Segurança da Informação: Fundamentos, Ameaças e Práticas de Proteção Definição e Abrangência Segurança da Informação é a disciplina que visa proteger os ativos de informação contra acessos não autorizados, uso indevido, divulgação, interrupção, modificação ou destruição. Ela não se limita à proteção de dados digitais, abrangendo também informações em formato físico (documentos impressos, fitas magnéticas) e as pessoas, processos e tecnologias que as manipulam. Em um mundo cada vez mais digital e interconectado, a segurança da informação tornou-se uma área estratégica para governos, empresas e indivíduos, sendo frequentemente cobrada em concursos e vestibulares. Os Pilares da Segurança da Informação (Tríade CIA) A base conceitual da segurança da informação é a tríade CIA (Confidencialidade, Integridade e Disponibilidade), à qual se somam outros princípios como Autenticidade e Não Repúdio. 2.1. Confidencialidade (Confidentiality) Garante que a informação seja acessível apenas por pessoas ou sistemas autorizados. A violação da confidencialidade ocorre quando um indivíduo não autorizado obtém acesso a dados sigilosos (ex.: vazamento de dados de clientes, espionagem industrial, acesso indevido a prontuários médicos). Mecanismos para garantir confidencialidade: Criptografia (dados em repouso e em trânsito). Controle de acesso (permissões de arquivos, listas de controle de acesso – ACLs). Autenticação forte (senhas, biometria, MFA). Políticas de classificação de informações (público, interno, confidencial, secreto). 2.2. Integridade (Integrity) Assegura que a informação não seja alterada ou corrompida de maneira não autorizada ou acidental. A integridade abrange tanto a exatidão dos dados quanto a proteção contra modificações maliciosas (ex.: adulteração de registros financeiros, alteração de notas escolares). Mecanismos para garantir integridade: Funções hash (SHA-256, MD5 – este último não mais seguro para criptografia). Assinaturas digitais (garantem autoria e integridade). Controles de acesso (impedem modificação indevida). Logs de auditoria e trilhas de auditoria (registro de alterações). Checksums e códigos de detecção de erros (em armazenamento e transmissão). 2.3. Disponibilidade (Availability) Garante que a informação e os sistemas estejam acessíveis e utilizáveis quando necessário, por usuários autorizados. A indisponibilidade pode ser causada por ataques (DDoS), falhas de hardware, desastres naturais, erros humanos ou falta de manutenção. Mecanismos para garantir disponibilidade: Redundância (servidores em cluster, RAID em discos, links de internet redundantes). Backups regulares e planos de recuperação de desastres (DRP). Sistemas de energia ininterrupta (nobreaks) e geradores. Monitoramento de desempenho e capacidade (provisionamento adequado). Proteção contra DDoS (firewalls, serviços de mitigação). 2.4. Princípios Adicionais (Ampliando a Tríade) Autenticidade (Authenticity): Garantia de que a informação, transação ou comunicação origina-se da fonte declarada. Mecanismos: assinaturas digitais, certificados digitais, protocolos de autenticação mútua. Não Repúdio (Non-repudiation): Impede que uma parte negue ter realizado uma ação (ex.: enviado uma mensagem, realizado uma transação). Mecanismos: assinaturas digitais, logs com timestamps, trilhas de auditoria. Ameaças à Segurança da Informação 3.1. Malwares (Software Malicioso) Programas ou códigos projetados para infiltrar, danificar ou comprometer sistemas. Veremos em detalhes em aula específica, mas os principais tipos são: Vírus: Anexa-se a arquivos legítimos e se replica quando o arquivo é executado. Worms: Autopropagáveis pela rede, sem necessidade de anexo a arquivo. Trojans (Cavalos de Troia): Disfarçam-se de software útil, mas abrem portas dos fundos (backdoors). Ransomware: Criptografa dados e exige resgate (pagamento) para liberação. Spyware: Coleta informações do usuário (senhas, hábitos de navegação) sem consentimento. Adware: Exibe publicidade indesejada, muitas vezes bundada com outros programas. Keyloggers: Registram teclas digitadas para capturar senhas e dados sensíveis. 3.2. Ataques de Rede Sniffing (Interceptação): Captura de pacotes de rede (em redes não criptografadas). Spoofing: Falsificação de endereço IP, MAC ou e-mail para se passar por outra entidade. Man-in-the-Middle (MITM): Atacante se posiciona entre duas partes e intercepta/ modifica a comunicação. DoS/DDoS: Sobrecarga de servidores ou links de rede para torná-los indisponíveis. ARP Spoofing: Associa o endereço MAC do atacante ao IP do gateway, redirecionando tráfego. 3.3. Ataques a Aplicações Web Injeção de SQL (SQL Injection): Inserção de comandos SQL em campos de entrada para acessar ou modificar banco de dados. Cross-Site Scripting (XSS): Injeção de scripts maliciosos em páginas web vistas por outros usuários. Cross-Site Request Forgery (CSRF): Força o navegador de um usuário autenticado a executar ações não desejadas em um site. Directory Traversal (Path Traversal): Acesso a arquivos fora do diretório raiz da aplicação. 3.4. Engenharia Social Manipulação psicológica de pessoas para obter informações confidenciais ou executar ações. Exemplos: Phishing: E-mails ou mensagens falsas que imitam instituições legítimas (bancos, provedores de e-mail) para capturar credenciais. Vishing (Phishing por voz): Ligações telefônicas falsas solicitando dados. Smishing (Phishing por SMS): Mensagens de texto com links maliciosos. Pretexting: O atacante cria um cenário fictício (pretexto) para obter informações (ex.: ligar para o suporte fingindo ser funcionário). Baiting: Oferece algo atraente (pen drive infectado, download grátis) para induzir a vítima a executar um malware. 3.5. Ameaças Internas (Insider Threats) Funcionários, ex-funcionários ou contratados que usam seu acesso legítimo para causar dano (intencional ou acidental). Exemplos: funcionário insatisfeito que copia dados sigilosos para levar à concorrência; administrador que desativa logs para esconder suas ações; usuário descuidado que clica em phishing e compromete a rede. Vulnerabilidades Comuns Falta de patches de segurança: Sistemas operacionais e aplicações desatualizadas. Configurações inseguras: Senhas padrão (admin/admin), portas desnecessárias abertas, permissões excessivas. Senhas fracas: Curtas, previsíveis, reutilizadas ou escritas em post-its. Falta de criptografia: Dados trafegando em texto plano (HTTP, FTP, Telnet). Ausência de backups ou backups não testados. Falta de segmentação de rede (todos os sistemas na mesma VLAN). Falhas de software (bugs), especialmente em aplicações web. Controles de Segurança (Medidas de Proteção) Os controles podem ser classificados em três categorias: 5.1. Controles Preventivos (Evitam o incidente) Firewall (filtragem de pacotes, stateful, NGFW). Antivírus/Antimalware. Controle de acesso (ACLs, permissões). Criptografia (em repouso e em trânsito). Autenticação multifator (MFA). Políticas de senhas fortes. Treinamento de conscientização de usuários. Segmentação de rede (VLANs, firewalls internos). 5.2. Controles Detectivos (Identificam o incidente em andamento ou ocorrido) Sistemas de Detecção de Intrusão (IDS). Logs de auditoria e monitoramento (SIEM – Security Information and Event Management). Análise de vulnerabilidades periódica. Honeypots (sistemas isca para atrair atacantes). Monitoramento de integridade de arquivos (FIM – File Integrity Monitoring). 5.3. Controles Corretivos (Respondem e recuperam após o incidente) Plano de Resposta a Incidentes (IRP). Backups e recuperação de desastres (DRP). Isolamento de sistemas comprometidos. Remediação (aplicação de patches, reconfiguração). Comunicação com partes afetadas (clientes, autoridades). 5.4. Controles Compensatórios (Alternativas quando o controle ideal não é possível) Quando uma medida de segurança não pode ser implementada (ex.: não é possível aplicar patch em um sistema legado), usam-se controles compensatórios, como firewall específico, monitoramento reforçado ou isolamento de rede. Governança e Gestão da Segurança da Informação A segurança da informação não é apenas técnica; envolve políticas, processos e pessoas. Principais frameworks e normas: ISO/IEC 27001: Norma internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Define requisitos para implementar, manter e melhorar continuamente a segurança. NIST Cybersecurity Framework (CSF): Framework do National Institute of Standards and Technology (EUA), amplamente adotado, organizado em cinco funções: Identificar, Proteger, Detectar, Responder, Recuperar. COBIT (Control Objectives for Information and Related Technologies): Framework de governança de TI, com foco em controle e auditoria. LGPD (Lei Geral de Proteção de Dados – Lei nº 13.709/2018): Legislação brasileira que estabelece regras para coleta, armazenamento e tratamento de dados pessoais, impondo obrigações de segurança e notificação de vazamentos. Exemplo Prático Integrado Uma empresa de comércio eletrônico sofre um ataque de ransomware. Analisando sob a ótica da segurança da informação: Confidencialidade violada? Sim, se o atacante exfiltrou dados de clientes antes de criptografar. Integridade violada? Sim, os arquivos foram criptografados (modificados). Disponibilidade violada? Sim, os sistemas ficaram indisponíveis. Vulnerabilidades exploradas: Funcionário clicou em e-mail de phishing (engenharia social) → falta de treinamento. O ransomware usou uma vulnerabilidade no SMB (patch não aplicado) para se espalhar. Controles que poderiam ter evitado: MFA para acesso remoto, backup offline testado, patch management, filtro anti-phishing, princípio do menor privilégio. Resposta: Isolar servidores infectados, restaurar backups, notificar clientes (LGPD), reportar à polícia. Quadro Comparativo: Princípios da Segurança da Informação | Princípio | Significado | Exemplo de violação | Controle típico | |-----------|-------------|---------------------|-----------------| | Confidencialidade | Acesso apenas por autorizados | Vazamento de dados de cartão de crédito | Criptografia, ACL | | Integridade | Dados não alterados indevidamente | Funcionário altera seu próprio salário no sistema | Hash, assinatura digital | | Disponibilidade | Sistemas acessíveis quando necessário | Ataque DDoS derruba site de vendas | Redundância, backup | | Autenticidade | Origem da informação é genuína | E-mail falso se passando pelo CEO | Assinatura digital, SPF/DKIM | | Não Repúdio | Autor não pode negar ação | Cliente nega ter feito compra online | Logs, assinatura digital | Quadro Comparativo: Tipos de Controles de Segurança | Categoria | Objetivo | Exemplos | |-----------|----------|----------| | Preventivo | Evitar o incidente | Firewall, MFA, criptografia, treinamento | | Detectivo | Identificar o incidente | IDS, logs, monitoramento de integridade | | Corretivo | Responder e recuperar | Backup, DRP, isolamento de sistemas | | Compensatório | Alternativa quando controle ideal não é possível | Firewall virtual em servidor sem patch | Considerações Finais A segurança da informação é uma área multidisciplinar que exige a combinação de tecnologia, processos e comportamento humano. Para concursos e vestibulares, o candidato deve dominar os princípios da tríade CIA (e os adicionais), conhecer as principais ameaças (malware, phishing, DDoS, engenharia social), vulnerabilidades típicas e os controles correspondentes (preventivos, detectivos, corretivos). Além disso, é importante ter noção de frameworks normativos (ISO 27001, NIST) e da legislação brasileira (LGPD) aplicável à segurança de dados. Exercícios: Sobre os pilares fundamentais da Segurança da Informação, qual deles garante que os dados estejam acessíveis e utilizáveis sempre que necessários por pessoas autorizadas? Considere as ameaças abaixo. Qual delas envolve o envio de e-mails ou páginas falsas para enganar usuários e obter informações sensíveis, como senhas e dados bancários? Um site de banco implementa um sistema onde, além da senha, o usuário deve digitar um código recebido por SMS ao tentar acessar sua conta. Qual medida de proteção à Segurança da Informação está sendo aplicada? Complete a frase: A verificação da _____ de uma informação é frequentemente realizada através de funções de hash, que detectam qualquer modificação não autorizada no conteúdo original. Complete a frase: O princípio da _____ assegura que as informações e os sistemas estejam prontamente acessíveis e utilizáveis por usuários autorizados no momento em que forem necessários. Complete a frase: O princípio do _____, essencial em transações eletrônicas, garante que o autor de uma ação não possa negar a sua autoria ou o envio de uma determinada informação. Complete a frase: A técnica de ataque baseada em mensagens enganosas que induzem o usuário a fornecer credenciais em sites falsos que imitam instituições legítimas é conhecida como _____. Complete a frase: A proteção de dados sensíveis contra o acesso por indivíduos não autorizados, geralmente alcançada por meio de criptografia e controle de acesso, refere-se ao pilar da _____. Complete a frase: Um ataque do tipo _____ tem como objetivo principal comprometer a disponibilidade de um serviço ao sobrecarregar seus recursos com um volume massivo de requisições coordenadas. Complete a frase: A prática de manipular psicologicamente as pessoas para que divulguem informações sigilosas ou ignorem protocolos de segurança é tecnicamente denominada _____. Complete a frase: Sistemas de detecção de intrusão (IDS) e análise de logs de auditoria são exemplos de controles de segurança _____, pois identificam incidentes enquanto ocorrem. Complete a frase: O malware que sequestra os dados de um sistema através de criptografia e exige o pagamento de valores para que o usuário recupere o acesso é o _____. Complete a frase: No ordenamento jurídico brasileiro, a proteção de dados pessoais e as obrigações de segurança para os agentes de tratamento são regidas pela _____.