A Segurança Informática e o Negócio Electrónico · CAPÍTULO 1 • NOÇÕES BÁSICAS DE...

A SegurançaInformática e oNegócio Electrónico

T í t u l oA SEGURANÇA INFORMÁTICAE O NEGÓCIO ELECTRÓNICO

A u t o r esHugo Magalhães e Alberto Grilo

E d i t o r© SPI – Sociedade Portuguesa de InovaçãoConsultadoria Empresarial e Fomento da Inovação, S.A.Edifício «Les Palaces», Rua Júlio Dinis, 242,Piso 2 – 208, 4050 PORTOTel.: 226 076 400, Fax: 226 099 [email protected]; www.spi.ptPorto • 2006

P r o d u ç ã o E d i t o r i a lPrincípiaAv. Marques Leal, 212775-495 S. João do EstorilTel.: +351 214 678 710; Fax: +351 214 678 [email protected]

P r o j e c t o G r á f i c o e D e s i g nMónica Dias

I m p r e s s ã oRolo e Filhos, Artes Gráficas, Lda.

I S B N 972-8589-68-9

D e p ó s i t o L e g a l 249616/06

Pro jecto apoiado pe lo Programa Operac ional P lur i fundos daRegião Autónoma da Madeira (POPRAMIII), co-f inanciado peloEstado Português, e pela União Europeia, at ravés do FundoSocial Europeu.

F I C H A T É C N I C A

NEGÓCIO ELECTRÓNICO

A SegurançaInformática e oNegócio ElectrónicoHugo Magalhães | Alberto Grilo

I N T R O D U Ç Ã O

O advento da globalização económica e das tecnologias da informação e comuni-cação como a Internet permitiu às empresas reequacionarem as estratégias de actua-ção no mercado, introduzindo vantagens competitivas em relação ao ambiente denegócios tradicional, nomeadamente o aumento da dimensão dos mercados, a presen-ça permanente (24 horas por dia, sete dias por semana), a redução de custos e adiminuição da cadeia de distribuição. Esta alteração deu origem a uma nova forma devender e comprar – o negócio electrónico – que se tem convertido num factor funda-mental de competitividade e num fortíssimo indutor de desenvolvimento para a gene-ralidade das empresas. A título de exemplo, veja-se o sucesso da Dell Inc., que nosúltimos anos apresentou um crescimento acentuado, tornando-se num dos maioresfabricantes e vendedores de computadores a nível mundial.

Contudo, a crescente utilização da Internet como meio para realizar negócios elec-trónicos e a intensificação das ameaças terroristas trazem consigo um conjunto depreocupações relativas à protecção de dados dos utilizadores e dos sistemas. Alémdo mais, são infindáveis as histórias dos hackers que desafiam os mais sofisticadossistemas de segurança na rede.

Este manual tem como principal objectivo apresentar as ferramentas e as solu-ções que permitem garantir condições e níveis de confiança elevados em qualquertroca de informação realizada através da Internet. O Capítulo 1 introduz as noçõesbásicas de segurança da informação, designadamente as principais ameaças e aspropriedades que a informação deve possuir de modo a evitá-las.

O Capítulo 2 apresenta as principais técnicas de segurança, baseadas em algoritmoscriptográficos de chave simétrica, assimétrica e de sumário, que constituem peçasfundamentais no conjunto de tecnologias de suporte ao negócio electrónico na Internet.O principal objectivo destes algoritmos é garantir que os intervenientes numa troca deinformação tenham garantias de que os requisitos de segurança são satisfeitos.

A SEGURANÇA INFORMÁTICA

E O NEGÓCIO ELECTRÓNICO

6

A SEGURANÇA INFORMÁTICA E O NEGÓCIO ELECTRÓNICO

O Capítulo 3 descreve alguns mecanismos de segurança (firewalls, sistemas dedetecção de intrusão e antivírus) adicionais para as redes que suportam o fluxo decomunicação no negócio electrónico, que conjugados com as técnicas apresentadasno capítulo anterior fornecem um contributo indispensável para garantir um nível desegurança adequado.

O Capítulo 4 apresenta alguns dos principais modelos de pagamento electrónico,nomeadamente cartões de débito e crédito, na perspectiva da sua utilização na Internet.

Finalmente, o Capítulo 5 descreve a importância de uma política de segurançabem definida e rigorosa num negócio electrónico.

HUGO MAGALHÃESALBERTO GRILO

CAPÍTULO 0 • DIVERSIFICAÇÃO DE PRODUTOS AGRÍCOLAS

7

Noções Básicasde Segurança

• Identificar as principais ameaças à segurança de uma comunicaçãofeita pela Internet, nomeadamente modificação, repetição, disfarce,negação de serviço, intercepção e repúdio

• Apresentar as garantias de segurança existentes, como confi-dencialidade, integridade, autenticação, autorização, registo enão-repúdio

O B J E C T I V O S

1C A P Í T U L O

8


Com o advento dos sistemas de informação e da caracterização da sociedadeactual como uma sociedade em rede, a generalidade das empresas tornou-se for-temente dependente dos seus sistemas informáticos para gerir as suas actividadescomerciais e suportar a tomada de decisão. Não é, por isso, de admirar que osresponsáveis pelos sistemas informáticos das empresas se preocupem cada vezmais com os efeitos desastrosos que teria uma ameaça ou um ataque que compro-metesse o funcionamento desses sistemas e a informação que possuem.

Este capítulo introduz as principais ameaças à segurança da informação trans-mitida pela Internet, nomeadamente modificação, repetição, disfarce, negação deserviço, intercepção e repúdio. Para além disso, são também apresentadas as pro-priedades que a informação deve possuir de modo a evitar essas ameaças.

AMEAÇAS À SEGURANÇA

Uma ameaça (ataque), no contexto informático, é qualqueracção efectuada com o intuito de comprometer a segurançado fluxo de informação entre duas entidades.

Considere a situação mais simples, em que um emissor envia umamensagem a um receptor com informação confidencial. Se um tercei-ro interveniente (atacante) pretender realizar um ataque à comunica-ção, a acção pode ser levada a cabo sobre:

• a mensagem (Figura 1.1);

• o canal de comunicação;

• a infra-estrutura do emissor ou do receptor.

Figura 1.1Esquema de umataque a umamensagem

No entanto, uma vez que, em algumas situações, o atacante é opróprio emissor ou receptor, pode existir uma entidade independente,

CAPÍTULO 1 • NOÇÕES BÁSICAS DE SEGURANÇA

9

em quem ambos confiem (TTP – trust third party), para auxiliar acomunicação.

Em termos gerais, os ataques a que os fluxos de informação estãosujeitos podem ser classificados em seis categorias: modificação, re-petição, intercepção, disfarce, repúdio e negação de serviço (de-nial of service).

MODIFICAÇÃO

Consiste na alteração dos dados da mensagem em trânsito (Figura1.2). A alteração pode ocorrer de forma acidental ou maliciosa, quando,por exemplo, num negócio, um agente não autorizado altera uma enco-menda de dez unidades por parte de uma entidade para 1000 unidades.

Figura 1.2Esquema de umataque demodificação

REPETIÇÃO

Acontece quando uma operação já realizada é repetida, sem auto-rização, de modo a obter o mesmo resultado (Figura 1.3). Considere,por exemplo, o caso em que um fornecedor utiliza sucessivamente osdados enviados por um comprador para efectuar o pagamento, obten-do de forma ilícita vários pagamentos adicionais.

Figura 1.3Esquema deum ataque derepetição

10


INTERCEPÇÃO

Ocorre quando se verifica o acesso não autorizado a uma mensa-gem, que, contudo, não tem a possibilidade de alterar (Figura 1.4).Um exemplo desse ataque é a «escuta» da informação trocada entreduas sucursais de uma empresa por uma empresa concorrente.

Figura 1.4Esquema deum ataque deintercepção

DISFARCE

Consiste em apresentar uma identidade falsa perante um determi-nado interlocutor (Figura 1.5). Isto pode acontecer, por exemplo, quan-do um agente não autorizado pretende ocultar a sua própria identidadeou quando assume a identidade de outrem com o intuito de prejudicaro detentor daquela identidade.

Figura 1.5Esquema deum ataque deintercepção

REPÚDIO

Consiste na negação de participação numa determinada comunica-ção ou operação quando de facto se fez parte dela (Figura 1.6). Acon-tece por exemplo quando um comprador nega a autoria e/ou o envio deuma mensagem com uma ordem de pagamento, ou quando um vende-dor nega ter recebido o cancelamento de uma encomenda.


11

Figura 1.6Esquema deum ataquede repúdio

NEGAÇÃO DE SERVIÇO

Consiste na realização de um conjunto de acções com o objectivode dificultar o bom funcionamento de um sistema, por exemplo, satu-rando uma infra-estrutura de comunicação ou restringindo todas asmensagens para um destino específico (Figura 1.7).

Figura 1.7Esquema deum ataque denegação deserviço

Estas seis categorias podem ser agrupadas em duas classes deacordo com a metodologia utilizada no ataque: os ataques activos e osataques passivos (Figura 1.8).

Figura 1.8Classificação dosataques de acordocom a metodologia

12


GARANTIAS DE SEGURANÇA

As características que a informação deve possuir para garantir asua segurança podem ser classificadas em confidencialidade, inte-gridade, autenticação, autorização, registo e não-repúdio.

CONFIDENCIALIDADE

É a propriedade que consiste na protecção de informação sensívelou privada contra um ataque de intercepção, ou seja, contra acessosnão autorizados. Em geral, essa garantia obtém-se através da codifi-cação dos dados utilizando algoritmos de cifra (que serão descritosno Capítulo 2).

INTEGRIDADE

É a característica que consiste na protecção da informação con-tra um ataque de modificação. Numa comunicação entre dois interlo-cutores, consegue-se garantir essa segurança ou, pelo menos, detectarque ocorreu uma modificação, utilizando algoritmos de sumário (verCapítulo 2).

AUTENTICAÇÃO

É a propriedade que consiste na protecção contra o disfarce daidentidade de um interlocutor de modo a que numa comunicação hajaa garantia de os participantes serem quem dizem ser. Isto pode serconseguido através da utilização de:

1. Segredos entre os participantes, como senhas ou combinaçõesde username/password;

2. Dispositivos únicos como tokens de segurança, smartcards ecartões de «batalha naval»;Um token de segurança, também por vezes denominado tokende hardware, token de autenticação ou token criptográfico, éum pequeno dispositivo físico que um utilizador transporta demodo a ter autorização de acesso a um determinado serviçocomo, por exemplo, uma rede informática (Figura 1.9a). Umtoken pode armazenar uma chave criptográfica, como uma as-sinatura digital (ver Capítulo 2), dados biométricos como uma


13

impressão digital ou até incorporar um pequeno teclado paraintrodução do número de identificação pessoal, mais conhecidopor PIN (personal identification number).Um smartcard (Figura 1.9b) é um pequeno cartão de plásticocom um microprocessador (chip) incorporado de modo a tercapacidade de armazenamento e memória. É cada vez maior onúmero de cartões de débito e crédito com smartcards incorpo-rados. A título ilustrativo, veja-se a seguinte notícia sobre a uti-lização de smartcards para garantir a segurança.

A tecnologia chip traz associadauma maior segurança nas tran-

sacções, bem como uma nova forma derelacionamento com o titular do cartão.Os custos operacionais vão diminuir.

Num futuro próximo, vai ao futebolacompanhado de um simples cartãobancário. Compra o bilhete, que é au-tomaticamente “carregado” no cartão,paga umas bebidas e uns aperitivosencostando-o a um terminal de paga-mento, e para entrar no estádio só temde accionar o torniquete de acesso àsbancadas passando o mesmo cartãopor um terminal de leitura para validaro bilhete.

A tecnologia chip traz consigo des-de logo maior segurança das transac-ções, mas também “uma nova formade usar o cartão com mais valor para otitular, tal como a inclusão de progra-mas de lealdade dinâmicos em que otitular do cartão parametriza os benefí-cios de acordo com as suas preferên-cias”, explicou Paulo Raposo, directorlocal da MasterCard em Portugal. “Ochip abre um novo mundo de potencia-lidades e possibilidades para os ban-cos, titulares de cartões e negócios queacei tem pagamentos com os mes-mos”, acrescenta Sérgio Botelho, direc-tor-geral da Visa Europe para Portugal.

UMA NOVA FORMA DE UTILIZAR OS CARTÕES

As duas entidades foram responsá-veis pela criação do standard global co-nhecido por EMV, as iniciais de EuropayInternational, hoje MasterCard Europe,MasterCard International e a Visa Inter-national. A segurança é elegida comoa maior vantagem desta tecnologia.“Trata-se de uma tecnologia mais re-cente em que no processo de valida-ção de uma transacção existe a trocade mensagens encriptadas entre o ter-minal de leitura e o cartão obrigando avalidações quer no terminal quer nopróprio cartão. Os parâmetros de vali-dação numa e noutra partes tornam oprocesso de quebra de segurança mui-to mais complicado”, comenta PauloRaposo. De igual modo, Sérgio Bote-lho reforça o facto de esta nova tecno-logia permitir aos portugueses titularesde cartões terem mais segurança nassuas transacções a nível nacional e noestrangeiro, nomeadamente em paísesonde o risco de fraude é reconhecida-mente maior. Além de menores níveisde fraude, os custos administrativosrelativos à transacção também serãomenores. “Antecipamos a redução decustos operacionais na medida em quea grande maioria das transacções comcartão EMV pode ser efectuada off-line,uma vez que o chip tem maior capaci-dade de armazenamento de informa-

«

14


ção comparativamente à banda magné-tica”, observa Sérgio Botelho. Quantoaos custos inerentes à nova tecnolo-gia, são variáveis “por que dependemtambém das economias de escala e dasua aplicação. À medida que mais car-tões com chip são produzidos e maisterminais chip são fabricados, meno-res são os custos unitários para o sis-

tema”, refere Sérgio Botelho, acrescen-tando: “O custo da produção física decartões com chip EMV pode ser larga-mente ultrapassado pelos benefícios evantagens acrescidas que permitem gerar”.»

Fonte: Diário Económico de 11 de Setembro

de 2006 (http://diarioeconomico.sapo.pt/)

Um cartão de «batalha naval» (Figura 1.9c) é um pequeno car-tão que contém uma matriz de elementos que permitem a umutilizador a realização de determinadas operações, como, porexemplo, transacções electrónicas bancárias. Suponha que amatriz de elementos é a que se apresenta na Figura 1.9c. Se,para realizar uma determinada transacção, for solicitada a célu-la A1, então o código de autenticação é «123»;

Figura 1.9Exemplo de umtoken (a), de umsmartcard (b) e deum cartão de«batalha naval»(c)

Fonte: http://www.carelink.co.uk, http://en.wikipedia.org/ e http://www.bes.pt

3. Métodos biométricos como impressões digitais, scan da íris ouretina e análise da voz. A título ilustrativo, leia-se a seguintenotícia que demonstra a utilização da impressão digital num sis-tema de pagamento.


15

O BioPay é um sistema automá-tico de débito através de im-

pressão digital, único no mundo, de-senvolvido para a Galp Energia pelaBioGlobal em parceria com a Sagem.

Parar o carro, encher o depósito eefectuar o pagamento com um simplestoque do dedo. É isto que permite fazero sistema BioPay da Galp Energia que,graças à sua originalidade, foi conside-rado uma das maiores inovações tec-nológicas do ano 2004.

Trata-se da primeira experiência depagamento biométrico de larga escala,estando já disponível em mais de 70postos de abastecimento da gasolinei-ra portuguesa, dispersos ao longo detodo o território nacional. E apesar daempresa ainda não ter apostado numacampanha de comunicação junto dopúblico, a adesão a este serviço salda-se já num enorme sucesso.

“As pessoas têm manifestado umgrande interesse e aderido para alémdo que eram as nossas expectativas ini-ciais. As vantagens também são mui-tas. Basta referir que o cliente poupa75% no tempo que antes demorava aabastecer o carro”, referiu Pedro Nunes,responsável da Galp Energia, à ExameInformática.

E, ao contrário do que se poderia

PAGUE COM UM DEDO

pensar, os automobilistas portuguesesnão têm mostrado reticências ou preo-cupação em introduzir as suas impres-sões digitais no sistema de controlo dagasolineira.

A BioGlobal foi a empresa portugue-sa de biometria escolhida pela GalpEnergia para proceder à implementaçãoda solução, e o seu administrador Mi-guel Matos não hesitou em nos garantirque o BioPay respeita na totalidade ainviolabilidade dos dados biométricosque recolhe e gere. “O que acontecequando alguém disponibiliza o seu dedopara registo biométrico é a transforma-ção imediata da imagem do dedo numtemplate biométrico que não é mais queum algoritmo encriptado, impossível deduplicar ou de transformar numa ima-gem real tipo fotografia”, refere. Ou seja,por outras palavras, não há o menor ris-co de apropriação ou uso indevido daimpressão digital de ninguém. “Aliás,com a adesão a este sistema, até po-demos dizer que a segurança do auto-mobil ista aumenta bastante porquedeixa de haver necessidade de andarcom cartões bancários ou com dinheironos bolsos. Basta o dedo”, comenta ain-da o mesmo responsável.»

Fonte: Exame Informática de Fevereiro de 2005

(http://exameinformatica.clix.pt/) (excerto)

AUTORIZAÇÃO

É a característica que assegura a protecção contra acções nãoautorizadas, garantindo, por exemplo, que apenas um número restritode participantes pode desempenhar um determinado papel numa ope-ração (como assinar um contrato ou gastar um determinado montan-te) ou que a entidade que está a realizar determinada tarefa podeefectivamente realizá-la.

«

16


REGISTO

É a propriedade que permite o arquivamento de determinadas ope-rações, para análise a posteriori, de modo a saber quem fez o quê equando, especialmente quando se detecta alguma anomalia no funcio-namento de um certo serviço ou sistema. Por exemplo, numa épocaem que o cartão de crédito é cada vez mais utilizado em negócioselectrónicos, é importante haver um registo de todas as transacçõesde forma que se alguém não autorizado fizer uso indevido de um car-tão, a acção seja facilmente detectada.

NÃO-REPÚDIO

É a característica que consiste na protecção contra a negação daparticipação numa determinada operação. O acto de não-repúdio podeser realizado em três fases distintas, nomeadamente:

1. Na criação, quando o autor de uma mensagem ou de um do-cumento não pode negar a sua autoria e o seu envio, por exem-plo, se o documento estiver assinado;

2. Na submissão, quando o autor de uma mensagem ou de umdocumento obtém uma prova do seu envio como, por exemplo,no correio registado;

3. Na recepção, quando o destinatário de uma mensagem não podenegar que a recebeu como, por exemplo, no correio registadocom aviso de recepção.

T E S T E O S S E U S C O N H E C I M E N T O S

1. Descreva os principais ataques activos.2. Diga o que entende por um ataque de repúdio.3. Explique porque é importante a propriedade de registo de informação.4. Considera possível garantir confidencialidade sem garantir integridade?5. Explique quais são os meios para garantir a autenticação de uma identidade.


17

SuporteCriptográfico– Identificaçãoe Autenticação

• Introduzir as noções básicas de criptografia

• Expor os principais algoritmos para codificar/descodificar umamensagem

• Demonstrar a importância da utilização de assinaturas e certificadosdigitais

• Apresentar os principais protocolos de segurança para a Internet

O B J E C T I V O S

2C A P Í T U L O

18


A criptografia (do grego kryptós, que significa escondido, e gráphein, quesignifica escrever) é habitualmente entendida como a ciência que estuda os mé-todos e os algoritmos pelos quais um texto é transformado da sua forma origi-nal para uma forma ilegível a menos que seja conhecido um segredo (chave),que torna o texto fácil de ser lido pelo receptor desejado. No entanto, hoje emdia, a criptografia engloba muito mais do que apenas codificar e descodificar.A utilização da Internet e das tecnologias World Wide Web como meio para rea-lizar negócios online ou vender e comprar produtos e serviços implica que osnossos e-mails, pagamentos com cartões de crédito, consultas de páginas ouquaisquer outras operações que queiramos fazer com alguma privacidade pas-sem a estar sujeitos aos olhares e acções daqueles que com os conhecimentosadequados os saibam manusear.

Este capítulo introduz os principais aspectos da criptografia moderna, no-meadamente algoritmos de codificação/descodificação, assinaturas digitais, cer-tificados digitais, entidades certificadoras e protocolos de segurança quegarantem que uma boa parte das acções que realizamos na Internet são feitasno sossego da nossa privacidade.

NOÇÕES BÁSICAS DE CRIPTOGRAFIA

O objectivo principal da criptografia é garantir que a troca de in-formação entre dois intervenientes, um emissor e um receptor, satis-faz os requisitos de segurança, nomeadamente confidencialidade,integridade, autenticação e não-repúdio. Para assegurar confidencia-lidade na comunicação utilizam-se cifras.

Uma cifra é um algoritmo criptográfico, i. e., uma funçãomatemática injectiva1 que efectua transformações entre o textooriginal e o texto codificado (cifrado) e vice-versa.

Habitualmente, não é utilizada uma função, mas uma família defunções indexadas por um parâmetro denominado chave.

Na criptografia clássica, a manutenção em segredo dos detalhesde uma cifra garantia a sua segurança. Actualmente, o algoritmo éconhecido e a qualidade da cifra avalia-se pelo tempo que permaneceinfringível a ataques de criptoanálise.

A criptoanálise é o estudo de métodos para obter a informa-ção contida num texto cifrado sem o conhecimento da chave.

CAPÍTULO 2 • SUPORTE CRIPTOGRÁFICO – IDENTIFICAÇÃO E AUTENTICAÇÃO

19

Entre os métodos clássicos de criptoanálise encontram-se o da forçabruta e o da análise das frequências. O primeiro consiste em testartodas as combinações possíveis de caracteres até encontrar a chaveque permita a descodificação do texto cifrado. O segundo baseia-seno facto de, em algumas linguagens, certos caracteres (ou combina-ções deles) ocorrerem mais frequentemente.

ALGORITMOS DE CIFRA

Um algoritmo de cifra é essencialmente um conjunto de procedi-mentos (matemáticos) em que as técnicas criptográficas se baseiam.A chave de um algoritmo fornece a informação necessária para apli-car esses procedimentos de uma maneira única. Existem três tipos dechaves: secretas, públicas e privadas. No caso de a chave ser se-creta, o algoritmo diz-se de chave simétrica. Caso contrário, diz-sede chave assimétrica.

ALGORITMOS DE CHAVE SIMÉTRICA

Quando se utiliza a mesma chave (secreta) para cifrar e decifraruma mensagem, o algoritmo denomina-se chave simétrica (Figura 2.1).

Figura 2.1Esquema de umalgoritmo de chavesimétrica

A comunicação que utiliza estes algoritmos pode ser descrita

através dos seguintes passos:1. O emissor e o receptor escolhem,

COMO SE PROCESSA A COMUNICAÇÃO?

em segredo, uma cifra e uma chave;2. O emissor cifra a mensagem e en-

via-a ao receptor;3. O receptor decifra a mensagem.

20


Na criptografia clássica, este tipo de algoritmos era frequentementeutilizado para proteger mensagens de significado militar. Dois dos exem-plos mais básicos de técnicas que permitem transformar um texto originalem texto codificado designam-se por substituição e transposição.

O algoritmo consiste em substi-tuir cada letra de uma palavra

por uma letra diferente de acordo comum esquema predefinido. O exemplo

EXEMPLO 1 – CIFRA DE SUBSTITUIÇÃO

mais conhecido é a cifra de César ouROTn em que uma letra é deslocada deum passo fixo (n). Consideremos osseguintes alfabetos:

Alfabeto normal: a b c d e f g h i j k l m n o p q r s t u v w x y zAlfabeto para a cifragem (ROT3): d e f g h i j k l m n o p q r s t u v w x y z a b c

Assim, a mensagemAtacamos para a semana!

é cifrada paradwdfdprv sdud d vhpdqd!

O algoritmo consiste em «mistu- rar» os conteúdos de uma men-

sagem utilizando uma chave secretaacordada entre o emissor e o receptor.

EXEMPLO 2 – CIFRA DE TRANSPOSIÇÃO

Consideremos que a chave secreta égatos. Assim, o algoritmo para transfor-mar a mensagem Atacamos para a se-mana! é o seguinte:

1. Escrever a chave secreta e, por baixo, a ordem que apresenta no alfabeto:

g a t o s2 1 5 3 4

2. Escrever a mensagem por baixo eliminando os espaços entre as palavras e apontuação. Se necessário, preencher com letras no final para obter um número já fixadode caracteres na mensagem:

g a t o s a g o s t2 1 5 3 4 1 2 3 4 5a t a c a t a c a am o s p a o m p a sr a a s e a r s e a

m a n a u a m a u n

3. Ler cada uma das colunas na ordem previamente atribuída em 1. e escrever cadaum dos caracteres:

toaa amrm cpsa aaeu asan

Note-se que os métodos da análise de frequências ou de força bruta podem serfacilmente utilizados para atacar estes dois tipos de cifras.

→


21

Na era moderna, a comunicação entre emissor e receptor não é feitapelo papel mas pelo computador, no qual a informação é sempre arma-zenada como uma sequência de dígitos binários. Um exemplo é o códigoASCII (American standard code for information interchange), querepresenta cada caracter (a, b, c, [...], A, B, C, [...], +, -, ?, [...]) atravésde oito dígitos binários (oito bits, que correspondem a um byte).

Consoante o seu modo de operação, os algoritmos de chave simé-trica podem ser divididos em:

• cifragem por blocos;

• cifragem por streams.

A cifragem por blocos consiste em agrupar os bits de umamensagem em blocos de tamanho fixo e em processá-loscomo uma unidade singular. Nos casos em que o tamanho dotexto original não é múltiplo do tamanho pré-fixado, o últimobloco é preenchido de acordo com uma regra preestabelecida(padding) (Figura 2.2).

Figura 2.2Esquema de umalgoritmo decifragem porblocos

A cifragem por streams consiste em processar um bit ouum byte de uma mensagem de cada vez, combinando-o comuma sequência de chaves gerada aleatoriamente (Figura 2.3).A chave da cifra funciona como estado inicial do gerador.

Figura 2.3Esquema de umalgoritmo decifragem porstreams

22


Cifragem por blocos vs. cifragem por streams

Geralmente, a cifragem por streams é executada a uma maior ve-locidade do que a cifragem por blocos e, além disso, necessita dehardware menos complexo. Todavia, ela pode conduzir a graves er-ros de segurança, em particular quando o estado inicial da chave érepetido em diferentes comunicações. Mesmo assim, a cifragem porstreams deve ser preferida sempre que não se conheça, à partida, otamanho do texto. No entanto, a cifragem por blocos também podeser usada neste caso, mas então devemos escolher entre transmis-sões eficientes e complexidades acrescidas.

Distribuição de chaves secretas

O maior problema nos algoritmos de chave simétrica é a gestãoeficiente das chaves, uma vez que elas têm de permanecer secretasantes, durante e depois de uma comunicação. Uma solução possívelconsiste em gerar e distribuir previamente as chaves secretas neces-sárias. No entanto, numa comunicação com N elementos, é necessá-rio gerar, armazenar e proteger N(N-1)/2 chaves, uma para cada parde utilizadores. Uma forma de optimizar os recursos é atribuir a umdos elementos a responsabilidade pelo armazenamento de todas aschaves existentes e pela distribuição aos outros elementos, sempreque necessário. Em alternativa, pode ser utilizada uma chave de ses-são, gerada em cada comunicação entre emissor e receptor, e ime-diatamente destruída após o seu fim. Contudo, persiste o problema dadistribuição desse tipo de chaves.

O protocolo de Diffie-Hellman permite efectuar a troca de cha-ves secretas (que podem ou não ser de sessão) através de canaispúblicos e consiste nos passos seguintes:

1. O emissor e o receptor escolhem dois números primos, de gran-des dimensões, p e g<p (com algumas restrições que garantema segurança do protocolo);

2. O emissor gera aleatoriamente um número ke<p e enviaE=gke (mod p) para o receptor;

3. O receptor gera aleatoriamente um número kr<p e enviaR=gkr (mod p) para o emissor;

4. Ambos calculam K=Ekr (mod p) = Rke (mod p) que representa achave.


23

Note-se que, mesmo sabendo os valores de p, g, E e R, distribuídosatravés de canais públicos, não é possível determinar K sem o conhe-cimento de ke e/ou kr. Este protocolo abriu o caminho aos algoritmosde chave assimétrica que serão descritos posteriormente.

O DES é um algoritmo standard de-senvolvido pela IBM na década de 70e ainda muito utilizado em aplicaçõesbancár ias ho je em d ia , como porexemplo na protecção do número PINquando se levanta dinheiro numa cai-xa Multibanco. Utiliza uma chave de56 bits que é aplicada a blocos de

EXEMPLOS DE ALGORITMOS DE CHAVE SIMÉTRICA

dados com 64 bits. Apesar de ser umalgoritmo muito rápido, é considera-do inseguro em inúmeras aplicaçõesdevido ao tamanho da chave ser pe-queno. No entanto, existem vár iosmétodos para aumentar a sua segu-rança, como a cifragem tripla, maisconhecida por 3DES.

EXEMPLO 1 – DES (DATA ENCRYPTION STANDARD)

EXEMPLO 2 – AES (ADVANCED ENCRYPTION STANDARD)

O AES, também conhecido por Rjin-dael devido à aglutinação dos nomesdos autores, Vincent Rijmen e Joan Dae-men, é um algoritmo de cifragem porblocos que foi adoptado como padrãode criptografia pelo Governo dos Esta-dos Unidos da América no final de 2001,após um concurso. Utiliza uma chave de

tamanho variável, 128, 192 ou 256 bits,que é aplicada a blocos de dados com128 bits. Espera-se que nos próximosanos seja mundialmente utilizado, comofoi o caso do seu predecessor (DES).

A tabela seguinte ilustra a aplicaçãodos algoritmos DES e AES à codifica-ção do texto original «Olá criptografia».

ALGORITMO CHAVE (formato hexadecimal) TEXTO CIFRADO (formato hexadecimal)

DES 0123456789abcdef 0be0d1610da4320bd44cc3a92b8c6b50

AES 0123456789abcdef0123456789abcdef 1eca9cd0bf35f0e4d4bd4bb79b77eb9a

Para tornar um texto cifrado, dado um texto original e uma chave arbitrária, utilizandoos algoritmos DES e AES, aceda a http://www.cs.eku.edu/faculty/styer/460/Encrypt/JSDES.html e http://www.cs.eku.edu/faculty/styer/460/Encrypt/JS-AES.html, respectivamente.

ALGORITMOS DE CHAVE ASSIMÉTRICA

Quando se utilizam duas chaves complementares, uma pública eoutra privada, para cifrar e decifrar uma mensagem, o algoritmo de-nomina-se chave assimétrica ou chave pública (Figura 2.4).

24


Figura 2.4Esquema de umalgoritmo de chaveassimétrica

A comunicação que utiliza estes algoritmos pode ser descrita

através dos seguintes passos:1. O emissor e o receptor escolhem

uma cifra;2. O receptor envia, em canal aberto, a


sua chave pública;3. O emissor cifra a mensagem com

a chave pública do receptor e en-via-a;

4. O receptor decifra a mensagem coma sua chave privada.

A criptografia de chave pública baseia-se nas funções one-way (desentido único), i. e., funções muito simples de calcular mas praticamenteimpossíveis de inverter. Assim, utilizando estas funções, qualquer men-sagem é muito fácil de cifrar mas difícil de decifrar. No entanto, a deci-fragem tem de ser possível por parte do receptor. Portanto, utiliza-sehabitualmente uma subclasse das funções one-way, denominada funçãoone-way com trapdoor, que permite a inversão desde que se conheçaalguma informação adicional (segredo). A aplicação destas funções nacriptografia é, então, feita da seguinte maneira: qualquer emissor podecifrar a mensagem desde que conheça a função; apenas os receptoresque possuam o segredo (chave) podem realizar a decifragem.

Algoritmos de chave simétrica vs. algoritmos de chave assimétrica

Os algoritmos de chave simétrica assemelham-se a um cofre emque apenas dois elementos possuem a chave. O emissor coloca a men-sagem dentro do cofre. Posteriormente, o receptor retira-a. Os algorit-mos de chave assimétrica também podem ser comparados a uma caixado correio. Qualquer pessoa pode enviar uma mensagem para a caixado correio desde que conheça a morada (chave pública). Só o dono dacaixa do correio possui a chave (chave privada) que permite receberas mensagens.

Apesar das suas evidentes vantagens, os algoritmos de chave assi-métrica não substituem os algoritmos de chave simétrica uma vez que


25

são muito mais ineficientes em termos computacionais. Por exemplo,se considerarmos dois algoritmos igualmente seguros, um de chavesimétrica e outro de chave assimétrica, o de chave simétrica é pelomenos mil vezes mais rápido do que o de chave assimétrica. Assim,podemos considerar que os algoritmos de chave assimétrica são umcomplemento aos algoritmos de chave simétrica.

Envelopes digitais

Como foi referido anteriormente, o maior problema dos algoritmosde chave simétrica é a gestão eficiente das chaves secretas. Os algo-ritmos de chave assimétrica constituem uma alternativa ao protocolode Diffie-Hellman e fornecem uma segurança adicional na distribui-ção de chaves secretas (de sessão) através de um sistema híbridodenominado envelope digital (Figura 2.5).

A comunicação que utilize um envelope digital pode ser descrita

através dos seguintes passos:1. O emissor cifra o texto original com

uma chave secreta (de sessão);2. O emissor utiliza a chave pública do


receptor, disponível por exemplo numservidor, para cifrar a chave secreta;

3. O receptor decifra a chave secretautilizando a sua chave privada;

4. O receptor utiliza a chave secretapara obter o texto original.

No entanto, surge o problema de confirmar a autenticidade da cha-ve pública. Esse problema será resolvido mais adiante recorrendo aoconceito de certificados de chave pública (certificados digitais).

Figura 2.5Esquema de umenvelope digital

26


O RSA é o algoritmo de chave as-simétrica mais utilizado a nível

mundial, sobretudo em protocolos denegócio electrónico. Foi desenvolvido nadécada de 70 nos Estados Unidos daAmérica por Ronald Rivest, Adi Shamire Len Adleman. A sua segurança baseia--se na dificuldade de factorizar compu-tacionalmente um número primo degrandes dimensões. O algoritmo de ge-ração das chaves é muito simples econsiste em:

1. Escolher dois números primos degrandes dimensões, p e q, em quep≠≠≠≠≠q ;

2. Calcular n=pq;3. Escolher aleatoriamente um núme-

ro que seja primo com (p-1)(q-1);

Após a execução destes passos, aschaves públicas e privadas são consti-tuídas pelos seguintes pares:

Chave pública: (n,e).Chave privada: (n,d), onde d=e-1 (mod

((p-1)(q-1)).

EXEMPLOS DE ALGORITMOS DE CHAVE ASSIMÉTRICA – RSA

No que diz respeito à cifragem e de-cifragem de uma mensagem m, as fun-ções são realizadas pelas seguintesoperações:

Cifragem: c=me mod (n);Decifragem: m=cd mod (n).

Consideremos o seguinte exemplonumérico. Seja

p=47,q=71,

n=pq=3337,e=79,

d=1019.

A cifragem de m=688 (texto original)corresponde a c=68879 mod (3337)=1570.Facilmente se verifica que utilizando a fun-ção inversa, m=15701019 mod (3337), seobtém o texto original. Para um exemploreal aceda a http://en.wikibooks.org/wiki/Transwiki:Generate_a_keypair_using_OpenSSL. Existem outros algoritmos descritosna literatura, como Rabin, ElGamal, McE-liece and Knapsacks. Para mais informa-ções, consulte Menezes et al. (1996).

ALGORITMOS DE SUMÁRIO

Os algoritmos de sumário, habitualmente denominados por funçõesde Hash, assumem um papel fundamental na criptografia moderna,por exemplo na produção de assinaturas digitais (ver ponto seguin-te). O objectivo das funções de Hash é transformar univocamente amensagem original (de tamanho variável) num sumário (impressãodigital) de tamanho fixo. Uma vez que as funções de Hash não sãoinvertíveis, é computacionalmente impraticável obter o texto original apartir do sumário. Contudo, é probabilisticamente possível que duasmensagens diferentes forneçam o mesmo sumário devido ao facto deas funções não serem injectivas.


27

É importante referir que, ao contrário dos algoritmos de cifra, cujoprincipal objectivo é assegurar a confidencialidade da mensagem, osalgoritmos de sumário pretendem garantir a integridade.

A comunicação que utilize estes algoritmos pode ser descrita

através dos seguintes passos:1. O emissor e o receptor escolhem

uma função de Hash;2. O emissor envia a mensagem em


conjunto com o sumário;3. O receptor calcula o seu próprio su-

mário e compara com o original. Nocaso de não serem iguais, compro-va-se que a mensagem foi modifi-cada em trânsito.

O Message Digest 2, mais conheci-do por MD2, é um algoritmo de sumárioque foi desenvolvido por Ronald Rivest(um dos inventores do RSA) em 1989.No entanto, uma série de avanços nacriptoanálise levou o autor a melhorá--lo, desenvolvendo em 1990 o MD4 e noano seguinte o MD5. Em 1996, foi de-

EXEMPLOS DE ALGORITMOS DE SUMÁRIO

tectada uma debilidade no MD5 e oscriptógrafos começaram a recomendara utilização de outros algoritmos, comoo SHA1 e o RIPE-MD. A classe de algo-ritmos MD produz sumários de 128 bitse tem sido amplamente utilizada paragarantir a integridade dos ficheiros des-carregados através da internet.

EXEMPLO 1 – MD2, MD4 e MD5

EXEMPLO 2 – SHA

A família de algoritmos SHA (se-cure hash algoritm) foi desenvolvida emconjunto pelas agências governamen-tais americanas NSA (National SecurityAgency) e NIST (National Institute ofStandards and Technology) para incluir nostandard de assinaturas digitais. O algorit-mo mais conhecido, SHA-1, produz um su-mário de 128 bits e é utilizado actualmentenuma grande variedade de aplicações desegurança e protocolos, nomeadamente

SSL (secure sockets layer), TLS (trans-port layer security), PGP (pretty good pri-vacy), etc., que veremos em detalhe maisadiante. Nos últimos dois anos foram di-vulgados alguns ataques ao SHA-1 quelevaram a NIST a publicar quatro algorit-mos adicionais, SHA-224, SHA-256, SHA--384 e SHA-512, que produzem sumáriosde 224, 256, 384 e 512 bits, respectiva-mente. Estes algoritmos são designadoscolectivamente por SHA-2.

EXEMPLO 3 – RIPE-MD

O RIPE-MD (RACE integrity primiti-ves evaluation message digest) é um

algoritmo de sumário que foi publica-do por Hans Dobbertin, Antoon Bosse-

28


laers e Bart Preneel em 1996. É ba-seado no MD4 mas produz sumários de160 bits. Existem outras versões destealgoritmo que produzem sumários de128, 256 e 320 bits, denominadas RIPE-

-MD-128, RIPE-MD-256 e RIPE-MD-320,respectivamente.

A tabela seguinte ilustra a aplicaçãodos algoritmos DES e AES à codifica-ção do texto original «Olá criptografia».

ALGORITMO TEXTO CIFRADO (formato hexadecimal)

MD2 aff29c9af3f42b5318dd12498040bfe3

MD4 dacbeb0df8c255fb64af03f76da11f00

MD5 ccb3ddd9f19bf2026c34e44cc53b8652

SHA-1 4b285781b6934a250bde68d8f1ff73e4a403179e

SHA-224 166befe901626a461844cce286df68e25d8d55405cdb8d3b9934746d

RIPE-MD-128 f7df43a12e457d80f073ce49e96e771a

Para calcular o sumário de um texto arbitrário utilizando os algoritmos acima des-critos aceda a http://serversniff.net/hash.php.

ASSINATURA DIGITAL

A assinatura manuscrita é desde há muito tempo utilizada comoprova da autoria ou, pelo menos, de concordância com o conteúdo deum documento. Infelizmente, nos meios tradicionais, assistimos cadavez mais à falsificação de assinaturas e à inserção de documentosnão autorizados por entre os documentos originais. Uma assinaturadigital é equivalente a uma assinatura manuscrita, mas proporcionageralmente garantias mais fortes, nomeadamente integridade, autenti-cidade e não-repúdio. Habitualmente, é aplicada a documentos elec-trónicos, i. e., a qualquer tipo de ficheiros.

Os estados americanos Utah, Massachussets, Califórnia e Floridaforam os primeiros a regulamentar, em 1996, a assinatura digital, con-ferindo-lhe o mesmo valor legal da assinatura manuscrita. Na Europa,Portugal foi um dos primeiros países, conjuntamente com a Alemanhae a Itália, a definir o enquadramento legal pelo Decreto-Lei n.º 290-A//99, de 2 de Agosto (Diário da República n.º 178, I série A).

Uma assinatura digital envolve os se-guintes procedimentos (Figura 2.6):

COMO FUNCIONA UMA ASSINATURA DIGITAL?

1. O emissor assina o documento, i. e.,produz o seu sumário;


29

2. O emissor cifra o sumário com a suachave privada e envia o documento con-juntamente com o sumário ao receptor;

3. O receptor decifra o sumário utilizan-do a chave pública do emissor;

4. O receptor verifica a assinatura cal-culando o sumário a partir do do-

cumento original e comparando-ocom o sumário decifrado. No caso deserem iguais, verifica-se que a assi-natura não é repudiável, i. e., o emis-sor não pode negar, a posteriori, queenviou o documento porque só ele co-nhece a sua chave privada.

Mais uma vez convém notar que, para a assinatura digital ser segu-ra, é necessário confirmar a autenticidade da chave pública do emissor,ou seja, é necessário um sistema de certificação das chaves públicas.

Figura 2.6Esquema de umaassinatura digital

A assinatura RSA é uma adaptaçãodirecta do algoritmo de chave assimé-trica RSA e utiliza o algoritmo de sumá-rio MD5. Os cálculos matemáticos são

EXEMPLOS DE ASSINATURAS DIGITAIS

exactamente os mesmos, mas nestecaso a cifragem é efectuada com a cha-ve privada e a decifragem com a chavepública.

EXEMPLO 1 – RSA

EXEMPLO 2 – DSA

O DSA (digital signature algorithm) éo standard de assinaturas digitais doGoverno dos EUA que foi proposto pela

agência americana NIST em 1991 e for-malmente adoptado em 1993. A decisãocausou imensa polémica, uma vez que

30


muitas aplicações já tinham sido desen-volvidas com base no RSA. Apesar de serum algoritmo mais lento do que o RSA, oDSA não tem royalties. O DSA é baseadono algoritmo de chave assimétrica ElGa-

mal e utiliza o algoritmo de sumário SHA-1.Existem outros algoritmos de assina-

turas digitais, como Schnorr e ElGamal.Para mais informações, consulte Schneier(1996).

CERTIFICADO DIGITAL

Numa comunicação, os intervenientes devem poder ter a certezade que cada vez que utilizam uma chave pública a entidade com quempretendem trocar informação possui a chave privada associada. Essaconfiança assenta nos certificados digitais.

Um certificado digital ou um certificado de chave pública éum conjunto de dados que identifica uma entidade, seja elauma empresa, uma pessoa ou um computador e a respectivachave pública.

Além da ligação entre a chave pública e o seu titular, o certificadodigital fornece também uma ligação indirecta à correspondente chaveprivada, garantindo assim autenticidade e não-repúdio na comunica-ção. Para assegurar a veracidade dos dados contidos no certificadoele é assinado digitalmente por uma entidade em quem todos confiam(TTP). O formato mais utilizado para certificados digitais é definidopela norma X.509 da ITU (International Telecommunications Union).Um certificado é constituído por:

1. Versão do certificado – identifica a versão do certificado X.509(v3 actualmente);

2. Número de série – identificador único do certificado emitidopela TTP;

3. Algoritmo da assinatura – identificação dos algoritmos utiliza-dos pela TTP para a assinatura do certificado, por exemplo, oRSA como algoritmo de cifragem e o MD5 como algoritmo desumário;

4. Emissor – identificação da TTP que emitiu e assinou o certifi-cado;


31

5. Período de validade do certificado – intervalo de tempo duranteo qual a TTP garante o conteúdo do certificado;

6. Identificação do titular – nome da entidade (empresa ou parti-cular) titular (em casos especiais poderá ser anónimo) cuja chavepública o certificado identifica;

7. Chave pública – chave pública do titular do certificado e cor-respondente algoritmo utilizado;

8. Extensões – várias extensões ao certificado que permitem, entreoutras coisas, restringir as utilizações do par de chaves associa-do, por exemplo, apenas para verificação de assinaturas digitais.

A Figura 2.7 apresenta um exemplo de um certificado digital.

Figura 2.7Exemplo de umcertificado digital(Caixa Geral deDepósitos)

Embora um certificado tenha um período de validade predefinido,poderão surgir situações que obriguem a revogar um certificado, no-meadamente se a chave privada do titular for descoberta ou se algumdos dados identificativos do titular do certificado for alterado. A infor-mação sobre certificados revogados pode ser obtida de duas manei-ras: por certificate revocation lists (CRL) ou por uma consulta àTTP utilizando o OCSP (online certificate status protocol). As CRL

32


são normalmente colocadas num local facilmente acessível, do co-nhecimento geral e disponível ao público denominado repositório. Al-guns exemplos de repositório são:

• a directoria X.500;

• os servidores de LDAP (lightweight directory acess protocol).

A verificação de uma assinatura digital envolve os seguintes

passos:1. O receptor do documento obtém o

certificado digital do signatário;2. O receptor do documento obtém o

certificado digital da TTP que assi-nou o certificado do signatário. Em

COMO FUNCIONA A VERIFICAÇÃO DE UMA ASSINATURA DIGITAL?

geral, o certificado da TTP está as-sinado pela própria;

3. O receptor valida a assinatura da TTPno certificado;

4. O receptor obtém a chave pública dosignatário a partir do seu certificado;

5. O receptor valida a assinatura digi-tal dos dados.

ENTIDADES CERTIFICADORAS

Uma entidade certificadora é responsável pela emissão e con-firmação dos dados presentes num certificado digital. Mais ainda, aconfiança que as entidades certificadoras oferecem é a base de umcertificado digital. Existem vários factores que podem aumentar aconfiança, nomeadamente a existência de:

1. Processos de verificação dos dados do certificado como, porexemplo, verificação presencial, com documento de identifica-ção, e-mail ou procuração;

2. Entidades públicas como notários que possuem procedimentosnormalizados para efectuar as verificações referidas em 1.Tradicionalmente, estas entidades gozam da confiança do gran-de público;

3. Empresas privadas que têm de respeitar normas de verificaçãoe de segurança aprovadas pela legislação como a publicação deCertification Practice Statements (CPS), nas quais publicitamas suas normas de operação internas.

Em geral, a actividade de uma entidade certificadora é subdivididaem duas componentes, uma certification authority (CA) e uma re-gistration authority (RA).


33

Uma certification authority (CA) é uma entidade que cria oufornece meios para a criação e verificação de assinaturas di-gitais, emite e gere o ciclo de vida dos certificados digitais eassegura a respectiva publicidade.

Uma registration authority (RA) é uma entidade que prestaos serviços relativos à identificação/autenticação do detentordo certificado digital, à celebração de contratos de emissão decertificado digital e à gestão de certificados digitais que não seencontrem atribuídos em exclusivo à CA.

Normalmente, por razões de segurança como, por exemplo, a pro-tecção da chave privada, a CA não está acessível a partir do exteriore só a RA pode comunicar com ela. Em algumas aplicações da Inter-net, como os browsers ou os leitores de e-mail, os certificados dasCA são obtidos automaticamente. A Figura 2.8 apresenta algumas dasCA pré-instaladas no browser do Internet Explorer.

Figura 2.8CA pré-instaladasno browser doInternet Explorer

Cadeias de certificação

Na utilização de um serviço que exija o conhecimento de uma cha-ve pública, é necessário obter e validar o certificado que a contém.A validação do certificado implica, por sua vez, o conhecimento dachave pública da CA que o emitiu e, consequentemente, a obtenção eautenticação do seu certificado. No entanto, um utilizador pode não

34


ter hipótese de validar directamente o certificado da CA (por exem-plo, se obteve a sua chave pública de forma insegura). Este problemapode ser resolvido se o certificado for assinado por outra CA cujocertificado seja bem conhecido pelo utilizador. Assim, forma-se umacadeia de certificação em que uma CA atesta a veracidade do cer-tificado de outra e assim sucessivamente. No topo encontra-se a root(raiz) CA, assim designada por agir como raiz de confiança para to-dos os elementos que se encontram abaixo dela. A Figura 2.9 ilustraum exemplo de uma hierarquia de CA.

Figura 2.9Hierarquia decertificationauthorities (CA)

Considerando este exemplo, se o utilizador C pretender verificar ocertificado do utilizador A, apenas necessita de seguir a cadeia atéencontrar a CA intermediária X, cujo certificado verificará o certifi-cado desse utilizador. A Figura 2.10 apresenta um exemplo real deuma cadeia de certificação (SET – secure electronic transaction).O SET é um sistema que foi desenvolvido com o objectivo de solucio-nar o problema levantado pelos pagamentos com cartões de créditoem redes abertas como a Internet. Como se pode ver na Figura 2.10,no topo da hierarquia encontra-se a raiz CA, em que todos os interve-nientes devem confiar. Essa autoridade certifica cada uma das mar-cas dos cartões de crédito, nomeadamente Visa, American Express eMastercard, que, por sua vez, certificam CA nas diversas regiões doglobo denominadas CA geopolíticas. Estas certificam CA que emitemcertificados para os possuidores de cartões de crédito (cardholders),comerciantes (merchants) e entidades que autorizam e processam os


35

pagamentos (payment gateways). No Capítulo 4 serão dados maisdetalhes sobre o SET.

Figura 2.10Cadeia decertificação doSET (secureelectronictransaction)

Com o objectivo de desenvolver um ambiente seguro na comunica-ção em rede aberta, englobando todas as técnicas e todos os conceitosrelacionados com a criptografia assimétrica ou de chave pública, foramcriadas infra-estruturas de chave pública (PKI – public key infras-tructures). As PKI reúnem um conjunto de hardware, software, utiliza-dores, políticas e procedimentos necessários para criar, gerir, armazenar,distribuir e revogar certificados de chave pública, nomeadamente:

• certification e registration authorities;

• certification practice statements;

• cadeias de certificação;

• repositórios de certificados digitais;

• certificate revocation lists;

• chaves públicas, privadas e secretas;

• algoritmos de cifra simétrica, assimétrica e de sumário.

A título ilustrativo, veja-se a seguinte notícia sobre a utilização detécnicas criptográficas.

36


Cavaco Silva, Presidente da Re-pública, José Sócrates, primei-

ro-ministro, e os ministros do seu Exe-cutivo vão passar a usar uma assinaturaelectrónica nos procedimentos legisla-tivos, através de uma “rede segura deinformática”, adiantou ao CM fonte ofi-cial da Presidência do Conselho de Mi-nistros. O sistema chega mais tardeao cidadão, por exemplo, através docartão do cidadão e do passaporte elec-trónico português. O Governo investiuperto de 200 mil euros na criação doSistema de Certificação Electrónica doEstado (SCEE), que dentro de duas se-manas estará instalado num cofre-forteda Casa da Moeda.

Segundo o Decreto-lei n.º 116-A//2006, publicado em Diário da Repú-blica de 16 de Junho, “o SCEE consti-tui, assim, uma hierarquia de confiançaque garante a segurança electrónica doEstado e a autenticação digital forte dastransacções entre os vários serviços eorganismos da Administração Públicae entre o Estado e os cidadãos e asempresas”. Até agora, Portugal não dis-punha de uma tecnologia informáticadeste tipo.

“O Governo quer dar o exemplo”, dis-se a mesma fonte ministerial. E, porisso, vai começar por aplicar o SCEE atodos os intervenientes no processo le-gislativo. Ou seja, Cavaco Silva, JoséSócrates, ministros e funcionários im-plicados na aprovação e publicação deleis recebem um cartão pessoal comchip e código pin (como o sistema doscartões de telemóvel), que comporta ain-da a sua assinatura, igual à manuscritano bilhete de identidade. Por exemplo,“o Presidente da República poderá as-sinar um diploma através de uma assi-natura certificada”, explicou.

ASSINATURA DIGITAL VAI PROMULGAR LEIS

Mais tarde, o SCEE vai ser aplicadoà Administração Pública, para desburo-cratizar serviços e permitir a circulaçãodocumental por via electrónica, de for-ma segura.

A partir de 1 Julho, os cidadãos po-derão aceder ao Diário da Repúblicaelectrónico (em www.dre.pt) de formagratuita, como um passo no sentido dadesmaterialização legislativa.

A independência da Autor idadeNacional de Segurança vai garantir acertificação e fiscalização do sistema,aumentando ainda a confiança doscidadãos e empresas nesta tecno-logia. A Presidência do Conselho deMinistros frisa que o SCEE “não é umserviço de apoio informático” para aresolução de problemas nos compu-tadores.

Cofre-Forte Fecha Sistema

A Casa da Moeda vai terminar emduas semanas a instalação do Sis-tema de Certificação Electrónica doEstado (SCEE). A sala onde vai ficar tan-to o software como o hardware destaestrutura será uma espécie de cofre--forte, que garante a invulnerabilida-de do SCEE. “A ideia é: como isto sãochaves públicas e privadas, estão guar-dadas na Casa da Moeda com um sis-tema de alta segurança”, explicou aoCM fonte da Presidência do Conselhode Ministros.

Por outro lado, o investimento nãochegou aos 200 mil euros e nem “vai tergrande impacto na despesa pública”,disse a mesma fonte.»

Fonte: Correio da Manhã,

18 de Junho de 2006

(http://www.correiomanha.pt)

«


37

Redes de confiança

Existe outro modelo de estabelecimento de certificados que nãorecorre a cadeias de certificação. Esse modelo é designado por redede confiança e baseia-se em relações pessoais entre os vários utili-zadores. No entanto, é um modelo pouco seguro porque as relaçõesde confiança são informais e podem ser enganadoras. A Figura 2.11apresenta um exemplo de estabelecimento de redes de confiança.

Figura 2.11Estabelecimentode uma rede deconfiança

Considerando este exemplo, suponhamos que os utilizadores U2 eU3, que não se conhecem, têm um amigo comum, U1, em quem con-fiam. Assume-se por defeito que U1 confia em U2 e U3. Se U1 apre-sentar U2 a U3, este reconhece U2, por confiar em U1. Uma vez queU3 conhece U5, de seguida pode apresentar-lhe U2. Assim, U2 reco-nhece U5 porque confia em U3. Finalmente, U3 aceita que U2 lhe apre-sente U4, por agora confiar em U2.

Aplicando estes conceitos aos certificados digitais, um utilizadorU1 aceita o certificado de um utilizador U2 se tiver sido assinado poroutro utilizador U3, em que confia. O PGP (pretty good privacy), queveremos na próxima secção, é um exemplo de uma aplicação querecorre a um modelo de redes de confiança.

38


APLICAÇÕES DA CRIPTOGRAFIA – SEGURANÇA NA INTERNET

A Internet e o comércio electrónico oferecem inúmeras possibili-dades e oportunidades de negócio às empresas bem como conveniên-cia para os consumidores. Contudo, o aumento das transacçõeselectrónicas nesses canais abertos obriga à existência de ambientesfiáveis para a realização dessas operações de forma segura. Isto épossível com o auxílio da criptografia.

PRETTY GOOD PRIVACY (PGP)

O PGP é uma aplicação que foi desenvolvida por Phil Zimmer-mann em 1991 com o objectivo de colocar à disposição do cidadãocomum uma infra-estrutura de segurança da informação que garan-tisse simultaneamente:

1. Privacidade, mediante a utilização de algoritmos de compres-são (ZIP) e algoritmos de cifra simétrica (3DES) e assimétrica(RSA e ElGamal) para protecção sobretudo de mensagens dee-mail. É de notar que os algoritmos de compressão são aplica-dos porque permitem poupar espaço e aumentar a segurança,escondendo padrões existentes no texto original;

2. Integridade e autenticação, através da utilização de algoritmosde sumário (MD5 e SHA-1) e assinaturas digitais (RSA e DSA)para a assinatura de mensagens e documentos;

3. Certificação, através de um modelo de redes de confiança paradistribuição das chaves públicas.

O PGP teve uma grande aceitação por parte dos utilizadores, sobre-tudo por ser gratuito. No entanto, o seu autor teve problemas com ajustiça americana, alegadamente por ter desrespeitado as leis que res-tringiam a difusão e utilização generalizada da criptografia. Devido aomodelo de redes de confiança utilizado pelo PGP, a comunidade técnicaespecializada não aconselha a sua utilização para fins comerciais.

SECURE SOCKETS LAYER (SSL)

O SSL é um protocolo de comunicação que foi desenvolvido pelaNetscape para garantir integridade e confidencialidade na Internet.É utilizado para proteger ligações do tipo TELNET, FTP e HTTP e o seu


39

funcionamento baseia-se em sessões estabelecidas entre um cliente eum servidor. O SSL é basicamente constituído por dois subprotocolos:

1. SSL handshake protocol;

2. SSL record protocol.

O SSL handshake protocol é utilizado para definir os mecanis-mos de autenticação do servidor perante o cliente (e vice-versa, naversão 3.0), transmitir os certificados na norma X.509 e estabeleceras chaves de cifragem dos dados. Alguns dos detalhes do SSL hand-shake protocol estão ilustrados na Figura 2.12.

Figura 2.12SSL handshakeprotocol

40


O SSL record protocol é utilizado durante as sessões de transfe-rência de dados entre o cliente e o servidor. Mais ainda, é aqui quesão definidos os formatos dos dados a serem transferidos e forneci-dos os mecanismos para compressão, cifragem e verificação da inte-gridade. Actualmente, os algoritmos e as assinaturas digitais que sãosuportados pelo SSL são:

• algoritmos de cifra simétrica: DES, 3DES, AES, etc.;

• algoritmos de cifra assimétrica: RSA;

• algoritmos de sumário: SHA1 e MD5;

• assinatura digital: RSA e DSA.

O SSL é normalmente identificado pelos browsers mais comunsatravés de um URL do tipo https:// (Figura 2.13). Note-se que todoeste protocolo é feito geralmente de forma automática pelo browser,sem o cliente se aperceber.

Figura 2.13Exemplo de umaligação https://

Apesar de o SSL handshake protocol incluir todos os mecanis-mos de segurança necessários para estabelecer uma ligação seguraao servidor, isso pode não ser suficiente. Consideremos o seguintecenário: um cliente pretende fazer um pagamento referente a umacompra efectuada pela Internet. Para isso, envia o número do seucartão de crédito através de uma ligação https://. Neste caso, a liga-


41

ção é segura mas o servidor não é necessariamente seguro, i. e., se onúmero de cartão de crédito do cliente for armazenado sem cuidadosadicionais numa base de dados, a informação pode ir parar às mãosdaqueles que, com os conhecimentos adequados, os saibam manusear.Assim, devem-se utilizar procedimentos de segurança complementa-res, como firewalls (Capítulo 3).

TRANSPORT LAYER SECURITY (TLS)

O TLS é uma versão actualizada e melhorada do SSL. Do pontode vista do utilizador não existem diferenças mas internamente foramrealizadas melhorias em alguns algoritmos. No entanto foi introduzidoum mecanismo de fall-back para SSL, em caso de necessidade.

Os algoritmos e as assinaturas digitais suportados pelo TLS são osmesmos do SSL com excepção da assinatura digital DSA que não foiincluída nesta versão. Assim, a grande vantagem do TLS em relaçãoao SSL reside no facto de o TLS ser completamente livre de patentes.

INTERNET PROTOCOL SECURITY (IPSEC)

O IP é o protocolo de transmissão de mensagens utilizado na Inter-net (versão v4). Este protocolo define uma norma para formatação deum conjunto de elementos (cabeçalho) que são anexados aos dadosque se pretendem transmitir, formando pacotes. Dois dos elementosmais importantes do cabeçalho definem os endereços de origem e dedestino dos pacotes. Uma das funções do IP é encaminhar os pacotesdesde a origem até ao destino. No entanto, existem alguns ataques àsegurança na Internet que se baseiam na violação deste princípio defuncionamento. Mais concretamente, certos utilizadores conseguem,por vezes, modificar os cabeçalhos alterando os endereços de origemou destino. Esta técnica de autenticação de um computador hostil,fazendo-se passar por um computador autorizado, denomina-se por IPspoofing. Tendo em vista a resolução deste problema e o controlo deacessos, o grupo de trabalho IPSEC definiu dois mecanismos de segu-rança para o IP, nomeadamente:

1. Authentication header;

2. Encapsulating security payload.

O authentication header, como o próprio nome indica, providen-cia mecanismos para a autenticação de origem de pacotes. Para além

42


disso, inclui serviços de integridade dos seus conteúdos. O encapsu-lating security payload providencia confidencialidade dos pacotes,cifrando o seu conteúdo.

Um conceito-chave que aparece em ambos os mecanismos de au-tenticação e confidencialidade para o protocolo IP é a associação desegurança, que não é mais do que uma relação de sentido único entreum emissor e um receptor que descreve quais os mecanismos de se-gurança (algoritmos de cifragem) a utilizar para estabelecer uma co-municação segura. Estes algoritmos baseiam-se no Internet keyexchange, que consiste num protocolo de Diffie-Hellman para trocade chaves secretas conjugado com um certificado de chave públicapara autenticação.

Os mecanismos de segurança acima referidos são opcionais na ver-são IPv4 e obrigatórios na nova versão do IP, o IPv6. Naturalmente, àmedida que a utilização do IPv6 se generalizar, estes mecanismos tor-nar-se-ão também correntes. Uma barreira de ordem não tecnológicaao maior emprego do IPSEC são as restrições à utilização da cripto-grafia impostas pelos Estados Unidos da América e outros países.

REDE PRIVADA VIRTUAL

Uma rede privada virtual, normalmente conhecida por VPN (vir-tual private network), é uma solução tecnológica que permite queduas ou mais redes privadas comuniquem de forma segura entre siutilizando uma rede pública como a Internet. Basicamente, uma VPNé construída utilizando protocolos de segurança como o IPSEC, quecifra todos os pacotes que são enviados para a Internet. Deste modo,se houver uma intercepção por um agente não autorizado, este nãoconsegue ter acesso ao conteúdo do pacote.

Na actualidade, são inúmeras as empresas que adoptam esta solu-ção com o objectivo de reduzirem os custos das infra-estruturas decomunicação e aumentarem a eficiência dos trabalhadores, permitin-do-lhes o acesso remoto à rede da empresa através de uma VPN,com elevados níveis de segurança.

SECURE/MULTIPURPOSE INTERNET MAIL EXTENSIONS (S/MIME)

O S/MIME foi desenvolvido por um grupo liderado pela RSA Se-curity Inc. (fundada pelos criadores do algoritmo RSA) com o objec-tivo de adicionar assinaturas digitais ou chaves às mensagens dee-mail. A grande diferença em relação a outros sistemas do mesmo


43

género, como o MOSS (MIME object security services), é que asoperações de assinatura e cifragem, baseadas em algoritmos e certi-ficados de chave pública (formato X.509) podem ser aplicadas a par-tes de uma mensagem e não obrigatoriamente à sua totalidade. Hojeem dia, o S/MIME é o sistema mais utilizado comercialmente paraprotecção do correio electrónico.


1. Sabendo que a chave secreta é «chaves», utilize a cifra de transposição paradecifrar a seguinte mensagem: nudren cuccag eefssx oioame gsitax sdienx

2. Se tivesse de escolher entre algoritmos de cifra simétrica e assimétrica, qual esco-lheria? Justifique.

3. Explique qual o objectivo dos algoritmos de sumário (funções de Hash).4. Indique as principais diferenças entre o secure sockets layer (SSL) e o transport

layer security (TLS).

1 Uma função f: A → B diz-se injectiva se, quaisquer que sejam x, y pertencentesao domínio da função (A), x é diferente de y implica que f(x) é diferente de f(y).

Pág. 18

N O T A S

Protecçãode Dadosdo Utilizadore dos Sistemas

• Apresentar os principais sistemas para protecção de dados,nomeadamente firewalls, sistemas de detecção de intrusão eantivírus

• Descrever os ataques mais comuns contra sistemas: vírus, wormse cavalos de Tróia

• Demonstrar a importância da utilização de serviços de segurançaadicionais, como filtragem de conteúdos, backups e monitorizaçãoremota

O B J E C T I V O S

3C A P Í T U L O

46


A crescente utilização da Internet e das tecnologias da World Wide Web comomeio para realizar negócios electrónicos traz, naturalmente, um conjunto depreocupações relativas à protecção de dados dos utilizadores e dos sistemas.Mais ainda, a massificação da utilização da Internet implica o aumento do ris-co de ataques ao seu funcionamento, por exemplo, tentando sobrecarregar arede ou usando-a como meio para cometer burlas informáticas. No entanto, osdesenvolvimentos científico e tecnológico na área da segurança têm sido gran-des, garantindo condições e níveis de confiança elevados em qualquer troca deinformação realizada através da Internet.

Este capítulo introduz os principais sistemas para protecção dos dados nomea-damente firewalls, sistemas de detecção de intrusão e antivírus e descreve algumasdas ameaças à segurança mais comuns, como vírus, cavalos de Tróia e worms.

FIREWALLS

Uma firewall é um sistema ou uma combinação de siste-mas (hardware ou software) que assegura o cumprimentode políticas de controlo de acesso (segurança) entre duas oumais redes.

Considere o seguinte exemplo, que explica de uma maneira muitosimples o que é uma firewall: num determinado dia, um escritório deuma empresa recebe a visita de alguns directores de uma empresaconcorrente. No entanto, a entrada no escritório só está autorizada aempregados ou clientes da empresa. Os visitantes obtiveram, excepcio-nalmente, autorizações por parte da administração. Assim, a empresade segurança pode verificar as credenciais antes de os deixar entrar.Em alguns casos, é também necessário inspeccionar os empregados nosentido de verificar que nenhum transporta objectos que não são permi-tidos, por exemplo, álcool. Contudo, estas restrições não impedem osempregados de se relacionarem com pessoas fora do escritório. Maisainda, é permitido aos empregados saírem do escritório, mas nem toda agente está autorizada a entrar. A empresa de segurança ou qualqueroutra entidade responsável por restringir ou controlar o acesso ao escri-tório da empresa pode portanto ser comparada a uma firewall.

Basicamente, no contexto de uma rede informática, uma firewallprotege uma rede privada de acessos (ataques) vindos do exterior, porexemplo, da Internet, filtrando todo o tráfego que passa entre as duas(Figura 3.1). Para além disso, pode impedir que os computadores des-

CAPÍTULO 3 • PROTECÇÃO DE DADOS DO UTILIZADOR E DOS SISTEMAS

47

sa rede privada comuniquem directamente com o exterior, bloqueandoqualquer tentativa de acesso de computadores não autorizados.

Figura 3.1Esquema geral deuma firewall

Normalmente, uma firewall é implementada colocando um router(encaminhador) ou um computador (servidor proxy) entre a rede in-terna (privada) e a Internet.

Um router é um equipamento informático que tem a capaci-dade de encaminhar tráfego entre duas ou mais redes de ummodo transparente. Actualmente, para além dessa tarefa, umrouter desempenha também funções de filtragem de tráfegoentre as redes.

Um servidor proxy é um sistema que recebe e processatodos os pedidos relacionados com um determinado protoco-lo entre duas ou mais redes. Uma vez que todo o tráfego de umcerto tipo passa através deste sistema, a sua utilização podeestar enquadrada numa política de controlo de acesso de umarede privada.

Note que, apesar de uma firewall estar normalmente associada auma ligação com a Internet, é vulgar hoje em dia instalarem-se fi-rewalls também em intranets. Neste caso, algumas partes da redeinterna estão resguardadas de outras componentes da mesma rede.

Geralmente, uma firewall faz a filtragem recorrendo ao endereçode origem do pacote IP (ver Capítulo 2). No entanto, uma firewall tam-bém pode efectuar esta operação com base nos seguintes elementos:

1. Endereço de destino ou combinação origem/destino;

2. Tipo de serviço, por exemplo, permitindo a passagem do tráfegorelativo a um certo protocolo (HTTP) de e para um certo servidor.

48


Para além disso, uma firewall pode exercer outras funções comoutilizar o IPSEC para:

1. Autenticação da origem dos acessos;

2. Protecção da confidencialidade dos dados, através da cifragemdos pacotes;

Note que este último ponto permite aplicar uma firewall à constru-ção de uma rede privada virtual (ver Capítulo 2).

As firewalls podem ser classificadas com base nas suas funciona-lidades em:

1. Packet filtering (filtragem de pacotes);

2. Proxy application;

PACKET FILTERING FIREWALLS

Packet filtering é a firewall mais básica em termos de segurançaque opera na camada de rede do modelo TCP/IP (ver Anexo). Con-siste em filtrar os pacotes IP de entrada, permitindo ou negando oacesso àqueles que não verificam as regras que normalmente estãodefinidas e programadas num router específico, denominado routerfirewall (Figura 3.2). Normalmente, o router firewall analisa cadapacote e a informação contida no seu cabeçalho, nomeadamente:

• a origem do pacote,

• o destino do pacote,

• o tipo de pacote,

de modo a decidir se o pacote deve ou não passar. Depois de opacote ter sido analisado, o router firewall realiza uma das seguin-tes tarefas:

• aceita o pacote, o que significa que o deixa passar;

• rejeita o pacote, o que significa que não o deixa passar masinforma a origem do pacote da rejeição;

• nega o pacote, o que significa que o descarta completamentesem informar a origem da rejeição.

Para além destas três acções, o router firewall pode também re-gistar a informação acerca dos pacotes e, se necessário, accionar umalarme quando a segurança tiver sido quebrada.


49

Figura 3.2Esquema de umapacket filteringfirewall

O processo de filtragem

Na packet filtering, a filtragem pode ser efectuada de três manei-ras distintas:

1. Simple packet filtering, que bloqueia o acesso dos pacotes IPde todas as origens excepto aquelas que estão definidas na rou-ter firewall. Em alternativa, pode ser implementada uma estra-tégia em que todos os pacotes IP são aceites excepto os queprovêm de determinadas fontes, por exemplo, de domínios nãocomerciais. Para além disso, a router firewall pode ser confi-gurada de modo a restringir o acesso a determinadas aplica-ções, permitindo a comunicação apenas por uma determinadaporta. Note que algumas das aplicações básicas da Internet,como as ligações HTTP e FTP, utilizam as portas TCP (trans-mission control protocol) 80 e 21, respectivamente;

2. State tracking, que permite apenas a entrada de pacotes quechegam em resposta a pacotes que foram enviados. Note queneste caso a operação de filtragem é mais complexa e obriga auma análise completa de todo o tráfego que atravessa a firewall;

3. Protocol-based filtering systems, que permitem a entrada depacotes que utilizam apenas um dos protocolos de transporte,nomeadamente TCP, UDP (user datagram protocol), ICMP(Internet control message protocol).

Vantagens e desvantagens da packet filtering firewall

A packet filtering firewall tem algumas vantagens, como a pro-tecção da rede contra:

50


• port scanning – técnica que permite descobrir quais os servi-ços activos dos diversos dispositivos de rede, por exemplo, umservidor;

• sniffing – aplicação que escuta e armazena informação troca-da na rede;

• address-spoofing – ataque que consiste em falsificar o ende-reço de origem dos pacotes IP, utilizando um endereço interno.

No entanto, a packet filtering firewall não consegue impedir ata-ques de roubos de password e de session-hijacking (consiste emtomar conta de uma ligação ou sessão existente, passando por cimada autenticação). Para além disso, o facto de não analisar o conteúdodos pacotes e basear a decisão de aceitação apenas na informaçãocontida nos cabeçalhos possibilita a transmissão para a rede privadade dados maliciosos como vírus e cavalos de Tróia, que analisaremosmais adiante. Assim, a packet filtering firewall por si só não repre-senta um sistema de segurança eficaz e é habitualmente combinadacom uma proxy application.

PROXY APPLICATION FIREWALLS

Uma proxy application é uma firewall criada a partir de um ser-vidor proxy (Figura 3.3). Este servidor controla todo o fluxo de infor-mação entre uma rede interna (privada) e uma rede externa (Internet),operando a nível da camada da aplicação do modelo TCP/IP (verAnexo). Para além desta característica particular, o servidor proxypossui ainda outras características que o tornam apropriado para geriresse fluxo, entre as quais:

• um servidor proxy é totalmente transparente, o que significaque nem as componentes da rede interna nem as da rede exter-na se apercebem da existência do serviço proxy;

• o servidor proxy é o único ponto de contacto entre os clientesda rede interna e a rede externa. A grande vantagem é queapenas o servidor proxy possui um endereço de IP válido, em-bora o administrador da rede possa atribuir endereços de IP aoutras componentes da rede interna.

• o servidor proxy tem a capacidade de realizar a autenticaçãodo cliente, permitindo apenas a alguns elementos da rede inter-na o acesso à Internet;


51

Figura 3.3Esquema de umaproxy applicationfirewall

• o servidor proxy tem a capacidade de armazenar (caching) du-rante um certo período de tempo as páginas da Internet acedidaspor um determinado utilizador da rede interna. Deste modo, seuma dessas páginas for solicitada por outro utilizador, o servidorproxy fornece a página armazenada, o que evita um novo acessoà Internet e consequentemente diminui o tráfego da rede.

Consideremos o seguinte exemplo, que ilustra o funcionamento deuma proxy application firewall para o protocolo de ligação HTTP:um pedido HTTP de um computador da rede interna é enviado para oservidor proxy, que o processa e reenvia para a rede externa, no casode satisfazer as políticas de controlo de acesso (por exemplo, o blo-queio a certos domínios). Quando a resposta ao pedido é recebidapelo proxy, este examina o seu teor e encaminha o resultado para orespectivo computador se não encontrar conteúdo malicioso, comopor exemplo certas aplicações Java ou ActiveX, que, se forem executa-das, podem permitir a entrada de vírus e cavalos de Tróia.

Vantagens e desvantagens da proxy application firewall

Uma proxy application firewall tem algumas vantagens já referi-das e que representam características do servidor proxy, como a capa-cidade de transparência e de autenticação. Para além disso, uma vezque opera a nível da camada de aplicação do modelo TCP/IP, o servidorproxy pode examinar e registar o conteúdo de cada aplicação maisdetalhadamente, constituindo uma ajuda na análise do fluxo de informa-ção entre as redes interna e externa. No entanto, cada servidor proxy éimplementado apenas para uma aplicação da Internet, como, por exem-plo, a ligação HTTP, uma vez que necessita de compreender todos osdetalhes dessa aplicação para efectivamente poder controlar todo o flu-

52


xo de informação entre a rede interna e o exterior. Se for necessáriooutro tipo de ligação como uma FTP, então é preciso instalar outro ser-vidor proxy, o que representa uma complexidade adicional.

DETECÇÃO DE INTRUSÃO

A detecção de intrusão é a arte de descobrir e responder aataques contra, por exemplo, redes de computadores.

Tradicionalmente, os administradores de rede analisavam manual-mente os registos emitidos por diversos sistemas de segurança comofirewalls de modo a detectarem uma intrusão. Hoje em dia, o proces-so de análise do tráfego da rede para detecção de entradas não auto-rizadas é realizado por um sistema de detecção de intrusão (IDS– intrusion detection system). Como? Primeiro, o IDS examina eregista as actividades dos utilizadores da rede, os acessos aos discosrígidos, a utilização das memórias RAM e dos processadores dos com-putadores, etc., na procura de padrões de tráfego suspeitos ou ano-malias no conteúdo do tráfego. De seguida, compara esses registoscom uma base de dados de assinaturas de ataques, i. e., um repositó-rio que contém padrões e comportamentos de ataques conhecidos, talcomo no caso dos antivírus que veremos na secção seguinte. No casode os registos coincidirem, o IDS reconhece a intrusão e acciona umalarme para avisar o administrador de rede e/ou tenta detê-la. Assim,o IDS permite detectar ameaças e avaliar os prejuízos numa rede talcomo uma câmara de vídeo de segurança numa organização. A Figu-ra 3.4 apresenta um esquema de um IDS.

Figura 3.4Esquema de umsistema dedetecção deintrusão (IDS)


53

Em algumas situações, o IDS pode gerar erros, por exemplo, se nãoconseguir detectar uma intrusão ou um ataque ou mesmo se consideraruma actividade normal da rede como uma intrusão. Se isto acontecer,um erro como o primeiro é classificado como um falso negativo enquan-to um erro como o segundo é classificado como um falso positivo (falsoalarme). O objectivo de um IDS é impedir a ocorrência de falsos positi-vos e minimizar a ocorrência de falsos negativos.

IDS E FIREWALLS

As funções de um IDS e de uma firewall são habitualmente confun-didas e a maioria das pessoas considera que uma firewall deve reconhe-cer um ataque e bloqueá-lo. Contudo, isto não é verdade. Uma firewallopera bloqueando todo o tráfego que não satisfaz algumas regras prede-finidas pelo administrador de rede. Fazendo uma analogia com o mundoreal, uma firewall é como uma cerca à volta da rede que tem algumasportas para permitir o acesso restrito. A cerca não tem a capacidadede detectar se alguém está a tentar forçar a entrada, por exemplo, esca-vando por debaixo dela, ou de verificar se quem está à porta tem autori-zação para entrar. Uma firewall simplesmente restringe o acesso empontos pré-designados. Em síntese, uma firewall não é um sistemadinâmico que pressente a ocorrência de um ataque. Em contraste, umIDS é um sistema muito mais dinâmico, uma vez que tem a capacidadede detectar e reconhecer ataques contra a rede que a firewall foi inca-paz de perceber. Considere o seguinte exemplo de uma intrusão: um em-pregado de uma empresa recebe um e-mail com um ficheiro (executável)em anexo. O empregado abre o e-mail, descarrega o anexo e executa-o,instalando também um cavalo de Tróia. Este abre uma ligação com ocomputador de um intruso através de um canal normal, por exemplo aporta 80, impedindo assim a sua detecção por parte da firewall. Istodeve-se ao facto de a firewall estar programada para bloquear o fluxode informação de outras portas e para considerar natural o tráfego pelaporta 80. Se a rede tiver um IDS instalado, qualquer actividade não habi-tual efectuada pelo cavalo de Tróia será facilmente detectada.

TÉCNICAS IDS

Um IDS baseia-se numa das seguintes técnicas para detectar umaintrusão:

• Detecção de anomalias;

• Detecção de má utilização do sistema;

54


Técnica de detecção de anomalias

A técnica de detecção de anomalias assenta na hipótese de todas asactividades que não sigam um padrão conhecido serem consideradasactividades anómalas. De modo a diferenciar entre actividades normaise anómalas, o IDS identifica, primeiramente, o perfil do normal funcio-namento da rede e cria um valor de referência com base em estatísticasdo número de acessos aos discos rígidos, da utilização das memóriasRAM e dos processadores dos computadores. Posteriormente, o IDSexamina o comportamento da rede e dos seus elementos e compara-ocom o valor de referência previamente gerado. Se for observado umligeiro desvio, o IDS acciona um alarme. Considere o seguinte exemplo,que ilustra esta técnica: a utilização do processador de um determinadocomputador de uma rede foi de 70% nos últimos 30 dias. No entanto, nodia de hoje, o processador está a ser utilizado a 100%. Para o IDS isto éconsiderado uma actividade anómala e, portanto, dispara um alarme.

Um IDS baseado nesta técnica tem, contudo, algumas desvanta-gens, nomeadamente o facto de qualquer pequeno desvio da actividadenormal ser tratado como uma intrusão, o que pode aumentar o númerode erros falsos positivos. Outra desvantagem desta técnica é o facto denão ter capacidade de identificar o motivo do evento anormal.

Técnica de detecção de má utilização do sistema

A técnica de detecção de má utilização do sistema baseia-se na re-presentação de um ataque na forma de uma assinatura. O IDS mantémuma base de dados com todas as assinaturas de ataques conhecidos eum alarme é gerado quando a assinatura de um ataque coincide comuma assinatura da base de dados. A grande vantagem desta técnica éque a probabilidade de gerar um erro falso positivo é nula. Contudo, umIDS incorporado com esta técnica não consegue detectar ataques novos,ou seja, ataques cuja assinatura não esteja registada na base de dados.

TIPOS DE IDS

Os IDS baseados em técnicas de detecção de anomalias e de máutilização do sistema podem ser classificados, segundo o tipo de da-dos que analisam, como:

• IDS network based;

• IDS host based;

• IDS hybrid;


55

IDS network based

Um IDS network based é constituído por sensores (programas)que analisam os pacotes de dados que atravessam a rede e que sãonormalmente posicionados em pontos-chave, como por exemplo a se-guir às firewalls, de modo a detectarem ataques com origem de forada rede. A principal tarefa dos sensores é procurar padrões de máutilização do sistema, anomalias e, se os houver, enviar um alarme auma autoridade central que controla toda a IDS, habitualmente desig-nada por estação de comando.

Um IDS network based pode ser construído utilizando dois tiposde arquitecturas: tradicional e distribuída. Na arquitectura tradicional,os sensores são instalados em computadores dedicados e colocadosem segmentos críticos da rede. Na arquitectura distribuída, cada com-putador da rede tem instalado um sensor que analisa os pacotes des-tinados apenas a esse computador, evitando a perda de pacotesespecialmente em redes de alta velocidade.

IDS host based

Um IDS host based analisa os registos do sistema operativo decada computador (host) de modo a detectar ataques com origem dedentro da rede. Esses registos contêm o historial de todas as acçõesrealizadas pelo sistema, como acessos a ficheiros e execução de pro-gramas. Quando nota alguma actividade invulgar, o IDS host basedenvia um alarme a uma estação de comando. Um sistema deste tipo émuito eficaz para detectar má utilização da rede porque os dados ana-lisados estão armazenados em cada um dos computadores dos utiliza-dores autenticados e qualquer comportamento fora do normal seráfacilmente descoberto.

Um IDS host based pode ser construído utilizando dois tipos dearquitecturas: central e distribuída. Na arquitectura central, todosos registos são enviados em tempos predefinidos e por um canalseguro para um computador dedicado que se encarrega de os exa-minar. Na arquitectura distribuída, cada computador analisa os pró-prios registos assim que é efectuada uma nova actividade. Assim, aprincipal vantagem da arquitectura distribuída em relação à arqui-tectura central é a geração de alarmes em tempo real. No entanto,o desempenho de cada computador da rede é mais afectado na ar-quitectura distribuída.

56


IDS hybrid

Conforme foi referido anteriormente, um IDS network based éeficiente na detecção de ataques com origem no exterior da rede,enquanto um IDS host based é forte quando o ataque é interno. As-sim, um IDS hybrid combina o melhor das duas estratégias num únicosistema, gerido apenas por uma estação de comando.

VÍRUS E ANTIVÍRUS

VÍRUSUm vírus informático é um programa que é introduzido num

computador sem o conhecimento do utilizador, com a intençãode ser multiplicado e afectar a operação de outros programasou do próprio computador.

O comportamento de um vírus de computador é semelhante ao deum vírus biológico, nomeadamente durante o processo de contamina-ção. Enquanto um vírus biológico utiliza as células vivas para se repro-duzir, o vírus de computador serve-se de programas executáveis parase multiplicar por outras aplicações. Hoje em dia, no vocabulário co-mum, o termo vírus de computador é muitas vezes estendido para refe-rir também worms (verme), trojan horses (cavalos de Tróia) e outrostipos de programas maliciosos que serão descritos mais adiante.

Os primeiros vírus de computador surgiram na década de 80 e, des-de então, esse número tem aumentado exponencialmente. A Figura 3.5ilustra o número de vírus conhecidos no período entre 1990 e 2005.

Figura 3.5Número de vírusconhecidos noperíodo entre1990 e 2005


57

Os principais motivos para a criação de um vírus por parte de umhacker (pirata informático) são vandalismo, distribuição de mensa-gens políticas, ataque a produtos de empresas específicas e roubo depasswords para proveito financeiro próprio. No passado, os vírus dis-seminavam-se pelos computadores por meio de dispositivos como dis-quetes. No entanto, hoje em dia, com a massificação da utilização deredes como a Internet, os vírus propagam-se facilmente através demensagens de e-mail e ficheiros que se descarregam. Os efeitos ne-gativos de um vírus de computador podem variar desde a realizaçãode operações mais ou menos inofensivas, como uma simples exibiçãono monitor de uma mensagem irritante, até à destruição de ficheirosdo sistema ou formatação do disco rígido. A título ilustrativo, veja-se aseguinte notícia sobre os efeitos de um worm.

Um vírus informático atacou nanoite de terça-feira sistemas

que operam com Windows 2000 em ór-gãos de informação norte-americanos,incluindo as cadeias de televisão CNNe ABC, a agência AP e o jornal NewYork Times.

Os problemas na CNN e no jornalnova-iorquino resolveram-se em 90 mi-nutos e a suas operações não foramafectadas, segundo fontes oficiais.

O vírus, do tipo “verme”, tambémdesligou computadores no Congresso,actualmente no período de férias parla-mentares, e causou problemas na agên-cia noticiosa Associated Press e nafábrica de maquinaria agrícola Caterpil-lar, no Illinois.

Fonte do FBI disse que os proble-mas surg idos nos s is temas in for-máticos dos EUA não pareciam fazerparte de um ataque concertado ou ge-neralizado.

A CNN, segundo a qual a infecçãoinformática se propagou à Alemanha ea alguns países asiáticos, referiu queos seus computadores começaram a

VÍRUS INFORMÁTICO ATACOU MEDIA NOS EUA

falhar tanto em Nova Iorque como emAtlanta a partir das 23:00 TMG (00:00em Lisboa).

Um perito citado por esta cadeia detelevisão por cabo disse que o ataquese deveu a um ”verme” informático jáem várias versões como “Rbot.ebq”,Rbot.cbq, SDBot.bzh e Zotob.d. Ao se-rem atacados, acrescentou, os com-putadores l igam-se e des l igam-serepetidamente.

A origem do problema, de acordocom fontes de empresas de segurançainformática, estará no vírus “zotob”, cujaexistência foi denunciada segunda-fei-ra, que atacaria principalmente o siste-ma Windows 2000.

Segundo a empresa norte-america-na de software Symantec, autora do an-tivírus Norton, o vírus em causa temrisco “médio” e aproveita falhas de se-gurança já detectadas pela Microsoftnos sistemas Windows 95, 98, ME, NT,2000 e XP.»

Fonte: Diário Digital/Lusa,

17 de Agosto de 2005

(http://diariodigital.sapo.pt/)

«

58


Meios de propagação

Os meios mais comuns pelos quais os vírus se propagam podemser divididos em três categorias:

• Disquetes e CD;

• Ficheiros descarregados da Internet;

• Mensagens de e-mail.

Disquetes e CD

Tradicionalmente, as disquetes eram o meio de transporte maiscomum para os vírus. As situações mais graves ocorriam quando osector de arranque (boot) da disquete estava infectado e esta erautilizada para iniciar o sistema operativo. Neste caso, o sector de ar-ranque do disco rígido ficava também infectado e os ficheiros do sis-tema operativo eram corrompidos, impedindo o normal funcionamentodo computador. Contudo, actualmente, a maioria dos sistemas opera-tivos não permite o arranque do sistema através de uma disquete.

Hoje em dia, CD e outros dispositivos como os zip e as pen drivespodem transmitir vírus se algum dos ficheiros armazenados estiverinfectado.

Ficheiros descarregados da Internet

Um vírus também pode ser transferido para o computador atravésda grande quantidade de freeware1, shareware2, software, jogos, ima-gens e ficheiros MP3 disponíveis na Internet. Se um ficheiro corrom-pido for descarregado, o computador também ficará infectado e, seesse ficheiro for partilhado com outros utilizadores, o vírus poderárapidamente disseminar-se por toda a rede.

Mensagens de e-mail

O e-mail é outro meio muito popular de propagar vírus pela Inter-net. Neste caso, o vírus é enviado através de uma mensagem ou deum ficheiro em anexo. Quando o receptor lê a mensagem ou abre oficheiro infectado, o vírus é activado e multiplica-se através de váriascópias executáveis. Pode eventualmente enviar, de forma automática,mensagens com essas cópias a todos os contactos da lista de endere-ços do utilizador, sem que este se aperceba. Os contactos, ao recebe-


59

rem uma mensagem de alguém conhecido não desconfiam que o ane-xo está infectado e, desta maneira, o vírus espalha-se rapidamentepor toda a rede. Segundo um estudo da International Computer Se-curity Association, cerca de 80% dos vírus entram nos computadorespor este meio.

Tipos de vírus

Os vírus podem ser classificados, segundo o ambiente (aplicação ousistema operativo) requerido para infectar ficheiros no sistema, em:

1. Vírus do sistema de ficheiros;

2. Vírus do sector de arranque;

3. Vírus de macro;

4. Vírus de script.

Os primeiros propagam-se pelo sistema de ficheiros do sistemaoperativo e podem ser divididos nas seguintes categorias:

• Vírus que infectam ficheiros executáveis, modificando o seuconteúdo;

• Vírus companion, que criam duplicados dos ficheiros infecta-dos, atribuindo o mesmo nome mas com uma extensão diferen-te, de modo a que o utilizador execute o vírus da próxima vezque aceder ao ficheiro infectado;

• Vírus que criam cópias de si próprios em vários directórios;

• Vírus link, que utilizam as características do sistema de fichei-ros para alterar a estrutura dos directórios de modo a redireccio-nar a entrada do directório que contém o ficheiro infectado paraa área que contém o código do vírus.

Os vírus do sector de arranque, como o nome indica, infectam aárea do disco rígido que é lida quando o sistema operativo está a seriniciado, substituindo e modificando ficheiros do sistema operativo.Estes vírus eram amplamente propagados através das disquetes, mas,com o declínio da utilização desses dispositivos e com a introdução deprocessadores com 32 bits, quase desapareceram.

As macros são pequenos programas (comuns em ficheiros do Offi-ce) que são automaticamente executados sempre que é aberto o fi-cheiro a que estão anexadas. Os vírus macro utilizam esses ficheiros

60


para se propagarem. Em geral, são projectados para inserir caracte-res, palavras ou frases nesses documentos, pelo que são consideradasameaças mínimas. Todavia, propagam-se muito rapidamente pois osutilizadores partilham com frequência ficheiros de dados/texto e nãopensam que eles possam ser infectados.

Um script é um conjunto de comandos, escritos, por exemplo, emJavaScript ou Visual Basic Script, que podem ser executados sem aparticipação do utilizador. Podem infectar ficheiros com vários for-matos (HTML, por exemplo) e outros scripts, como comandos Win-dows ou Linux. Propagam-se através de aplicações ActiveX quandose descarregam componentes nas páginas da Internet.

Os tipos de vírus enumerados anteriormente podem ainda ser clas-sificados, de acordo com as técnicas que utilizam para infectar osficheiros, em:

• Vírus de reescrita;

• Vírus parasitas;

• Vírus companion;

• Vírus link.

No primeiro caso, o vírus substitui o conteúdo do ficheiro infectadopelo seu próprio conteúdo, apagando o original. Desta maneira, osficheiros tornam-se inúteis e não podem ser recuperados. Os vírusparasitas modificam o conteúdo do ficheiro infectado, em geral umficheiro executável, acrescentando o próprio conteúdo no início, nofim ou no meio do ficheiro infectado, podendo este ficar parcial outotalmente danificado.

Todos estes tipos de vírus podem ainda possuir outras característi-cas como:

• polimorfismo – o código do vírus altera-se constantemente;

• invisibilidade (stealth) – o vírus pode «esconder-se» na memó-ria do computador para não ser detectado;

• encriptação – o código do vírus está codificado.

Outras ameaças

Existem ainda outros programas maliciosos e ameaças que, apesarde não serem vírus, representam também perigo para a segurança docomputador:


61

• Worm – programa que se propaga de computador para compu-tador geralmente muito rapidamente, mas que não afecta ou-tros programas. O principal prejuízo causado por um worm é aperda de capacidade de processamento do computador;

• Trojan horse – programa malicioso que tenta geralmente pas-sar despercebido. O principal objectivo de um trojan horse éretirar informação privada de um computador, como, por exem-plo, passwords de acesso a contas bancárias. Contudo, ao con-trário de um vírus, um trojan horse não se multiplica;

• Logic bomb – programa que é inserido no sistema operativo ouem certas aplicações de modo a «explodir» quando um determi-nado evento ocorre, por exemplo, um dia da semana ou umadata em particular. Uma vez detonada, a bomba pode alterar ouapagar ficheiros ou até bloquear o computador;

• Spyware – programa que permanece escondido no sistema paramonitorizar as acções do utilizador e recolher informação con-fidencial, como passwords, registos dos sistemas e outros fi-cheiros, enviando estes dados para uma entidade externa naInternet;

• Keylogger – pequena aplicação que tem como objectivo captu-rar tudo o que é digitado através do teclado, especialmente nú-meros de cartões de crédito e passwords;

• Hijacker – programa que altera a página inicial do browser,impedindo o utilizador de a modificar e de aceder a outras pági-nas, enquanto é apresentada publicidade;

• Adware – programa que exibe publicidade não desejada, fre-quentemente em janelas novas (pop-ups), e que podem re-direccionar a página de pesquisa apenas para endereçoscomerciais;

• Phishing – tipo de fraude electrónica, através de uma men-sagem de e-mail, que consiste em enganar uma pessoa indu-zindo-a a revelar informação sensível ou confidencial comopasswords e números de cartões de crédito. Habitualmente, asmensagens parecem ser de entidades ou pessoas fiáveis, comquem a vítima realiza negócios (bancos e seguradoras). Em geral,é pedido que se faça uma actualização ou validação da respec-tiva informação numa página que parece ser legítima, mas que

62


na verdade é uma «cópia» falsificada e cujo propósito é que avítima divulgue informação pessoal que possa ser utilizada pararoubo de identidade ou de dinheiro, para monitorização do com-putador ou para cometer burlas em nome da vítima. No entanto,é frequente encontrar erros grosseiros ou expressões poucocomuns na redacção destes e-mails, que facilmente excluem ahipótese de se estar perante uma comunicação autêntica. A tí-tulo ilustrativo, veja-se o seguinte exemplo de phishing aos uti-lizadores da Caixa Directa online;

«Estimado(a) Cliente,

Com o intuito de melhor o servir, o Cai-xa Geral de Depositos vem transmitir-lheque está a proceder á verificação e actua-lização dos dados do cliente. Com vistaa este fim, somos a pedir-lhe que verifi-que e actualize os seus dados. Para suamaior comodidade poderá fazê-lo atra-vés do endereço abaixo mencionado.

https://caixadirecta.cgd.pt/CaixaDirecta/loginStart.do

O cliente dispõe de 5 dias úteis paraproceder á actualização de dados. Sen-do que não o faça poderá ver o seu aces-so restringido. O correcto preenchimentodesta informação é fundamental paraque as suas operações se façam semprejuízo, para si.

Caso não seja cliente, ainda, pode-rá fazê-lo através deste endereço:

https://caixadirecta.cgd.pt/CaixaDirecta/signupStart.do

Gratos pela sua preferência, apre-sentamos os nossos melhores cumpri-mentos.

**Por favor Não responda A Este EmailPorque Você Não receberá Uma Res-posta***

Copyright © 2005 Caixa Geral de De-positos. Todos os direitos reservados.As marcas registadas e os tipos desig-nados são da responsabil idade dosrespectivos proprietários.»

Fonte: Caixa Geral de Depósitos

• Spam – são mensagens de e-mail anónimas, não solicitadas eenviadas maciçamente. Normalmente o spam tem fins publici-tários, no entanto, o termo também engloba certas mensagenspolíticas, apelos à caridade, fraudes financeiras (phishing) emensagens que servem para propagar vírus e outros progra-mas maliciosos;

• Hoax – mensagem de e-mail que avisa as pessoas da falsaexistência de perigosos vírus, sugerindo que a mensagem sejadistribuída a todos os contactos.


63

ANTIVÍRUSUm antivírus é um programa destinado a bloquear a acção

dos vírus, analisando os dados que passam pela memória docomputador ou o conteúdo dos ficheiros.

O antivírus é uma peça fundamental no combate aos cavalos deTróia, worms e outros programas maliciosos que podem infectar umcomputador. Normalmente, um antivírus disponibiliza duas técnicaspara combater os vírus:

• Protecção em tempo real dos ficheiros, o que significa que oantivírus está permanentemente activo em memória analisandotodos os ficheiros que são acedidos, criados ou modificados peloutilizador ou pelo sistema operativo;

• Análise solicitada ou programada pelo utilizador a determinadosficheiros, pastas ou discos com o objectivo de detectar vírusconhecidos, ou seja, vírus cuja assinatura exista na base de da-dos (Figura 3.6). A principal desvantagem dessa técnica é oaparecimento diário de novos vírus, o que obriga a manter essabase de dados sempre actualizada. Contudo, a maioria dos anti-vírus permite a actualização automática da base de dados quan-do o computador está ligado à Internet.

Figura 3.6Exemplo de umabase de dados devírus incorporadanum antivírus

64


As empresas que desenvolvem antivírus classificam os vírus, se-gundo a gravidade dos seus efeitos, a facilidade de infecção e o nívelde propagação mundial, em:

• baixo risco – vírus que apenas realiza operações inofensivascomo emissão de sinais sonoros. Pode também infectar algu-mas aplicações que são raramente utilizadas;

• risco médio – vírus com alguma facilidade de propagação e in-fecção, podendo eliminar ficheiros;

• alto risco – vírus de propagação rápida, normalmente de ori-gem recente («última geração»), que pode causar danos signifi-cativos no computador como eliminar todo o conteúdo de umdisco rígido.

Medidas de segurança para prevenir ataques de vírus

A melhor forma de evitar que um computador seja infectado porvírus é aplicando as seguintes recomendações:

1. Instalar todas as actualizações (updates) disponibilizadas pelofabricante do sistema operativo que utiliza diariamente. O Win-dows, por exemplo, fornece a possibilidade de transferir auto-maticamente as últimas actualizações de segurança da Microsoftpela aplicação «Automatic Updates»;

2. Instalar um antivírus e manter a base de dados de vírus sempreactualizada, uma vez que todos os meses são descobertos cercade 500 vírus novos;

3. Instalar (se possível) um sistema operativo alternativo como oLinux, uma vez que este sistema operativo possui característicasde segurança adicionais que o tornam praticamente inviolável;

4. Utilizar um browser e um programa de e-mail alternativo, umavez que os mais populares browsers e programas de e-mail daMicrosoft – Internet Explorer e Outlook, respectivamente – sãofrequentemente atacados por hackers;

5. Evitar descarregar programas ou ficheiros da Internet de fon-tes não fiáveis;

6. Evitar abrir uma mensagem de e-mail quando o emissor é des-conhecido;


65

7. Evitar (se possível) enviar documentos por e-mail em formatoWord, uma vez que estes documentos contêm macros e, por-tanto, são mais sujeitos a vírus de macro. Uma solução alterna-tiva é enviar no formato RTF (rich text format).

8. Instalar uma firewall e um sistema de detecção de intrusão.

SERVIÇOS DE SEGURANÇA

FILTRAGEM DE CONTEÚDOS

A utilização de mecanismos de filtragem de conteúdos, como pági-nas da Internet ou mensagens de e-mail, é cada vez mais comum nãosó por empresas mas também por particulares, principalmente para blo-quear o acesso de crianças e jovens a certo tipo de salas de conversa-ção e grupos de discussão (newsgroups). A filtragem é realizada porsoftware que restringe ou elimina o fluxo de tráfego indesejável e quepode estar instalado nos servidores que permitem o acesso à Internetou em cada computador da rede. A implementação da filtragem de con-teúdos em cada organização pode englobar várias vertentes:

• Seleccionar os conteúdos e recursos admissíveis a serem ace-didos, enviados e recebidos por cada utilizador, nomeadamentemensagens de e-mail, páginas da Internet, mensagens instantâ-neas, grupos de discussão, etc.;

• Evitar a entrada de vírus e outros programas maliciosos, assimcomo de publicidade indesejada (spam), e impedir a saída deinformação confidencial;

• Limitar o tamanho das mensagens de e-mail que podem serenviadas/recebidas.

Assim, cada organização deverá definir as políticas de acesso ecatalogar os conteúdos que podem ser acedidos. Contudo, podem serlevantados alguns problemas legais, pois a filtragem pode ser conside-rada censura ou violação da liberdade de expressão.

BACKUPS REMOTAS

Uma backup (cópia de segurança) consiste na cópia de dados paraum determinado dispositivo de armazenamento de modo a que a infor-

66


mação possa ser facilmente recuperada após uma situação de perdadesses dados, devida a um desastre natural (fogo ou inundação), porum vírus ou pelo facto de o utilizador ter apagado acidentalmente in-formação. Nos últimos tempos, devido à crescente utilização de ban-da larga, esse processo é realizado através da Internet, guardando-sea informação em locais remotos, i. e., geograficamente distintos, e for-necendo às organizações uma maior resistência aos problemas susci-tados pelas catástrofes.

Estes serviços são prestados por empresas especializadas inde-pendentes que possuem o software necessário e servidores com ca-pacidade para armazenar os ficheiros. Contudo, se essas empresasforem vendidas ou abrirem falência, o procedimento de acesso àinformação guardada pode ser afectado. Os sistemas de backup re-motas são constituídos por programas clientes que correm em deter-minados instantes de tempo (geralmente uma vez por dia) e têm comofunção comprimir, cifrar e transferir a informação para os servidoresremotos, sem qualquer intervenção do utilizador.

Note-se que as backups remotas devem fazer parte dos planosde recuperação de desastres e de continuidade do negócio3 das or-ganizações.

MONITORIZAÇÃO REMOTA

A monitorização de uma rede é um processo que consiste em «vigiar»constantemente os comportamentos de todas as componentes, todos osequipamentos, serviços e aplicações da rede, por exemplo, à procura defalhas de sistema ou sobrecargas que provoquem lentidão. A monitori-zação é remota quando a vigilância e o controlo são efectuados por em-presas especializadas, sendo nesse caso necessário que existam acordosde confidencialidade muito fortes que evitem quebras de segurança.

A monitorização remota permite compreender os perfis de utiliza-ção e desempenho dos diversos sistemas da rede e efectuar testes devulnerabilidade aos diferentes programas e ao próprio sistema opera-tivo de cada computador, que, se não forem descobertos, podem pro-vocar ataques e infecções através de programas maliciosos. Se fordescoberta alguma vulnerabilidade , a monitorização deverá possibili-tar a realização de actualizações de segurança.

Uma vez que todas as componentes da rede devem ser vigiadas, amonitorização funciona também como um sistema de detenção de in-trusão sempre que forem assinaladas tentativas de ataque à firewalle ligações não autorizadas.


67


1. Se tivesse de escolher entre uma packet filtering firewall e uma proxy applicationfirewall, qual escolheria? Justifique.

2. Indique as principais diferenças entre uma firewall e um sistema de detecção deintrusão.

3. Aponte as principais diferenças entre vírus, worms e cavalos de Tróia.4. Indique alguns procedimentos para manter um computador livre de vírus.5. Qual o principal objectivo da filtragem de conteúdos?

1 Freeware é um programa de computador, com direitos de autor, disponível naInternet sem custos e por tempo ilimitado.

2 Shareware é um programa de computador disponível na Internet em que outilizador deve efectuar o pagamento da licença de utilização se quiser manter oprograma após um período de experiência.

3 Estes planos referem-se à capacidade que uma empresa deve ter para recuperarde desastres e/ou situações inesperadas, regressando à condição anterior aoevento, de modo a continuar com as operações habituais.

Pág. 58

N O T A S

Pág. 58

Pág. 66

Pagamentosno Âmbito doNegócioElectrónico

• Descrever os principais modelos de pagamento electrónico,nomeadamente cartões de crédito e débito, micropagamentos,«moedas» alternativas, server-side wallets, PayPal, MBNet edébitos directos

• Explicar os principais protocolos de autenticação (SET, MIA/SETe 3D-Secure) para os pagamentos com cartões de crédito

• Apresentar algumas medidas para protecção de dados nospagamentos electrónicos

O B J E C T I V O S

4C A P Í T U L O

70


A Internet nasceu em 1969, sob o nome ARPANET, como resultado de umprojecto do Departamento de Defesa americano para desenvolver uma rede decomputadores militares que continuasse a funcionar mesmo em caso de guerra.Após o abandono do projecto pelos militares, a Internet foi utilizada pela comu-nidade científica e académica, passando a servir posteriormente interesses co-merciais e a sociedade em geral. Diversos serviços foram sendo disponibilizadosa nível mundial; entre estes estava a World Wide Web, que possibilitou às empre-sas a oferta de melhores oportunidades de negócio electrónico, de modo a nãoserem ultrapassadas num mercado que se foi tornando cada vez mais global. Noentanto, o que falta hoje em dia para o negócio electrónico alcançar a adesãototal por parte da população são meios para efectuar pagamentos seguros.

Este capítulo introduz os principais modelos de pagamento electrónico, nacio-nais e internacionais, nomeadamente cartões de crédito e débito, micropaga-mentos, «moedas» alternativas, server-side wallets, PayPal, MBNet e débitosdirectos. Mais ainda, são enunciadas algumas medidas para protecção de da-dos no pagamento electrónico.

PAGAMENTOS ELECTRÓNICOS

Os consumidores estão habituados a utilizar determinados tipos depagamento nas transacções do comércio tradicional, como moeda,cartão de crédito, cartão de débito e cheque. Contudo, para poderemser utilizados no negócio electrónico, estes instrumentos têm de seradaptados de modo a funcionarem em tempo real. Assim, os paga-mentos electrónicos referem-se às transferências de fundos, realiza-das online, entre compradores e vendedores.

Alguns dos entraves ao desenvolvimento e crescimento global donegócio electrónico são a proliferação de sistemas de pagamentoselectrónicos incompatíveis (por causa de diversos factores, como ofacto de estarem ligados a um único browser, por utilizarem métodoscriptográficos proibidos em alguns países ou software que não é li-vre) e a falta de um ambiente completamente seguro para a realiza-ção das transacções comerciais.

Em relação à segurança do pagamento electrónico existem doispontos de vista: comprador e vendedor. A principal preocupação docomprador é que os dados relativos ao pagamento (como o número docartão de crédito) sejam interceptados por terceiros e posteriormenteutilizados para cometer fraudes, enquanto a preocupação do vendedor

CAPÍTULO 4 • PAGAMENTOS NO ÂMBITO DO NEGÓCIO ELECTRÓNICO

71

é saber se realmente receberá o dinheiro da venda efectuada pelomeio de pagamento escolhido pelo comprador.

Entre os modelos de pagamento electrónico mais comuns encon-tram-se:

• cartões de crédito;

• cartões de débito;

• micropagamentos;

• «moedas» alternativas;

• server-side wallets;

• PayPal.

Para além destes, foram desenvolvidos em Portugal dois novos sis-temas de pagamento:

• MBnet;

• débitos directos.

A adesão de um comerciante a alguns destes modelos de pagamentotraz algumas vantagens, por exemplo, a atracção de um maior núme-ro de clientes, e desvantagens, como o aumento de custos/comissões.No entanto, se o comerciante recorrer a um fornecedor especializadode serviços (payment service provider), essas desvantagens podemser minimizadas.

MODELOS DE PAGAMENTO ELECTRÓNICO

Cartões de crédito

É um sistema utilizado abundantemente no comércio tradicional eque permite efectuar compras em qualquer parte do mundo desde queo vendedor aceite o tipo de pagamento. Contudo, é um sistema passí-vel de sofrer fraudes relacionadas com a utilização de detalhes decartões (número ou data de validade) falsos ou roubados.

Existem basicamente dois modos de operação com os cartões decrédito: cartão presente e cartão não presente. No primeiro caso,existe um menor risco de fraude porque o comprador se encontra napresença (física) do vendedor, pelo que é possível a sua identifica-ção, por exemplo, pela verificação da assinatura. No caso do cartãonão presente, como o nome indica, há uma ausência de contacto

72


físico entre os intervenientes da transacção, havendo por isso umrisco elevado de fraude. Um cartão não presente pode ser utilizadoem dois ambientes:

1. Mail order/telephone order (MO/TO)Situações em que o vendedor recebe ordens de compra através de

mensagens de e-mail, chamadas telefónicas ou fax. Existem modosde autenticar essas transacções:

• CVV2/CVC2 – habitualmente referidos como códigos de segu-rança do cartão; são os três últimos dígitos do código impressono verso de todos os cartões;

• AVS (address verification service) – sistema que verifica seo endereço fornecido pelo comprador (no momento da compra)coincide com o do dono do cartão de crédito;

2. OnlineSituações em que o vendedor comercializa os seus produtos/servi-

ços exclusivamente pela Internet, pelo que os dados da transacçãosão fornecidos por e-mail ou directamente na página do vendedor atra-vés de formulários (forms).

Os intervenientes habituais num pagamento electrónico feito comum cartão de crédito são:

• cardholder ou comprador – proprietário do cartão;

• issuer – instituição financeira que emite os cartões e garante opagamento das operações autorizadas;

• merchant ou vendedor;

• acquirer – instituição que estabelece um contrato com o ven-dedor para que este possa aceitar pagamentos com cartão eposteriormente receber o valor;

• payment gateway – combinação de hardware e software ope-rado pelo acquirer ou outra entidade por si designada para pro-cessamento de mensagens do vendedor relativas a autorizaçõesde pagamentos.

O pagamento electrónico através de um cartão de crédito online éefectuado em duas fases: autorização e captura (Figura 4.1).

• Autorização1. Depois de seleccionar (na página da Internet do vendedor)

os produtos/serviços que pretende encomendar, o compra-


73

dor envia os dados (número do cartão, data de validade equantia total da compra) ao vendedor;

2. O vendedor recebe os dados e reenvia-os ao payment ga-teway de modo a serem processados;

3. A autorização é pedida pelo payment gateway ao acquirer.4. O acquirer «pergunta» ao banco do comprador ou ao is-

suer se o pagamento pode ser efectuado;5. O issuer envia a mensagem de resposta, com a autoriza-

ção ou não do pagamento. Em caso afirmativo, o montantecorrespondente à compra fica «cativo» na conta do com-prador, i. e., não há transferência imediata de dinheiro;

6. O acquirer envia a resposta ao payment gateway;7. Este processa a resposta e envia-a ao vendedor;8. Se a autorização de pagamento for concedida, o vendedor

envia os produtos ao comprador ou presta os serviços so-licitados;

• Captura9. O vendedor pede ao emissor do cartão que transfira o di-

nheiro para a sua conta.

Figura 4.1Cenário típicodo pagamentoelectrónicoatravés de umcartão de créditoonline

Os principais problemas de segurança neste processo são a possibi-lidade de os dados do cartão serem lidos enquanto são transmitidos ouaté quando são armazenados pelo vendedor. Além disso, o compradorpode não desejar revelar os dados do cartão ao vendedor ou os dadosda compra a outras entidades. Soluções possíveis para estes problemasconsistem em utilizar protocolos SSL/TLS (ver Capítulo 2), em impedirque o vendedor armazene os dados do cartão ou em utilizar sistemas dotipo SET (secure electronic transaction).

74


Secure electronic transaction

Convictas de que muitas vezes esta segurança não existe quandose utiliza um cartão de crédito em pagamentos na Internet e de que osutilizadores sentem necessidade de protecção adicional nos meios elec-trónicos, algumas empresas iniciaram trabalhos conjuntos para o de-senvolvimento de sistemas seguros, normalmente baseados em técnicascriptográficas (ver Capítulo 2). Um dos primeiros sistemas, o SET, foiinicialmente desenvolvido pelas empresas de cartões de crédito Visae Mastercard, com o apoio de outras empresas como IBM, Microsoft,Netscape, Verisign e RSA, e teve adesão posterior da American-Express e JCB, entre outras.

Os principais objectivos do SET consistiam em garantir:

• confidencialidade da informação financeira, nomeadamente donúmero de cartão de crédito, uma vez que todas as mensagenstrocadas entre o vendedor e o comprador durante a comunica-ção eram cifradas;

• integridade das mensagens, para que não fossem alteradas du-rante o fluxo de informação. Isto era conseguido através dautilização de assinaturas digitais;

• privacidade da informação, uma vez que ela só era disponibili-zada a quem e onde era necessária (por exemplo, nem o própriovendedor ficava a conhecer o número de cartão de crédito docomprador);

• autenticação dos participantes nas transacções electrónicas,nomeadamente comprador, vendedor e payment gateway, atra-vés da utilização de certificados digitais. Assim, o compradorverificava facilmente se o vendedor podia receber pagamentoscom cartão de crédito e, por outro lado, sabia de imediato se ocartão era válido;

• interoperabilidade entre as especificações do SET, uma vez queeram aplicáveis a uma grande variedade de plataformas de soft-ware e hardware, de modo que a comunicação entre os inter-venientes podia ser sempre realizada.

Assim, com o protocolo SET, quando era emitido um cartão decrédito pelo issuer, o comprador recebia um certificado digital queincluía uma chave pública com data de validade. O certificado eraassinado digitalmente pelo issuer ou pelo payment gateway para ga-rantir a sua validade. Um vendedor que aceitasse cartões de crédito


75

como forma de pagamento recebia um certificado digital, contendo asua chave pública e a do issuer.

A Figura 4.2 apresenta um exemplo do funcionamento do SET:

• O comprador envia ao vendedor, pela página na Internet, a des-crição dos produtos/serviços que pretende comprar e a marcado cartão com o qual efectuará o pagamento;

• O vendedor responde, enviando ao comprador uma mensagem,assinada digitalmente, com um código único referente à tran-sacção e o seu certificado digital;

• O comprador verifica a integridade da mensagem e a autentici-dade do vendedor. Se tudo estiver correcto, o comprador enviauma mensagem ao vendedor com dois textos, identificados pelocódigo da transacção:– O primeiro texto contém informações necessárias para va-

lidar e satisfazer a encomenda (identificação do issuer elocal da entrega). Esta mensagem é cifrada com a chavepública do vendedor;

– O segundo texto contém os dados relativos ao cartão (nú-mero e data de validade). Estes dados são cifrados numenvelope digital com a chave pública do payment gateway,pelo que não podem ser lidos pelo vendedor;

Figura 4.2Esquema defuncionamentodo SET

76


• O vendedor verifica a integridade e autenticidade da mensa-gem do comprador, reenviando o envelope digital ao paymentgateway para processamento do pagamento, juntamente como seu certificado, tudo cifrado com a chave pública do pay-ment gateway;

• Se o pagamento for autorizado, o vendedor envia a encomendaou presta os serviços.

Contudo, este sistema apresentou grandes dificuldades de adop-ção, sobretudo pelos compradores, devido à necessidade de instala-ção de software específico e ao elevado custo e complexidade,especialmente quando se compara com a alternativa SSL. Assim, cons-cientes deste facto, os promotores do SET desenvolveram uma varian-te: MIA/SET (merchant initiated authorization).

Novos protocolos de autenticação

O MIA/SET aliviou a complexidade mas era insuficiente a nível dasegurança, pois eliminava a componente relacionada com o compra-dor, como por exemplo a funcionalidade de autenticação.

A Visa e a Mastercard procuraram então alternativas, desta vezem separado. A Visa propôs o 3D-Secure, também conhecido por «ve-rified by Visa» (VbV), que é um sistema com três domínios (3D):

• Issuer ou emissor – constituído por servidores que realizam asoperações de activação, validação, verificação e autenticaçãodo cartão do comprador e fornecem respostas ao vendedor as-sinadas digitalmente;

• Acquirer – constituído por um módulo de software que fornecea interface entre o 3D-Secure e o software do vendedor queprocessa o pagamento. Também se encarrega de verificar asassinaturas digitais do issuer nas respostas de autenticaçãoenviadas ao vendedor;

• Interoperabilidade – constituído pelo Visa Directory, um servi-dor que encaminha os pedidos de autenticação do compradorsolicitados pelo vendedor para o domínio do issuer.

Algumas características deste sistema são as seguintes:

• Os vendedores interagem com o acquirer e com Visa (atravésdo Visa Directory);


77

• Os compradores efectuam um registo prévio junto do seu issuer,definindo um username e uma password, introduzindo assimmais um factor de segurança.

A Figura 4.3 apresenta um esquema do 3D-Secure, que pode serdescrito da seguinte maneira:

1. Após a escolha dos produtos/serviços a encomendar através dapágina na Internet do vendedor, o comprador clica no botão de«compra», que faz surgir um formulário em que são pedidos osdados do cartão de crédito;

2. O software do 3D-Secure do vendedor é activado e envia ainformação recebida ao Visa Directory para que este verifiquese o comprador já está registado no sistema;

3. Após a autenticação do vendedor, o Visa Directory processa opedido;

4. O Visa Directory envia a resposta ao vendedor;

5. O software do vendedor envia uma mensagem ao issuer apedir a autenticação do comprador. O issuer abre uma janelano computador do comprador indicando que o vendedor estáa pedir uma autorização de transacção da respectiva quantia.O comprador aprova a operação, por exemplo, introduzindo apassword do seu registo no sistema. O issuer envia então umamensagem ao vendedor com a resposta da aprovação;

Figura 4.3Esquema defuncionamento do3D-Secure

78


6. O software do vendedor processa a resposta e envia um pedidode autorização de pagamento ao acquirer;

7. O acquirer reenvia o pedido ao issuer, através do VisaNet1. O is-suer processa o pedido e responde. Se a transacção for autori-zada, o vendedor apresenta ao comprador uma ordem deconfirmação com os detalhes sobre a entrega dos produtos ou aprestação de serviços.

O outro protocolo de autenticação, proposto pela Mastercard, é a SPA(secure payment application). Neste sistema, assim como no 3D-Secure,os utilizadores devem efectuar um registo prévio junto do seu issuer.No entanto, na SPA só existem dois domínios: o issuer e o acquirer. Paraalém disso, neste caso, os vendedores só interagem com acquirers.

Embora estes novos protocolos de autenticação forneçam um nívelelevado de segurança, devem ser consideradas outras medidas paraevitar fraudes nos pagamentos electrónicos. Uma primeira medida podeser a utilização de listas negras com os dados dos compradores quecometeram fraudes. Nas situações em que o vendedor tiver um pontode venda (point of sale – POS), a lista negra pode também incluir asfraudes cometidas offline. Neste caso, podem ainda ser utilizados al-guns parâmetros físicos para a detecção de utilização fraudulenta doscartões offline, como por exemplo duas compras quase simultâneas emlocais geograficamente afastados. Contudo, esta última medida não podeser utilizada no contexto online, pelo que se podem utilizar heurísticas,como o registo dos históricos das transacções efectuadas pelos cartõesou a consulta de uma lista com os números dos cartões que ainda nãoforam atribuídos.

Cartões de débito

Um dos mecanismos de pagamento mais utilizados actualmente nocomércio tradicional é o cartão de débito. O processo de transacção ésemelhante ao dos cartões de crédito, mas no caso dos cartões de débitoa quantia é transferida da conta do comprador para a conta do vendedorno momento em que o comprador aprova a compra, através da utilizaçãodo código pessoal (PIN – personal identification number).

Os cartões de débito podem também ser utilizados para efectuarpagamentos electrónicos desde que:

• exista uma ligação do vendedor à entidade financeira que pro-cessa os pagamentos com estes cartões;


79

• a entidade financeira aceite o modelo de negócio do ven-dedor.

Entre as formas de pagamento disponíveis para o compradorencontram-se:

• a ATM (automated teller machine) ou caixa automático Mul-tibanco – equipamento que permite levantar e depositar di-nheiro, consultar saldos e movimentos das contas e efectuartransferências;

• o homebanking – página de um banco na Internet;

• o telemóvel.

O funcionamento do cartão de débito para efectuar pagamen-tos electrónicos (Figura 4.4) pode ser descrito da seguinte maneira:após a encomenda dos produtos/serviços na página da Internet dovendedor, este envia os dados necessários para que o comprador façao pagamento, nomeadamente, a quantia total e as referências que iden-tificam quer o vendedor quer a compra (passo 1). Posteriormente, ocomprador efectua o pagamento, através de uma ATM, do home-banking ou do telemóvel, utilizando os dados recebidos do vendedor(passos 2 e 3). Os dados da compra são automaticamente enviados àinstituição bancária do comprador (passo 4), que efectua a transfe-rência da quantia indicada para a conta do vendedor, identificada pe-las referências enviadas (passo 5).

Figura 4.4Esquema defuncionamentodos cartõesde débito

Outra funcionalidade dos cartões de débito, amplamente conheci-da e utilizada em Portugal, é a modalidade de «Pagamento de Servi-

80


ços». Com este sistema, inicialmente suportado pela rede ATM daSIBS1, em que o débito é feito imediatamente, um utilizador de umcartão de débito pode fazer o pagamento (numa ATM, pelo homebankingou pelo telemóvel) de contas associadas a serviços como água, elec-tricidade, gás, telefone, telemóvel, etc. Devido à grande aceitação pelapopulação, a SIBS e a Unicre2 desenvolveram um novo modelo, deno-minado «Pagamento de Compras». Do ponto de vista do utilizador, osistema é igual ao «Pagamento de Serviços». Do ponto de vista dovendedor, o sistema realiza a transacção em dois tempos, autorizaçãoe captura, como já acontecia com os cartões de crédito.

Micropagamentos

A criação de sistemas de pagamentos alternativos aos cartões dedébito e crédito em transacções electrónicas de baixo valor, por exem-plo, abaixo de um euro, tem sido um dos problemas mais fortementedebatidos no âmbito dos mercados financeiros e tecnológicos. O princi-pal problema na utilização desses meios de pagamento nestas transac-ções reside no facto de envolverem comissões e, portanto, não fazermuito sentido um determinado vendedor receber 50 cêntimos e pagar 40cêntimos de comissão. Muitos são os sistemas de micropagamentos quetentam resolver este tipo de problemas, com aplicações diversas como:

• visualização de conteúdos de artigos e documentos;

• download de ficheiros de música e imagens;

• subscrição ou assinatura de publicações periódicas ou de outrosserviços;

• acumulação de pontos (de fidelização) por cada montante que ocliente gaste na loja que quando atingem um determinado valorse convertem em dinheiro reutilizável em compras/serviços namesma loja;

• sistemas P2P (peer to peer), em que os utilizadores pagam peloacesso a determinados recursos partilhados, por exemplo, ar-quivos de dados;

• sistemas pay-per-view, em que os telespectadores pagam pelatransmissão televisiva de programas;

• sistemas pay-per-click, em que as empresas publicitárias rece-bem um determinado montante quando um utilizador clica em pe-quenos anúncios normalmente colocados em motores de busca.


81

Têm sido propostos vários modelos arquitecturais para sistemas demicropagamentos, alguns bastante complexos tecnicamente, como oMillicent, cuja descrição sai, no entanto, do âmbito deste manual. To-davia, os modelos que parecem ter maior probabilidade de sucessosão os mais simples, baseados em contas correntes, equivalentes apré-pagos, como é o caso dos telemóveis por carregamento, em quevão sendo descontadas as transacções efectuadas pelos utilizadores.

«Moedas» alternativas

«Moedas» alternativas (cashback) consistem basicamente emcontas correntes com «pontos» acumulados obtidos após a realizaçãode algumas actividades, como, por exemplo, acesso a determinadaspáginas da Internet ou compras online. Os pontos podem depois serutilizados no pagamento de compras em comerciantes aderentes. Noentanto, tem de haver uma correspondência entre os pontos e umamoeda com valor legal, uma vez que o utilizador se assim o desejarpode transferir o montante correspondente para a sua conta à ordem.As «moedas» alternativas podem, na verdade, ser consideradas siste-mas de micropagamentos com outro tipo de funcionalidades associa-das, como, por exemplo, acumulação de pontos extras por cada novoutilizador «recrutado», para as tornar mais aliciantes. Alguns exem-plos de «moedas» alternativas são Quidco, Rpoints e CashCash.

Server-side wallets

Server-side wallets são sistemas de controlo de pagamentos ba-seados em servidores remotos em geral geridos centralmente por co-merciantes ou fornecedores de serviços especializados (paymentservice providers, que veremos mais adiante). Em geral, as walletsgerem uma conta corrente, com funcionalidades associadas como, porexemplo, o controlo de custos, a definição prévia de produtos ou ser-viços autorizados ou a utilização de micropagamentos, de modo a tor-narem-se mais atractivas. Para além disso, as server-side walletspodem também ser usadas como sistemas de autorizações de paga-mento em diversos contextos como famílias ou empresas.

PayPal

O PayPal é um sistema de pagamentos baseado em stored ac-counts (contas armazenadas), recarregáveis através de um cartão de

82


crédito (Visa, American Express ou Mastercard). Basicamente, seum utilizador quiser pagar pelo PayPal, precisa, em primeiro lugar, deabrir uma conta, fornecendo os seus dados pessoais e os do seu car-tão de crédito. Contudo, no momento do registo a conta não fica ime-diatamente activa, ou seja, o utilizador tem de esperar pelo próximoextracto do seu cartão de crédito que contém um débito de um dólarrealizado pelo PayPal e na linha associada um conjunto de números,que serão necessários para concluir o processo de abertura da conta.O PayPal obtém assim a garantia de que o utilizador que tenta abriruma conta é o seu titular.

Após a abertura da conta, para um utilizador efectuar um paga-mento, apenas necessita de introduzir o endereço de e-mail do recep-tor e indicar o montante que pretende pagar. Se o receptor não tiveruma conta aberta, terá de abrir uma, tal como o emissor do pagamen-to, antes de poder receber o dinheiro. Inicialmente, a quantia fica ca-tiva na conta (virtual) do receptor. Se assim o desejar, o receptor pode,posteriormente, transferi-la para uma conta bancária ou utilizá-la parapagar a outro utilizador do PayPal.

Este sistema tem tido um enorme sucesso em todo o mundo commilhões de utilizadores e comerciantes aderentes. Por isso, não foi deestranhar que, no segundo semestre de 2002, a empresa detentora dosistema PayPal fosse adquirida pela ebay (empresa responsável pelomaior mercado de leilões da Internet).

Sistemas de pagamento em Portugal

MBNet

O MBNet é um serviço que foi desenvolvido pela SIBS (arquitec-tura, tecnologia e operação) e pela Unicre (marketing e comerciali-zação), que permite a realização de operações de autorização e deliquidação de compras na Internet, em páginas nacionais ou estrangei-ras. O serviço fornece garantias acrescidas de segurança aos com-pradores em relação, por exemplo, aos pagamentos com cartão decrédito (utilizando MIA-SET), uma vez que estes não necessitam dedar os dados confidenciais dos seus cartões aos comerciantes.

Para um utilizador aderir ao sistema MBNet, deverá possuir umcartão de débito ou crédito emitido por uma instituição bancária par-ticipante no sistema e fazer a associação do mesmo cartão ao servi-ço através dos canais próprios disponibilizados pelo banco ou atravésda rede Multibanco. No momento da adesão, o sistema fornece au-


83

tomaticamente uma identificação MBNet (username), devendo de-pois o utilizador seleccionar o código (password) que pretende vir autilizar. São estes elementos que garantem a confidencialidade e asegurança do sistema.

Por questões de segurança e até de controlo pessoal do utilizador,é possível no momento da adesão definir um montante máximo pordia, para cada operação, que poderá ser alterado em qualquer mo-mento pelo próprio utilizador do cartão.

Se um comprador pretender fazer um pagamento a um comercianteaderente ao sistema, tem de receber deste uma referência da transac-ção. De seguida, deve dirigir-se à página do MBNet ou clicar no ícone(Figura 4.5) que se encontra na barra de ferramentas do seu computa-dor, no caso de ter efectuado previamente a instalação, autenticar-seperante o sistema e introduzir a referência da transacção.

Figura 4.5Ícone dosistema MBNet

Esta referência é usada pelo MBNet para comunicar com a SIBSe validar a transacção. Após esta etapa, o vendedor recebe a indica-ção de que o pagamento foi aceite e pode proceder à entrega dosprodutos. A Figura 4.6 ilustra os passos do pagamento de uma compraa um comerciante aderente ao sistema MBNet.

Figura 4.6Esquema depagamento deuma compra aum comercianteaderente aosistema MBNet

Para além disso, se o comerciante não for aderente ao sistemaMBNet, o utilizador poderá solicitar ao sistema a emissão de um car-

84


tão de crédito temporário, com um número, uma data de expiração(cartão válido até 30 dias) e um CVV2/CVC2 (ver cartão de crédito)associado, que normalmente serve apenas para um pagamento. Istosignifica que é também possível a um utilizador efectuar compras forada Internet, bastando para isso informar o comerciante dos elementosdo cartão temporário acima referidos.

Débitos directos

Um débito directo é um sistema de processamento de cobranças portransferência bancária que permite a um credor emitir uma ordem depagamento sobre uma conta de um determinado devedor, referente, porexemplo, a contratos de fornecimento de serviços ou bens como água,luz, telefone, televisão por cabo, etc. Para além do devedor e do credor,intervêm ainda neste sistema as seguintes entidades (Figura 4.7):

• Banco do credor – entidade bancária que recebe os pagamen-tos debitados ao devedor;

• Banco do devedor – entidade bancária que dá a ordem de débi-to na conta do devedor e transfere os pagamentos para o bancodo credor;

• SIBS – entidade que participa como câmara de compensação enotário electrónico, ou seja, que fornece os meios necessáriospara o funcionamento do sistema;

• Banco de Portugal – entidade reguladora que define o quadroregulamentar de todo o sistema.

Figura 4.7Entidadesintervenientesno sistema dedébitos directos


85

O sistema de débitos directos pressupõe a realização de um con-trato entre o devedor e o credor em que primeiro o devedor concedeuma autorização de débito em conta. Essa autorização pode ser reali-zada através:

• do sistema Multibanco, em que o devedor introduz os elementosque lhe foram antes fornecidos pelo credor, nomeadamente osnúmeros de identificação da entidade credora e da autorizaçãode débito (Figura 4.8). Para além disso, o devedor pode definirlimites como o montante máximo ou a data até à qual autorizaque lhe seja debitada a conta;

• de uma comunicação com o seu banco, por exemplo, utilizandoa página do banco na Internet;

• do credor, por exemplo, no preenchimento de um formulário deadesão à TVCabo.

Figura 4.8Exemplo de umaautorização dedébito directo

Fonte: http://clientes.cabovisao.pt/)

Sempre que o credor pretender realizar um débito, emite e envia aordem respectiva ao seu banco, indicando o número da autorização.De seguida, o banco envia a ordem ao banco do devedor, que debita ovalor respectivo na conta deste e o transfere para o banco do credor.Por fim, este banco credita o dinheiro na conta do credor. No entanto,se, após uma notificação prévia do credor, o devedor verificar que ovalor que lhe vai ser cobrado está incorrecto, pode rejeitar essa or-dem de débito específica ou até mesmo cancelar a autorização dedébito em conta.

PAYMENT SERVICE PROVIDERS

A proliferação de meios de pagamento electrónicos simples e có-modos requer que o vendedor:

86


• monte uma infra-estrutura própria, com ligação às entidades fi-nanceiras;

• faça a administração e manutenção da infra-estrutura;

• tenha know-how especializado.

A adesão de um vendedor a um fornecedor especializado de servi-ços (payment service provider – PSP) permite uma considerávelredução nesses custos e requisitos. Entre os serviços proporcionadospor um PSP encontram-se (Figura 4.9):

• a implementação de payment gateways para processamentode autorizações de pagamentos com cartões de crédito e dé-bito;

• a disponibilização de modelos de pagamento como, por exem-plo, micropagamentos, subscrições, pontos de fidelização e ser-ver-side wallets;

• a gestão do risco como, por exemplo, a detecção de fraudes.

Este conjunto de serviços permite garantir:

• a autenticação mútua entre o cliente/vendedor;

• a confidencialidade da informação trocada na Internet;

• a integridade dos dados;

• o não-repúdio da transacção.

Figura 4.9Esquema defuncionamento deum paymentservice provider


87

PROTECÇÃO DE DADOS DE PAGAMENTOS ELECTRÓNICOS

O sistema de pagamentos electrónicos deve ser seguro e protegera privacidade, para além de dever garantir que nenhum dos parti-cipantes é falsamente implicado em transacções fraudulentas. Cadacompra efectuada pela Internet, por exemplo utilizando um cartão decrédito, produz um fluxo de informação que é guardado numa base dedados, permitindo criar um perfil do comprador. Assim, todos os deta-lhes do pagamento de um comprador (dados pessoais, número de car-tões de crédito e passwords, entre outros) devem ser protegidos, demodo a evitar utilizações não autorizadas e possibilidade de consulta,alteração e eliminação desses dados. O mesmo acontece com a infor-mação dos catálogos do vendedor, nomeadamente produtos, preçosou condições, uma vez que também esses dados podem ser alvo deataques, por exemplo, de eliminação ou modificação. Para além disso,o sistema deve garantir o não-repúdio por parte quer dos compradoresquer dos vendedores, e devem ser asseguradas a entrega e a recep-ção dos bens ou serviços encomendados.

Do ponto de vista do comprador, algumas medidas de segurançaque podem tornar o negócio electrónico mais seguro são:

1. A instalação de um browser seguro, que permita a utilização deprotocolos standard de segurança (como SSL e sistemas dotipo SET) e a apresentação de mensagens de aviso antes doenvio de informação sensível para uma página na Internet (indi-cando se é ou não uma página segura);

2. O envio de informação privada unicamente nos casos em quese sabe quem a vai receber, como vai ser utilizada e onde vaiser guardada;

3. A verificação de quais são as políticas de segurança da empre-sa, especialmente em relação à confidencialidade;

4. A realização de compras a empresas conhecidas ou, pelo me-nos, a procura de alguma informação sobre a empresa antes dea compra ser efectuada. Por exemplo, a verificação se é umaempresa certificada, se a morada não é só um apartado ou umendereço de e-mail;

5. A leitura, a impressão e o armazenamento das condições docontrato de venda.

88


Do ponto de vista do vendedor, alguns dos critérios de segurançaque podem ser implementados são:

1. A codificação de toda a informação sensível enviada pela Internet;

2. O desenvolvimento e a manutenção de sistemas e aplicaçõesde segurança (antivírus, firewalls, sistemas de detenção de in-trusão, etc.);

3. A restrição de acesso (físico e por rede) à informação sensível econfidencial (como dados de cartões de crédito ou passwords);

4. A atribuição de um código de identificação único a cada pessoacom acesso aos computadores da rede, permitindo assim a moni-torização de todos os acessos à informação e aos recursos da rede;

5. A utilização de protocolos de autenticação para pagamentosatravés de cartões de crédito (3D-Secure ou SPA);

6. A definição de uma boa política de segurança (ver Capítulo 5).


1. Se tivesse de realizar um pagamento electrónico, que modelo escolheria? Justifique.2. Descreva as principais diferenças entre o SET e o MIA/SET, e entre o SET e o 3D-Secure.3. Qual é a principal vantagem do sistema MBNet em relação aos cartões de débito e crédito?4. Quais as vantagens de utilizar um fornecedor especializado de serviços (PSP)?5. Indique algumas das medidas que um comprador deve seguir para proteger os seus

dados quando realiza um pagamento electrónico.

1 Sistema intermediário entre issuer e acquirer que encaminha os pedidos deautorização de pagamento para o issuer, verifica o resultado deste pedido eenvia a resposta ao acquirer.

2 A SIBS, Sociedade InterBancária de Serviços, S. A. é a maior empresa portu-guesa especializada em soluções tecnológicas de pagamentos, responsávelentre outros, pelo desenvolvimento da rede Multibanco.

3 A Unicre, Cartão Internacional de Crédito, S. A. é a maior empresa portuguesaespecializada na gestão e emissão de cartões de pagamento.

Pág. 78

N O T A S

Pág. 80

Pág. 80


89

Políticas deSegurança

• Descrever os passos de uma análise de riscos

• Apresentar algumas das medidas fundamentais para garantir asegurança do pessoal e dos equipamentos

• Explicar algumas das soluções a adoptar num plano de contingência

O B J E C T I V O S

5C A P Í T U L O

90


Uma política de segurança é um conjunto de regras e procedimentos quevisam controlar o acesso a determinados recursos de uma organização, por exem-plo, informações confidenciais, aplicações (programas), dispositivos físicos(computadores, impressoras, etc.) ou até mesmo instalações. Uma definição for-mal e rigorosa dessas regras por parte de uma organização traz benefícios,como, por exemplo, saber que procedimentos adoptar perante determinadas cir-cunstâncias, saber definir os papéis a serem desempenhados por cada interve-niente, atribuir responsabilidades em caso de ocorrência de problemas, aplicarsanções aos responsáveis, se for caso disso, e limitar as responsabilidades daorganização. No entanto, esses retornos só se conseguem se a política de segu-rança estiver materializada num documento, se tiver uma divulgação alargadae o envolvimento dos níveis hierárquicos superiores e se for periodicamentereavaliada e actualizada.

Este capítulo apresenta os principais conceitos relacionados com a imple-mentação de uma política de segurança, como a análise de riscos e investimen-tos, a segurança física, o controlo de acessos e planos de contingência.

ANÁLISE DE RISCOS

A análise de riscos é o primeiro passo na definição de uma políticade segurança de uma empresa. A análise de riscos, como o próprionome indica, é o estudo dos riscos da realização de uma actividadecomo, por exemplo, atravessar uma estrada, conduzir um carro, andarde avião ou efectuar um pagamento electrónico na Internet. Algunsriscos fazem simplesmente parte do custo de se fazer um negócio, ouseja, são considerados como parte da operação normal de uma em-presa. Existe, por exemplo, o risco do desenvolvimento de uma novatecnologia que torne os automóveis movidos a gasolina completamen-te obsoletos. No entanto, o proprietário de uma bomba de gasolinaaceita este risco. De modo semelhante, um utilizador de um computa-dor aceita o risco de falha de um dispositivo de armazenamento (discorígido, CD, etc.) que provoque a perda de toda a informação.

A instalação de novas soluções tecnológicas de segurança podereduzir drasticamente a gravidade de uma ameaça (sinistro); por exem-plo, o utilizador de um computador pode realizar uma cópia de segu-rança dos seus ficheiros como uma defesa contra uma possível falhado seu disco rígido. Contudo, as grandes empresas envolvidas em inú-meros negócios e, portanto extremamente expostas, não conseguem

CAPÍTULO 5 • POLÍTICAS DE SEGURANÇA

91

determinar facilmente os riscos a que estão sujeitas. Assim, é indis-pensável a definição rigorosa de uma estratégia para análise de riscos(Figura 5.1). A título ilustrativo, veja-se a seguinte notícia, que de-monstra a importância de uma análise de riscos.

Quase metade das empresas nãotem a sua infra-estrutura infor-

mática protegida a 100% face às vulne-rabil idades, conclui a McAfee, líderglobal em prevenção de intrusão e ges-tão de riscos de segurança.

O estudo da McAfee, conduzido pelaIpsos Research, inquiriu cerca de 600executivos de TI europeus pertencentesa empresas com mais de 250 empre-gados, anunciam em comunicado.

METADE DAS EMPRESAS ESTÁ VULNERÁVEL A ATAQUES INFORMÁTICOS– PROTECÇÃO CUSTA MILHÕES DE EUROS E MUITAS HORAS DE TRABALHO

O seu objectivo foi analisar a dinâ-mica de resposta das empresas peran-te o anúncio de uma vulnerabilidade noseu sistema.

As conclusões do estudo revelamque, mais de um quarto dos inquiridos(27%) responderam que demoram cercade 48 horas ou mais a proteger totalmentea sua infra-estrutura, desde que se pu-blica um patch1 até ao momento em quea infra-estrutura informática está total-mente protegida contra essa vulnerabili-

«

Figura 5.1Ciclo dasegurançanos negócios

Fonte: Adaptado de DIAS (2000)

92


dade. Um em cada cinco (19%) afirmouque demora até uma semana ou mais.

Mais de um terço (36%) das empre-sas inquir idas na Europa não sabequantos patches foram aplicados nassuas empresas nos últimos 6 meses.

Já 58% dos profissionais de TI in-quiridos reconheceram não saber quan-to está a custar à sua empresa aaplicação de patches. Mas o Internatio-nal Data Corporation2 prevê que o mer-cado Europeu de gestão de patchesvenha a alcançar os 88 milhões de dó-lares em 2010.

Um em cada cinco profissionais deTI declarou investir uma hora ou mais

por dia na investigação de vulnerabili-dades e patches.

E 45% dos inquiridos não estabele-cem áreas de negócio prioritárias parareceberem patches primeiro.

O estudo da McAfee revela que 20%dos inquiridos dedicam uma hora oumais por dia na gestão de vulnerabili-dades. Na Europa, um em cada dez pro-fissionais informáticos dedica 240 horaspor ano a investigar vulnerabilidades, oque equivale a 5 semanas de trabalhodedicadas por inteiro a esta actividade.»

Fonte: Agência financeira, 17 de Abril de 2006

(http://www.agenciafinanceira.iol.pt)

BENEFÍCIOS DE UMA ANÁLISE DE RISCOS

Alguns dos benefícios de uma análise de riscos são:

• o melhoramento do grau de conhecimento – a discussão de ques-tões de segurança pode ajudar a aumentar o nível de interesse epreocupação entre os empregados da empresa;

• o levantamento de recursos e vulnerabilidades – algumas em-presas desconhecem por completo alguns dos seus recursos eas vulnerabilidades a eles associadas. Uma análise sistemáticapode ajudar na identificação dos factores de exposição;

• o melhoramento dos processos de decisão – algumas soluçõesde segurança podem reduzir a produtividade mediante um au-mento de burocracia para os utilizadores; ou seja, estas solu-ções não podem ser simplesmente encaradas na perspectiva deprotecção que oferecem. De igual modo, algumas ameaças sãotão sérias que justificam uma procura contínua de novas solu-ções tecnológicas;

• a justificação de custos para segurança – algumas soluções desegurança são extremamente dispendiosas sem contudo forne-cerem um benefício óbvio. Uma análise de riscos pode ajudar aidentificar as componentes de uma solução tecnológica em quevale a pena investir;


93

PASSOS DE UMA ANÁLISE DE RISCOS

Os passos básicos de uma análise de riscos são:

1. Levantamento e classificação de recursos;

2. Determinação de vulnerabilidades;

3. Estimação da probabilidade de exploração das vulnerabilidades;

4. Cálculo dos prejuízos esperados;

5. Investigação de novas soluções tecnológicas e seus custos.

Levantamento e classificação de recursos

O primeiro passo de uma análise de riscos consiste no levantamen-to e classificação dos meios humanos e/ou materiais de uma empresa,ou seja, na realização de um inventário. Esses recursos podem seragrupados em diversas categorias, como:

• aplicações;

• bases de dados;

• arquivos de documentos e comunicações que contenham:– relatórios financeiros;– especificações de produtos;– planos de negócios;– listas de clientes e prospects;

• computadores e outros dispositivos de hardware;

• trabalhadores.

Apesar de em algumas empresas ser procedimento habitual a reali-zação de um inventário anual ao hardware por motivos de amortizaçãoe obsolência tecnológica, existem, no entanto, outras em que esse in-ventário pode estar desactualizado. Mais ainda, esse inventário anualraramente inclui recursos intangíveis como dados ou trabalhadores.

Determinação de vulnerabilidades

O levantamento de recursos de uma empresa é uma tarefa sim-ples, porque muitos dos meios humanos e/ou materiais são tangíveisou facilmente identificáveis. O passo seguinte de uma análise de ris-cos consiste na determinação das vulnerabilidades desses recursos.

94


No entanto, é muito difícil identificar até que ponto se é vulnerável acada ameaça. Mesmo assim, é possível com alguma imaginação pre-ver que ataques podem ocorrer aos recursos e quais as suas fontes.

As garantias requeridas para obter a segurança desejada por umaempresa são confidencialidade, integridade, autenticação, autorização,registo e não-repúdio (ver Capítulo 1). Um ataque é qualquer situaçãoque implique a perda de alguma dessas características. Algumas dasquestões e dos cenários a considerar incluem:

• Quais são os efeitos provocados por erros não intencionais?Considerar, por exemplo, a divulgação precipitada de planos denegócios ou catálogos de produtos;

• Quais são os efeitos provocados por um acto interno malicioso?Considerar, por exemplo, empregados insatisfeitos ou suborna-dos por empresas concorrentes;

• Quais são os efeitos provocados por um acto externo malicio-so? Considerar, por exemplo, o acesso à rede informática porhackers ou o acesso às instalações por ladrões;

• Quais são os efeitos provocados por catástrofes físicas e natu-rais? Considerar, por exemplo, incêndios, tempestades, inunda-ções, quebras de energia ou falhas de equipamento.

Estimação da probabilidade de exploração das vulnerabilidades

O terceiro passo de uma análise de riscos consiste em determinarcom que frequência cada vulnerabilidade pode ser explorada. A pro-babilidade de ocorrência de um ataque está relacionada com o nívelde segurança oferecido pelas soluções tecnológicas já existentes ecom a probabilidade de algo ou alguém suplantar essa segurança.Apesar de ser praticamente impossível prever a probabilidade de ocor-rência de alguns eventos, existem formas de estimar essa probabilida-de, como, por exemplo:

• através da observação de dados da população em geral – éimpossível determinar quando é que um fogo ou uma catástrofenatural atingirá uma casa. No entanto, as companhias de segu-ro possuem dados a partir dos quais conseguem prever que numdeterminado ano, n casas serão afectadas por incêndios, comum prejuízo médio de x. De igual modo, as companhias de segu-ro possuem dados a partir dos quais se pode inferir a probabili-


95

dade de suborno por parte de um trabalhador, de assalto a umasinstalações, etc.;

• através da observação de dados locais – o sistema operativo deum computador pode efectuar o registo das falhas de hardwa-re, número de acessos e tamanho dos ficheiros de dados;

• através do número de casos registados num determinado perío-do de tempo – o analista investiga e faz uma aproximação donúmero de vezes que um determinado evento ocorreu no últimoano. Apesar de o número não ser exacto, porque provavelmen-te o analista não teve acesso a todas as informações, pode serconsiderado uma estimativa razoável;

• através do método de Delphi – é uma técnica em que diversosanalistas estimam individualmente a probabilidade de ocorrên-cia de um evento. As estimativas são depois reunidas, reprodu-zidas e distribuídas a todos os analistas. De seguida, é feita apergunta aos analistas se desejam modificar algumas das pro-babilidades estimadas com base nas fornecidas pelos colegas.Após um conjunto de revisões, todas as estimativas são nova-mente reunidas. Se os valores forem razoavelmente consisten-tes, a estimativa final é inferida. Se forem inconsistentes, osanalistas reúnem-se novamente para discutir a razão da incoe-rência e seleccionarem uma estimativa final.

Cálculo dos prejuízos esperados

O cálculo do prejuízo financeiro esperado por cada cenário identi-ficado é o passo seguinte de uma análise de riscos. Assim como aprobabilidade de ocorrência de um ataque, também este valor é difícilde estimar. Alguns custos, como o custo de substituir uma componen-te de hardware, são fáceis de determinar. Mesmo os custos de subs-tituição de uma aplicação podem ser aproximados com base nos custosde aquisição ou desenvolvimento. No entanto, as consequências paraterceiros relacionadas com a perturbação da actividade da empresa,por exemplo, por falha de uma aplicação ou de uma componente dehardware, são substancialmente mais difíceis de quantificar.

A divulgação de dados confidenciais de uma empresa a pessoasnão autorizadas como dados de um novo produto, resultados de ven-das ou informações financeiras pode implicar uma redução da vanta-gem competitiva e fornecer vantagens a uma empresa concorrente.

96


Alguns dados financeiros, especialmente dados adversos, podem pro-vocar danos na imagem da empresa e afectar a confiança dos clien-tes. Assim, neste caso também é difícil determinar os prejuízos directosda divulgação deste tipo de informações.

As seguintes questões podem ajudar na análise das implicações deuma falha de segurança. Apesar de não indicarem custos precisos, asrespostas a estas questões podem ajudar a identificar as fontes decustos tangíveis e intangíveis.

• Quais são as implicações futuras em termos de negócios de umacesso não autorizado aos dados confidenciais? Podem essesdados fornecer uma vantagem competitiva às empresas con-correntes? Qual é a diminuição estimada do número de vendas?

• Qual é o efeito psicológico da falha de uma aplicação ou deuma componente de hardware? Perda de credibilidade? Perdade negócios? Quantos clientes vão ser afectados? Qual é o seuvalor como clientes?

• Quais são os problemas levantados por uma perda de dados?Podem ser recuperados? Podem ser reconstruídos? Com muitotrabalho?

• Quanto vale o acesso por terceiros aos dados e aplicações de umaempresa? Quanto é que uma empresa concorrente está dispos-ta a pagar por esse acesso?

Como foi mencionado atrás, não é fácil identificar o custo quecada ameaça coloca para o negócio. No entanto, esse custo deve sercalculado para cada tipo de recursos em presença de cada cenárioidentificado.

Investigação de novas soluções tecnológicas e seus custos

No caso dos prejuízos financeiros esperados serem inaceitáveis,torna-se indispensável investigar novas soluções tecnológicas de se-gurança. Se o risco de acesso não autorizado for demasiado elevado,por exemplo, deve ser instalado hardware de controlo de acesso comotokens de segurança ou leitores biométricos (ver Capítulo 1). No en-tanto, na instalação de novas soluções tecnológicas, há dois aspectosextremamente importantes a considerar:

• Nível de segurança oferecido;

• Custo.


97

Em relação ao nível de segurança oferecido, foram apresentadas aolongo deste manual diversas ferramentas como protocolos de seguran-ça do tipo SSL, sistemas de detecção de intrusão, firewalls, antivírus eserviços de segurança (backups, filtragem de conteúdos) que permi-tem reduzir ou eliminar o impacto causado por alguns ataques. A selec-ção de algumas dessas ferramentas por parte de uma empresa estáintimamente ligada aos cenários identificados para cada tipo de recur-sos. Contudo, o custo de aquisição e instalação é também um factor--chave, de tal forma que deve haver um compromisso entre esse custoe a segurança obtida (Figura 5.2). Para além disso, deve ser considera-do o retorno do investimento nas novas soluções, ou seja, o custo deaquisição de uma solução para um determinado recurso não deve sersuperior ao prejuízo esperado por um ataque a esse mesmo recurso.

Figura 5.2Representação docompromisso entreo custo e o nívelde segurançaoferecido por umanova soluçãotecnológica

DOCUMENTAR A POLÍTICA

Após a identificação das vulnerabilidades, a estimação dos prejuí-zos esperados e a investigação de novas soluções tecnológicas desegurança, é necessário que a empresa apresente uma definição con-creta das medidas a serem realizadas de modo a proteger a sua infor-mação privada e a assegurar o pleno funcionamento dos seus negócios.Essas medidas devem estar materializadas num documento de divul-gação alargada, que deve ter o envolvimento dos níveis hierárquicossuperiores e ser periodicamente reavaliado e actualizado. Assim, odocumento a produzir deve conter os seguintes elementos:

• Mensagem da administração, reforçando a importância que asegurança assume;

98


• Objectivos, indicando:– quais os propósitos de segurança da empresa como, por

exemplo, a protecção da integridade dos dados ou a pro-tecção contra a «fuga» de informação;

– qual o compromisso da empresa em relação à segurança,i. e., os esforços que a empresa é capaz de realizar paraminimizar os prejuízos em caso de incidente;

• Estado actual, indicando alguns dos resultados obtidos atravésda análise de riscos, nomeadamente a listagem dos recursosexistentes, as suas vulnerabilidades e as soluções tecnológicasde segurança já implementadas;

• Recomendações e requisitos, indicando as acções a realizar paraimplementar a política de segurança, nomeadamente a aquisi-ção e instalação de novas soluções tecnológicas, a definiçãodos direitos de acesso, das actividades lícitas ou ilícitas e daestratégia de defesa ou contra-ataque;

• Responsabilidades, definindo claramente quem é o responsável equem tem autoridade para implementar a política de segurança;

• Calendário de execução, definindo o plano de implementação dasmedidas da política de segurança com a indicação, por exemplo, daordem de aquisição e instalação das novas soluções tecnológicas;

• Avaliação e revisão, indicando as datas em que se deve fazerum ponto da situação em relação à segurança devido, por exem-plo, a factores de obsolência tecnológica ou ao aparecimento denovas vulnerabilidades;

• Glossário, de modo a auxiliar a compreensão por pessoal nãotécnico.

SEGURANÇA FÍSICA

A segurança física tem como objectivo a protecção de pessoas,bens e instalações das organizações pela implementação de medidaspreventivas e/ou reactivas de modo a assegurar a continuidade donegócio. Inexplicavelmente, muitas organizações não consideram asegurança física importante, gastando quantias avultadas em sistemas


99

informáticos, nomeadamente sistemas de detecção de intrusão, fi-rewalls e antivírus, esquecendo os prejuízos causados, por exemplo,pelo roubo de um portátil com informação sensível pelos empregadosde limpeza ou pelo acesso não autorizado a um servidor dentro daspróprias instalações. A título ilustrativo, veja-se a seguinte notícia, quedemonstra a importância da segurança física.

Sistema roubado continha infor-mações como nomes, endere-

ços e números de contas dos clientesdo Wells Fargo.

Pela quarta vez nos últimos 30 me-ses, o banco americano Well Fargo &Co publicou na sexta-feira (05/05) umcomunicado no seu site informando queum computador que pertencia ao seugrupo foi dado como perdido durante otransporte para outra empresa.

A empresa iniciou um processo denotificação dos seus clientes sobre a po-tencial exposição das suas informaçõesprivadas, além de os alertar sobre o quepodem fazer para reduzir a exposição dasua identidade roubada. A companhia irátambém pagar durante um ano a assi-natura de um serviço para monitoriza-ção das contas de cada um dos clientesafectados.

O equipamento continha informa-ções como nomes, endereços, núme-ros de segurança social e números dascontas dos clientes.

“O computador tem duas camadasde segurança, o que dificultará o aces-so à informação”, afirmou o banco. Atéagora, pelo menos, não há nenhuma in-dicação que a informação armazenadano computador tenha sido usada ina-

BANCO AMERICANO SOFRE ROUBO DE DADOS PELA QUARTA VEZ

dequadamente, disse o porta-voz daempresa, Alejandro Hernandez.

Hernandez não sabe ainda quantosclientes foram afectados pelo incidente.Nem sabe informar quando ocorreu o rou-bo, mas afirmou que as investigaçõescriminais já estão encaminhadas pelasautoridades. “Até ao momento, as autori-dades acreditam que o equipamento foiroubado pelo hardware”, e não pelos da-dos que ele continha, disse Hernandez.

Em Novembro de 2003, dados de mi-lhões de clientes do Wells Fargo foramcedidos quando um ladrão invadiu o es-critório. Um ano depois, em Novembrode 2004, a empresa anunciou que trêslaptops e um desktop com informaçõespessoais de milhões de mutuários fo-ram roubados por uma empresa queimprimia mensalmente informativospara o Wells Fargo. O incidente acar-retou dois processos contra o bancopor negligência e quebra de contrato.O caso foi decidido a favor do banco emMarço deste ano.

E, em Fevereiro de 2004, um funcio-nário da empresa perdeu um laptop quecontinha informações de mais de 35 milclientes do Wells Fargo.»

Fonte: Adaptado do IDG Now, 9 de Maio

de 2006 (http://idgnow.uol.com.br)

«

A segurança física pode ser dividida em:

• Segurança do pessoal;

• Segurança dos equipamentos.

100


SEGURANÇA DO PESSOAL

Consiste em reduzir os riscos de falha humana, roubo, fraude oumá utilização dos recursos. Isto exige que todos os funcionários este-jam sensibilizados para o cumprimento da política de segurança daempresa. Alguns aspectos fundamentais são os seguintes:

• Formação, de modo a garantir que os funcionários tenham co-nhecimento das ameaças e preocupações respeitantes à segu-rança da informação;

• Recrutamento e/ou promoção de funcionários idóneos para oscargos que de alguma maneira permitem o acesso às informa-ções consideradas sensíveis. Para além disso, deve existir umacláusula de confidencialidade explicitando a importância no si-gilo da informação no contrato de cada um dos funcionários,que deve ser válida mesmo após a cessação do contrato;

• Resposta a incidentes, de modo a minimizar os prejuízos causa-dos por falhas de segurança, promovendo a adopção de medidasde correcção adequadas. Além disso, deve ser estabelecido umprocedimento de notificação formal da ocorrência de incidentes;

• Medidas disciplinares para os funcionários que tenham violadoos procedimentos e as políticas de segurança. Muitas vezes, aexistência dessas medidas pode dissuadir funcionários que pre-tendam cometer fraudes.

SEGURANÇA DOS EQUIPAMENTOS

A segurança dos equipamentos consiste na adopção de medidas desegurança por forma a impedir a perda, o dano ou o prejuízo de equi-pamentos informáticos ou a interrupção de actividades de negócio.Algumas medidas fundamentais são:

• a instalação de UPS (uninterruptable power suply) ou gera-dores de emergência para protecção dos equipamentos contrafalhas de energia;

• a manutenção correcta dos equipamentos de acordo com asespecificações do fabricante de modo a garantir as suas integri-dade e disponibilidade;

• a eliminação ou cifra de informação sensível sempre que fornecessária a reparação de equipamentos;


101

• a eliminação de informação sensível sempre que for entregueequipamento em leasing;

• a utilização de cadeados, cabos, etc., para prevenir roubos dasestações de trabalho, especialmente computadores portáteis;

• a destruição de suportes removíveis (disquetes, CD, etc.) cominformação sensível sempre que estiverem danificados;

• a prevenção contra furtos e observação não autorizada (es-pionagem) de computadores portáteis fora das instalações daempresa;

• a colocação dos servidores em instalações próprias sob vigilân-cia permanente e com controlo de acessos.

CONTROLO DE ACESSOS

O controlo de acesso é todo e qualquer sistema de segurança construídocom o objectivo de proteger instalações, equipamentos ou informaçõesde acessos não autorizados. Normalmente, é implementado um sistemadeste tipo com o recurso a meios físicos como guardas, dispositivos me-cânicos como chaves e cadeados ou soluções tecnológicas como tokensde segurança, smartcards e métodos biométricos (ver Capítulo 1).

No contexto de sistemas informáticos, o controlo de acessos per-mite fazer a identificação, autenticação e autorização dos utilizadores.A identificação e autenticação determinam quem pode aceder ao siste-ma e em geral baseiam-se num dos seguintes factores:

• Algo que o utilizador conhece como um número de identifica-ção pessoal (PIN) ou uma combinação de username/password.No caso de ser utilizada uma password, convém que, comomedida de prevenção contra ataques de roubo de passwords(ver Capítulo 3), ela tenha no mínimo oito caracteres, pelo me-nos um carácter maiúsculo, um carácter minúsculo e um núme-ro e que seja mudada periodicamente;

• Algo que o utilizador tem como tokens de segurança ou smart-cards;

• Alguma característica pessoal do utilizador, como uma impres-são digital ou a íris.

102


A autorização estabelece os privilégios de um utilizador autenticado,indicando o seu tipo de permissão (leitura, escrita e execução).

Todo este processo de identificação, autenticação e autorização im-plica a existência de «contas» para cada um dos utilizadores que devemser geridas pelo respectivo administrador do sistema informático. A cadaconta, para além das permissões, devem estar associadas as licençasdas aplicações (software) a que o utilizador pode aceder.

Na perspectiva da segurança das redes, as ferramentas mais utili-zadas para efectuar o controlo de acessos são as firewalls e os siste-mas de detenção de intrusão (ver Capítulo 3), pois permitem bloquearas tentativas não autorizadas à rede. No caso de acessos remotos,através de modems ou de redes privadas virtuais (VPN), o controlode acessos deverá ser efectuado usando um dos meios de identifica-ção e autenticação referidos anteriormente. Finalmente, convém re-ferir que um sistema de controlo de acessos deve ser capaz de registartodos os acessos efectuados, quer sejam ou não autorizados, gravan-do pelo menos a data, a hora, o local e a identificação do utilizador, demodo a permitir a monitorização da rede.

PLANOS DE CONTINGÊNCIA

Um plano de contingência ou plano de recuperação de desastresdescreve as medidas que uma empresa deve tomar, incluindo a acti-vação de processos manuais ou o recurso a contratos, para assegurarque os seus negócios vitais voltem a funcionar plenamente, ou numestado minimamente aceitável, em caso de incidente. Algumas destasmedidas incluem a adopção de:

• soluções básicas como cópias de segurança dos dados, quedevem ser armazenadas off-site, i. e., em instalações apropria-das, de preferência em locais remotos (ver backups remotos– Capítulo 3);

• soluções cold site, warm site ou hot site.

COLD SITE

Dependendo da natureza do negócio de uma empresa, pode serimportante recuperar o mais depressa possível de um desastre. Um


103

banco, por exemplo, é capaz de tolerar a interrupção dos seus servi-ços durante um período de quatro horas por causa de um incêndio, masé incapaz de suportar um período de dez meses para reconstrução dasinstalações, aquisição e instalação de novos equipamentos. A maiorparte dos fabricantes de hardware disponibiliza novas máquinas (com-putadores, servidores) às empresas num período muito rápido em si-tuações de emergência. A questão que se põe é onde colocar esteequipamento de modo a retomar as operações habituais.

Na solução cold site, uma empresa especializada disponibiliza aocliente um espaço (centro de recuperação de desastres – CRD), oequipamento e as comunicações contratadas em caso de catástrofe.O cliente é responsável por manter uma cópia de segurança dos da-dos e por transportar essa cópia para o CRD. Mais ainda, são suasobrigações instalar o equipamento, configurar a rede e restaurar osdados. Nessa solução, o tempo de inactividade pode demorar de 24horas a alguns dias, dependendo da complexidade dos sistemas, dasaplicações e da quantidade de informação a recuperar.

WARM SITE

Na solução warm site, o cliente contrata uma infra-estrutura dedi-cada com suporte de sistemas (processamento e armazenamento) ede comunicações. Assim como na solução cold site, o cliente é res-ponsável por manter uma cópia de segurança dos dados, por transpor-tar essa cópia para o CRD e restaurar a informação. A recuperaçãoda actividade demora normalmente entre 12 a 24 horas.

HOT SITE

A solução hot site é a mais dispendiosa das três soluções para ocliente, uma vez que é instalada no CRD uma cópia exacta do sistemaem operação. Mais ainda, os dados são transferidos assincronamentecom várias frequências para o CRD. Assim, quando um desastre ocor-re, o sistema alternativo é accionado e a actividade pode ser recupe-rada em apenas alguns minutos.

Esta solução é especialmente projectada para as organizações quenão podem tolerar nenhuma inactividade nos seus serviços, como, porexemplo, instituições financeiras.

104



1. Indique alguns dos benefícios de uma análise de riscos.2. Enuncie os passos de uma análise de riscos e explique sucintamente cada um deles.3. Aponte algumas das medidas fundamentais para garantir a segurança dos equipa-

mentos.4. Se tivesse de implementar um plano de contingência baseado numa solução cold

site, warm site ou hot site, qual escolheria? Justifique.

1 Patches são actualizações de segurança que os fornecedores de software pu-blicam nas suas páginas quando tomam conhecimento de vulnerabilidades nosseus produtos que possam comprometer a segurança do computador e da infor-mação aí residente.

2 Reconhecida multinacional de estudos de mercado na área da Internet e dasnovas tecnologias.

Pág. 91

N O T A S

Pág. 92


105

B I B L I O G R A F I A

• Banco de Portugal (2002), Débitos Directos, Cadernos do Banco de Portugal,n.º 1.

• Banco de Portugal (2004), Cartões Bancários, Cadernos do Banco de Portu-gal, n.º 6.

• BHASIN, S. (2002), Web Security Basics, Course Technology.

• DIAS, C. (2000), Segurança e Auditoria da Tecnologia da Informação, 1.ª ed.,Axcel Books.

• FERREIRA, J. e ALVES, S. (1995), Segurança dos Sistemas e Tecnologias daInformação, Instituto de Informática e Autoridade Nacional de Segurança.

• GARFINKEL, S. e SPAFFORD, G. (2002), Web Security, Privacy & Commerce,2.ª ed., O’Reilly.

• KALAKOTA, R. e WHINSTON, A. B. (1997), Electronic Commerce: A Manager’sGuide, Addison Wesley Longman, Inc.

• MENEZES, A., VAN OORSCHOT, P. e VANSTONE, S. (1996), Handbook ofApplied Cryptography, CRC Press, Inc.

• MIRA DA SILVA, M., SILVA, A., ROMÃO, A. e CONDE, N. (2003), Comércio Elec-trónico na Internet, 2.ª ed. actualizada, Lidel – Edições Técnicas, Lda.

• PFLEEGER, C. (1997), Security in Computing, 2.ª ed., Prentice Hall Interna-tional, Inc.

• PREETHAM, V. (2002), Internet Security and Firewalls, Course Technology.

• RSA DATA SECURITY, Inc. (1996), Answers to Frequently Asked Questionsabout Today’s Cryptography, em http://www.rsasecurity.com/rsalabs/

• SCHNEIER, B. (1996), Applied Cryptography: Protocols, Algorithms and Sour-ce Code in C, 2.ª ed., John Wiley & Sons.

• STALLINGS, W. (2000), Network Security Essentials: Applications and Stan-dards, 1.ª ed., Prentice Hall.

• VEIGA, P. (2004), Tecnologias e Sistemas de Informação, Redes e Seguran-ça, Porto, Sociedade Portuguesa de Inovação.

• Wikipedia Contributors (2006), Wikipedia, The Free Encyclopedia, em http://en.wikipedia.org.

R E F E R Ê N C I A S

U R L

• MBNet http://www.mbnet.pt

• Visa Europe http://www.visaeurope.com


107

A N E X O S

A N E X O A

MODELO TCP/IP

O objectivo inicial do modelo TCP/IP era construir uma rede entre ambientes hetero-géneos (com diferentes tipos de computadores e sistemas operativos) que fornecesseum serviço de comunicação universal, denominado Internet. Para que ambientes incom-patíveis possam trocar informação (pacotes, i. e., os pequenos blocos em que é divididaa informação trocada entre computadores) de maneira coerente e eficiente, é necessá-rio definir um conjunto de normas. Esse conjunto de regras constitui um protocolo. Al-guns dos protocolos pertencentes ao modelo TCP/IP são:

• Internet protocol (IP) – protocolo que fornece o serviço de rede Internet;

• transmission control protocol (TCP) – protocolo de transporte orientado à ligaçãona Internet;

• user datagram protocol (UDP) – protocolo de transporte não orientado à ligaçãoda Internet;

• Internet control message protocol (ICMP) – protocolo de envio de relatórios deerro;

• file transfer protocol (FTP) – protocolo utilizado para transferência de ficheirosna Internet;

• hypertext transfer protocol (HTTP) – protocolo utilizado para transferência dedocumentos HTML.

O modelo TCP/IP está estruturado em quatro camadas (ver figura na página se-guinte):

• Aplicação;

• Transporte;

• Rede;

• Interface à rede.

108


A camada superior – camada de aplicação – é responsável por permitir que as aplica-ções possam comunicar através de hardware e software de diferentes sistemas operati-vos e plataformas. Muitas vezes este processo é chamado de cliente-servidor. A aplicaçãocliente está em geral num equipamento mais simples e com uma boa interface com outilizador. A aplicação envia requisições à aplicação servidor, que normalmente está numaplataforma mais robusta e tem capacidade para atender várias requisições diferentes declientes diferentes. Alguns exemplos de aplicações são o HTTP e o FTP.

A camada seguinte – camada de transporte – tem a função de começar e terminaruma ligação, controlar o fluxo de informação, efectuar processos de correcção e verifica-ção de erros de pacotes e ainda segmentar mensagens e reagrupar pacotes. Os principaisprotocolos desta camada são o TCP e o UDP.

A camada de rede é responsável por encaminhar os pacotes desde a origem até aodestino, atribuir endereço de rede ao sistema e verificar a validade dos pacotes recebidos.Tem ainda a função de ligação entre as camadas superiores e o hardware. O protocolo derede mais utilizado é o IP.

A primeira camada – camada de interface à rede – fornece os meios físicos quepermitem o fluxo de informação entre dois computadores. Os meios de telecomunicaçãomais utilizados são:

• Ethernet – tecnologia de ligação de redes locais (local area networks – LAN);

• WIFI – tecnologia de ligação de rede sem fios.

Na Internet, os protocolos utilizados são o TCP na camada de transporte e o IP nacamada de rede.

Figura A.1Estrutura domodelo TCP/IP


109

Í N D I C E

INTRODUÇÃO ..................................................... 05

CAPÍTULO 1

NOÇÕES BÁSICAS DE SEGURANÇA ........ 07

AMEAÇAS À SEGURANÇA .......................... 08

MODIFICAÇÃO ............................................ 09REPETIÇÃO .................................................. 09INTERCEPÇÃO ............................................. 10DISFARCE ..................................................... 10REPÚDIO ....................................................... 10NEGAÇÃO DE SERVIÇO .............................. 11

GARANTIAS DE SEGURANÇA .................... 12

CONFIDENCIALIDADE ................................. 12INTEGRIDADE ............................................... 12AUTENTICAÇÃO ......................................... 12AUTORIZAÇÃO ........................................... 15REGISTO ...................................................... 16NÃO-REPÚDIO .............................................. 16

CAPÍTULO 2

SUPORTE CRIPTOGRÁFICO– IDENTIFICAÇÃO E AUTENTICAÇÃO ..... 17

NOÇÕES BÁSICAS DE CRIPTOGRAFIA ..... 18

ALGORITMOS DE CIFRA .............................. 19

ALGORITMOS DE CHAVE SIMÉTRICA ...... 19Cifragem por blocos vs. cifragem por

streams ........................................................ 22Distribuição de chaves secretas ........... 22ALGORITMOS DE CHAVE ASSIMÉTRICA . 23Algoritmos de chave simétrica vs.

algoritmos de chave assimétrica .......... 24Envelopes digitais .................................... 25

ALGORITMOS DE SUMÁRIO ....................... 26

ASSINATURA DIGITAL .................................. 28

CERTIFICADO DIGITAL ................................ 30

ENTIDADES CERTIFICADORAS .................. 32Cadeias de certificação ........................... 33Redes de confiança .................................. 37

APLICAÇÕES DA CRIPTOGRAFIA– SEGURANÇA NA INTERNET ..................... 38

PRETTY GOOD PRIVACY (PGP) .............. 38SECURE SOCKETS LAYER (SSL) ............ 38TRANSPORT LAYER SECURITY (TLS) ... 41INTERNET PROTOCOL SECURITY

(IPSEC) ......................................................... 41REDE PRIVADA VIRTUAL ............................ 42SECURE/MULTIPURPOSE INTERNET

MAIL EXTENSIONS (S/MIME) ................... 42

CAPÍTULO 3

PROTECÇÃO DE DADOS DO UTILIZADORE DOS SISTEMAS .......................................... 45

FIREWALLS ........................................................ 46

PACKET FILTERING FIREWALLS ............ 48O processo de filtragem ......................... 49Vantagens e desvantagens da packet

filtering firewall ........................................ 49PROXY APPLICATION FIREWALLS ........ 50Vantagens e desvantagens da proxy

application firewall ................................. 51

DETECÇÃO DE INTRUSÃO .......................... 52

IDS E FIREWALLS ....................................... 53TÉCNICAS IDS ............................................. 53Técnica de detecção de anomalias ....... 54Técnica de detecção de má utilização

do sistema ................................................. 54TIPOS DE IDS ............................................... 54IDS network based ..................................... 55IDS host based ............................................ 55IDS hybrid ................................................... 56

VÍRUS E ANTIVÍRUS ....................................... 56

VÍRUS ........................................................... 56Meios de propagação .............................. 58Tipos de vírus ........................................... 59Outras ameaças ........................................ 60ANTIVÍRUS ................................................... 63Medidas de segurança para prevenir

ataques de vírus ....................................... 64

110


SERVIÇOS DE SEGURANÇA .......................... 65

FILTRAGEM DE CONTEÚDOS ..................... 65BACKUPS REMOTAS ................................. 65MONITORIZAÇÃO REMOTA ....................... 66

CAPÍTULO 4

PAGAMENTOS NO ÂMBITO DO NEGÓCIOELECTRÓNICO ............................................... 69

PAGAMENTOS ELECTRÓNICOS ................. 70

MODELOS DE PAGAMENTO

ELECTRÓNICO ............................................. 71Cartões de crédito ................................... 71Cartões de débito ..................................... 78Micropagamentos .................................... 80«Moedas» alternativas ............................. 81Server-side wallets .................................... 81PayPal .......................................................... 81SISTEMAS DE PAGAMENTO EM PORTUGAL . 82PAYMENT SERVICE PROVIDERS .............. 85

PROTECÇÃO DE DADOS DE PAGAMENTOSELECTRÓNICOS .............................................. 87

CAPÍTULO 5

POLÍTICAS DE SEGURANÇA ...................... 89

ANÁLISE DE RISCOS ...................................... 90

BENEFÍCIOS DE UMA ANÁLISE DE

RISCOS ........................................................ 92PASSOS DE UMA ANÁLISE DE RISCOS ..... 93Levantamento e classificação de

recursos ..................................................... 93Determinação de vulnerabilidades ....... 93Estimação da probabilidade de

exploração das vulnerabilidades ........... 94Cálculo dos prejuízos esperados ......... 95Investigação de novas soluções

tecnológicas e seus custos ................... 96

DOCUMENTAR A POLÍTICA ........................ 97

SEGURANÇA FÍSICA ...................................... 98

SEGURANÇA DO PESSOAL ...................... 100SEGURANÇA DOS EQUIPAMENTOS ......... 100

CONTROLO DE ACESSOS ............................ 101

PLANOS DE CONTINGÊNCIA .................... 102

COLD SITE ................................................ 102WARM SITE .............................................. 103HOT SITE ................................................... 103

REFERÊNCIAS ............................................... 105

ANEXOS .......................................................... 107

A Segurança Informática e o Negócio Electrónico · CAPÍTULO 1 • NOÇÕES BÁSICAS DE...

Documents

Transcript of A Segurança Informática e o Negócio Electrónico · CAPÍTULO 1 • NOÇÕES BÁSICAS DE...