Este Módulo 3.

Este Módulo está divido em quatro aulas. Aula 1: Comércio e Governo Eletrônico Aula 2: Hacker, vírus, senhas e backups Aula 3: Crime virtual, leis e regras Aula 4: Certificado digital e criptografia

Você está iniciando a primeira aula do Módulo 3, nela você aprenderá sobre:

Comércio Eletrônico - o novo paradigma nos negócios, mitos e realidades, a economia digital e seu mercado, B2C, B2B, B2G, CRM e call center são assuntos em evidência na atualidade;

Governo Eletrônico - esta aula tem como objetivo trazer o conceito de Governo Eletrônico e seus impactos para a sociedade. A Tecnologia da Informação aproxima o que está geograficamente distante e, dessa forma, aproxima também o cidadão das ações que o Governo toma. Essa transparência, aliada à agilidade de processos da área pública e de maiores controles, faz com que o e-gov se torne cada vez mais forte.

Aula 1: Comércio e Governo Eletrônico

novos Negócios

Na nova economia acontece uma forte convergência da base tecnológica, valorizando-se a capacidade de representar e processar a informação na forma digital, ou seja, com uso de recursos dentro dos meios eletrônicos, como a Internet.

Dentro deste cenário, é normal que o próprio mercado reaja com a criação de novas modalidades de relacionamento comercial, pois a globalização não limita as empresas dentro de regras geográficas circunscritas e exige cada vez mais agilidade nas respostas. Com isto, o investimento na Tecnologia da Informação tem sido constante para que as empresas encontrem um diferencial competitivo.

E-BUSINESS

O e-business (negócios eletrônicos) utiliza a tecnologia para facilitar o relacionamento entre empresas, Governos e consumidores, resultando em incremento de vendas e/ou de lucro. Compreende todo o fluxo, ou parte dele, de mercadorias, serviços, informações e processos financeiros entre compradores e vendedores com emprego da tecnologia.

No e-business existe um compartilhamento de informações, obtido pela colaboração eletrônica. O trabalho é realizado em conjunto, para alcançar objetivos também compartilhados. Negócios financeiros também podem ser criados na rede, com uso da compensação eletrônica.

Consulte mais sobre o assunto em http://www.e-commerce.org.br.

 E-COMMERCE

O Comércio Eletrônico (e-commerce) abrange as transações comerciais realizadas por meio de redes de telecomunicação, especialmente a Internet. Ele abrange a compra e a venda de produtos, serviços e informação.

Sua infra-estrutura é composta pelo ambiente de redes de computadores nos negócios, lares e Governo. Como já colocava a Fundação Getúlio Vargas, em 1999, o Comércio Eletrônico não é irreal e teórico, ele é de fato inevitável. Sua contínua proliferação e evolução alterará toda a nossa economia. É uma realidade que trará grandes benefícios para as organizações que o considerarem e ameaças ainda maiores para as que não o utilizarem.

O Comércio Eletrônico móvel (m-commerce) é aquele realizado com o uso de redes sem fio. Seu principal foco é a telefonia celular. A tecnologia WAP (Wireless Aplication Protocol) é um exemplo.

O Comércio Eletrônico está passando por um processo de amadurecimento. Nesse processo, algumas tecnologias tornam-se obsoletas, outras surgem ou se consolidam. Várias vertentes se abrem e os investidores e as operadoras estão investindo alto.

É claro que o m-commerce não substitui o Comércio Eletrônico que a web proporciona, ele apenas o complementa.

Tendência do Comércio Eletrônico

Nos próximos anos, a Internet móvel será bem diferente da existente hoje, com características como always on(usuário sempre conectado) e maior capacidade de banda. O acesso poderá ser com telas pequenas e pouco ergonômicas, ou em ruas e logradouros públicos, nos quais usuários em movimento estarão em busca de ações com agilidade.

Os diálogos também serão mais concisos e rápidos. A navegação lúdica permitida pelos PCs deverá dar lugar a interações velozes e práticas. Provável que a maioria das aplicações móveis de sucesso sejam orientadas para negócios específicos.

Por exemplo: um técnico de manutenção de uma empresa se deslocará recebendo, em seu celular, ordens de serviço e reportando a conclusão das suas tarefas. Quaisquer mudanças de prioridade poderão ser comunicadas a ele em tempo real. Além disso, para cada ordem de serviço ele receberá a lista de peças a serem usadas e, pela localização geográfica, identificará o melhor roteiro para chegar ao local onde fará o trabalho. Quem estará enviando as mensagens será o próprio sistema automatizado na empresa. (TARION, 2001). Isso já acontece hoje.

Sopa de letrinhas

Dentro do cenário de Tecnologia da Informação existem muitas siglas que se tornam parte do vocabulário dos assuntos digitais.

B2C - BUSINESS to CONSUMER

Transações entre empresa e consumidores: este foi o tipo de comércio inicial da Internet, em que as vendas de CDs e livros eram feitas diretamente ao consumidor final. Um tipo de venda voltado para o varejo. Exige um tratamento ao cliente e investimentos de mídia diferentes da transação B2B.

A Amazon.com, de Jeff Bezoz, foi a primeira livraria virtual a surgir na web e seu modelo de negócio marcou a Internet. Nesse caso, trabalha-se o marketing dirigido que esse meio permite: ao acompanhar a navegação dos usuários dentro da rede, registrando suas compras e verificando suas preferências é possível preparar uma propaganda específica para cada um deles e sugerir novos produtos de acordo com o perfil de usuário pesquisado.

B2B - BUSINESS to BUSINESS

Transações entre empresas: nesse enfoque, as empresas se relacionam com seus fornecedores e empresas clientes. É uma venda (e-sales) ou compra (e-procurement) em larga escala, possivelmente programável. Ela envolve os sistemas informatizados de gestão das diferentes empresas que se relacionam. É um volume maior de negociações e, de modo geral, traz melhor custo-benefício. É nessa modalidade que hoje se encontra a grande fatia de negócios na Internet.

B2G - BUSINESS to GOVERNAMENT

Transações entre empresas e Governo: corresponde a ações do Governo que envolvem interação com entidades externas. O exemplo mais concreto é a condução de compras, contratações, licitações, etc., via meios eletrônicos.

s formas citadas anteriormente são as mais comuns, porém pode-se ainda citar outras.

C2C - Consumer to Consumer

Transações entre consumidores finais. Por exemplo: um internauta coloca em um classificado um produto que será adquirido por outro internauta.

G2C - Government to Consumer

Transações entre Governo e cidadão. São ações do Governo de prestação ou recebimento de informações e serviços ao cidadão via meio eletrônico. Por exemplo: site sobre devolução do Imposto de Renda, certidões negativas, multas, etc.

G2G - Government to government

Transações entre Governos. Correspondem a funções que integram ações do Governo, seja horizontalmente (entre os vários poderes do Governo Federal, por exemplo), seja verticalmente (relações entre Governo Federal e Estadual, ou deste com os municípios).

Benefícios, vantagens e limitações

O Comércio Eletrônico traz muitas mudanças. Veja quais são os benefícios, vantagens e as limitações.

Benefícios para a empresa

Expande o mercado nacional e internacionalmente. Diminui os custos de criar, processar, distribuir, armazenar e

recuperar informação em papel. Permite reduzir estoques e custos fixos, agilizando a gerência

da cadeia de suprimentos. Facilita a customização de produtos e serviços, fornecendo

vantagens competitivas. Reduz o tempo entre a aplicação de capital e a recepção de

produtos e serviços. Atende os processos de reengenharia. Baixa os custos de telecomunicações, pois a Internet

geralmente é mais barata do que os métodos tradicionais.

Vantagens para o consumidor

Permite compras 24 horas por dia, independente do local. Fornece ampla variedade de opções. Permite comparar rapidamente preços de produtos e serviços,

muitas vezes mais baratos.

Possibilita fechamento de negócios rapidamente, especialmente os referentes a produtos e serviços digitalizados.

Possibilita a obtenção em tempo real de informações relevantes e detalhadas de produtos ou serviços.

Facilita a implementação de leilões. Permite interagir com outros consumidores para comparar

experiências. Aumento da concorrência, o que implica em descontos

substanciais.

enefícios para a sociedade

Permite às pessoas trabalharem em casa, reduzindo o trânsito para compras e seus efeitos colaterais indesejáveis, tais como poluição.

Redução de custos dos produtos, beneficiando a população. Ampliação da área de alcance das empresas, englobando

regiões distantes e de difícil acesso. Facilita a entrega de serviços públicos com custo reduzido e/ou

de melhor qualidade. Traz maior transparência a processos e informações

disponibilizadas em tempo real.

Limitações técnicas

Necessidade de segurança, confiabilidade e padrões de comunicação em patamares ainda não atingidos.

Pode haver lentidão do sistema, pela falta de banda larga nas telecomunicações.

Mudanças rápidas das ferramentas de desenvolvimento. Dificuldades na integração dos softwares da Internet e o

Comércio Eletrônico com aplicativos existentes e bancos de dados.

Necessidade de servidores especiais e infra-estrutura adicional. Problemas de interoperabilidade entre software de Comércio

Eletrônico, hardware e sistemas operacionais.

Data Warehouse

Segundo Willian H. Inmon, Data Warehouse é um banco de dados orientado por assunto, integrado, não volátil e histórico, criado para suportar o processo de tomada de decisão."

O dado entra no Data Warehouse vindo de um ambiente operacional em quase todos os casos, então o Data Warehouse armazena os dados transformando-os e ficam separadosfisicamente do ambiente operacional e da fonte do dado da aplicação.

É orientado por assunto, ficando ao redor do principal assunto da organização. O percurso do dado, orientado ao assunto está em contraste com a mais clássica das aplicações orientadas por processos/funcões ao redor dos quais os sistemas operacionais mais antigos estão organizados.

O mundo do Data Warehouse está focado exclusivamente na modelagem de dados e desenhodo banco de dados. Desenho de processos (como é na forma clássica dos bancos de dados) não é parte de um ambiente de Data Warehouse.

Para um bom negócio digital, necessita-se de um potencial on line e também de potencial para conquistar uma posição rentável e sustentável. Claro que, ao lado dos investimentos exigidos, como em qualquer negócio, surgem também os riscos.

É possível, no entanto, minimizá-los, elaborando-se o plano de negócios digitais, que deve conter: estratégia, ações, organização e pessoal gabaritado.

Observe a seguir os principais itens que deve-se pensar para elaborar um plano de negócios digital.

O mercado Determine o tamanho do mercado off line (sem Internet) e os

segmentos de atuação. Determine o potencial do mercado on line (pela Internet). Análise Migração desse mercado para a Internet. Benefícios da transição para fornecedores e clientes. Possibilidade de redução de custos. Complexidade das operações. Impacto no setor de atuação (alguns segmentos são mais

afetados do que outros). Se há oportunidade para uma completa reestruturação

econômica na cadeia de valor. Grau de inovação do modelo de negócios proposto. Habilidade para vencer Qual é a probabilidade da iniciativa vencer nesse mercado? Quais ativos são necessários para competir? As iniciativas on-line atuais estão bem resguardadas, com

recursos sólidos, ou enfraquecidas e com recursos insuficientes?

Qual é a intensidade da competição? Há espaço para a convivência de todos ou é um mercado

extremamente agressivo? Quanto tempo de vantagem a empresa já possui? Equipe É a equipe atual que cumprirá as metas de resultados? Seus membros conhecem profundamente a área?

São experientes, respeitados e com boas relações no setor ou são anônimos trabalhadores desse segmento?

Existem funcionários generalistas (que possuem uma série de habilidades gerais) de qualidade que podem levar o negócio adiante?

A equipe é completa ou alguns postos serão terceirizados? Estrutura financeira Quais são as fontes potenciais de receita para este negócio? Quais são os fatores determinantes dos custos associados e

como eles afetam a escala lucrativa deste negócio? Determine um fluxo de entradas e saídas de capital. Determine o tempo de retorno do investimento. (TRAINING,

2000)CRM

A necessidade de aperfeiçoar e melhorar o relacionamento com o cliente trouxe à tona o conceito de Customer Relationship Management(CRM) ou Gerenciamento do Relacionamento com o Cliente. Embasado na teoria do marketing one to one (um a um), em que as empresas customizam suas interações com seus diversos clientes, essa ferramenta vem sendo propagandeada como a legítima solução para alavancar as vendas e fidelizar os clientes à marca.

O CRM não é um produto ou serviço. Ele é uma estratégia global de negócios, que possibilita só às empresas gerenciar com eficiência os relacionamentos com seu público-alvo. Ele oferece uma visão integrada dos clientes de uma empresa para todas as pessoas da organização. Por exemplo: se o departamento de marketing realiza uma campanha de divulgação, todas as informações sobre os clientes e o programa serão disponibilizadas para que:

o pessoal de vendas faça o acompanhamento; o pessoal de atendimento ao cliente responda a qualquer

consulta; o suporte técnico ofereça todo apoio ao campo;

(Fonte: Mandeep Khera, vice-presidente da Worldwide Marketing, United Customer Management Solutions)

Governo Eletrônico

A exigência de maior prestação de contas e de participação dos cidadãos, aliada ao fato da tecnologia estar se popularizando, faz do Governo Eletrônico uma realidade hoje no âmbito municipal, estadual e federal e em uma abrangência mundial. Os sistemas computacionais também proporcionam maior agilidade e confiabilidade, reduzindo os espaços geográficos e diminuindo muito a burocracia, em alguns casos em até 70%.

O tema Governo Eletrônico multidisciplinar: as áreas sociais aplicadas e de tecnologia caminham juntas. Visto somente sob a ótica da Administração, ou da Computação, ou do Direito, sem dúvida perderia em profundidade e abrangência. Reunindo-se adequadamente os aspectos relevantes de cada uma dessas áreas, bem como de diversas outras, o tema torna-se mais rico e dinâmico.

Apresentar uma definição de "Governo" certamente não é tarefa fácil, porém uma delas é a gestão do poder público, em suas esferas e funções, consideradas a partir do clássico trip Legislativo, Executivo e Judiciário.

Suas esferas, referenciadas pelo pacto federativo e pelo contexto constitucional, são a municipal, estadual e federal.

Da mesma forma, conceituar a expressão "eletrônico" não é tarefa simples, o sentido aqui conferido é o de qualificativos digitais, ou seja, um governo qualificado digitalmente por ferramentas, mídias e procedimentos. O Governo Eletrônico, ou e-Gov, ou eletronic Governance também pode ser chamado de Governo Digital (Governo via bits).

E-Gov no Brasil

No Brasil o Governo Eletrônico oferece, todos os serviços do portal Rede Governo em 250 mil pontos Eletrônicos instalados pelo país. A partir deles, qualquer cidadão poderá acessar a Rede e, com um Cartão do Cidadão (digital), obterá as informações e serviços que desejar, relativos à previdência social, saúde, emprego, dentre outros, além de poder receber pagamentos e benefícios (FGTs e aposentadoria).

O governo também viabilizará a interiorizão dos serviços, permitindo o compartilhamento dos recursos entre os diversos órgãos em pontos desprovidos de qualquer infra-estrutura de informações governamentais. (FREITAS, 2001).

Os serviços e informações

O portal do Governo brasileiro apresenta uma série de conteúdos e serviços que possibilitam a interação do cidadão com diversos órgãos públicos. O site não é estático, ele evolui na medida que novos serviços são oferecidos. Ao acessar o endereço redegoverno.gov.br você obterá serviços e informações sobre:

Agricultura Assistência social Centrais de Atendimento Cidadania

Direitos Humanos Economia e Finanças Educação Emprego e Trabalho

Oportunidades de Trabalho Previdência Social Recursos Energéticos Recursos Minerais

Ciência e Tecnologia Comércio Comunicações Correios Cultura Defesa Denúncias

Esportes Fisíco Indústria Justiça Legislativo Licitações Meio Ambiente

Saúde Segurança Pública Serviços Diplomáticos Servidor Público Transportes Turismo

Aula 2: Hacker, vírus, senhas ebackups.

Vivemos em uma sociedade que se baseia em informações e que exibe uma crescente propensão para coletá-las e armazená-las, por isso a necessidade de se ter mecanismos de segurança realmente eficientes.

Por isso, nessa aula você estudará assuntos como hacker, vírus, dicas de como criar uma senha segura e outras maneiras de proteção.

Bons estudos!

O hacker é uma pessoa que possui grande facilidade de análise, assimilação, compreensão e uma capacidade surpreendente de conseguir fazer o que quer (literalmente) com um computador. Ele sabe perfeitamente que nenhum sistema é completamente livre de falhas e procura por elas, utilizando técnicas variadas (aliás, quanto mais variado, mais valioso o conhecimento do hacker).

 Os hackers utilizam vários métodos para quebrar senhas, como introduzir Cavalos de Tróia, farejadores de redes, quebra-cabeça, engenharia social e assim por diante.

Cavalo de Tróia

O nome é dado em homenagem ao presente dos gregos, que conseguiram penetrar na até então inexpugnável cidade de Tróia. Nesse caso, o hacker infiltra no alvo um programa semelhante a um vírus. Mas, em lugar de agir como tal, ele, na verdade, descobre senhas. Cada vez que o usuário digitelogin e senha em seus ambientes de acesso, o Cavalo de Tróia grava os dados.

 No momento programado para se conectar com seu criador, por meio do modem, ele transmite os dados que copiou.

Farejamento de redes

São programas criados por hackers que vasculham a circulação dos pacotes de dados transmitidos pela rede, buscando palavras comopassword e senha. Quando encontra essas palavras, o

programa copia o pacote e o envia para o computador do hacker. Os dados chegam codificados, mas geralmente os hackersconseguem descodificar as mensagens.

Engenharia social

Uma espécie de espionagem. Senhas com datas de nascimento, sobrenome ou nome dos filhos são muito comuns e se o hacker conhecer essas datas tentará usá-las. Alguns chegam a arrumar emprego temporário na empresa que pretendem invadir e prestam atenção quando alguém digita senhas, afinal, é raro alguém esconder o teclado nessa hora! Pronto, a segurança foi embora.

Quebra-cabeça

Um jeito simples de desvendar senhas é a velha tentativa e erro. Funciona melhor com senhas de até seis caracteres, embora leve tempo. As tentativas não podem ser próximas umas das outras, ou há risco de levantar suspeitas. O hackerutiliza programas que montam todo tipo de combinação de letras e números.

"É um método muito difundido no Brasil, pois as senhas em geral são simples e os computadores desprotegidos."

(Fonte: Futuro Digital)

Saiba mais sobre Hacker emhttp://pt.wikipedia.org/wiki/Hacker

Outros apelidos dados a um   hacker

Cracker

O cracker age como um hacker, com uma diferença: após fazer o serviço, precisa deixar um recado que passou por ali. Geralmente, são mensagens irônicas ou grosseiras. Sua ação é daninha e aniquiladora, destruindo partes do sistema ou até sua totalidade.

Também são atribuídos aos crackers programas que retiram travas em softwares, bem como os que alteram suas características, adicionando ou modificando opções, muitas vezes relacionadas à pirataria.

 

Phreaker

Um especialista em telefonia. Opera com ligações gratuitas (locais ou não), reprogramação de centrais telefônicas, instalação de escutas, etc. Esse profissional tem importância, pois ao detectar eventuais

pontos críticos no sistema, permite protegê-lo de invasões. Entretanto, pode tornar o sistema invisível em eventuais rastreamentos e até mesmo detectar ou forjar culpados para ligações fraudulentas.

O que é um vírus

Um vírus é apenas um programa que se autocopia e/ou faz alterações em outros arquivos e programas, de preferência sem o seu conhecimento e sem a sua autorização.

O nome é apenas uma analogia aos vírus biológicos, pelos danos que causam e pela forma como se propagam.

Os vírus não surgem do nada no computador. São criados por alguém e postos em circulação até que chegam em seu computador por meio de um programa, e-mail, disquete ou página da Internet infectados.

 

Um vírus basicamente é um conjunto de instruções com dois objetivos: agregar-se a um arquivo para depois se disseminar sistematicamente para outros, sem a permissão ou comando do usuário. São, portanto, auto-replicantes. Além disso, os vírus contêm instruções para agir conforme o seu criador deseja.

Podem se manifestar de diversas formas:

mostram mensagens indesejadas; alteram arquivos; diminuem o desempenho do sistema; apagam arquivos; corrompem a tabela de alocação; apagam todo o disco rígido.

Classificação dos vírus

Benignos

Apenas exibem mensagens, muitas vezes em dias predeterminados, sem provocar danos maiores.

Malignos

Vírus que de fato afetam arquivos e programas, impedindo que o usuário execute determinadas operações. Muitas vezes, um vírus previamente concebido para ser benigno age

destrutivamente por erro de programação do criador ou por bugs.

Macrovírus

São vírus que infectam arquivos de dados, como os do Word (.doc) e Excel (.xls). Não atacam arquivos executáveis (.exe). Esses vírus, geralmente, são multiplataforma, não importando o sistema operacional que atacam.

Antivírus

Antivírus são programas para detectar vírus num computador, disquetes, CDs, pendrive, MP3, MP4 e outros. Quando um vírus é detectado, sua seqüência de bytes é analisada. O programa antivírus, então, faz uma varredura no disco rígido sempre que o computador é ligado (ou quando o antivírus é acionado), buscando uma seqüência igual ou similar em seus arquivos. Encontrando essa seqüência, acusa a infecção e, sempre que possível, faz automaticamente as correções necessárias, quando possível.

Atualizar sempre

Embora os programas antivírus possuam catalogados, em seus bancos de dados milhares de vírus conhecidos, surgem a cada mês, em mídia, 100 novos. Assim, é necessário atualizar constantemente o programa. Essa atualização é gratuita durante o primeiro ano após a compra e pode ser realizada diretamente pela Internet caso seu antivírus não seja totalmente free (gratuito).

Também é importante atualizá-lo sempre em à relação versão do software. Sites de download de software como www.superdownloads.com.br, www.baixaki.com.br, www.gratis.com.br e outros estão sempre divulgando as versões mais recentes. Você também pode encontrar direto no site da empresa do antivírus.

alguns programas antivírus

Virusscan Produzido pela McAfee, um dos mais conhecidos no mundo. Disponível em versões para os vários sistemas operacionais, desde o Ms-DOs até o Windows.

Norton Antivírus - NAV

Produzido pela Symantec, o Norton Antivírus (também conhecido como NAV) encontra-se entre os mais populares hoje em dia.

Dr. Solomons

Possui aproximadamente 13 mil vírus listados, com uma interface bastante amigável.

Tool Kit

AVGProduzido pela Grisoft, possui uma versão gratuita. Um dos antivírus mais usados pelos usuários domésticos. Com um amplo banco de dados de vírus.

Panda

Desenvolvido pela Panda Security, foi desenvolvido especialmente para aquelas pessoas que não querem passar um bom tempo configurando todas as funções do antivírus, basta instalar e esqueça. Gratuito para testar por 30 dias.

�viraDesenvolvido pela própria Ávira, possui uma versão gratuita e as versões não gratuitas, também possui uma versão para mobile.

Spyware é o termo usado para descrever softwares que executam determinados comportamentos, como publicidade, recolha de informações pessoais ou alteração da configuração do computador, normalmente sem o seu consentimento prévio. O spyware está muitas vezes associado a apresentações de publicidade (chamado adware) ou softwares que detectam informações pessoais ou importantes.

Isso não significa que todo o software que fornece anúncios ou detecta as suas atividades on-line seja mau. Por exemplo, você pode assinar um serviço de música gratuito, mas "paga" pelo serviço aceitando receber anúncios publicitários de seu interesse. Se aceitar as condições e concordar com elas, pode considerar que se trata de um acordo justo.

Outros tipos de spyware fazem alterações no seu computador que podem ser aborrecedoras e provocar lentidão ou o bloqueio do computador. Esses programas podem alterar a página inicial ou página de pesquisa do seu browser da web ou adicionar componentes desnecessários ou indesejados ao seu browser. Esses programas também dificultam muito a reposição das configurações para a forma original (Fonte: www.microsoft.com).

guns programas de   antispyware

Existem programas de antivírus que protegem de spywares.Esses programas também devem ser atualizados na sua lista de banco de dados, pois a cada dia surgem novos spyware. Veja os dois exemplos mais usados.

Tipo  Spybot Além de proteger contra spyware, pode remover rastros de uso, uma

função interessante se você partilha o seu computador com outros usuários e não quer que eles vejam o que você está trabalhando. Desenvolvido por Patrick M. Kolla (www.safer-networking.org) e

totalmente gratuito.

Ad-Aware

Produzido pela Lavasoft, um dos pioneiros no combate a spywares, prevenindo, detectando e removendo esses arquivos maliciosos, trazendo um computador livre dessas ameaças.

uns programas de   antispyware

Existem programas de antivírus que protegem de spywares.Esses programas também devem ser atualizados na sua lista de banco de dados, pois a cada dia surgem novos spyware. Veja os dois exemplos mais usados.

Tipo  

Spybot

Além de proteger contra spyware, pode remover rastros de uso, uma função interessante se você partilha o seu computador com outros usuários e não quer que eles vejam o que você está trabalhando. Desenvolvido por Patrick M. Kolla (www.safer-networking.org) e totalmente gratuito.

Ad-Aware

Produzido pela Lavasoft, um dos pioneiros no combate a spywares, prevenindo, detectando e removendo esses arquivos maliciosos, trazendo um computador livre dessas ameaças.

Será que existe a senha perfeita? Você estudou no inicio desta aula que hackers conseguem descobrir senhas de várias maneiras, então como criar uma senha difícil de quebrar, já que aparentemente o impossível está inalcançável? Aqui vão algumas dicas.

Aos administradores de rede

Não use a conta do super-usuário ou administrador para outros setores/ funcionários.Crie grupos por setores/áreas afins.Crie contas dos usuários de acordo com seus nomes, dentro dos grupos.Faça troca de senha periodicamente, o ideal que a cada três meses e no máximo seis meses.Faça a troca de senha sempre que houver suspeita de vazamento.A senha de cada usuário é pessoal e intransferível. Proíba rigorosamente que ela seja cedida para outra pessoa.O responsável por cada setor (ou gerente geral) deverá ter as senhas dos seus funcionários, em local seguro, para casos de emergência.Jamais escreva a senha num pedaço de papel e o cole no teclado ou monitor, nem o coloque na sua gaveta destrancada.

A senha perfeita

Ao usuário, não utilizar:

mesmo nome do usuário (login); senha em branco; palavras óbvias, como “senha”, “pass” ou “password”; mesma senha para diversos usuários; primeiro e último nome do usuário; nome do marido, esposa, pais ou filhos; informações pessoais (placa do carro, data de nascimento,

telefone, cpf); somente números; palavra contida em dicionário (tanto português quanto inglês); palavra com menos de 6 caracteres.

Utilize:

letras minúsculas e maiúsculas palavras com caracteres não alfabéticos (números ou sinais); fácil de lembrar para não ter que escrever; fácil de digitar (sem ter que olhar o teclado). primeira ou segunda letra de cada palavra de um título ou frase

fácil de memorizar; junção de duas palavras curtas com sinal de pontuação; junção de duas palavras pequenas de línguas diferentes.

Backup é uma cópia dos arquivos que julgamos mais importantes ou aqueles considerados fundamentais para uma empresa. Com o uso cada vez mais constante de computadores, um sistema de backup que garanta a segurança e disponibilidade em tempo integral dos dados corporativos é indispensável.

Apesar de ser uma medida de segurança antiga, muitas empresas não possuem um sistema de backup ou o fazem de maneira incorreta. Mesmo no âmbito pessoal, é necessário fazer cópias de seus arquivos.

Montar um sistema de backup requer um pouco de cautela. É importante, por exemplo, saber escolher o tipo de mídia para se armazenar as informações, como fitas magnéticas ou discos óticos. No Brasil, como em outros países, o dispositivo mais usado o DAT (Digital Audio Tape), pois oferece capacidade de armazenamento de até 16 GB, a um custo médio de um centavo por megabyte.

Para uso pessoal e pequenas empresas não é necessário um grande investimento para implantar um sistema de backup.Existem drivers externos, como Zip e Jaz, com preço

acessível, embora apresentem menor capacidade de armazenamento. No entanto, na grande maioria dos casos, são adequados.

CDs e DVDsEmbora a capacidade de armazenamento de um CD seja pequena (700 MB), pode-se utilizar um DVD (4,7Gb), ambos possuem a vantagem da segurança. Assim, vêm sendo usados, principalmente para criar bibliotecas de dados, o que é diferente da gravação de cópias de segurança.

Via InternetO usuário aluga um espaço no servidor para armazenar obackup de seus dados, podendo atualizá-los ou carregá-los quando bem entender. A prestadora do serviço é responsável pela segurança. Existem, porém, dois problemas básicos que ainda restringem o uso desse serviço: falta de infra-estrutura e insegurança.

A escolha do   software   e os cuidados adicionais

Após escolher a mídia para armazenamento, é muito importante decidir qual software de backup é mais adequado para atender as necessidades do usuário. Observe três requisitos básicos: facilidade de automatização; facilidade de recuperação; facilidade de gerenciamento.

Escolha um programa que realize determinadas rotinas, como abrir e fechar a base de dados ou copiar somente arquivos alterados. É importante, também, que o produto realize o gerenciamento centralizado, permitindo fazerbackup tanto dos arquivos quanto do banco de dados com a mesma interface.

(Fonte: Futuro Digital)

Veja mais sobre o assunto emhttp://pt.wikipedia.org/wiki/C�pia_de_seguran�a

Para que o sistema de backup funcione adequadamente, adote os seguintes cuidados:

trace uma estratégia apropriada;inclua procedimentos de rotina e de emergência;capacite os profissionais para que executem tais procedimentos de forma padronizada e com qualidade.

  do   software   e cuidados adicionais

É bom lembrar que a maioria das falhas na rede corporativa é fruto de erro humano. Assim, é necessário capacitar os envolvidos para que estes possam agir de maneira correta em caso de emergências, que exijam, por exemplo, restauração do backup. Outra falha usual é o armazenamento dos disquetes ou outras mídias no próprio local onde se localiza o computador: em caso de desastres (incêndio, enchente), as cópias também serão perdidas.

(Fonte: Futuro Digital)

Veja mais sobre o assunto em http://pt.wikipedia.org/wiki/copia_de_seguranca.

Um firewall (literalmente: barreira ou parede de fogo) é um sistema cuja função é reforçar a segurança entre duas redes, habitualmente uma rede interna ou Intranet e as redes externas (Internet). Toda a informação passa pelo sistema, seja para sair ou entrar. É, portanto, a escolha do ponto ideal para colocar filtros, monitorar e verificar ligações e sessões entre estações de trabalho localizadas dentro e fora da rede. Seus objetivos são:

evitar que internautas não-autorizados tenham acesso a computadores, programas, dados e informações não autorizados para o público;

proteger a rede interna de ataques de fora (sabotagens, vírus, etc.);

impedir que pessoas utilizem a rede interna para promover ataques ao sistema externo;

bloquear acesso a determinados sites.

Firewall

Para evitar acessos indevidos os firewalls utilizam um conjunto de ferramentas diversas, entre elas listas de acessos de clientes, listas de acesso de servidores, autenticação de utilizadores e disfarce de endereços.

Filtragem de pacotes: o firewall rejeita os pacotes de dados antes que atinjam um determinado computador. Filtros específicos instruem o firewall sobre as características dos pacotes que devem ser rejeitados ou, até mesmo, o bloqueio total de alguns conforme sua origem (por exemplo, material pornográfico).

Listas de acessos de clientes: neste caso, o firewall possui uma lista dos clientes exteriores à rede que podem se conectar a ela.

Listas de acesso de servidores: aqui, o firewall possui uma lista dos servidores autorizados.

Autenticação de usuários: neste caso, os usuários externos precisarão de um nome de usuário (username) e uma senha (password), mediante os quais o firewall aceitará ou rejeitará o acesso à rede.

Disfarce de endereços: o firewall mascara os endereços IP das máquinas da rede, fazendo com que pareçam ter endereços diferentes. Fica mais difícil aos piratas informáticos e hackers acessarem os computadores, pois não sabem seus IPs.

Tipos de   firewall

Os firewalls podem vir sob diferentes formatos, abrangendo desde aplicações para PCs individuais até conjuntos de softwares que podem ser instalados em estações de trabalho (workstations) baseadas em Windows NT ou Unix. Alguns firewalls vêm integrados em dispositivos de acesso Internet, tais como Roteadores.

Aplicações do tipo stand-alone: ideais para quem já está ligado Internet e não quer substituir os roteadores, ou que precise de umfirewall com grande capacidade. Estes dispositivos têm duas ligações Ethernet, uma para a LAN interna, outra para a ligação WAN/Internet.

Transformando o PC: existem aplicações de software que tornam um PC vulgar num firewall. Ideais para converter máquinas já integradas na rede num firewall. Basta instalar um segundo adaptador Ethernet na máquina. Cuidado, apenas, com a configuração: se for mal feita, pode comprometer a segurança de toda a rede. Faça esta opção apenas se conhecer bem os serviços de rede do sistema operativo no qual será instalado o adaptador.

Integração pré-existente: nos dias atuais, a maior parte dos fabricantes de Roteadores já inclui capacidades de firewall nos seus dispositivos. O mesmo produto apresenta, simultaneamente, conectividade Internet e segurança. São dispositivos muito seguros quando configurados corretamente, uma vez que não correm em cima de um sistema operacional.

São, geralmente, a melhor opção: fácil e barata.

Aula 3: Crime virtual, leis e regras

A rede de relacionamentos, dentro das estruturas virtuais, merece certos cuidados para que seja mantido um ambiente saudável, resguardando o respeito e a integridade moral.

No Brasil, pela falta de uma legislação específica, é preciso tentar enquadrar os crimes praticados por computador nos delitos existentes, tipificados no Código Penal ou em leis esparsas. Os crimes pelo computador têm se tornado freqüentes e vão desde a subtração de informações até a prática de pornografia infantil. Há também os crimes específicos, como o ato de ingressar em computador alheio para conseguir, alterar ou transferir dados sem autorização.

Veja nesta aula alguns assuntos que devem ser tratados de maneira adequada, como SPAM, privacidade, violência e pornografia, saúde e exclusão digital, tipos de crimes com o uso do computador, direitos autorais e legislação sobre a privacidade.

SPAMming ou simplesmente SPAM é o envio indiscriminado de e-mail não solicitado para muitos usuários da Internet. É como se fosse uma mala direta, porém de forma digital. O SPAM é a tática favorita dos remetentes de massas de propaganda não solicitada ou junke-mail.

Veja algumas maneiras para se proteger de SPAM, que estão sendo gradativamente dominados pela legislação anti-SPAM.

Utilize filtros de e-mail para descartar automaticamente mensagens com cabeçalhos que contenham sugestões de SPAM, tais como ganhe dinheiro ou xxx ou !!!.

Classifique em pastas os e-mails recebidos para facilitar a eliminação do SPAM.

Não responda a SPAM, mesmo que o autor prometa retirar você da lista de endereços.

Utilize contas duplas de e-mail uma para navegação pública, outra para correspondência-chave com amigos e familiares.

Não preencha o perfil do assinante, os que praticam o SPAMming percorrem esses perfis em busca de indicações.

Não preencha formulários de registro em sites da web a menos que o fornecedor prometa não vender ou trocar com outros o seu nome e suas informações.

Não reclame sobre SPAM em grupos de notícias ou em listas de endereços. Fazer isso desperdiça muitos recursos.

Reclame para os legisladores. Não contra-ataque SPAM de um ofensor. Normalmente o

"responder ao autor" não funciona.

O termo Spam, abrevia��o em ingl�s de "spiced ham" (presunto condimentado), � uma mensagem eletr�nica n�o-solicitada enviada em massa. (Fonte: Wikipedia)

 O congresso americano, em ato específico sobre o assunto, não considera o SPAM abusivo ou ilegal, desde que inclua um meio para que ele seja removido ou cancelado. Isto pode ser feito pelo usuário ao clicar em campo específico, na mensagem, solicitando o cancelamento do cadastro na atual lista de SPAM.

Se você não tomar precauções adequadas, cada vez que enviar um e-mail, acessar um site naweb, enviar uma mensagem para um grupo de notícias ou utilizar a Internet para acessar bancos ou fazer compras, quer esteja conectado para negócios ou lazer, estará vulnerável a qualquer pessoa disposta a coletar dados sobre você sem o seu conhecimento.

Felizmente, utilizando ferramentas como a criptografia e os reendereçadores anônimos e sendo criterioso com os sitesque visita e as informações que fornece, poderá minimizar, se não eliminar completamente, o risco de violação de sua privacidade.

Cadastros de clientes e suas preferências devem ser resguardados, respeitando a ética de relacionamento com o público. Se as empresas conseguem acompanhar informações sobre os internautas, devem ser dignas e merecedoras de confiança, não violando a privacidade dos clientes e funcionários com os quais mantêm contato.

Privacidade do   e-mail   nas empresas

As empresas podem adotar diferentes políticas de privacidade, particularmente quando estas se aplicam a seus sistemas de correio eletrônico. Existem empresas que se comprometem solenemente em jamais monitorar o sistema dee-mail utilizado por seus funcionários. Encaram a correspondência de e-mail como privativa.

Outras empresas se reservam o direito de monitorar o e-mail dos funcionários em suas redes apenas se houver razão para suspeitar de que um funcionário esteja envolvido em atividade ilegal ou não-autorizada.

Existem situações em que empresas têm uma política escrita, banindo todo uso de computadores para negócios pessoais e adverte os funcionários que monitora ativamente os e-mails em sua rede de computadores para aplicar essa política.

A Internet é um grande canal de informação. Atos de violência podem ter também seu espaço na rede, por exemplo, sites que ensinam a fabricar bombas, sobre discriminação racial, intolerância religiosa, Neo Nazismo, xenofobia, entre outros. . Esses tipos de violências devem ser denunciado.

Existem softwares especiais que bloqueiam ossites não desejados como sobre pornografia, são os Firewall, como vimos na aula 2. Esses softwares são utilizados por empresas, ou mesmo em computadores residenciais, eles evitam que os usuários acessem endereços não adequados. A pedofilia (abuso infantil) é outro grande problema.

A pedofilia (abuso infantil) é outro grande problema. Apesar de a maioria dos crimes relacionados à pedofilia e pornografia infantil acontecer no ambiente doméstico, a pedofilia na Internet tem alcançado parâmetros preocupantes. De acordo com Thiago Tavares, diretor-presidente da ONG Safernet, especializada na rede, a Internet não inventou os crimes sexuais, mas evidenciou o problema.

 

Por meio de sites de relacionamentos e bate-papos, o pedófilo cria laços de amizade com a vítima até chegar ao ponto de marcar um encontro. Embora o tipo de crime esteja mais ligado ao sexo masculino, cerca de 20% dos casos são praticados por mulheres, segundo a ONG. “Cerca de 80% são homens, com idades e classes sociais variadas, o que dificulta a identificação”, explica o executivo. 

(Fonte: Safernet Brasil - Mais de 160 menores são vítimas de abuso sexual por ano no ABC. Disponível emhttp://www.safernet.org.br/site/noticias/mais-160-menores-s � - V � timas-abuso-sexual-por-ano-abc . Acessado em maio de 2011.)

O bem-estar do indivíduo é muito importante e as empresas precisam respeitar e prevenir problemas que podem acontecer pela falta de ergonomia no trabalho. Tendinites, problemas na coluna, na visão e estresse podem ser evitados tomando-se algumas precauções no ambiente de trabalho.

A LER(Lesão por Esforço Repetitivo) é uma das doenças que causam muitos dos afastamentos de funcionários das empresas. A ginástica laboral pode ser uma das soluções para esse problema, entre outros, pois combate e previne a LER. É considerada uma arma contra o estresse, sedentarismo, depressão e ansiedade. Melhora a flexibilidade, força, coordenação, ritmo, agilidade e resistência, promovendo mobilidade e postura. Outro resultado importante da ginástica laboral  é favorecer o relacionamento social e o trabalho em equipe.

(Fonte: Ginástica Laboral – Disponível em http://www.confef.org.br/RevistasWeb/n13/02_GINASTICA_LABORA.pdf Acessado e junho de 2011.)

 

Exclusão digital

É importante que pessoas de todas as classes sociais tenham uma boa alfabetização digital, sendo capacitadas para o mercado de trabalho na era digital. Em todos os setores será necessário capacitação, não somente em informática, mas também para o conceito de trabalho em rede.

Fomentar a universalização de serviços significa, portanto, conceber soluções e promover ações que envolvam desde a ampliação e melhoria da infra-estrutura de acesso até a formação do cidadão, para que este, informado e consciente, possa utilizar todos os serviços disponíveisde um computador e da Internet. Esta ferramenta permite uma interação nunca antes imaginada. Sua taxa de crescimento é 2,5 vezes maior que a televisão.

(Fonte: GOMES, E. Exclusão Digital: um problema tecnológico ou social? – Instituto de Estudos do Trabalho e Sociedade. Disponível emhttp://www.radio.faced.ufba.br/twiki/pub/GEC/RefID/Elisabeth_Gomes_ED.pdf   . Acessado em junho de 2011.)

O crime com o uso do computador é a ameaça causada pelas ações criminosas ou irresponsáveis de usuários de computadores que estão tirando proveito do uso generalizado das redes de computadores em nossa sociedade. Levanta sérias ameaças à integridade, segurança e qualidade do maior dos sistemas de informação. Veja alguns tipos de

crimes com o uso do computador:

Modo Tipo de Abuso

Externo: Espionagem visual. Deturpação. Varredura física

Observação de digitação ou telas. Enganar operadores e usuários.Espionar impressos rejeitados.

Abuso de hardware: Varredura lógica. Bisbilhotagem. Interferência. Ataque físico. Eliminação física.

Examinar mídias descartadas/roubadas. Interpretar dados eletrônicos ou outros dados. Congestionar meios eletrônicos e/ou outros. Danificar ou modificar equipamentos, energia elétrica. Eliminar equipamentos e meios de armazenamento.

Mascaramento: Personificação. Ataques em sucesso.

Utilizar falsas identidades externamente aos sistemas de computadores.

Entrelaçamento de redes.

Invadir linhas de comunicações, estações de trabalho. Utilizar playback, criando nós e sistemas de imitação. Mascarar direções físicas ou roteamento.

Programas de contaminação:Ataques de Cavalo de Tróia. Bombas lógicas. Vermes maléficos. Ataques por vírus.

Estabelecer oportunidades para abuso posterior. Implantar código malicioso, enviar cartas-bombas. Definir bombas-relógios ou eventos-bombas (uma forma de Cavalo de Tróia). Adquirir recursos distribuídos.Vincular arquivos anexos a programas e respostas.

Bypasses: Ataques-alçapão. Ataques na autorização.

Evitar autenticação e autoria. Utilizar falhas existentes. Alteração de senha, backing tokens.

Fonte: Adaptado de NEUMANN, 1995.

Exemplos de crimes com o uso do computador

Crime pela Internet - alguém invade sistemas de computador na universidade e rouba arquivos de milhares de senhas, altera as senhas e destrói diversos arquivos. Alguém usa a conta de um aluno em um computador na universidade e envia uma mensagem racista por e-mail para mais de 15.000 usuários de Internet do mundo inteiro. Alguém invade computadores de uma empresa e envia uma bomba eletrônica de milhares de e-mails congestionando suas caixas e eliminando-os da Internet, etc.

Roubo de dinheiro - este exemplo envolve o uso da Internet: o roubo de 11 milhões de dólares do Citibank no final de 1994. O hackerrusso Vladimir Levin e seus cúmplices em São Petersburgo utilizaram a Internet para invadir eletronicamente os sistemas de computador central do Citibank em Nova York. Em seguida, conseguiram transferir os fundos de diversas contas para suas próprias contas em bancos na Finlândia, Israel e Califórnia.

Roubo de serviços - inclui o uso não-autorizado de sistemas de redes de computadores. Um exemplo comum o uso não-autorizado de redes de computadores da empresa pelos funcionários, podendo ir da realização de consultas privadas ou finanças pessoais, ou jogo de videogames, até o uso não-autorizado da Internet pelas redes da empresa. Softwares conhecidos como sniffers (farejadores) são utilizados para monitorar o tráfego da rede para avaliar sua capacidade, além de revelar evidência de uso impróprio.

Roubo de software: A reprodução não-autorizada desoftware, ou pirataria de software, também é uma forma importante de crime. O software é propriedade intelectual protegida por lei de direitos autorais e contratos de licença com o usuário. Na maioria dos casos,

a compra de um pacote de software comercial na verdade é o pagamento para licenciar seu uso justo por um usuário final individual.

Alteração ou roubo de dados: Como exemplo temos o caso de um funcionário de uma universidade que foi condenado por aceitar pagamentos de alunos em troca de utilização do sistema de computador da universidade para alterar suas notas.

Outros esquemas noticiados envolviam uso de redes de computadores para fazer alterações em informações de crédito e mudanças nos registros do departamento de veículos motorizados americano que facilitavam o roubo dos carros a que os registros se referiam.

Crime pela Internet: Alguém invade sistemas de computador na universidade e rouba arquivos de milhares de senhas, altera as senhas e destrói diversos arquivos.

Acesso Indevido: hacking é o acesso e uso não-autorizados de sistemas de computação em rede. Hackers (as pessoas) podem roubar ou danificar dados e programas.

Destruição de dados e software - um dos mais destrutivos exemplos de crime com o uso do computador envolve a criação de vírus de computador ou vermes de computador. Em qualquer um dos casos, esses programas copiam rotinas perturbadoras ou destrutivas nos sistemas de computadores em rede de qualquer pessoa que acessar computadores infectados pelo vírus ou que utilizar cópias de discos magnéticos tirados a partir de computadores infectados. Embora, às vezes, exibam apenas mensagens humorísticas, na maioria das vezes destroem o conteúdo da memória, discos rígidos e outros dispositivos de armazenamento.

cada país tem suas próprias leis sobre direitos autorais. No Brasil é a Lei n° 9.610, de 19 de fevereiro de 1998, retificada em 9 de dezembro do ano seguinte. A lei protege obras científicas e artísticas, qualquer que seja seu modo ou forma de expressão, especificando, ainda, os casos de tradução, adaptações e arranjos, bem como os de representação, recitação, comunicação ou transmissão pública.

A convenção relaciona também os direitos morais, isto é, o direito de reclamar a autoria de uma obra e de contestar quaisquer mutilações, deformações ou outras modificações, ou ainda quaisquer ações depreciativas à obra que possam ser prejudiciais à honra ou reputação do autor (CELA, 2001).

No Brasil, ainda não há uma legislação específica sobre privacidade na Internet, mas continua valendo o que conta no Código de Defesa do Consumidor, ou seja, as empresas só podem colher informações sobre o consumidor e usá-las com a autorização dele. Isso é válido tanto para uma empresa na Internet como para outras, por exemplo, uma administradora de cartão de crédito ou uma financeira.

Nos Estados Unidos, a lei federal de privacidade regulamenta rigidamente a coleta e o uso de dados pessoais pelas agências governamentais (exceto para arquivos de investigação para aplicação da lei, arquivos confidenciais e arquivos do serviço público). A lei especifica que o indivíduo tem o direito de inspecionar seus registros pessoais, fazer cópias e corrigir ou eliminar informações errôneas ou confusas.

Legislação sobre a privacidade

Especifica também que as agências federais devem anualmente divulgar os tipos de arquivos de dados pessoais que mantêm, não podendo revelar informações pessoais sobre um indivíduo a nenhum outro indivíduo ou agência, exceto sob certas condições restritas. Devem também informar os indivíduos sobre as razões para estarem lhes solicitando informações pessoais, retendo registros de dados pessoais apenas se estes forem relevantes e necessários para realizar o propósito legal da agência e devem ainda "estabelecer salvaguardas administrativas, técnicas e físicas apropriadas para garantir a segurança e a confidencialidade dos registros".

Aula 4: Certificado digital e criptografia

O objetivo de regulamentar e efetivar o documento eletrônico como um documento legal de uso pleno é o de eliminar o uso de papel na documentação. A documentação eletrônica está em vigor desde janeiro de 2001, com os encaminhamentos ministeriais feitos por meio eletrônico para a Casa Civil. Desde agosto de 2001, o Diário Oficial só publica documentos remetidos eletronicamente (QUEIROZ, 2001).

Um documento eletrônico não pode ser alterado muitas vezes, mas o que fazer quando um hacker rouba esse tipo de informação, altera e se faz passar por outras pessoas? Nesta aula você compreenderá como funcionam os certificados digitais, para que eles servem e o que a criptografia tem a ver com tudo isso.

 

O tema segurança nas redes é de muita importância, dado o crescente uso da Tecnologia da Informação e comunicação em todos os setores. Como você estudou na Aula 2 deste módulo, muitos são os motivos para se preocupar com segurança.

Os princípios básicos são:

confidencialidade - proteção da informação compartilhada contra acessos não-autorizados. Obtêm-se a confidencialidade pelo controle de acesso (senhas) e controle das operações individuais de cada usuário;

autenticidade - garantia da identidade dos usuários; integridade - garantia da veracidade da informação, que não

pode ser corrompida (alterações acidentais ou não-autorizadas);

disponibilidade - prevenção de interrupções na operação de todo o sistema (hardware + software): uma quebra do sistema não deve impedir o acesso aos dados.

Os altos índices de informatização, conectividade, negócios pela Internet e compartilhamento de dados tornaram a informação um dos bens mais valiosos e mais vulneráveis das empresas. Com isso, incidentes nas redes de computadores passaram a afetar diretamente os resultados do negócio e o valor das companhias. Além da projeção

que a segurança das informações obteve no mercado global, o tema alcançou as mais altas e estratégicas camadas das organizações.

O certificado digital é uma forma de credencial ou documento eletrônico, que permite o reconhecimento seguro da pessoa, empresa, máquina, aplicação ou site web, que o porta, comprovando a sua autenticidade de autoria no mundo virtual. O processo de certificação digital tem por objetivo assegurar a confidencialidade e integridade das informações e confirmar a autoria de um documento.O arquivo de computador gerado pelo Certificado Digital contém um conjunto de informações que garante a autenticidade de autoria na relação existente entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação.(Fonte: Certisign)

Principais informações constantes de um certificado digital:

nome e endereço de e-mail do titular; chave pública do titular; período de validade do certificado; Autoridade Certificadora (AC); número de série do certificado digital; assinatura digital da AC.

A Autoridade Certificadora (AC), responsável pela emissão, renovação e revogação de certificados, garante a veracidade das informações contidas no certificado digital. Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública e a Secretaria da Receita Federal quando emitem um RG ou CPF, ou seja, ela garante quem é você, dando-lhe legitimidade por meio de sua assinatura digital.

como adquirir um Certificado Digital

O certificado digital deve ser adquirido de uma Autoridade Certificadora oficial, credenciada na infra-estrutura de Chaves Públicas Brasileira, a ICP-Brasil.

A ICP-Brasil, criada a partir da Medida Provisória 2.200-2, de 24.10.2001, é um conjunto de entidades prestadoras de serviços que autoriza determinadas Autoridades Certificadoras a emitir certificados digitais, mediante credenciamento e sob seu controle, para garantia, confiabilidade e validade jurídica das transações realizadas.

As Autoridades Certificadoras credenciadas atualmente na ICP-Brasil são:

CAIXA ECONÔMICA FEDERAL (http://icp.caixa.gov.br); CERTISIGN (www.certisign.com.br); PRESIDÊNCIA DA REPÚBLICA

(https://thor.serpro.gov.br/ACPR); SECRETARIA DA RECEITA FEDERAL

(www.receita.fazenda.gov.br); SERASA (www.serasa.com.br); SERPRO (www.serpro.gov.br).

Para adquirir um certificado digital, o interessado deve dirigir-se a uma Autoridade Certificadora credenciada na ICP-Brasil, onde será identificado mediante a apresentação de documentos pessoais (cédula de identidade ou passaporte, se estrangeiro; CPF; título de eleitor; comprovante de residência; etc.). É importante salientar que é indispensável a presença física do futuro titular do certificado, uma vez que esse documento eletrônico será a sua carteira de identidade no mundo virtual.

Que tipo de certificado devo possuir?

Existem dois tipos de certificados digitais que permitem o armazenamento dos dados do usuário e qualquer um deles é aceito pelo sistema de peticionamento eletrônico:

Tipo A1: gerado e armazenado no computador pessoal do usuário, dispensando o uso de cartões inteligentes (smart cards) ou tokens. Os dados são protegidos por uma senha de acesso. Somente com esta senha é possível acessar, mover e copiar os dados. A validade deste certificado é de um ano, contado a partir de sua data de emissão.

Tipo A3: Oferece maior segurança já que seus dados são gerados, armazenados e processados no cartão inteligente ou token, que permanecendo assim invioláveis e únicos. Apenas o detentor da senha de acesso pode utilizar o dispositivo. Este certificado digital possui validade de três anos.

(Fonte: www.bry.com.br)

Assinatura digital

Sob a ótica jurídica verificamos que um documento pode ser considerado genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de

assinaturas, rubricas e marcas especiais. No mundo virtual, esse item pode ser assegurado pelo uso de assinaturas digitais.

A assinatura digital visa garantir que um determinado documento não seja alterado após assinado. É realizada em duas etapas.

Primeiramente o autor, por meio de um softwarepróprio, realiza uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de “função hash”.

Após essa operação, ele usa a chave privada de seu certificado digital para encriptar esse resumo. O resultado desse processo é a assinatura digital.

A entidade encarregada de fornecer as chaves da assinatura digital é a Autoridade Certificadora. Dentre as muitas vantagens do uso desse tipo de firma, podemos citar:

a autenticidade, prova que o subscritor assinou o documento como sendo uma manifestação de vontade pessoal;

a impossibilidade de falsificação, comprova o fato de o documento ter sido marcado pelo subscritor e não por outra pessoa;

a exclusividade, não pode ser transferida para outro documento;

o caráter incontestável, advindo daí o instituto do "não-repúdio".

 

smart card e token

São hardwares portáteis que funcionam como mídias armazenadoras. Em seus chips são armazenados os dados do certificado digital do usuário. O acesso às informações neles contidas é feito por meio de uma senha pessoal, determinada pelo titular.

O smart card assemelha-se a um cartão magnético, sendo necessário um aparelho leitor para o seu funcionamento. Já o tokenassemelha-se a uma pequena chave, que é conectada a uma porta USB no computador do usuário.

Protocolação   digital

A utilização de certificados e assinaturas digitais garante a autenticidade, a integridade e o não-repúdio de um documento. Entretanto, essas técnicas não oferecem garantia a respeito do momento em que um determinado documento foi elaborado. Um documento assinado digitalmente pode até conter data e hora, entretanto, estas não podem ser consideradas confiáveis.

Para resolver esse problema se faz necessária a introdução de um novo componente: a protocolação digital de documentos eletrônicos. Este item acrescenta a característica de irretroatividade ao cenário de segurança de documentos.

Para realizar a protocolação digital é necessário utilizar um equipamento (hardware) especial, chamado protocoladora digital. Pelo uso de uma protocoladora digital, é possível garantir:

a existência de um determinado documento em uma certa data/hora;

a integridade do documento eletrônico, desde sua protocolação, verificando se este não foi alterado;

a impossibilidade de protocolação de um determinado documento de forma retroativa no tempo, garantindo assim a ordem das protocolações.

Quando um documento é protocolado, a protocoladora digital emite um recibo eletrônico. Através deste recibo é possível comprovar que um determinado documento foi criado em uma certa data/hora. Além disso, esse processo de protocolação garante que seja impossível protocolar um documento eletrônico de forma retroativa com relação ao tempo, ao número da protocolação e ao conteúdo do original.

(Fonte: http://peo.tj.sp.gov.br/)

Criptografia

É a ciência que estuda os princípios, meios e métodos para tornar ininteligíveis as informações, por meio de um processo de cifração, e para restaurar informações cifradas em sua forma original, inteligível, pelo processo de decifração. A criptografia também se preocupa com as técnicas de criptoanálise, que dizem respeito a formas de recuperar uma informação sem se ter os parâmetros completos para decifrá-la.

Historicamente, quatro grupos de pessoas utilizaram e contribuíram para a arte da criptografia: militares; diplomatas; pessoas que gostam de guardar memórias; e os amantes.

Os militares desempenharam o papel mais importante e definiram as bases para a atual tecnologia. Nas organizações militares, tradicionalmente as mensagens que seriam cifradas eram entregues a auxiliares mal pagos, que se encarregavam de criptografá-las e transmiti-las. Como o volume a ser transmitido era grande, o trabalho sempre acabava sendo feito por muitas pessoas, que enfrentavam grandes restrições:

escassez de equipamentos; más condições ambientais (campo de trabalho);

impossibilidade de alterar rapidamente os métodos criptográficos;

eventual inabilidade dos profissionais e falta de treinamento; perigo do profissional ser capturado, quebrando o código.

Portanto, tornava-se necessário inventar métodos mais seguros e ágeis de criptografia.

 

Como funciona a criptografia

A ciência de criar mensagens cifradas (criptografia) e solucioná-las (criptoanálise) coletivamente é chamada de criptologia.

As mensagens a serem criptografadas, conhecidas como texto simples, são transformadas por uma função que é parametrizada por uma chave.

O texto que sai no final do processo é chamado de texto cifrado.

Na verdade, o sigilo está na chave e seu tamanho é uma questão muito importante. Considere que uma combinação esteja bloqueada. O princípio geral é que você informe os dígitos seqüencialmente. Todo mundo sabe disso, mas a chave é secreta.

Uma chave com o tamanho de dois dígitos permite 100 combinações, já uma chave com seis dígitos significa um milhão de combinações. Quanto maior for a chave, mais alto será o fator de trabalho (work factor) com que o criptoanalista terá de lidar.

O fator de trabalho para decodificar o sistema por meio de uma exaustiva pesquisa no espaço da chave é exponencial em relação ao seu tamanho. O sigilo decorrente da presença de um algoritmo eficaz (mas público) é de uma chave longa. Para impedir que alguém leia suas mensagens de correio eletrônico, por exemplo, serão necessárias chaves de 64bits. Para manter o governo de outros países a distância, são necessárias chaves de pelo menos 256 bits. (www.futurodigital.cjb.net)

Ao comunicar-se com outra pessoa ou computador, você precisa assegurar-se de que ninguém irá interceptar ou ler as mensagens enviadas e recebidas. Atualmente, a maneira mais avançada é embaralhar (criptografar) dados utilizando pares de chaves: uma chave pública e/ou uma privativa. Elas são utilizadas como as chaves de uma fechadura. A única diferença é que, neste caso, existe uma chave para proteger a fechadura e outra para abri-la.

Quando você tem um par de chaves, seu aplicativo desoftware utiliza uma chave para criptografar o documento. A pessoa que recebe o

documento criptografado usa uma chave igual para descriptografar a mensagem. Mas como dar a alguém a chave para decriptografar sua mensagem, sem que ela caia nas mãos de uma pessoa errada?

A solução está na maneira como as chaves são utilizadas. Você cria uma chave privativa, que só pode ser usada com o certificado digital que você pediu, e uma chave pública, que passa a fazer parte do certificado digital. O navegador da web pode pedir a senha quando você acessa a chave privativa. É muito importante escolher uma senha que só você conheça. Não escolha seu aniversário, outras datas pessoais ou frases que alguém possa adivinhar com certa facilidade.

Depois de receber e instalar o certificado digital, você pode distribuí-lo a quem quiser. O certificado digital que você envia contém sua chave pública. Quando alguém quer enviar uma mensagem criptografada para você, usa sua chave pública. Quando a mensagem está criptografada com sua chave pública, somente você pode decriptografar a mensagem porque só você tem a chave privativa que forma o par. Caso você queira enviar uma mensagem criptografada, primeiro precisa obter a chave pública do destinatário.

Procure nas listagens apropriadas, ou peça que lhe enviem um e-mail assinado com o certificado digital e a chave pública. Guarde-o junto aos endereços de e-mail para quando precisar dele.

Fonte: http://www.certisign.com.br

Os certificados digitais são obtidos por meio de uma Autoridade Certificadora (CA). No caso de sua empresa ter uma parceria com uma Autoridade Certificadora, você pode solicitar o seu no centro de certificação digital do seu próprio trabalho. Ao emitir seu Certificado, a empresa está lhe fornecendo uma maneira de identificar-se perante outros, inclusive sócios ou computadores da rede.

Você finalizou a última aula do terceiro módulo do curso. Nesta aula você aprendeu para que serve e a importância de ser ter um certificado digital, o que a criptografia tem a ver com certificado digital, que podemos ter assinatura digital e ainda que existe a protocolação digital.

Agora vamos realizar um exercícios de passagem sobre o conteúdo aprendido, veja na próxima tela e boa sorte.