Dificuldades da Segurança da Informação nos Dias Atuais

...

Diminuir os crimes virtuais é crucial nos dias atuais, mas antes é necessário compreender a maneira que esses ataques são realizados e, principalmente, as razões de os criminosos terem tanto sucesso nos crimes cometidos virtualmente.

O ambiente utilizado para testes será local, e a busca das informações se dará principalmente pela internet, em sites de pesquisa, como Google, Bing e Yahoo, mas também em locais aonde os cibercriminosos costumam reunir-se, como o IRC e Deep Web, que possuem explicação abaixo:

IRC: Acrônimo de Internet Relay Chat. É um protocolo de comunicação criado no ano de 1988 pelo programador finlandês Jarkko Oikarinen, na Universidade de OULU, Finlândia. Tornou-se principal meio de comunicação nos anos 1990 e início dos anos 2000. Sua criação teve como objetivo principal a comunicação em massa entre milhares de usuários. Com a chegada dos comunicadores instantâneos (MSN, Skype) e redes sociais (Orkut), esse protocolo foi perdendo espaço entre os usuários que desejavam comunicar-se com os amigos pois possuíam alguns recursos que o IRC não permitia. Hoje, o IRC é utilizado basicamente pela comunidade underground e por cibercrimosos, pois estes últimos podem possuir controle total da rede para mascarar e manter suas atividades em anonimato.

Deep Web: Também referida como DarkNet, UnderNet, entre outros, se refere ao conteúdo da internet que não está indexado pelos mecanismos de busca padrões. Também não pode ser acessada de forma corriqueira como a maioria das pessoas fazem diariamente em sites de uso comum. É necessário a instalação de um software específico chamado TOR (The Onion Router), que mantem total anonimato de quem acessa essa rede utilizando-se do conceito de camadas. Pelo fato de ser uma rede que mantém o anonimato dos usuários, chamou grande atenção dos criminosos, que utilizam-na para comercialização de drogas, armas, pedofilia, vírus, entre outras informações confidenciais.

2 FUNDAMENTAÇÃO TEÓRICA

O conceito de informação vem sendo discutida por diferentes autores, dependendo da forma em que é explanada. Como por exemplo, Shannon (1948) a apresenta como um elemento mensurável dependente do âmbito de seu emissor e receptor, Rezende e Abreu (2000) nos dizem que a informação é o dado com uma interpretação lógica ou natural dada a ele por seu usuário.

A segurança da informação é baseada em 3 pilares básicos, que, segundo a norma NBR ISO/IEC 27002 são:

Confidencialidade: Propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização.

Integridade: Propriedade de proteção à precisão e perfeição de recursos.

Disponibilidade: Propriedade de ser acessível e utilizável sob demanda por uma entidade autorizada.

A definição de ameaça feita por Dias (2000) é “um evento ou atitude indesejável que potencialmente remove, danifica ou destrói um recurso”, não especificando qual o tipo de recurso que possa vir a ser danificado, físico ou lógico.

O termo crime virtual, é definido por Zeviar-Geese (1997-1998) como sendo atividades amplas, que incluem fraudes, acessos não autorizados, pornografia infantil e cyberstalking (assédio na internet). Como podemos ver, os crimes virtuais podem englobar ampla gama de ataques, nesse artigo iremos nos focar como os ataques cresceram e a facilidade de compartilhamento de conhecimento entre os criminosos aumentou no decorrer das décadas.

Os crimes virtuais vêm crescendo em ritmo alarmante nos últimos anos. Segundo estudos da empresa Norton (2013), 22 milhões de usuários de sistemas computacionais no Brasil foram vítimas de algum crime virtual nos últimos 12 meses, gerando um prejuízo de 18,32 bilhões de reais. Mundialmente, esse número sobe para 378 milhões de vítimas e 251,70 bilhões de reais, respectivamente. Ataques a empresas são outro grande problema e muito visados por conterem grande gama de utilização, pois, caso o atacante não consiga nenhum retorno financeiro, pode utilizar a rede corporativa invadida para realizar outros ataques, ou utilizar para outras finalidades, como criação de botnets (redes de computadores zumbis), entre outros. As empresas mais visadas são as grandes corporações, com mais de 2500 funcionários, correspondentes à 50% das fraudes eletrônicas, seguida por pequenas corporações (até 250 funcionários), com 31% de ataques, e depois as médias corporações (que possuem entre 251 até 2500 funcionários), com 19% dos ataques[1].Os tipos de ataques são divididos por categoria: Brechas em sistemas, Spam, Bots, E-mail, Web, Ataques direcionados, Phishing. Podemos dizer que as sofisticações nos ataques vêm aumentando conforme os objetivos vão sendo movidos pela alta quantia de dinheiro envolvido nas transações finais.

Segundo estatísticas de CERT’s, os países que tiveram mais notificações de incidentes em 2013 foram Estados Unidos, seguido pelo Brasil, fato que repete-se no primeiro trimestre de 2014.

3 BUSCA DE INFORMAÇÕES

Os locais mais utilizados para compartilhamento de conhecimento sobre invasões entre pessoas maus intencionados detectados foram as redes de IRC, mas também possui ligação com alguns fóruns encontrados na internet e na Deep Web. Alguns desses fóruns, ou redes, fazem uso do comércio de ferramentas privadas. Com esse tipo de serviço, os criminosos mais experientes consegue ganhar dinheiro não somente com seus próprios golpes, mas também vendendo serviços e ferramentas para os novatos no cibercrime, muitas vezes os auxiliando na utilização de ferramentas, com um custo sobre o valor do ‘treinamento’.

Muitas vezes os conhecimentos podem ser adquiridos de forma autodidata na internet, buscando informações e tutoriais sobre determinadas ferramentas que possuem como finalidade a invasão de sistemas.

FERRAMENTAS DE USO PROFISSIONAL E ACADÊMICO

Existem hoje, diversas ferramentas para utilização profissional e acadêmica, que deveriam ser utilizadas para Testes de Penetração, que são métodos e técnicas usados para descobrir vulnerabilidades em Redes e Aplicações, mas nesse tipo de processo, são realizadas simulações de ataques em um determinado sistema ou rede simulando-se um invasor mal intencionado no intuito de invadir um sistema. Geralmente é utilizado por empresas especializadas em Segurança da Informação incluindo-se termos jurídicos junto