CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES AS FALHAS DELIBERADAMENTE CAUSADAS NOS SISTEMAS Sabotagem na Austrália: um sabotador corta 24 cabos telefônicos da Telecom, deixando 40 subúrbios de Sidney sem comunicação por 48 horas. Arquivos apagados: por um operador da Exxon, destruindo milhares de documentos importante da cia. Adulteração de enciclopédia: um funcionário da Enciclopédia Britânica trocou os nomes de Jesus Cristo por Alá, entre outros, e colocou os nomes dos executivos em situações desconcertantes. Horas-extras: um programador introduziu rotinas na Folha de Pagamento, que depositavam todo mês um valor adicional em sua conta bancária, a titulo de “horas-extras”. Essa fraude durou mais de um ano, e só foi descoberta por um acaso. SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 1 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES Arredondamentos lucrativos: um programador arredondava valores como 456.9873 para 456.98, depositando o restante 0.0073 em sua conta bancária. Com milhões de transações mensais, conseguia um bom “extra”. Estatisticas espertas: as contas pouco movimentadas, geralmente de idosos, tinham parte de seu valor sacado e aplicado em nome do programador, sendo estornados ao fim do mês (o programador ficava com os juros). Comércio de números de cartão de crédito: um webmaster, ao ser despedido, copiou e vendeu milhares de números de c/c de clientes da empresa. SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 2 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES Virus financeiro: um funcionário espalhou um virus dentro da empresa, que invertia aleatoriamente digitos das planilhas Excel, como trocar 183.45 por 813.45 Equipamento de clonagem de cartões instalado em caixas expressas de Bancos Fraude nas eleições no Brasil: com adulteração de software de contagem de votos SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 3 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES FRAUDES NA INTERNET 60 000 48 252 50 000 40 000 Núm ero de Fraudes na Internet Relatadas ao FBI em 2002 30 000 16 775 20 000 10 000 6 087 2000 2001 2002 Fonte: http://w w w 1.ifccfbi.gov/strategy/statistics.asp SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 4 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% 46.1% Leilões virtuais 31.3% Produtos comprados mas não entregues 11.6% Uso indevido de Cartão de Crédito Investimentos 1.5% Empresas 1.3% Quebra de sigilo 1.1% Furto de número de cartão de crédito 1.0% 0.5% Principais reclamações sobre fraude na Internet relatadas ao FBI em 2002 0.4% Conto do Vigário da Nigéria (95% do total de casos) Comunicações falsas 0.1% Cheque bancário Fonte: http://w w w 1.ifccfbi.gov/strategy/statistics.asp SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 5 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES HACKER (FUÇADOR) UMA NOVA “PROFISSÃO” SURGIDA COM OS PCs E A INTERNET EXEMPLOS DO QUE OS HACKERS PODEM FAZER • Gerar um cartão de crédito válido mas falso, e fazer compras com ele (credit wizard) • "Bombardear" uma conta com milhares de e-mails, bloqueando sua caixa de correio (e-mail bomb). • Trafegar pela Internet sem ser descoberto (usando para isso um site não identificável, localizado em algum pais) (anonymizer). • Invasão de um Banco, transferindo dinheiro de uma conta para a sua (bank cracking) SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 6 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES • Invadir uma rede de computadores e copiar as senhas usadas (exploiter). • Ficar observando o tráfego de uma rede, coletando informações (sniffer). • Provocar uma parada em um computador que administra uma rede (servidor) da Internet ou em um computador especifico (attack). • Apagar o BIOS de um computador, tornando-o inútil (vírus attack) SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 7 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES • • • • Alterar o conteúdo de uma home page (site hacking) Construir vírus, worms e trojans (vírus lab) Instalar pequenos programas ("java applets") pela Internet (hacking) Enviar material criminoso encriptado por meio de figuras, musicas ou outras formas disfarçadas (terrorismo). • Copiar software comercial (software piracy) • Quebrar a proteção de softwares comerciais, que podem então ser usados sem senha nem registro (software cracking). • Construir bombas caseiras, ou produtos químicos letais (terrorism) SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 8 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES • • • • • • Abrir cadeados, travas e fechaduras (lock picking) Alterar o medidor de consumo de energia elétrica (phreaking) Construir equipamento anti-radar (boxing) Interceptar ligações telefônicas, ou fazer ligações gratuitas (boxing) Mudar a área de acesso de um telefone celular (phreaking) Usar computador de terceiros para armazenar arquivos próprios (hacking) • Ficar coletando informações sobre o que está sendo digitado no teclado e enviá-las via e-mail (sniffer de teclado, keylogger, keyboard scanner) • Intercambiar músicas pela Internet em formato MP3 diretamente entre dois computadores ("pear to pear" ou P2P) SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 9 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES TRÊS MODALIDADES DE HACKERS O PRÓPRIO HACKER: INVASOR DE SISTEMAS, PODENDO OU NÃO DANIFICÁ-LO, USANDO SUAS FALHAS DE SEGURANÇA (“SECURITY HOLES”) CRACKER: INVADE DE SISTEMAS, QUEBRA SUAS SEGURANÇAS E INTRODUZ PROGRAMAS QUE PERMITEM TER CONTROLE SOBRE O SISTEMA. ELIMINA PROTEÇÃO DE SOFTWARES COMERCIAIS, QUE PODEM SER USADOS SEM SENHAS OU NÚMEROS DE REGISTRO. PHREAKER: ESPECIALIZADO EM TELECOMUNICAÇÕES, INVADINDO CENTRAIS TELEFÔNICAS E COMUNICAÇÕES VIA SATÉLITE SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 10 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES PROGRAMAS MALICIOSOS (MALVARES= MALICIOUS LOGIC SOFTWARE) VIRUS: UM PROGRAMA QUE, INSTALADO EM UM PC, SE AUTODUPLICA, ESPALHANDO PARA OUTROS PCs. SEMPRE ESTÁ INSERIDO EM ALGUM PROGRAMA NORMAL, E DEPENDE DELE PARA FUNCIONAR. WORM (VERME): SEMELHANTE AO VIRUS, MAS NÃO DEPENDE DE PROGRAMAS NORMAIS PARA SER EXECUTADO SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 11 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES APPLET: SEMELHANTE AOS VIRUS E WORMS, MAS ESCRITO EM JAVA. NÃO SE REPRODUZ, FICANDO PARASITANDO O PC. TROJAN (“CAVALO DE TRÓIA”): NÃO SE REPRODUZ. FICA INSTALADO NO PC, EXECUTANDO AÇÕES DEFINIDAS PELO HACKER, COMO ATACAR UM SITE, DESCOBRIR AS SENHAS BANCÁRIAS DA VITIMA OU DESTRUIR SEU SISTEMA, SE FOR WINDOWS. ADWARE E SPYWARE: TROJANS ESPECIALIZADOS EM REGISTRAR O COMPORTAMENTO DO USUÁRIOS: SITES VISITADOS, E-MAILS ENVIADOS, BANCOS USADOS ETC. USADOS POR AGÊNCIAS DE PROPAGANDA. SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 12 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES SCAMMERS APLICADORES DE “CONTOS DE VIGÁRIO”. O MAIS COMUM É O “GOLPE DOS NIGERIANOS”, TERCEIRA MAIOR FONTE DE RENDA DA NIGÉRIA. UM E-MAIL SOLICITA AJUDA PARA TRANSFERIR MILHÕES DE DÓLARES ILEGAIS DOS EUA PARA O PAIS DA VITIMA. ESTA RECEBERÁ UMA COMISSÃO DE 30%, MAS PRECISA “ADIANTAR” ALGUNS MIL DÓLARES PARA INICIAR A OPERAÇÃO. EXISTEM MILHARES DE GOLPES APLICADOS DIARIAMENTE, VIA E-MAIL. SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 13 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES FURTO DE IDENTIDADE MUDAM DE DONO A IDENTIDADE, SENHA, NÚM. DO CARTÃO ETC. EXTORSÃO Em 2002, o executivo de uma empresa financeira recebeu um chamado: Uma pessoa queria um milhão de dólares, ou faria com que toda a rede fosse derrubada, ficando a firma impedida de funcionar. O pessoal de segurança de sistemas passou a noite toda procurando por algum programa pernicioso na rede, mas nada achou. Na manhã seguinte, a rede veio abaixo durante uma hora, na parte da manhã, paralisando as operações financeiras da empresa. Logo após, o telefone do executivo toca de novo: a mesma pessoa diz que o próximo ataque será durante o período de pico, e não mais pela manhã. O executivo resolveu então pagar-lhe a quantia solicitada. Afinal, sua rede tinha sido hackeada e estava sob o controle de uma pessoa desconhecida. ZDnet News, 30-abr-2002 SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 14 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES ESTEGANOGRAFIA USO DE IMAGENS PARA TRANSMITIR MENSAGENS SECRETAS. MUITO USADA PELA REDE AL QAEDA DE BIN LADEN, PARA ENVIAR MANUAIS SOBRE TERRORISMO E ORDENS DE COMANDO. SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 15 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES Uma inocente foto de Shakespeare, contendo uma mensagem secreta esteganografada SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 16 DE 17 CAP. 10 – SEGURANÇA DOS SISTEMAS DE INFORMAÇÕES CRIPTOGRAFIA UMA FORMA SEGURA DE MANTER DOCUMENTOS CONFIDENCIAIS, SEM POSSIBILIDADE DE SEREM LIDOS, EXCETO SE FOR CONHECIDA A SENHA PARA ABRI-LOS. O PROGRAMA DE CRIPTOGRAFIA MAIS USADO E SEGURO É O PGP (“PRETTY GOOD PRIVACY”). É OPEN SOURCE (PODE-SE VER O CÓDIGO FONTE, O QUE O TORNA MUITO CONFIÁVEL). UM OUTRO MUITO PRÁTICO (PARA WINDOES) É O CRYPTEXT. O CYPHERIX TAMBÉM É USADO. NÃO SÃO OPEN SOURCE. OS TRÊS SÃO GRATUITOS E PODEM SER BAIXADOS DA INTERNET. VER TAMBÉM O KNOPPIX (STAND-ALONE). SISTEMAS DE INFORMAÇÕES PARA EXECUTIVOS 17 DE 17