Segurança em sistemas de informação e redes informáticas

Capitulo 01 – Segurança em Sistemas de Informação e Redes de Computadores

1.1 Introdução à Segurança em Sistema de Informação e Redes de Computadores.

Nos dias de hoje, em um mundo quase que totalmente conectado é de suma importância a utilização de procedimentos ou ferramentas que garantam a segurança da informação, desde um cidadão comum até as grandes instituições financeiras. Tendo em vista que podemos fazer praticamente tudo “online” as empresas têm investido cada vez mais em Segurança da Informação, pois a informação é um dos ou até o mais importante de todos os bens de uma empresa, independente de seu tamanho.

Quando pensamos em Segurança da Informação logo nos vem à mente às informações referentes a assuntos financeiros mas esta muito além disso, como o próprio nome diz “Segurança da Informação “ trata da utilização segura de todo e qualquer nível de informação inerente a empresa, desde simples operações bancárias até decisões estratégicas de alta gerência. Toda informação deve ser protegida.

Praticamente todas as empresas desde os pequenos empresários até as grandes “Holdings” estão conectadas à Internet, o que é imprescindível hoje em dia para o sucesso do negócio. Só que para isso é necessário o uso de procedimentos e ferramentas que garantam a integridade das informações. Na mesma velocidade que temos o avanço da tecnologia temos também o avanço de pessoas mal intencionadas, os “Crackers”, que com o conhecimento que possuem, efetuam desde pequenos furtos de informação, como uma simples brincadeira, até o “sequestro de dados” de cidadãos comuns e de empresas, cobrando um “resgate” em dinheiro para devolver a informação sequestrada.

Podemos enumerar várias razões para cuidarmos de nossas informações, mas vamos citar abaixo os três principais:

• Garantir a integridade e segurança de informações estratégicas.

• Garantir a confiabilidade tanto para os colaboradores quanto para os clientes

• Ter sistema onde as informações estejam na mesma medida seguras e confiáveis.

1.2 Exemplos de Problemas de Segurança em Sistemas de Informação.

A grande parte dos problemas com Informação hoje em dias nas empresas esta relacionado a um conjunto simples de falhas na implantação e desenvolvimento de políticas e procedimentos de segurança da informação. Dentre eles vamos dar dois exemplos de problemas e suas possíveis soluções.

a. A falta de um gestor de Informação: é um fator importantíssimo para o sucesso de qualquer projeto de Segurança da Informação, a existência do Gestor de Informação, que deve ser uma pessoa da área de negócio ou da área administrativa que será responsável por autorizar (ou não) o acesso a informações pelos usuários da empresa.

b. A falta de uma Gestão de Riscos: quando não existe uma gestão correta dos riscos as analises são feitas de modo aleatório e apenas quando existe um risco eminente. A gestão de risco deve ser feita constantemente, independente de qualquer fator interno ou externo.

1.3 Falhas em Sistemas de Informação

Seguem abaixo alguns exemplos de falhas em Sistemas de Informação:

a. SQL injection: traduzindo o termo teremos “Injeção de SQL”, trata-se de uma das ameaças mais comuns, consiste em se aproveitar de falhas em sistemas que tem interação com Bancos de Dados via SQL. Acontece quando o atacante consegue inserir instruções SQL dentro de uma consulta simples, através da manutenção das entradas de dados de uma aplicação.

b. Quebra de código JAVASCRIPT: o JAVASCRIPT é uma linguagem de programação simples que pode ser interpretada por qualquer navegador e que é normalmente utilizada para tornar as páginas da web mais interativas. Usando a quebra de código JAVASCRIPT ou JAVASCRIPT INJECTION o indivíduo mal intencionado pode alterar informações existentes através de SCRIPT em caixas de diálogo ou formulários ou até mesmo direto na barra de endereços.

c. Cross-Site Scripting: é uma vulnerabilidade do sistema de segurança que normalmente é encontrado em aplicações WEB, as quais ativam ataques que não possuem boas intenções, as quais injetam códigos client-side script nas janelas web vistas por outros usuários. É normalmente usado para escapar dos controle s de acesso.

d. UPLOAD de Arquivos: muito comum hoje em dia utiliza formulários de upload sem autenticação de acesso ou a partir de invasão de áreas vulneráveis causando assim graves danos ao site, aplicação ou banco de dados.

1.4 Correção de falhas em Sistemas de Informação.

Agora trataremos de uma forma de evitar um dos mais comuns ataques a Sistemas de Informação que foi citado no tópico anterior, o SQL INJECTION.

Para proteção efetiva do sistema devemos sempre verificar as informações inseridas nos campos de nossos formulários ou passadas por POST ou GET, antes de utiliza-las para executar um comendo SQL checando a existência dos seguintes caracteres:

- aspas simples ( ‘ )

- aspas duplas ( “ )

- espaços

- ponto e vírgula ( ; ).

1.5 Terminologias de Segurança

Seguem abaixo algumas terminologias comumente utilizadas em Segurança da Informação:

a. Hacker: é um indivíduo que possui um grande conhecimento em tecnologia que tem como principal objetivo o aperfeiçoamento de software, redes e aplicativos. Com esse conhecimento ele cosegue soluções e efeitos fora do comum em sistemas, incluindo, por exemplo, contornar as barreiras que normalmente deveriam impedir o controle dos sistemas e o acesso a dados.

b. Cracker: é basicamente a mesma definição de Hacker, porém, com a intenção contrária a de um Hacker, ou seja, utiliza seus conhecimentos para ganho próprio a custa dos outros ou “pela simples alegria” de prejudicar.

c. Cyberpunk: os Cyberpunks são indivíduos “rebeldes” que costumam utilizar seus conhecimentos e sua inteligência para praticar roubos na internet tanto a empresas quanto a usuários comuns. São os “vândalos” da web.

d. Coder: assim como nas três definições anteriores é um indivíduo com grande conhecimento em programação

...