ATPS - Segurança e Auditoria em Sistemas de Informação ETAPA 1

Capitulo 01: Segurança em Sistemas de Informação e Redes de Computadores

Introdução a segurança em sistemas de informação e redes de computadores

A tecnologia é dinâmica e sofre constantes atualizações em curtos períodos de tempo, é pressionada pela indústria a sempre melhorar ou se inovar, em busca de lucro, e automação de processos.

Paralelo a isso, existem profissionais altamente competentes que trabalham para proteger dados e informações de responsabilidade tecnológica. Cada vez mais e mais as empresas investem em segurança tanto em Sistemas de Informação quanto em Redes de Computadores.

Vamos ver agora, três fatores importantes que levam as empresas a investirem em segurança digital:

O primeiro fator é a integridade das informações, Crackers invadem o sistema de determinada empresa com a intenção de roubar informações sigilosas com fins maliciosos, como vender, destruir, comprometer e até mesmo derrubar uma empresa. Esses dados, de importância fundamental para a empresa deve ser mantidos seguros. Não necessariamente Crackers podem ser os principais responsáveis, dependendo do nível de segurança dos dados, até mesmo um leigo em técnicas maliciosas podem obter acesso a dados sigilosos, por isso todo cuidado é pouco.

O Segundo fator é credibilidade de uma empresa, isso ocorre muito com sites e portais da internet, que necessitam constantemente ficar no ar. Existem Cracker que vivem de derrubar sites, com fins políticos, por vingança ou por simples diversão, e uma empresa de renome no mercado não pode de jeito nenhum ficar fora do ar por ataques maliciosos.

1.1 Exemplos de Problemas de Segurança em Sistemas de Informação

Dois casos que aconteceram no mundo da informação digital, que ganhou repercussão internacional, um deles uma fraude apenas com uma pessoa “mal intencionada”, sem o uso de qualquer técnica de invasão o outro um cyber ataque politico, ocasionado por intolerância e ódio comunista.

A Sony sofreu um poderoso ataque em seus servidores por um grupo chamado de “The Guardians of Peace”, foram roubados diversas informações como informações pessoas de funcionários da Sony, filmes que iriam ser estreados ainda e dados de usuários. O que motivou esse ataque foi o filme “A Entrevista”, que faz uma sátira do ditador norte coreano. O principal suspeito é a Coreia do Norte, que nega veementemente a participação no cyber ataque. O chefe de segurança de segurança contratado Kevin Mandia disse que o malware era indetectável por antivírus comuns, e poderoso ao ponto do FBI divulgasse um alerta para outras organizações do quão perigoso o vírus era.

Outro caso não menos importante, mais que é lembrado até hoje no mundo da tecnologia foi quando Bill Gates roubou informações aparentemente sigilosas da Apple. Bill Gates ofereceu os serviços da Microsoft para desenvolver um projeto para Steve Jobs, durante o desenvolvimento, Bill Gates aproveitou o acesso que tinha das informações sigilosas da Apple e roubou para desenvolver o Windows. Bill Gates se encantou com a interface gráfica do sistema operacional Macintosh e resolveu pegar para si esse avançada tecnologia da época. Vale lembrar que Steve Jobs roubou essa ideia da Xerox, empresa de tecnologia dos EUA, que foi fechada.

1.2 Falhas em Sistemas de Informação

SQL Injection é um ataque via código mal intencionado inserido em cadeia de caracteres em uma instancia SQL para analise e execução. Qualquer código SQL deve ser verificado e adotado precauções afim de encontrar vulnerabilidade, e evitar a injeção de código SQL.

Quebra de código JavaScript é uma forma de invasão feita via JavaScript, o código é capaz de sondar sua rede local, e ao identificar os computadores e a rede ele pode travar ou controlar o computador. Um dos seus problemas é que ao desativar o JavaScript do navegador, sites comuns também terão suas funcionalidades afetadas.

Cross Site Scripting é uma vulnerabilidade de aplicações web onde o Cracker insere um código JavaScript em algum campo do site, obtém um retorno relevante que expõe a vulnerabilidade, dando a oportunidade do Cracker invadir o site.

Upload de Arquivos é uma forma de invasão onde o invasor faz o upload de scripts maliciosos para alterar arquivos. Ele usa formulários de upload sem autenticação de acesso, ou a partir de uma invasão de programas vulneráveis do site.

1.3 Correção de Falhas em Sistemas de Informação

Para evitar as invasões via SQL Injection o programador precisa tratar todos os parâmetros recebidos por scritps que acessam o banco de dados, com o objetivo de filtrar strings potencialmente perigosas.

Para evitar as invasões

...