de informações: ameaças
virtuais. Isso está contemplado no que diz respeito a essa área específica da
auditoria, evidenciando neste trabalho, mais, especificamente, as questões
relacionadas com segurança lógica.
3. Auditoria em ambientes informatizados
Os sistemas informatizados tiveram sua aplicação tão ampliada com o passar

dos anos que, hoje, é quase impossível imaginar uma entidade sem eles.
Instituições financeiras, indústrias, comércio, serviços; tudo está estruturado em
nível de controles sobre os sistemas informatizados. Dessa forma, o auditor
interno não pode-se furtar à possibilidade de examinar e avaliar esses sistemas.
O auditor interno envolve-se no processo de planejamento, desenvolvimento,
testes e aplicação dos sistemas, preocupando-se com as estruturas lógicas,
físicas, ambientais, organizacionais de controle, segurança e proteção de dados.
Cabe-lhe informar a administração sobre: adequação, eficácia, eficiência e
desempenho dos sistemas e respectivos procedimentos de segurança em
processamento de dados.
Para GIL (1998), a atuação da auditoria em ambientes informatizados dentro das
organizações envolve principalmente os seguintes aspectos:
• segurança física e ambiental;
• segurança lógica;
• plano de contingência;
• auditoria de sistemas em operação;
• auditoria de sistemas em desenvolvimento.
Os aspectos acima estão relacionados diretamente ao trabalho de auditoria,
sendo todos de extrema importância, para manter-se seguras as informações de
uma organização e, devido sua importância, faz-se necessário um breve relato
de suas principais características.
3.1. Segurança Física e Ambiental

Souza (2006, p. 146) abordando sobre a segurança física e ambiental,
afirma que:

5
Ao mapear os riscos e elaborar uma política de segurança

das informações, a organização deve conferir atenção à
Segurança Física e Ambiental do contexto no qual estão
inseridas as informações. Não adianta ter computadores com
máxima segurança se as instalações e os equipamentos
propiciam ameaças, as quais, muitas vezes, são decorrentes
de fenômenos da natureza ou de atos humanos intencionais
ou não contra esses recursos.
Observa-se, então, que a segurança física e ambiental refere-se ao conjunto de

meios ou instrumentos voltados a proporcionar a segurança empresarial
propriamente dita, ou seja, seu acesso físico, instalações elétrica, condições
ambientais, pessoal envolvido, condições de equipamentos de apoio.
Atualmente, não se pode mais pensar em segurança como um simples sistema
de vigilância com pessoal. A função efetiva da segurança deve envolver no seu
desenvolvimento, funções de análise de risco, o controle eficiente do processo,
porém discreto e deve, ainda, preocupar-se com a qualidade e eficiência do
serviço executado.
A segurança física deve envolver várias áreas, para que ela seja
eficiente, começando pela delegação da responsabilidade da função a indivíduo
que tenha condições de desenvolvê-la da melhor forma possível, pois sua
responsabilidade diz respeito ao controle de ativos da organização, treinamento
de sua equipe, a análise dos riscos, a definição, implantação e acompanhamento
das normas de segurança, os controles de acesso aos ambientes internos,
principalmente onde estão localizadas as centrais de informática. Esse controle
pode variar de acordo com o grau de sigilo das informações. Uma avaliação dos
níveis de acesso aos ambientes internos pode ser elaborada, de acordo com a
estrutura da organização, delimitando horários e pessoas com direito ao acesso
a determinadas áreas.
Todas as normas e procedimentos relacionados à Segurança devem
estar documentadas, devendo estar disponível para a equipe em forma de
manuais. A responsabilidade básica de uma equipe de segurança está
relacionada com o planejamento, implantação e controle das medidas de
segurança, incluindo a realização de “Análise de Riscos” e a elaboração e
implantação de um Plano de Segurança, resultando, ainda, em um Plano de
Contingência, o qual será brevemente citado no decorrer deste trabalho.
3.2. Segurança Lógica

Em relação à Segurança Lógica, pode-se explorar a definição do termo
“acesso lógico”, ainda que de uso geral, dentro da informática, não exprime com
precisão o conceito envolvido que é o acesso ao ambiente de informações.

6
Acesso lógico está relacionado com o uso de recursos e facilidades de

acesso aos ambientes informatizados, que são colocados à disposição de
pessoas, para que elas executem as tarefas para as quais foram contratadas.
Esse acesso abrange aspectos como o acesso de pessoas a terminais e outros
equipamentos de computação, manuseio de listagens, funções autorizadas a
executar dentro do ambiente, a exemplo de transações que ele pode executar,
arquivos aos quais pode ter acesso, programas que pode executar, etc; parte do
acesso lógico se confunde com o acesso físico, sendo impossível separar onde
começa um e termina outro.
A informática mudou os conceitos de organização de arquivos e troca de
informações entre as empresas e pessoas, no entanto, deixou uma grande
preocupação relativa à segurança dos dados.
A segurança lógica visa:
• Garantir o poder de usufruir a informação no momento que
necessitar;
• manter a confidencialidade e a fidedignidade de seus dados;
• manter a integridade dos dados;
• na elaboração das metodologias, para a realização de auditorias de
segurança lógica, é necessário que abordem pontos de análise,
relativos a:
• levantamento dos sistemas, proporcionando a visão atual e
possibilitando as atividades de reengenharia;
• uso adequado dos softwares aplicativos;
• prevenção, identificação e eliminação, caso existam, dos vírus nos
computadores, possibilitando a criação de uma política cultural de
uso;
• transmissão dos dados em geral e, principalmente, os confidenciais
e críticos;
• armazenamento dos dados através dos gerenciadores de Banco de
Dados existentes;
• sistemas existentes possibilitando a sua otimização e atualidade;
• participação no desenvolvimento dos novos sistemas, prevendo a
inclusão de trilhas de auditorias;
• confidencialidade e sigilo dos sistemas críticos e confidenciais que
possam comprometer o negócio da empresa;
• testes e simulações nos sistemas existentes, permitindo a
verificação dos resultados obtidos, comparando-os com os objetivos
definidos nos documentos alvos, e
• aplicação de normas e da legislação relativos à segurança lógica.

7
3.3 Plano de Contingência

Para Caruso (1999), um plano de contingência específico, para
ambientes informatizados, pode ser definido como um documento, a ser
elaborado de acordo com as características específicas de cada empresa. O
Plano deve estar de acordo com as necessidades vitais de cada área, contendo
a descrição completa e atualizada dos critérios, recursos, responsabilidades,
atribuições, ações e procedimentos a serem adotados, quando da ocorrência de
situações de emergência no local, onde está localizado o centro de informática
ou em outros locais onde existam recursos de informática, cujos resultados são
importantes para a organização. Seu objetivo principal está relacionado à
continuação do processamento de informações e aplicações críticas, mantendo
o seu funcionamento até a retomada das atividades no ambiente afetado por um
sinistro qualquer.
O Plano de Contingência deve receber apoio total da direção da empresa
ou instituição, devendo ser elaborado por pessoas especializadas, sejam elas do
próprio quadro de pessoal da empresa, ou através da contratação de consultoria
especializada. É essencial que possuam conhecimentos profundos sobre o
tema, pois seu sucesso está diretamente relacionado à continuidade das
atividades de uma organização, quando da ocorrência de qualquer tipo de
sinistro.
Devem ser observadas ainda informações referentes aos recursos
humanos e de equipamentos necessários, para que o plano de contingência
alcance seus objetivos, a elaboração de manuais com os procedimentos de
contingência, contendo a descrição dos equipamentos e softwares necessários,
a relação das pessoas envolvidas e suas funções. Deve ainda abordar os
procedimentos de retorno, ou seja, as ações necessárias a serem tomadas para
a restauração de equipamentos, softwares, infra-estrutura e documentação.
3.4 Auditoria de Sistemas em Operação

A auditoria de sistemas em operação tem como objetivo analisar a
eficácia dos sistemas quanto ao nível de satisfação dos usuários relacionados à
natureza, correção e qualidade das informações, evidenciando também a
periodicidade das informações recebidas e a forma de apresentação das
informações, por meio de relatórios. Também devem ser observados o nível de
sigilo das informações, a forma de apresentação dos relatórios, o cuidado no
armazenamento, transporte e manuseio de dispositivos de armazenamento de
informações e, também, a consistência das informações e proteção contra
usuários mal-intencionados. Todos esses itens acima podem ser classificados
pelo auditor como Pontos de Controle (PC), podendo ser auditados por mais de
um parâmetro, o que implicará ao auditor, a utilização de técnicas diferenciadas.

8
3.5. Auditoria de Sistemas em desenvolvimento

Esse ramo da auditoria requer do profissional vastos conhecimentos de
análise de sistemas, levando antes o auditor a ser conhecedor da auditoria de
sistemas em operação, para, posteriormente, poder atuar na auditoria de
desenvolvimento de sistemas.
Segundo GIL (1998, 107), tal colocação pode parecer paradoxal, pois a
auditoria de um sistema computadorizado deve iniciar-se, quando da concepção,
construção e implantação do sistema, porém alguns parâmetros levam os
auditores a uma atuação inicial nos sistemas computadorizados em operação,
citando que:
a) a auditoria de computador começou no Brasil com uma

defasagem de dez anos em relação à área de computação
e, dessa forma, deu prioridade às verificações dos sistemas
que já estavam operando, em detrimento daqueles que
estavam sendo construídos;
b) na auditoria, durante o desenvolvimento, o auditor posta-se
frente a frente com analistas e programadores,
necessitando, portanto, de bons conhecimentos de
computação e de análise de sistemas, bem como de uma
postura de auditagem e de um exercitamento do “espírito
de auditoria”, que garanta uma atuação imparcial,
concatenada e não embaralhada com os profissionais de
computação;
c) a auditoria, durante o desenvolvimento, exige uma
metodologia de atuação que garanta a independência dos
trabalhos do auditor, estabelecendo os momentos e as
formas de aplicação das técnicas de auditoria adequadas
para o estabelecimento das diferenças dos trabalhos do
auditor e dos auditados.
Não se considera oportuno um maior aprofundamento desses itens, apenas se

trouxe uma pequena explanação sobre as áreas da auditoria, com o objetivo de
demonstrar a sua abrangência e a sua importância.
4. Segurança em ambientes informatizados
Uma das principais preocupações da auditoria em ambientes

informatizados é a segurança, a qual é definida por Dias (2000) como “... a
proteção de informações, sistemas, recursos e serviços contra desastres, erros e
manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de

9
incidentes de segurança”. Tal enfoque visa atingir os objetivos da segurança que

são:
• Confidencialidade ou privacidade: proteger as informações contra
acesso de qualquer pessoa não autorizada;
• integridade de dados: evitar que dados sejam apagados ou, de
alguma forma, alterados sem permissão;
• disponibilidade: a garantia de que os serviços prestados por um
sistema são acessíveis;
• consistência: certificar-se de que o sistema atua de acordo com as
expectativas;
• isolamento ou uso legítimo: regular o acesso ao sistema evitando os
não autorizados;
• auditoria: proteger os sistemas contra erros e atos maliciosos
cometidos por usuários autorizados;
• confiabilidade: garantir que mesmo em condições adversas o
sistema atuará conforme o esperado.
Por meio da correta aplicação desses princípios, a segurança da
informação pode trazer benefícios como: aumentar a produtividade dos usuários
através de um ambiente mais organizado; maior controle sobre os recursos de
informática e, finalmente, garantir a funcionalidade das aplicações críticas da
empresa.
Cabe ressaltar que, conforme Gil (1998), que a Auditoria em Ambientes
Informatizados abrange conceitos e técnicas oriundas de três áreas distintas do
conhecimento que se interligam, para servir de base a essa importante área, a
saber: auditoria, sistemas de informações e processamento de dados.
Para Caruso (1991), “a segurança nunca será um produto acabado, que
uma vez implantado permanecerá estável; ela reflete o agitado ambiente de
informações das empresas, altamente dinâmico, que por sua vez se reflete nas
funções de processamento de informações”.
4.1. Segurança das informações

O que devemos considerar, no que se refere à segurança, está
relacionado à segurança interna, ou seja, os cuidados e as políticas adotadas,
visando proteger as informações dentro da organização em que se está atuando,
ou no local onde se está sendo desenvolvida a política de segurança.
Já em outro âmbito da segurança, porém em um nível bem maior, está a
segurança relacionada com os crimes cometidos de fora para dentro, ou seja, o
acesso não autorizado provocados com o único objetivo de subtrair informações,
seja dos dados da organização em questão, ou ainda das informações pessoais
contidas em computadores, utilizados nos diversos setores de uma organização,
onde os funcionários, mesmo de uma forma errada, fazem uso dele para acessar

10
contas bancárias, compras com cartões de crédito, entre outras ações,

proporcionando o “roubo” de senhas, etc, essa prática somente será abolida das
organizações através da implantação de uma política rígida em relação à
utilização dos recursos de informática, o que nem sempre é adotada, pois pode
causar dissabores para a administração, porém este assunto poderá ser
discutido em outras oportunidades.
4.2. Os investimentos em segurança lógica

GIL afirma que:
Segurança Lógica é um conjunto de métodos e

procedimentos automáticos e manuais destinados à proteção
dos recursos computacionais contra o seu uso indevido ou
desautorizado. Compreendem o controle de consultas,
alterações, inserções e exclusões de dados, controle de uso
de programas e outros recursos (apud, SOUZA, 2006, p.150).
Segundo o autor, as principais ameaças na segurança lógica estão

ligadas aos acessos indevidos, erros provocados intencionalmente, ou mesmo
involuntários e a perda de dados decorrentes desses erros, falhas na rede
provocadas por software estranho, fraudes e sabotagens, provocadas por
colaboradores insatisfeitos.
Os responsáveis pela área de informática devem considerar sempre, em
seus planejamentos, os investimentos no que diz respeito à segurança das
informações, englobando itens como regulamentações, metodologias,
certificações, ferramentas de hardware, software e sistemas de prevenção,
atentando também para as constantes atualizações que esses instrumentos vêm
sofrendo, objetivando, assim, manter seus sistemas sempre disponíveis, ou seja,
on-line.
Como, atualmente, a utilização de aplicações em ambiente de rede está
em amplo desenvolvimento, seja através de rede privativa de uma organização
(intranet) ou mesmo, por meio da rede mundial (internet), aproveitando-se,
assim, dos inúmeros benefícios que esse recurso oferece, trazendo facilidades
na realização de inúmeros serviços, como: investimentos, compras, atividades
bancárias, pesquisas, troca de informações entre outros, a segurança nesses
ambientes deve também acompanhar o crescimento com que tais recursos estão
sendo utilizados.
Com o objetivo ilustrar este trabalho, buscou-se alguns fatos relatados
por profissionais da área de segurança, pública ou privada, que mostram o que
vêm ocorrendo hoje, em relação à segurança dos ambientes informatizados.

11
Tais relatos foram publicados por empresas especializadas na segurança digital,

ligadas diretamente ao trabalho de coibir a realização de crimes dessa natureza,
os dados são preocupantes, como expõe o procurador do Ministério Público de
São Paulo, Rodrigo Carnellas Dias, citado por Ponte (2004):
Hoje, o Brasil ocupa o segundo lugar como o país que tem

mais sites desfigurados no mundo, ficando atrás apenas dos
Estados Unidos. Isso acontece porque os invasores sabem
que no Brasil não há muita preocupação com a punição de
crimes virtuais. Nos Estados Unidos, embora haja mais
punições, ainda ocorrem um grande número de casos e
muitos prejuízos. O FBI e o Computer Security Institute
pesquisaram o assunto nas 500 maiores companhias
americanas. Concluíram que, entre 1997 e 1999, elas
perderam 360 milhões de dólares por causa de crimes
computacionais. O Código Penal do Brasil foi feito em 1940 e
está completamente desatualizado. Se alguém der uma
marretada no computador de outra pessoa, pode ser
processado por danificar a propriedade alheia. Mas, se digitar
um comando e apagar informações valiosas, isso não é
considerado crime".
Outra informação preocupante está relacionada aos Bancos. Informações

de empresas especializadas, relatam que “de acordo com o Comitê Gestor da
Internet, o total de ataques soma uma média de 4,8 mil casos mensais, sendo
que o mais comum é a clonagem de páginas de Bancos, induzindo o usuário a
digitar seus dados em site errado. Há alguns meses, várias instituições
renomadas foram alvos de ações criminosas, sendo infectadas pelo vírus My
Doom”.
4.3. As principais ameaças dos ambientes informatizados

Com a utilização mais freqüente de todos os recursos oferecidos pela
informática, mais especificamente, pela grande divulgação das facilidades que a
internet disponibiliza, os riscos não estão apenas relacionados à infecção pelo
simples “vírus de computador”. Várias outras ameaças estão cada vez mais
próximas de todos os usuários. Ameaças como vírus, spam, spyware, adware,
engenharia social, dentre outros, podem e devem ser combatidas e evitadas,
muitas vezes, através da utilização de softwares simples, porém uma ação
isolada pode se tornar ineficiente. Para se obter uma proteção com grau de
eficiência melhor, uma série de rotinas devem ser obedecidas, e segundo

12
Vasconcellos (2005), procedimentos como os citados a seguir podem ser

de grande valia, a saber:
a) Instalação e personalização de Firewall.
O Firewall funciona como uma porta, que filtra a entrada e a saída de
tráfego de rede de sua máquina, permitindo ou negando, conforme o que está
determinado em sua configuração.
b) Instalação de software Antivírus.
Software que tenta identificar, remover e eliminar vírus de computador e
outros softwares maliciosos. Normalmente, os softwares antivírus buscam por
padrões específicos de códigos que possuem um perfil ou assinatura de algo
que reconhecidamente causa danos.
O antivírus será de pouquíssima utilidade se o seu banco de dados de
definições não for atualizado, preferencialmente, todos os dias. Algumas
ferramentas gratuitas podem ser obtidas, porém somente estão disponíveis para
uso pessoal e não-comercial, como o AVG Anti-Virus Free Edition, disponível
em: http://free.grisoft.com, o BitDefender 8 Free Edition, disponível em:
http://www.bitdefender.com/site/Main/view/ Download-Free-Products.html, entre
vários outros que podem ser obtidos ou utilizados “on-line”.
c) Patches de Segurança.
Uma das formas mais eficientes de se manter livre de worms e vários
outros softwares maliciosos, é mantendo seu sistema sempre atualizado, porém
devem-se tomar cuidado, ainda, com as falsas correções, os boatos (hoax). Não
somente seu sistema operacional deve estar atualizado, mas também todos os
demais sistemas e utilitários.
Os patches de segurança podem ser facilmente baixados e instalados do
site de seus fabricantes, como por exemplo, as atualizações do Windows,
disponíveis para os usuários do sistema original em http://update.microsoft.com.
d) utilização de software Anti-*.
Somente o software Anti-Vírus não é mais suficiente, para se proteger
das diversas ameaças que surgiram nos últimos tempos. Atualmente, outros
softwares são necessários, como: Anti-Spam, Anti-Spyware e Anti-Adware e
Anti-Phishing. Todos esses recursos estão disponíveis isoladamente, porém se
recomenda sua utilização através dos chamados pacotes, em que todos estão
integrados e seu funcionamento é mais eficaz.
O software anti-Spam funciona, basicamente, como um filtro de
mensagens não solicitadas, porém, primeiramente, o usuário deve configurá-lo
para reconhecer quais são as mensagens consideradas desejadas e quais são
consideradas “lixos”.
O software Anti Spyware e Adware tem como função, bloquear softwares
maliciosos como cavalos de tróia (trojans), malware, seqüestradores de browser

13
e componentes de rastreamento, que sejam instalados em seu computador sem

o seu conhecimento.
O software Anti - Phishing, alerta os usuários que o site faz uso de
recursos técnicos e de engenharia social, para roubar a identidade, dados
pessoais e financeiros. Primeiramente, são utilizadas falsas mensagens de e-
mail que levam os usuários a esses falsos sites, projetados para obter
informações como números de cartão de crédito, senhas, CPF, RG, entre outras.
Para obter maior credibilidade, fazem uso de marcas conhecidas.
4.3.1. Brasil é o 7º dos 12 maiores remetentes de spam.

Os dados abaixo foram publicados na Seção Vírus & Cia, do portal Terra
(Fonte: http://tecnologia.terra.com.br/interna/0,,OI1078711-EI4805,00.html,
acessado em 26/07/06) e mostra a realidade no que diz respeito às mensagens
eletrônicas indesejadas, revelando também que o Brasil faz parte desse “selecto”
grupo.
Os Estados Unidos lideram o ranking dos maiores remetentes mundiais
de mensagens eletrônicas indesejadas, o chamado spam, seguidos de perto por
China e Coréia do Sul, de acordo com informações da empresa de segurança
Sophos. O Brasil aparece em sétimo lugar, sendo o único sul-americano na lista
dos 12 maiores remetentes de spam.
Ainda segundo o estudo, 23,2% do spam recebido no mundo inteiro são
procedentes dos Estados Unidos, apesar do país contar, desde 2003, com uma
lei federal cujo objetivo é combater esse tipo de mensagem, a Can-Spam Act.
"É lamentável ver os Estados Unidos perderem um pouco de seu impulso
na luta contra o spam. A quantidade estava diminuindo a cada trimestre desde a
entrada em vigor da Can-Spam Act. Parece que os Estados Unidos ainda têm
muito trabalho pela frente" para combater essas mensagens indesejadas, disse
Ron O'Brien, especialista em questões ligadas à segurança na área de
informática.
Outros grandes remetentes mundiais de spam são China (20%) e Coréia
do Sul (7,5%). A França ocupa o quarto lugar, com 5,2%, e a Espanha aparece
em quinto, com 4,8%. Com 3,1%, o Brasil aparece em sétimo lugar, superando
Itália (3%), Alemanha (2,5%) e Grã-Bretanha (1,8%).
Os demais incluídos na lista elaborada pela Sophos, são: Polônia (3,6%),
Taiwan (1,7%) e Japão (1,6%). A Ásia é o continente que mais envia spam, com
40,2%.
4.3.2. Engenharia Social

Muitas vezes os usuários de computadores são as vítimas do ataque da
Engenharia Social, que é um método bastante simples de se obter informações.
A grande maioria dos mal-intencionados utiliza-se da psicologia, exatamente

14
isso, da psicologia, para conseguir informações restritas, essa técnica é

chamada de engenharia social, que consiste em convencer alguém de dentro de
uma empresa de que você é confiável e que pode receber informações restritas.
Existem diversas formas de se efetuar um ataque de engenharia social,
mas todas elas têm em comum a característica de usarem, basicamente,
psicologia e perspicácia, para atingir os seus propósitos. Atualmente, as mais
populares são:
- Usar telefone ou e-mail para se fazer passar por uma pessoa
(geralmente alguém da equipe de suporte técnico ou um superior da pessoa
atacada) que precisa de determinadas informações para resolver um suposto
problema;
- Aproveitar informações divulgadas em um fórum público da Internet
(lista de discussão por e-mail, newsgroup, IRC) por um administrador ou usuário
que busca ajuda para resolver algum problema na rede;
- Enviar programas maliciosos ou instruções especialmente preparadas
para um administrador ou usuário, com o objetivo de abrir brechas na segurança
da rede ou coletar o máximo de informações possível sobre ela (esta técnica é
particularmente eficaz quando a pessoa pede auxílio em algum fórum de
discussão pela Internet);
- Navegar por websites ou pastas FTP em busca de informações úteis -
muitas vezes, é possível encontrar descrições detalhadas da infra-estrutura
computacional e/ou documentos que, por descuido ou esquecimento, não foram
removidos do servidor.
A engenharia social é um problema sério. Uma organização deve pregar
uma política que possa protegê-la contra essa ameaça, sendo que essa política
deve ser repassada para toda a organização. Não adianta implementar as mais
modernas ferramentas de segurança, se os funcionários não forem conscientes
e responsáveis quanto às informações que lhe são confiadas.
Tudo isso resulta em uma preocupação constante em relação à
segurança e, mesmo ciente de que atualmente não existe segurança total, e que
na verdade ela é inatingível, o que existe é uma série de precauções que são
tomadas, para proteger a instituição dos diversos tipos de ameaças. Medidas
desse cunho têm como objetivo minimizar os riscos e garantir o uso ininterrupto
dos sistemas de informação, hoje, implantados no ambiente de rede da
instituição como um todo, porém sem uma conscientização geral, todos os
esforços e investimentos, sejam de tempo e também financeiros, poderão ter
sido em vão.

15
4.3.3. Os dez piores vírus de todos os tempos

Sentiu-se a necessidade de ilustrar também, com informações úteis sobre
os piores vírus que já assombraram tanto organizações como usuários
domésticos, as informações foram relatadas num especial sobre vinte anos de
pragas eletrônicas, onde foram listados em ordem cronológica, os dez piores
vírus criados para microcomputadores em todos os tempos, desde o CIH
(também conhecido como Chernobyl), de 1988, até o Sasser, criado por um
adolescente alemão em 2004.
Essas pragas causaram danos econômicos importantes, chegando a
bilhões de dólares em alguns casos, além de ocasionarem a perda de uma
quantidade considerável de dados e deixarem um grande número de máquinas
danificadas. Saiba um pouco mais sobre os dez vírus mais perigosos que os
computadores já enfrentaram.
Quadro 1. Dez piores vírus e suas características

NOME Data de início Principais características:
Liberado em Taiwan, tendo como alvo o Windows 95, 98 e
arquivos executáveis do ME. Residente na memória, podia
sobrescrever dados no HD. Também conhecido como
CIH Junho de 1988 "Chernobyl", deixou de ser maligno, devido à grande migração
dos usuários para o WIndows 2000, XP e NT, que não são
vulneráveis a ele. Prejuízos estimados: de US$ 20 milhões a
US$ 80 milhões, além dos dados destruídos.
Vírus de macro para documentos Word, espalhou-se
rapidamente e forçou empresas como Intel e Microsoft, a fechar
seus sistemas de e-mail, para conter a praga, que se
W97M/
Março de 1999 disseminava via Outlook. Era enviado pela Internet, modificava
Melissa
documentos do Word colocando falas do programa de televisão
Os Simpsons. Causou danos estimados em US$ 300 milhões a
US$ 600 milhões.
Também conhecido como Loveletter e The Love Bug, o
ILOVEYOU, era um script de Visual Basic com uma mensagem
amorosa e foi detectado pela primeira vez em Hong Kong.
Transmitido via e-mail. Continha o anexo Love-Letter-For-
Iloveyou Maio de 2000 You.TXT.vbs. Espalhava-se via Outlook. Sobrescrevia arquivos
de música, imagem e outros com uma cópia sua. Como autor
do vírus era filipino e na época, naquele país não havia leis
contra criação de vírus, nunca foi punido. A estimativa dos
danos financeiros ficou entre US$ 10 bilhões e US$ 15 bilhões.

16
Worm liberado em servidores de rede. Alvo principal: servidores

rodando Microsofts Internet Information Server (IIS). Explorava
vulnerabilidade no sistema operacional do IIS. Também
conhecido como Bady, o Code Red foi criado para causar o
máximo de danos. Quando infectados, sites controlados por um
13 de julho de
Code Red servidor atacado exibiriam a mensagem "HELLO! Welcome to
2001
http://www.worm.com! Hacked By Chinese!". Dirigia ainda
ataques a determinados endereços IP, incluindo a Casa Branca.
Em menos de uma semana, o vírus infectou quase 400 mil
servidores pelo mundo. As estimativas chegaram a um milhão
de computadores infectados, e danos de US$ 2,6 bilhões.
Também conhecido como Sapphire. Como foi lançado em um
sábado, o dano foi baixo em termos de dólares. Entretanto, ele
SQL 25 de janeiro de atingiu 500 mil servidores em todo o mundo, deixando a Coréia
Slammer 2003 do Sul fora do ar por 12 horas. Seu alvo era os servidores.
Infectou 75 mil computadores em 10 minutos e atrapalhou
enormemente o tráfego on-line.
O Blaster, também conhecido com Lovsan ou MSBlast,
espalhou-se rapidamente, explorando uma vulnerabilidade do
Windows 2000 e XP, e quando ativado, exibia uma mensagem
11 de agosto de de eminente queda do sistema. Seu código trazia instruções
Blaster
2003 para um ataque DDoS contra o site windowsupdate.com,
programado para o dia 15 de abril. Centenas de milhares de
PCs foram infectados, e os danos ficaram entre US$ 2 bilhões e
US$ 10 bilhões.
Surgiu em seguida ao Blaster, tendo usuários corporativos e
domésticos de PC como alvo. A variante mais destrutiva foi a
Sobig.F, que se espalhou rapidamente, gerando mais de um
milhão de cópias em apenas 24 horas. Em 10 de setembro, o
Sobig.F Agosto de 2003 vírus se desativou e deixou de ser uma ameaça. A Microsoft
chegou a oferecer uma recompensa de US$ 250 mil, para quem
identificasse o criador do Sobig.F. Os danos foram estimados
entre US$ 5 a US$ 10 bilhões, com mais de um milhão de PCs
infectados.
Um worm clássico e sofisticado, vinha anexado a um e-mail e
vasculhava arquivos do Windows em busca de endereços de e-
mail que pudesse utilizar para se replicar. O verdadeiro perigo
18 de janeiro de do worm, também conhecido com Beagle, e suas 60 a 100
Bagle
2004 variantes é que, ao infectar o PC, ele abria uma porta que
permitia o controle total e a distância do sistema. Os danos
foram estimados em dezenas de milhões de dólares, e a
contagem continua.
MyDoom 26 de janeiro de Também conhecido como Norvarg, espalhou-se em um arquivo
2004 anexado que parecia ser uma mensagem de erro, com o texto
"Mail transaction failed", e via compartilhamento de arquivos
entre os usuários da rede P2P Kazaa. A sua replicação foi tão
bem-sucedida que especialistas em segurança de PCs
calcularam que uma em cada dez mensagens de e-mail
enviadas durante as primeiras horas da infecção, continha o
vírus. Chegou a diminuir em 10% a performance global da

17
Internet e aumentar o tempo de carregamento dos sites em

50%.
Criado por um adolescente alemão (17 anos de idade), deixou

fora do ar o satélite de comunicações para algumas agências
de notícias da França. Resultou no cancelamento de vários
vôos da Delta Airlines e na queda do sistema de várias
companhias ao redor do mundo. Não era transmitido por e-mail
e não precisava de nenhuma ação do usuário. Explorava falha
Sasser Abril de 2004
de segurança do Windows 2000 e XP desatualizados e ao se
replicar, procurava ativamente por outros sistemas
desprotegidos. Causava quedas repetidas e instabilidade. Na
época, o autor era menor de idade, foi considerado culpado por
sabotagem de computadores, mas a sentença foi suspensa.
Causou dezenas de milhões de dólares em prejuízos.
Fonte: www.tecnologia.terra.com.br/interna, acessado em 26/07/06; adaptado pelo autor.
4.4. As pragas virtuais e seus riscos

- Programas em perigo
Segundo Sullivan (2006, p. 48-50), relatos mostram que o sistema operacional
Windows não é mais o alvo exclusivo de ataques.
O expressivo número de falhas de segurança, em programas mais
utilizados e de uso diário, são uma porta aberta para o acesso de hackers. O
Sistema Operacional Windows ficou mais protegido, as atualizações automáticas
fizeram com que o sistema seja mais resistente à ação dos piratas da internet.
A ação dos hackers (significado que será abordado mais à frente neste
trabalho), hoje está motivada pela possibilidade em ganhar dinheiro, procurando
maneiras de como descobrir senhas de bancos, de cartões de crédito.
Várias podem ser as formas de acesso em uma máquina, seja através de
softwares, arquivos de áudio e vídeo, todo o cuidado é pouco, em se tratando de
proteção de seus dados.
Uma pesquisa atual realizada pela Sans Institute e pela consultoria de
segurança Secunia mostra alguns dos programas mais vulneráveis e o número
total de brechas de cada aplicativo.

18
Quadro 2. Programas mais vulneráveis

PROGRAMA Nº DE VULNERABILIDADES
Internet Explorer 6.0 91
Firefox 1.x 26
RealPlayer 10.x 11
Winamp 5.x 5
QuickTime 7.x 3
Itunes 6.x 2
Fonte: SANS (www.sans.org) e (www.secunia.com)
Os números acima servem de alerta aos usuários, demonstrando que

não é só através de falhas no sistema operacional que seus computadores
podem ser alvo fácil dos hackers.
Na continuidade, a matéria traz alguns conselhos e algumas dicas de
como se proteger e tornar o ataque de hackers mais difícil.
Uma questão importante e que deve ser levada bastante a sério, diz
respeito à vulnerabilidade, que pode ser causada por uma falha no projeto,
implementação ou configuração de um software ou sistema operacional que,
quando explorada por um atacante, resulta na violação da segurança de um
computador.
5. Segurança lógica: um caso de polícia
Objetivando minimizar os riscos de acessos não autorizados, deve ser

implantada em um ambiente de rede, uma política de segurança, que visa
atribuir direitos e responsabilidades às pessoas que lidam com os recursos
computacionais de uma instituição e com as informações, neles, armazenados.
Ela também define as atribuições de cada um em relação à segurança dos
recursos com os quais trabalham.
Uma política de segurança também deve prever o que pode ser feito na
rede da instituição e o que será considerado inaceitável. Tudo o que descumprir
a política de segurança pode ser considerado um incidente de segurança.
Na política de segurança, também são definidas as penalidades as quais
estão sujeitos aqueles que não cumprirem a política determinada.
As políticas de segurança são regras que as organizações devem
implantar internamente, porém, cabe também à Justiça, através de seus meios,
inibir, de forma correta, a ação dos piratas cibernéticos e, no Brasil, cabe à
Polícia Federal e à Polícia Civil de cada estado a função de investigar os delitos

19
cometidos por meio do computador. Em São Paulo, funciona o Centro de Crimes

pela Internet, atrelado ao DEIC - Departamento Estadual de Investigações
Criminais. Em Brasília, existe, desde 1995, no Instituto Nacional de
Criminalística, a Seção de Crimes por Computador, ligada à Perícia Técnica da
Polícia Federal. A equipe de sete peritos especializados na área de crimes
cibernéticos é a responsável por emitir laudos oficiais. Os laudos são pedidos
através de denúncias no Ministério Público ou para serem anexados em
inquéritos feitos nas delegacias da Polícia Federal.
Em relação aos hackers e crakers, Marcelo Correia Gomes, chefe da
Seção de Crimes por Computador, diz que há atuações para identificar invasões
de sites do Governo Federal, do Presidente da República e dos Ministérios, ele
afirma que:
"Dependendo do nível de conhecimento do hacker, pode ser

fácil ou impossível encontrar o invasor". Segundo ele, os
hackers mais experientes não atacam a partir do próprio
computador, mas invadem outros computadores para, então,
roubar a senha e fazer a invasão. O usuário do computador
que tem a senha roubada, nem desconfia que está sendo
usado. É difícil, mas a gente vai seguindo até determinar o
autor que, em certos casos, pode até responder por ofensa
às autoridades".
No caso de prejuízos aos sites de empresas, como a legislação brasileira

não especifica esses crimes, a qualificação do delito depende da forma como o
delegado vai fazer o inquérito.
Os crimes mais graves aplicados via Internet recebem o rótulo de
estelionato na desatualizada legislação brasileira. Esse foi o caso de uma
quadrilha presa em novembro do ano passado, na cidade de Marabá, no Pará. A
quadrilha atuava no sistema de home banking, quebrando a senha de
correntistas e fazendo a transferência de dinheiro. "O que mais tem na Internet
são hackers especializados em quebrar senhas de segurança de programas
comerciais. Quando saiu o Windows XP, depois de seis horas já era possível
craquear o programa", afirma Gomes.
6. As diferenças entre hackers e crackers

6.1- Hackers
De acordo com Rohr (2006), um hacker é um especialista em
computadores. Alguém que sabe muito, estuda e entende de redes,
programação, sistemas, etc. Gosta de "fuçar" o código dos sistemas
operacionais e outros programas para descobrir como funcionam.

20
Há confusão entre hacker e cracker, como se fossem sinônimos. Os hackers "de

verdade" protestam: consideram-se estudiosos e não têm o objetivo de
prejudicar ninguém, ainda que invadam sistemas para entender ao seu
funcionamento. Muitos são ativos trabalhadores na área de segurança.
Em uma definição mais aprofundada, diz-se que o hacker originou-se na
década de 50, para definir pessoas interessadas pela (então iniciante) era da
informática. Essa definição diz que um hacker é uma pessoa que consegue
hackear, verbo inglês to hack, portanto hack é o ato de alterar alguma coisa que
já está pronta ou em desenvolvimento, deixando-a melhor.
Nesse sentido, os hackers seriam as pessoas que criaram a Internet, que
criaram o Windows, o Linux e os especialistas em segurança das grandes
empresas.
Com o passar dos anos, esses primeiros hackers passaram a utilizar o
verbo hack, para definir não somente as pessoas ligadas à informática, mas sim,
os especialistas em diversas áreas. O Hacker How-To, de Eric S. Raymond
define isso da seguinte forma:
Existem pessoas que aplicam a atitude hacker a outras coisas, como
eletrônica ou música — na verdade, você pode encontrá-la nos mais altos níveis
intelectuais de qualquer ciência ou arte. Os hackers de software reconhecem
esse espírito aparentado em outros lugares e podem chamá-los de hacker
também — e alguns dizem que a natureza hacker é de fato independente do
meio particular no qual o hacker trabalha.
É importante lembrar que existe toda uma cultura por trás do sentido da
palavra hacker. A Cultura Hacker define diversos pontos para estilo e atitude e,
por mais que pareçam estranhos, muitas das pessoas que se tornam os
chamados programadores extraordinários possuem esse estilo e atitude
naturalmente.
6.2. Cracker
Também com base em Rohr (2006), cracker é o hacker "mau". Aquele
que invade sistemas e computadores alheios com a intenção de causar dano,
roubar dados. Enquadram-se nesta categoria os "pichadores" de sites, que
invadem e desfiguram páginas pela Internet. O Brasil é tristemente famoso pelo
grande número de Crackers, muitas vezes, confundidos com hackers.
A definição de cracker está relacionada ao indivíduo com ações mais
destrutivas que um hacker, pois invade o sistema de segurança de um
computador ou rede de computadores com o objetivo de roubar, destruir ou
apagar informações.
A destruição de dados não afetaria a maioria das empresas, visto que
muitas delas fazem backup diariamente (ou diversas vezes por dia), não por
medo de invasão, mas para se prevenir de falhas que podem ocorrer com

21
hardware, discos, outras cópias de backup, incêndios e outros. O que,

realmente, preocupa é o roubo de dados. Números de cartões de créditos,
documentos confidenciais, códigos-fonte de projetos e softwares da empresa,
entre outras informações que podem ser obtidas por uma pessoa que invade um
sistema, sem que a mesma destrua qualquer outro tipo de informação.
Atualmente, as discussões sobre qual o verdadeiro significado de hacker
são consideradas inúteis. A mídia vai continuar usando o termo incorreto, isso,
provavelmente, não vai mudar, mas em textos técnicos sobre segurança a
definição mais antiga é empregada, ou seja, hacker refere-se a programadores
extraordinários, capazes de concluir suas tarefas em um tempo menor que os
demais.
A absorção dos hackers pelo mercado de trabalho na área de segurança
é um caminho para os que se destacam. O conhecimento adquirido acaba sendo
usado profissionalmente com boa remuneração, pois há um grande mercado de
serviços de empresas que vendem a proteção dos sistemas de computadores e
no caso da Sans Institute, até promove campeonato entre hackers. É uma boa
forma de propagar os perigos de um sistema sem segurança e de incentivar as
invasões para se criar a necessidade do produto. Essa lei de mercado
cibernético também vale para as grandes empresas que fabricam programas
antivírus e se beneficiam da imensa quantidade de novos vírus produzidos
mensalmente em escala mundial.
Existem casos em que um software ou sistema operacional instalado em
um computador pode conter uma vulnerabilidade que permite sua exploração
remota, ou seja, através da rede, como observamos na tabela sobre as
vulnerabilidades expostas neste trabalho. Portanto, um atacante conectado à
Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao
computador vulnerável.
Algumas definições entre hacker e cracker trazem que hacker invade
apenas para “olhar”, enquanto o cracker invade para destruir, o que para certos
pontos de vista, está incorreto.
7. Algumas recomendações para se proteger dos golpes da internet
Devido a pouca preocupação dos usuários de computadores, ou

internautas com a segurança de seus computadores, seja por preguiça, falta de
tempo ou muitas vezes por simples desinformação, muitos deles ignoram
cuidados básicos que os expõem às ações de piratas virtuais.
Prova disso é a aparição do vírus Netsky.P, identificado no início de
2004, no ranking das pragas mais ativas de 2005. Se os usuários atualizassem
seus programas de segurança que protegem contra o Netsky.P, disponível
desde março de 2004, a praga teria sumido poucos meses após ser criada. As

22
recomendações abaixo servem para prevenção de vários tipos de problemas

que podem originar-se pela falta da devida atenção, são ações básicas, mas que
valem a pena serem observadas:
● Instale antivírus no computador e faça atualizações semanais,

● mantenha seu navegador sempre atualizado;
● nunca clique em links ou visite sites sugeridos em e-mails, principalmente
se a autoria for desconhecida;
● nunca envie informações sigilosas via e-mail ou mensagens
instantâneas;
● troque regularmente as senhas utilizadas em transações financeiras;
● crie um e-mail apenas para se cadastrar em sites, se você receber
mensagens de "velhos amigos" ou do seu banco nesse endereço,
desconfie;
● parta do princípio de que dinheiro não vem fácil e pense duas vezes
antes de aceitar propostas "incríveis" recebidas pela internet.
●
Contudo, se após observar as orientações acima, o usuário estiver em
dúvida se seu computador foi ou não invadido, alguns passos podem ser
seguidos, como:
● Deixe de acessar serviços de banco on-line e fazer compras pela web até
resolver o problema;
● rode uma verificação do antivírus atualizado em toda a máquina, dessa
forma é possível encontrar a praga e, em alguns casos, removê-la;
● monitore regularmente suas movimentações financeiras;
● denuncie o golpe do qual foi vítima à Delegacia de Delitos e Meios
Eletrônicos de sua região;
● caso perceba movimentações estranhas na sua conta corrente, entre em
contato com o banco e peça orientações, o mesmo vale para operadoras
de cartão de crédito.
As vítimas de crimes virtuais devem sempre procurar uma delegacia e

fazer um boletim de ocorrência.
8. Considerações finais
Após as explanações e relatos deste trabalho, observou-se que muitas

ações devem ser tomadas, para que os danos causados por um possível ataque,
sejam de vírus, hackers ou de qualquer outra forma, sejam minimizados. Muitas
são as formas de se obter informações sigilosas e, mesmo que os profissionais

23
da área de informática tomem todas as precauções e cuidados necessários

dentro de uma organização, sem a plena conscientização dos usuários como um
todo, o trabalho para se evitar as temidas invasões, terá sido em vão. Outro
aspecto importante relatado neste trabalho refere-se à elaboração e à
implantação de um bom plano de contingência, pois em muitos casos, quando
da ocorrência de um sinistro, somente com um bom plano de contingência é que
se pode dar continuidade às atividades de uma organização. Se esse plano for
bem elaborado, certamente, será bem menor o prejuízo causado por um sinistro
qualquer.
Evidenciou-se também que muitos são os meios de se obter informações,
e esses meios estão em constante desenvolvimento, acompanhando, ou até
mesmo, estando à frente dos recursos que objetivam bloquear acessos
indevidos. Ao término deste trabalho, pode-se concluir que as atividades
relacionadas à segurança nunca serão consideradas finalizadas, ou seja, seu
produto nunca estará completamente acabado, necessitando sempre de
atualizações, dado ao dinamismo que hoje se observa nos ambientes de
informações das organizações. As implementações relacionadas à segurança
têm um agravante a mais, ao contrário do que se observava em tempos não
muito distantes, há apenas alguns anos atrás, e que hoje necessitam de um
tratamento diferenciado, pois nos tempos atuais, é impossível se pensar em uma
organização que não esteja conectada através da internet, aos mais
diferenciados serviços que a era da informação disponibiliza. Assim sendo, a
organização, se não estiver bem “protegida”, pode estar a um clique para se
tornar alvo de invasões, roubo de senhas, enfim, ser vítima dos temidos
“criminosos cibernéticos”.
Ao finalizar este trabalho, percebe-se que ele foi de grande proveito, pois
possibilitou obter conhecimentos extremamente úteis no desenvolvimento de
atividades profissionais, porém sabe-se que ele não deve ser considerado como
“finalizado”, no termo propriamente dito, como se evidencia neste mesmo
trabalho, as mudanças são constantes, e as atualizações devem no mínimo,
acompanhar tais mudanças.
9. Referências Bibliográficas
ARIMA, Carlos Hideo. Metodologia de auditoria de sistemas. São Paulo:

Érica, 1994.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Referências

bibliográficas (NBR 6023) Rio de Janeiro, 2000.

24
Boletim bimestral sobre tecnologia de redes. [on-line] Disponível na Internet:

www.rnp.br. Carlos Campana. V. 1, n. 1. 30/mai/97.- Acessado em 08/08/2006.
CAIÇARA JÚNIOR, Cícero. Sistemas integrados de gestão – ERP: uma

abordagem gerencial. Curitiba: Ibpex, 2006.
CARRAVILLA, André. Hackers: Brasileiros são maioria. Disponível em

http://noticias. correioweb.com.br/ultimas.htm?codigo=2614301. – Acessado em
02/06/2006.
CARTILHA DE SEGURANÇA PARA INTERNET. [on-line]. Disponível em:

http://cartilha.cert.br/. Acessado em 04/08/2006.
CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática.

Rio de Janeiro: Livros Técnicos e Científicos, 1991.
CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática e

de informações. 2. ed. São Paulo: SENAC, 1999.
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de

Janeiro: Axcel Books do Brasil Editora, 2000.
FONTES, Edison. Política da segurança da informação. Disponível em:

http://www.modulo. com.br/index.jsp> - Acesso em 19/08/2004
GIL, Antonio de Loureiro. Auditoria de computadores. 3. ed. São Paulo: Atlas,

1998.
MANDIA, Kevin HACKERS: resposta e contra-ataque - investigando crimes

por computador / Kevin Mandia, Cris Prosise; tradução de Tomas Bueno. Rio
de Janeiro: Campus 2001.
MÓDULO – [on-line] 9ª Pesquisa nacional de segurança da informação.

Disponível em: <http://www. modulo.com.br/index.jsp> - Acesso em 19/08/2004
PONTE, Gabriella. Segurança na internet deve ser garantida. Sete pontos

para concretizar a sociedade do conhecimento. Disponível em http://
www.comunicacao.pro.br/setepontos/13/provedores.htm, Nº 13, Abr/2004.

25
PUTTINI, Ricardo S.. Principais aspectos da segurança. Disponível em:

http://www.redes. unb.br/security/introducao/aspectos.html> - Acesso em
19/08/2004
REDAÇÃO TERRA – [on-line] Conheça os dez piores vírus de todos os

tempos . Disponível em: <http://tecnologia.terra.com.br/interna/0,,OI1063844-
EI4805,00.html> - Acesso em 26/07/2006
ROHR, Altieres. Hacker. Disponível

em:http://linhadefensiva.uol.com.br/informativos/ definicoes/ hacker - Acessado
em 31/07/06
SOUZA, Hamilton Edson Lopes. Segurança e controle em sistemas de

informação. In: CAIÇARA JÚNIOR, Cícero. Sistemas integrados de gestão –
ERP: uma abordagem gerencial. Curitiba: Ibpex, 2006.
SULLIVAN, Andrew. Programas em perigo. PCWORLD.. São Paulo, n. 164, p.

48-50, mar. 2006.
TREND MICRO Empresa desenvolvedora de Antivírus. Disponível em:

<http://pt.trendmicro-europe.com/enterprise/security_info/virus_map.php>
Acesso em 08/08/2006.
VASCONCELLOS, Ronaldo Castro de. Kit básico de sobrevivência na

internet. Dia Internacional de segurança em informática. 30 de Novembro de
2005. CAIS/RNP.
Anexo: Definição de termos utilizados
Antivírus: Programa ou software especificamente desenvolvido para detectar,

anular e eliminar vírus de computador.
Cavalo de tróia: Programa, normalmente recebido como um “presente” (por
exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc), que além de
executar funções para as quais foi aparentemente projetado, também executa
outras funções normalmente maliciosas e sem o conhecimento do usuário.
Firewall: Dispositivo constituído pela combinação de software e hardware,
utilizado para dividir e controlar o acesso entre redes de computadores.
Malware: Termo geral utilizado para fazer referência a qualquer código móvel ou
programa mal-intencionado ou inesperado, como códigos maliciosos, cavalos de
Tróia, worms ou programas do tipo "piada" (joke).

26
Site: Local na Internet identificado por um nome de domínio, constituído por uma
ou mais páginas de hipertexto, que podem conter textos, gráficos e informações
multimídia.
Spam: Termo usado para se referir aos e-mails não solicitados, que geralmente
são enviados para um grande número de pessoas. Quando o conteúdo é
exclusivamente comercial, esse tipo de mensagem também é referenciada
como UCE (do Inglês Unsolicited Commercial E-mail).
Spammer: Pessoa que envia spam.
Spyware: Termo utilizado para se referir a uma grande categoria de software
que tem o objetivo de monitorar atividades de um sistema e enviar as
informações coletadas para terceiros. Podem ser utilizados de forma legítima,
mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada
e maliciosa.
Worm: São trojans ou vírus que fazem cópias do seu próprio código e as enviam
para outros computadores, seja por e-mail ou via programas de bate-papo,
dentre outras formas de propagação pela rede. Eles têm se tornado cada vez
mais comuns e perigosos, porque o seu poder de propagação é muito grande.
Vírus: Códigos mal-intencionados criados para causar transtornos a suas
vítimas. Alguns não causam problemas maiores do que o envio automático de e-
mails para sua lista de contatos. Outros são terríveis e podem apagar arquivos,
destruir programas inteiros e até comprometer todo o funcionamento do sistema.

27 Ed2 - CS Seguran

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

27 Ed2 - CS Seguran

Diunggah oleh

Hak Cipta:

Format Tersedia

1

SEGURANÇA DE INFORMAÇÕES: AMEAÇAS VIRTUAIS

Autor: Sebastião Sidnei Vasco de Oliveira1

A constante e crescente utilização dos recursos tecnológicos, em todos os

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

without approaches, of the facilities provided by the internet, it is brought a brief

O objetivo deste trabalho é demonstrar algumas das conseqüências e

O termo auditoria não pode mais estar restrito somente ao campo

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

auditoria da qualidade, auditoria em ambientes informatizados, auditoria fiscal,

2.1. Tipos de auditorias

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

Todas as considerações anteriores culminam no fato de que a auditoria,

3. Auditoria em ambientes informatizados

Os sistemas informatizados tiveram sua aplicação tão ampliada com o passar

3.1. Segurança Física e Ambiental

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

Ao mapear os riscos e elaborar uma política de segurança

Observa-se, então, que a segurança física e ambiental refere-se ao conjunto de

3.2. Segurança Lógica

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

Acesso lógico está relacionado com o uso de recursos e facilidades de

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

3.3 Plano de Contingência

3.4 Auditoria de Sistemas em Operação

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

3.5. Auditoria de Sistemas em desenvolvimento

a) a auditoria de computador começou no Brasil com uma

Não se considera oportuno um maior aprofundamento desses itens, apenas se

4. Segurança em ambientes informatizados

Uma das principais preocupações da auditoria em ambientes

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

incidentes de segurança”. Tal enfoque visa atingir os objetivos da segurança que

4.1. Segurança das informações

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

contas bancárias, compras com cartões de crédito, entre outras ações,

4.2. Os investimentos em segurança lógica

Segurança Lógica é um conjunto de métodos e

Segundo o autor, as principais ameaças na segurança lógica estão

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

Tais relatos foram publicados por empresas especializadas na segurança digital,

Hoje, o Brasil ocupa o segundo lugar como o país que tem

Outra informação preocupante está relacionada aos Bancos. Informações

4.3. As principais ameaças dos ambientes informatizados

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

Vasconcellos (2005), procedimentos como os citados a seguir podem ser

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

e componentes de rastreamento, que sejam instalados em seu computador sem

4.3.1. Brasil é o 7º dos 12 maiores remetentes de spam.

4.3.2. Engenharia Social

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

isso, da psicologia, para conseguir informações restritas, essa técnica é

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

4.3.3. Os dez piores vírus de todos os tempos

Quadro 1. Dez piores vírus e suas características

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

Worm liberado em servidores de rede. Alvo principal: servidores

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

Internet e aumentar o tempo de carregamento dos sites em

Criado por um adolescente alemão (17 anos de idade), deixou

4.4. As pragas virtuais e seus riscos

OLIVEIRA, S.S.V.; SOUZA, H.E.L. - Segurança de Informações: Ameaças Virtuais

Quadro 2. Programas mais vulneráveis