




























































































Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Encontra documentos específicos para os exames da tua universidade
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
fbhvcngcnmvcbmvcbn,mnbvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
Tipologia: Esquemas
1 / 140
Esta página não é visível na pré-visualização
Não perca as partes importantes!





























































































1
ISSN 1808- Distribuição gratuita
Tecnologia da Informação na Gestão Pública www.prodemge.gov.br
1
ISSN 1808- Distribuição gratuita
Tecnologia da Informação na Gestão Pública www.prodemge.gov.br
Cibersegurança:
educação digital e
proteção de dados
4 Fonte I Ed. 18 I Dezembro 2017
6
18
65
Diálogo Entrevista com o chefe de pesquisas do Morphus Labs, professor e palestrante Renato Marinho, que revelou para o mundo, em 2016, o Mamba, primeiro ransomware de criptografia completa de discos. Ele conta como foi a descoberta e os desafios para impedir ataques catastróficos. Na sequência, o empresário Glicério Ruas, fundador e CEO de uma empresa especializada em segurança da informação, alerta para a necessidade urgente de cidadãos, empresas e gover- nos reservarem recursos para a proteção adequada dos próprios dados e evitarem prejuízos financeiros e de imagem.
Dossiê
A cibersegurança exige a participação de todos, do cuidado individual com as próprias informações nas redes so- ciais e no ambiente de trabalho ao investimento massivo em sistemas de proteção e bloqueio por parte do empre- sariado e até mesmo dos governos, a fim de evitar ou minimizar os efeitos devastadores de um ataque cibernético.
Artigos
65 Segurança cibernética, pessoas, empresas e governos. Precisamos muito falar sobre isso. Antônio Ricardo Gomes Leocádio , mestre em Administração e especialista em Novas Tecnologias e Segurança da Informação. Na área de TI há 20 anos, atua no Banco Mercantil na Gerência com enfoque em Segurança e Arquitetura de Sistemas da Informação. 68 Ataques cibernéticos: mais que uma realidade Bruno Moreira Camargos Belo, gerente do Centro de Tratamento de Incidentes e Operações de Segurança (CTIS) da Prodemge. Bacharel em Sistemas de Informação pela Pontifícia Universidade Católica de Minas Gerais (PUC-MG), pós-graduado em Gestão de Segurança da Informação pela Universidade Fumec. Associado ao Information Systems Audit and Control Association (Isaca). 70 Cibersegurança: qual o risco mundial? Eduardo Honorato, líder de Negócios em Cybersegurança na Munio Security. Mais de 20 anos de experiência internacional em consultoria em tecnologia da informação, gerenciamento de risco de informação, conformidade, vendas e desenvolvimento de negócios com especialização em segurança cibernética. Seu foco de atuação está voltado para soluções de Application Security, industrial Cyber Security, SAP Security, além da criação de CSIRTs. 75 O dilema da proteção de informação nas organizações Gilmar Ribeiro, sócio-proprietário e consultor sênior na GPR - Governança e Segurança da Informação. Membro atuante do Comitê CB21 da Associação Brasileira de Normas Técnicas (ABNT). Trabalha em um projeto de governança e segurança da informação na Diretoria de Automação da Vale, em Carajás. Formado em Engenharia Industrial Elétrica pela Pontifícia Universidade Católica de Minas Gerais (PUC-MG), pós-graduado em Gestão Empresarial pela Universidade Federal de Minas Gerais (UFMG) e especialização em Engenharia de Qualidade com o título de CQE pela American Society for Quality. Possui certificação ITIL e é auditor ISO27001. 78 Chuva de dados Gustavo Padovani, formado em Jornalismo pela Universidade Estadual de São Paulo (Unesp), mestre em Imagem e Som pela Universidade Federal de São Carlos (UFSCar) e especialista em Gestão em Marketing pela Faculdade Getúlio Vargas (FGV). Professor no curso de Imagem e Som da UFSCar e na Pós-Graduação em Administração da Fundação Getúlio Vargas / UniSEB - Ribeirão Preto. Participa do Grupo de Pesquisa em Mídias Interativas em Imagem e Som (GEMInIS) e da rede de pesquisadores Obitel Brasil. 81 A inocência potencializa o risco Ivanise Cence, gerente de Segurança da Informação da Prodemge. Especializada em Análise de Sistemas pela Prodemge e pós-graduada em Engenharia de Software pela Universidade Federal de Minas Gerais (UFMG), MBA em Gestão Estratégica de Empresas pela Fundação Getúlio Vargas (FGV) e em Gestão de Projetos pelo Instituto de Educação Tecnológica (Ietec). 84 O computador para o século XXI: desafios de segurança e privacidade após 25 anos Leonardo Barbosa e Oliveira, professor do Programa de Pós-Graduação em Ciência da Computação da Universidade Federal de Minas Gerais (UFMG), professor associado visitante da Universidade de Stanford e bolsista de Produtividade em Pesquisa do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq). É membro do Comitê Consultivo da Comissão Especial de Segurança da Informação e Sistemas Computacionais da Sociedade Brasileira de Computação, membro do Comitê de Gestão de Identidade da Rede Nacional de Ensino e Pesquisa e coordenador do Grupo de Pesquisa Segurança Digital, Criptografia e Privacidade do CNPq. 86 O seu mundo vai virar de cabeça pra baixo! E como fica a segurança da informação nisso tudo? Marcos Calmon, presidente da Safe Security Solutions Ltda., empresa com mais de 15 anos de atuação no mercado de cons- trução de data centers, e do Centro Integrado de Comando e Controle (CICC). Conselheiro da Câmara Internacional de Negócios (CIN). Possui mais de 20 anos na área de Tecnologia da Informação e Comunicação (TIC), dos quais mais de 15 anos como especialista em segurança da informação.
137
Sumário
96
89 Blockchain e a autenticidade de informações para a democracia Marco Konopacki, doutorando em Ciência Política pela Universidade Federal de Minas Gerais (UFMG), graduado em Adminis- tração e mestre em Ciência Política pela Universidade Federal do Paraná (UFPR). Foi professor visitante do Instituto Tecnoló- gico da Aeronáutica (ITA) nas áreas de gestão de desenvolvimento de software, telemetria e georreferenciamento. Foi assessor da Secretaria de Assuntos Legislativos do Ministério da Justiça, onde coordenou o debate público para regulamentação do Marco Civil da Internet. Atualmente, é coordenador de projetos na linha de democracia e tecnologia do Instituto de Tecnologia e Sociedade (ITS) Rio. 91 IoT (Internet of Things): um desafio para a cibersecurity Paulo Furiati, graduado em Processamento de Dados pela Fabrai, pós-graduado em Segurança da Informação pela Universi- dade Fumec. Mestrando em Tecnologia da Informação Aplicada pelo Promove. Profissional atuando na área de segurança da informação desde 2003. Atualmente, é professor universitário na área de SI e atua na área de Governo.
94 Cibersegurança: uma reflexão sobre a educação digital à luz do Direito Renato Gomes de Mattos Malafaia, advogado especializado em Direito Digital no escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados, bacharel em Direito pela Universidade Presbiteriana Mackenzie, pós-graduando em Direito e Tecnologia da Informação pela Escola Politécnica de Engenharia da Universidade de São Paulo. Membro do Comitê de Estudos em Com- pliance Digital da Legal, Ethics and Compliance (LEC) e da Comissão Permanente de Estudos de Tecnologia e Informação do Instituto dos Advogados de São Paulo (Iasp).
Pensar TI
Aprofundamento da discussão sobre a necessidade de prevenção e de investimentos em todas as áreas contra os ataques cibernéticos, que se revelam cada vez mais potentes.
97 Desenvolvimento de software seguro: como se proteger dos ataques cibernéticos? Alander Antônio Faustino , MBA em Gestão de Segurança da Informação pela Fumec e bacharel em Sistemas de Informação pelo Centro Universitário do Leste de Minas Gerais. Certificado ISO 27002. Atua na área de Tecnologia da Informação há 18 anos. Trabalha na Gerência de Segurança da Informação da Prodemge. Juliana Alves de Paula , pós-graduada em Redes de Computadores pela Pontifícia Universidade Católica de Minas Gerais (PUC- -MG) e Tecnológo em Processamento de Dados pela Faculdade Brasileira de Informática (Fabrai). Atua na área de Tecnologia da Informação desde 1999. Trabalha na área de Tratamento de Incidentes e Operações de Segurança da Informação da Prodemge. Wilderson Alves Garcia , pós-graduado em Segurança da Informação pelo Senac e bacharel em Sistemas de Informação pela Anhanguera Educacional. Certificado ITIL v3. Atua na área de tecnologia da informação desde 1998 e na área de Segu- rança da Informação há sete anos. Trabalha na área de Tratamentos de Incidentes e Operações de Segurança da Informação da Prodemge.
109 Cybersecurity: prepare-se para o pior Fernando Fonseca, professor e instrutor da Antebellum Capacitação Profissional. Possui certificado CISSP-ISSAP, CISM, CHFI, ISMAS.
116 Como a cibersegurança chegou à era cognitiva: uma breve história João Paulo Lara Rocha, líder da unidade de negócios de Segurança da Informação da IBM Brasil. Atua há 17 anos no setor. Formado em Processamento de Dados pelo Centro Universitário Planalto do Distrito Federal (Cesubra), pós-graduado em Segurança de Redes de Computadores e mestrado em Gestão do Conhecimento e Tecnologia da Informação pela Universidade Católica de Brasília. Possui certificações CISSP e CISA.
122 Cibersecurity: o foco da proteção é só tecnológico? Márcio Antônio da Rocha, vice-presidente de Governança, Riscos e Compliance (GRC) da Sucesu MG, sócio-diretor da Aéras
130 Segurança em votações eletrônicas utilizando protocolos blockchain Rafael de Freitas Setragni, bacharel em Sistemas de Informação pela Pontifícia Universidade Católica de Minas Gerais (PUC- -MG) e técnico em Eletrônica pelo Centro Federal de Educação Tecnológica de Minas Gerais (Cefet-MG). Atualmente trabalha com desenvolvimento de sistemas e soluções em Segurança da Informação da Prodemge.
Memória Viva
Por Gustavo Grossi, superintendente de Marketing da Prodemge
5
7
2016, comprometeu servidores do mundo
inteiro, causando incalculáveis prejuízos à
economia de países como Estados Unidos e
Índia, pois sequestra dados das vítimas e
exige valor de resgate para que o usuário
readquira acesso à própria máquina. Qual
a importância dessa descoberta?
Renato Marinho: Nos últimos três a quatro anos, os ci- berataques utilizando malwares do tipo ransomware têm crescido de forma expressiva, a ponto de tornarem-se uma das principais ameaças atuais. Muito dessa rápida expan- são se dá pelo atalho que esse modelo criou para a mo- netização de cibercrimes. Ao invés de roubar informações bancárias ou dados de cartões de crédito, por exemplo, que exigem um passo a mais para transformar o fruto do roubo em dinheiro, a extorsão mediante a ameaça da per- da definitiva dos dados tem sido suficiente para que mui- tas das vítimas venham a pagar os resgates aos criminosos.
Ao longo desse tempo, as tecnologias de segurança, principalmente os antivírus, têm evoluído na identifi- cação dessas ameaças, por meio da análise do seu com- portamento. Ao identificarem uma aplicação, fazendo a codificação (criptografia) de arquivos em massa no computador, por exemplo, poderiam interrompê-la por apresentar um comportamento suspeito e semelhante ao de um ransomware, minimizando, assim, os prejuí- zos às vítimas e, consequentemente, as chances do re- cebimento do resgate por parte dos criminosos.
Paralelamente, visando burlar as técnicas de detecção, os ransomwares também evoluíram, e o Mamba foi uma demonstração disso. Ele foi o primeiro a, efetivamente, utilizar uma estratégia que chamamos de criptografia completa de discos ou full disk encryption (FDE). Isso quer dizer que, ao invés de criptografar os arquivos in- dividualmente, um a um, a ameaça criptografa todo o disco de uma vez. Além de burlar algumas formas de proteção, essa maneira de agir causa alguns efeitos co- laterais sérios para as vítimas, que sequer, podem inte- ragir com o sistema operacional de seus computadores, uma vez que ficam completamente inoperantes. Em se tratando de ambientes corporativos, a interrupção dos computadores significa a paralisação de sistemas e apli- cativos básicos e, consequentemente, da operação do negócio por tempo indeterminado.
F: De forma detalhada, como se desenvol-
veu a pesquisa do Mamba?
R.M.: A descoberta foi feita durante a resposta a um incidente com ransomware envolvendo uma grande multinacional contra o qual o Morphus Labs foi aciona-
do para atuar, em setembro de 2016. A princípio, esse seria mais um incidente envolvendo esse tipo de amea- ça, mas, quando vi a tela de pedido de resgate, notei que estávamos diante de algo diferente.
Até então, era comum que os computadores infectados por ransomware criptografassem documentos importan- tes, como fotos, planilhas, textos, etc. e, ao final do pro- cesso, abrissem uma janela do Windows com uma men- sagem de texto com as orientações para o pagamento de um resgate caso a vítima quisesse seus dados de volta. No caso do Mamba, a mensagem de resgate não aparecia em uma janela do Windows, mas antes mesmo da inicializa- ção do sistema operacional, após o boot do computador.
Essa foi só a primeira surpresa do dia. Ao pesquisar na internet, por meio da conexão compartilhada do meu smartphone, uma vez que a da organização foi inter- rompida pelo ataque, não encontrei nada a respeito daquela ameaça no Google – talvez uma das poucas ve- zes que o Google não me trouxe resultados. Estávamos, portanto, diante de uma ameaça desconhecida, sem uma amostra do malware para análise, uma vez que o próprio estava criptografado junto aos dados da vítima e sem referências externas que pudessem nos dar indí- cios ou orientar na solução do incidente.
Quando lidamos com incidentes, uma das principais ati- vidades do tratamento é identificar a extensão do pro- blema, ou seja, descobrir o escopo do ataque. Somente aqueles computadores facilmente identificáveis foram alvos dos atacantes? Havia alguma porta de entrada que permitisse o retorno desses ao restabelecermos a cone- xão internet? Para darmos essas respostas, tivemos que avançar na investigação praticamente de olhos vendados.
Ao avançarmos na análise do ambiente de rede e se- guir alguns rastros potenciais, após 18 horas de trabalho
“Em se tratando de
ambientes corporativos,
a interrupção dos
computadores significa a
paralisação de sistemas
e aplicativos básicos e,
consequentemente, da
operação do negócio por
tempo indeterminado”
8 Fonte I Ed. 18 I Dezembro 2017
ininterrupto, acabamos encontrando uma amostra do ransomware em um computador que não sofreu o ciclo de infecção completo. A ameaça foi depositada, mas não executada, e isso abriu espaço para a identificação do es- copo do ataque, outras estações infectadas e mitigação de novos ataques, bem como para a pesquisa que se seguiu.
De volta ao Morphus Labs, durante o final de semana após o incidente, investi bastante tempo na análise do malware. Fiquei instigado pelo fato de estar lidando com algo até então desconhecido e pela possibilidade de co- laboração com outras organizações que poderiam vir a passar pelo mesmo problema. Ao final desse trabalho, já na segunda-feira, dia 12 de setembro, eu havia escrito um artigo com todos os detalhes do ransomware que batiza- mos de Mamba, em uma analogia ao efeito paralisante do veneno da serpente africana homônima.
No próprio dia 12, publicamos o artigo e começamos uma interação com empresas e entidades internacionais no sentido de propagar a pesquisa que acabáramos de lançar. O objetivo era difundir a nova estratégia usada pelo ransomware de forma que as tecnologias de segu- rança viessem a lançar vacinas e minimizar as chances de novas vítimas. O conteúdo se espalhou rapidamente e, em poucos dias, os principais portais de cibersegurança internacionais passaram a noticiar a nova descoberta.
F: Outro ransomware que abalou o mundo, neste ano, foi o WannaCry. No que esses ransomwares se diferenciam?
R.M.: O WannaCry deu um novo passo na evolução dos ransomwares. Dessa vez, não na forma de aplicação da criptografia dos dados, mas na propagação do malware entre os computadores de ambientes corporativos. Ao invés de ficar restrito ao computador incialmente infec- tado, o WannaCry era capaz de varrer o ambiente de rede procurando por novas vítimas e se multiplicar por meio da exploração de uma grave falha do Microsoft Windows, que, apesar de contar com uma correção à época, muitas empresas ainda não a haviam aplicado.
A combinação da capacidade de multiplicação com a gran- de quantidade de computadores desatualizados resultou em uma mistura explosiva. Empresas ao redor do mundo tiveram prejuízos milionários com a interrupção de seus negócios – muito disso devido ao tempo exigido pelos pro- cedimentos de aplicação da atualização do Windows.
F: O ransomware é, atualmente, uma das principais ameaças globais na área de segu- rança da informação. Como as empresas e as pessoas comuns podem se proteger?
R.M.: Os ransomwares continuam entre as principais preocupações das organizações no tema ciberseguran- ça. Com a migração dos ataques individuais para os ata- ques em massa, como os realizados pelo WannaCry e NotPetya este ano, a questão não é mais recuperar o backup de uma ou duas estações. Passamos a falar de hospitais inteiros paralisados devido a ataques de ran- somware, com prejuízos que, nesse caso, podem extra- polar os financeiros.
Uma das principais armas contra essa ameaça continua sendo a cópia de segurança, ou backup, dos dados. As- sim, caso a pessoa ou empresa venha a ser vítima, a recuperação do backup será suficiente. Além de facilitar a recuperação, essa boa prática enfraquece o modelo de negócio dos ransomwares. Com a progressiva redu- ção dos rendimentos, é provável que o modelo venha a perder força e tenhamos uma redução desse vetor de ataque. Nada impede, infelizmente, que os ransomwa- res evoluam para novas formas de extorsão e emprego de novas tecnologias, como o machine learning (apren- dizado de máquina), tão utilizado recentemente nas tecnologias de defesa.
F: Quais são os principais desafios para im- pedir ataques de proporções mundiais?
R.M.: Um deles é a quantidade de dispositivos vulne- ráveis ou susceptíveis a ataques. Vamos pegar o exem- plo dos ataques de negação de serviço, ou os chamados DDoS (Distributed Denial of Service) attacks. Aqui, os ci- bercriminosos contaminam milhares de computadores e, mais recentemente, os dispositivos IoT (internet das coisas), formando as chamadas botnets, que podem ser comandadas para execução de ataques em massa. Um bom exemplo foi o que aconteceu em outubro de 2016, quando a Mirai Botnet gerou um volume de tráfego de aproximadamente 1.2 TB contra um provedor global de DNS (serviço de domínios de internet), resultando na in- terrupção de serviços de gigantes como Netflix e Twitter.
“Passamos a falar
de hospitais inteiros
paralisados devido a
ataques de ransomware,
com prejuízos que, nesse
caso, podem extrapolar
os financeiros”
10 Fonte I Ed. 18 I Dezembro 2017
Glicério Ruas
Educação para redução de riscos cibernéticos
O empresário e administrador de empresas José Glicério Ruas Alves, 62 anos, participou de diversos projetos de contenção de ataques cibernéticos nos úl- timos meses. Ele é fundador e CEO de uma empresa criada em 1992, pioneira em software livre em Minas Gerais, especializada em segurança da informação e uma das maiores fornecedoras de segurança de tec- nologia da informação e comunicação para órgãos do Estado de Minas Gerais.
Nesta entrevista, Glicério traça um panorama dos mais recentes ataques cibernérticos e avalia a postura do Brasil frente a esse tema e sua parceria com outros pa- íses para lidar com o desafio da cibersegurança. Para ele, é urgente a necessidade de cidadãos, empresas e governos reservarem recursos para a proteção adequa- da dos próprios dados, sob pena de amargarem preju- ízos incalculáveis.
Fonte: Resgatando um pouco da história, quando surgiu o conceito de ciberseguran- ça como conhecemos hoje e em que país?
Glicério Ruas: Para contextualizar o que, hoje, trata- mos como um termo “íntimo”, acho importante expli- car a origem da palavra cibernética. Quando iniciei o curso de Administração de Empresas na Universidade Federal de Minas Gerais (UFMG), em 1976, tomei co- nhecimento de uma ciência que estudava os mecanis- mos de comunicação e de controle nas máquinas e nos seres vivos, do modo como se organizam, regulam, reproduzem, evoluem e aprendem, baseados na noção estruturalista da sociedade, vista como um sistema de comunicação que se fundamenta na troca de mensa- gens culturais de tipo binário.
Divulgação
Integrante de diversos projetos para redução de ciberataques, o empresário afirma que as corporações já dedicam uma parcela de seus orçamentos de tecnologia para a segurança
11
Hoje, chamamos de “ciber” tudo o que permeia a com- putação, seja em um só local, seja espalhado em diver- sos locais, como bairros, cidades, estados e países.
Atualmente, cibersegurança é um termo amplamente utilizado, sendo associado a outras palavras, como ci- berespaço, ciberameaças, cibercriminosos, etc. Temos uma percepção natural sobre o que ele representa. Em algumas situações, o termo é utilizado como sinônimo de segurança da informação, segurança da informática ou segurança de computadores.
Ciber provém do diminutivo da palavra cybernetic (cyber), que, em português, significa alguma coisa ou algum local que possui uma grande concentração de tecnologia avançada, em especial computadores, in- ternet, etc.
Quanto ao pioneirismo, existem reivindicações de di- versos concorrentes de terem desenvolvido o primeiro produto antivírus. Talvez, a primeira publicamente co- nhecida neutralização de vírus de PC foi realizada pelo europeu Bernt Fix, autor do primeiro antivírus de com- putador documentado, no início de 1987. A correção neutralizava uma infecção do vírus Viena. O programa só estava disponível em polonês. Em 1988, surgiu o pri- meiro antivírus, desenvolvido por Denny Yanuar Ram- dhani, em Bandung, Indonésia, a imunizar o sistema contra o vírus de boot Brain, paquistanês. Ele extraía o vírus do computador e, em seguida, imunizava o siste- ma contra outros ataques da mesma praga. Pouco tem- po depois, a IBM lançou o primeiro antivírus comercial, sendo logo seguida por outras empresas, dentre as quais a Symantec e a McAfee, de olho no filão de ouro que esse mercado viria a representar. Elas acertaram em cheio, porque o número de malwares (vírus, wor- ms, trojans, spywares e outros códigos nocivos) vem crescendo exponencialmente. Desde então, surgiram diversas empresas interessadas nesse mercado.
Com o advento da internet, a constante diminuição dos custos das telecomunicações e o barateamento dos dispositivos pessoais, os criminosos que utilizam esses elementos para causarem danos, os denominados ci- bercriminosos, vêm aumentando vertiginosamente em todo o mundo.
Hoje, vírus já não são os mais importantes causadores de estragos a pessoas, empresas e governos. Explora- ções de vulnerabilidades de aplicativos, sistemas ope- racionais, infraestrutura de segurança e redes estão entre os principais causadores de prejuízos. É nesse contexto que a cibersegurança tem se ampliado. Já não há mais barreiras geográficas entre os criminosos e os defensores.
F: Desde quando o Brasil trata de ciberse- gurança? Como começou e como se espa- lhou pelo governo e pelas empresas, inde- pendentemente do ramo e do tamanho?
G.R.: Cibersegurança ainda não tem sido tratada com prioridade no Brasil. Alguns estudos indicam que mais da metade das empresas brasileiras não oferece educa- ção em cibersegurança aos seus funcionários. Por outro lado, poucas empresas teriam admitido que fariam al- guma ação sobre o assunto nos próximos tempos.
As organizações brasileiras precisam corrigir uma gran- de lacuna de comunicação entre as equipes de seguran- ça e os executivos para se protegerem contra ataques avançados e roubo de dados, além de investir mais na educação dos funcionários.
A maioria dos profissionais brasileiros acredita que o roubo de propriedade intelectual, a violação envolven- do dados de clientes e a perda de receita por parada do sistema são os eventos mais preocupantes para a área de segurança. Mas boa parte das equipes de segurança de TI nunca comentou com os executivos das próprias empresas sobre questões de cibersegurança. Poucos profissionais brasileiros acreditam que as suas corpora- ções investem o suficiente em pessoal e em tecnologia para evitar riscos cibernéticos.
Apesar disso, empresas privadas e governos têm instalado proteção para seus endpoints (equipamentos digitais que sejam pontos na rede, incluindo computadores e outros elementos de rede) e procurado serviços especializados
“Exploração de
vulnerabilidades de
aplicativos e sistemas
operacionais, da
infraestrutura de
segurança e de redes
está entre os principais
causadores de prejuízos.
É nesse contexto que a
cibersegurança tem se
ampliado”
13
O fórum Darkode foi utilizado para a negociação crimi- nosa de dados de cartões de crédito, ferramentas, cre- denciais, vulnerabilidades, lista de e-mails e todo tipo de informação que pudesse ser usada para a prática de crimes cibernéticos. A investigação identificou hackers brasileiros entre os maiores especialistas mundiais em crimes cibernéticos já presos pela PF. Os investigados brasileiros possuíam grande reputação entre os mem- bros do Darkode, chegando a alcançar os níveis mais especializados do fórum.
Nos Jogos Olímpicos e Paralímpicos de 2016, o trabalho do Centro de Cooperação Policial Internacional (CCPI) foi conduzido pela Polícia Federal e operado com cerca de 250 policiais de 55 países, além de Interpol, Ameripol e Europol, reunidos em dois centros de comando e contro- le no Rio de Janeiro e em Brasília, que funcionaram entre os dias 1º de agosto e 19 de setembro daquele ano.
Foi a maior operação de cooperação policial internacio- nal da história do Brasil e da própria Interpol. Participa- ram Angola, Argélia, Argentina, Austrália, Áustria, Bélgi- ca, Canadá, Chile, Colômbia, Coréia do Sul, Dinamarca, Eslováquia, Eslovênia, Espanha, Estados Unidos, França, Holanda, Hungria, Iêmen, Índia, Itália, Japão, Malásia, México, Nigéria, Noruega, Nova Zelândia, Oman, Portu- gal, Catar, Reino Unido, Rússia, Suíça, Turquemenistão e Ucrânia. Nesses casos, há interesses comuns, ou seja, a proteção de seus atletas e concidadãos.
Isoladamente, por decisão estratégica, alguns pro- dutores de soluções de segurança contratam ana- listas brasileiros de malware. O vírus do boleto, por exemplo, foi descoberto por um brasileiro analista de malware da Kaspersky Lab, empresa russa produtora de softwares de segurança. Isso não representa parce- ria entre governos, mas a decisão de conhecer, mais rapidamente, os malwares desenvolvidos por cibercri- minosos brasileiros.
F: Quais são as principais fraudes brasilei-
ras e os impactos em outros países?
G.R.: A emissão de boletos bancários é muito comum nas cobranças no Brasil e os cibercriminosos desenvol- veram e espalharam fraudes com boletos. Pesquisado- res da RSA (empresa norte-americana que se dedica à criptografia) publicaram um relatório que revelou que as fraudes dos boletos custaram, em 2012, mais de 3, milhões de dólares para o Brasil e continuam causando prejuízos.
Recentemente, um velho conhecido voltou a atacar em- presas no Brasil. Pesquisadores da Kaspersky detecta- ram uma nova onda do poderoso ransomware Mamba, famoso por ter interditado o transporte público de São
Francisco (EUA), em 2016. O Mamba é particularmente danoso por criptografar o disco rígido inteiro, em vez de alguns arquivos. Ele é semelhante aos malwares Petya e Mischa, assim como o ExPetr, responsável pelo maior surto global dos últimos tempos.
Ainda não se sabe quem está por trás da nova onda de ataques contra companhias brasileiras. Negócios na Arábia Saudita também estão sendo afetados. Os pes- quisadores da Kaspersky Lab afirmam que essa onda de sabotagem cibernética disfarçada de extorsão, por meio do Mamba, vai continuar. Ao contrário dos ataques do ExPetr, em que é improvável que as vítimas recuperem suas máquinas, talvez não seja o caso com o Mamba. O analista sênior de malware da Kaspersky no Brasil, Fá- bio Assolini, afirmou que o Mamba tem sido usado em ataques direcionados contra empresas e infraestruturas críticas, inclusive no Brasil. E alertou que, diferentemen- te das outras famílias de ransomwares, ele impossibilita o uso da máquina comprometida, exibindo o pedido de resgate e cifrando o disco por completo. O uso de um uti- litário legítimo na cifragem é outra prova de que os auto- res visam causar o maior dano possível. Mas o relatório da Kaspersky Lab informa que não há nenhuma manei- ra de decodificar dados criptografados utilizando-se o DiskCryptor (ferramenta que criptografa arquivos do HD e mídias removíveis para proteger arquivos confiden- ciais), porque ele usa algoritmos de criptografia fortes.
F: Os cibercrimes tendem mesmo a aumen- tar, considerando a ampliação de acesso à internet?
G.R.: Além da ampliação do acesso à internet, há a de- seducação dos usuários. Outra razão é a quase garantia de anonimato do fraudador somada à facilidade de ga- nhos financeiros com as fraudes. Entre os ataques mais comuns para estimular uma ação ilícita ou servir de entrada para invasões destacam-se os de simulação de ambiente, como o phishing e o spoofing. Datas impor- tantes para o varejo, como Black Friday, Dia das Mães e grandes eventos, como as Olimpíadas, são facilitadoras de crescimento dos ataques.
F: Por que a Rússia é o país que mais sofre com ataques cibernéticos?
G.R.: Algumas pesquisas realmente indicaram isso. Talvez porque na Rússia exista muita gente capacitada. Nós, brasileiros, podemos estar pensando que não foi tão perto assim e nos despreocupamos. Mas, no Brasil, tivemos notícias de que os ciberataques levaram várias empresas e órgãos públicos a tirarem sites do ar e des- ligarem seus computadores.
14 Fonte I Ed. 18 I Dezembro 2017
F: Israel é considerado grande referência em cibersegurança. No que esse país do Oriente Médio se diferencia do resto do mundo?
G.R.: Israel tem uma vocação tecnológica histórica. O país apoia muitas iniciativas que traduzem avanços para a sociedade. Isso faz parte do programa de gover- no de Israel. O que é muito bom. Há uma decisão go- vernamental de fortalecer a educação e preparar mão de obra especializada. Muitas empresas israelenses são destaques em suas áreas de atuação por disporem de técnicos e profissionais qualificados.
F: Pesquisa da Security & Defence Agenda (SDA), um centro de estudos de Bruxelas dedicado à segurança cibernética, revela que as estratégias dos países estão longe de materializarem-se em efetiva segurança quando se trata de espionagem ou cibera- taques. Por que essa desvantagem com os cibercriminosos?
G.R.: De fato, a SDA constatou que os mocinhos, até para se protegerem, precisam obedecer a leis, enquanto os ban- didos não seguem leis e compartilham informações entre eles, fortalecendo-se mutuamente. Quando as corpora- ções públicas e privadas se conscientizarem de que tec- nologias de prevenção custam menos do que o eventual remédio que vier a ser necessário, os prejuízos diminuirão.
F: O que ainda veremos relacionado à cibe- rataques? O que esse crime ainda nos re- serva? Qual o panorama mundial?
G.R.: Veja um resumo do que vem acontecendo no mundo, nos últimos meses, em vários campos:
Consultoria : ataque cibernético à Deloitte, uma das qua- tro maiores empresas mundiais de consultoria, afetou clientes. O jornal britânicoThe Guardian informou que a empresa foi alvo de um ataque com um elevado grau de sofisticação que revelou e-mails e informações confiden- ciais de importantes clientes do setor tecnológico.
Tecnologia: dois milhões de usuários em todo o mun- do instalaram versão infectada do programa de limpeza CCleaner. O CCleaner tinha sido criminosamente modi- ficado para incluir uma componente de backdoor (que permite a intrusão de arquivos estranhos ou maliciosos num computador quando está ligado à internet e a ins- talação de ransomwares).
CRM Corporativo: ataque pôs em risco dados pessoais de 143 milhões de norte-americanos clientes da Equi- fax (um dos três maioresbureaux de crédito americano, que reúne e mantém informações de mais de 400 mi- lhões de pessoas e empresas no mundo).
Automóveis: carros autônomos não serão vendidos nos Estados Unidos sem plano de cibersegurança, para que não sejam utilizados como armas por cibercriminosos.
Usinas hidroelétricas : hackers infiltraram-se no setor energético na Europa e nos Estados Unidos, com o obje- tivo de controlar a rede elétrica nas regiões ocidentais, para sabotar e programar cortes de eletricidade.
Saúde humana: meio milhão de pacemakers (um dispositivo implantado que regula eletronicamente os batimentos cardíacos, monitora o ritmo cardíaco e, quando necessário, gera um impulso elétrico indolor que desencadeia um batimento cardíaco) nos Estados Unidos vão ser atualizados para evitar ciberataques. A Food and Drug Administration (responsável pela prote- ção e promoção da saúde pública nos Estados Unidos) identificou uma vulnerabilidade no sistema de uma das marcas de pacemakers com ligação à internet em utili- zação no país.
Televisão: piratas informáticos voltaram a atacar e an- teciparam o regresso de Curb Your Enthusiasm (sitcom norte-americano), prejudicando sua estreia.
Jornalismo: site da WikiLeaks foi atacado no dia em que revelou documentos da CIA, o que impediu que usuários tivessem acesso a novas informações sobre as práticas de espionagem dos Estados Unidos. O grupo de piratas responsável pelo ataque é famoso por se infiltrar nas contas das redes sociais de grandes empresas (como HBO, Netflix, Sony e Marvel) e de figuras públicas como os diretores executivos do Facebook e do Google.
Justiça: ciberataque atingiu computadores do Minis- tério Público de São José do Rio Preto. Alguns equipa- mentos apresentaram mensagens de que era necessário pagamento para acessar os arquivos (o que indicou o ataque de ransomware).
Além desses, o ciberataque mundial de 12 de maio de 2017, que afetou dezenas de países e fez hospitais pú- blicos na Inglaterra cancelarem atendimentos e redire- cionarem ambulâncias, também atingiu 14 estados do Brasil e o Distrito Federal. No Brasil, teriam tirado seus sites do ar a Petrobras; o Instituto Nacional do Seguro Social (INSS); os tribunais de Justiça de São Paulo, Sergi- pe, Roraima, Amapá, Mato Grosso do Sul, Minas Gerais, Rio Grande do Norte, Piauí, Bahia e Santa Catarina; o Ministério Público de São Paulo; o Itamaraty; e o Insti- tuto Brasileiro de Geografia e Estatística (IBGE).
16 Fonte I Ed. 18 I Dezembro 2017
de tudo, segurança que garanta a privacidade dos dados. Quais os desafios nesse sentido?
G.R.: A cibersegurança é um mercado interminável. Muitas empresas e usuários no Brasil ainda utilizam sistemas operacionais antigos, como o Windows XP, que não contam mais com suporte, ou piratas. Isso au- menta a exposição a ataques, com hackers explorando as vantagens de sistemas operacionais desatualizados. O maior crescimento é das ameaças que se utilizam de vul- nerabilidades do dia zero (falhas no código fonte da apli- cação que são desconhecidas pelos fabricantes dos softwa- res), e o risco financeiro está entre os mais impactantes. As empresas que não estiverem protegidas adequadamente amargarão perdas que incluem, dentre outras, o vaza- mento de informações. O ransomware, combinado com as vulnerabilidades da internet das coisas, continuará sendo o maior impacto financeiro nas empresas.
F: Um relatório recente da Kasperksy Lab aponta que 29% das pessoas não fazem ideia de como um malware infectou os seus dispositivos. O que fazer para que a cons- cientização em torno da segurança on-line seja maior?
G.R.: O conhecimento sobre os prejuízos causados a ou- tras pessoas e empresas, por meio de notícias, pode ser o maior motivador para que elas se protejam imediatamen- te. A educação, às vezes, passa pelo setor jurídico das em- presas, que deve mostrar as responsabilidades dos gesto- res e as consequências pelo descumprimento dos deveres de implantação e observância de políticas e normas.
F: Como é o processo de desenvolvimento de produtos de segurança? O que é consi- derado? Qual o tempo médio de conclusão de um produto?
G.R.: Na minha visão, não é suficiente ter “pronto” um bom antimalware. É preciso ter uma visão holística sobre todos os aspectos de um sistema. É importante poder gerenciar, de forma amigável, o conjunto da solução. A partir daí, estou certo que a primeira etapa é saber iden- tificar e vir a conhecer o malware. Com uma equipe expe- riente, desenvolve-se a vacina, que é testada e disponibi- lizada para os clientes em minutos. Quando falamos em produto de segurança, ele não se conclui, mas se comple- menta cada vez que um novo malware é descoberto – o que acontece diversas vezes, todos os dias.
F: O ransomware tem feito estragos em em- presas e usuários ao redor do mundo, além de alimentar o cibercrime. Vale a pena pa- gar o resgate que é cobrado para que os ar- quivos sejam devolvidos, por meio de bit- coins? Qual a garantia que se tem de que os dados sequestrados serão devolvidos?
G.R.: Não há garantia de resgate. Temos de nos lembrar de que estamos tratando com criminosos. Virtuais, o que é ainda pior, mas criminosos. Ransomware é mais do que um malware, passou a ser um negócio rentável. Muitos criminosos deixaram de trabalhar com outros tipos de malware para se dedicar exclusivamente ao ransomware. Alguns são destrutivos e, mesmo que o cibercriminoso in-
Adoção de cuidados nos ambientes pessoal e profissional ajuda a intensificar a segurança das informações
17
forme que devolverá o arquivo, pode ser mentira. Se você pagar ao cibercriminoso, ele, percebendo sua fragilidade, poderá tanto pedir mais dinheiro, como poderá repetir a dose e sequestrar novamente seus dados. Empresas de antivírus desenvolvem ferramentas de descriptogra- fia. A campanha nomoreransomware.org é um exemplo disso. Alguns ransomwares podem ser descriptografados, mas há outros que não. O melhor a se fazer é utilizar proteções de endpoints que atuam preventivamente e impedem que o ransomware entre e seja instalado em qualquer computador ou dispositivo de sua rede.
F: Qual o panorama atual dessa ameaça no
Brasil?
G.R.: Cibercriminosos brasileiros também desenvol- vem ransomware. O XPan, que atacou hospitais, e o Notificação, podem ser decifrados, mas chegará o dia em que os criminosos brasileiros conseguirão produzir ransomwares nos quais onde a descriptografia dos ar- quivos não será possível.
F: Para as grandes corporações, quais as
orientações de proteção?
G.R.: Existem proteções para ataques de todos os tipos. As empresas devem se proteger contra vírus, bots, tro- jans, worms, spyware, rookit, ransomware e backdoor, dentre outras ameaças, visíveis e invisíveis. A indústria de antivírus responde a esses ataques com a ajuda de inteligência artificial, análises estatísticas e novos mé- todos de detecção, como heurística. Mas o usuário deve usar um sistema operacional atualizado, assim como os demais aplicativos e o antivírus, e sempre verificar a procedência de e-mails e links antes de abri-los.
F: Podemos dizer que os antivírus ainda
são importantes para os usuários comuns
ou são recomendadas outras proteções?
G.R.: Claro que vírus ainda existem e causam danos, às vezes, irreparáveis. Todo usuário deve ter antivírus em seus dispositivos. Mas eles não são mais suficientes para protegerem nenhum tipo de usuário, incluindo os domésticos. São recomendados recursos como firewall pessoal, antiphishing, proteção contra roubo de senhas.
F: Na sua opinião, por que muitas pesso-
as e empresas ainda são vítimas de crimes
considerados “bobos”? No que elas ainda
pecam?
G.R.: Excesso de confiança, ou melhor, falta de cons- ciência. Além de utilizarem uma excelente proteção do endpoint, precisam ter comportamento adequado, como desconfiar de links recebidos para preenchimento de senhas.
F: Aconselhar as empresas a trabalharem com inteligência de ameaça como forma de prote- ção dos próprios dados tem sido propagado. No que consiste essa forma de segurança?
G.R.: Inteligência de ameaças diz respeito a como você pode se manter informado sobre as ameaças mais re- centes e que surgem, constantemente, direcionadas às empresas. E se o seu sistema de SIEM (gerenciamento e correlação de eventos de segurança – em inglês, Security Information and Event Management) não possuir fun- cionalidades adequadas de detecção de ameaças virtuais, como você pode ser notificado a tempo sobre a maioria das ameaças persistentes avançadas perigosas? Podem ser complementados alguns serviços de inteligência de ameaças criados para atenuar esses riscos. Feeds de da- dos de ameaças, melhorando a solução de SIEM e apri- morando as funcionalidades de perícia usando os dados de ameaças virtuais. Relatórios de inteligência de APTs (ameaças persistentes avançadas), obtendo acesso exclu- sivo e proativo a descrições de campanhas de espiona- gem virtual de grande visibilidade, incluindo Indicadores de Comprometimento (IOC – Indicators of Compromise).
Outros itens formam um conjunto de características de uma proteção aprimorada: a fusão de inteligência de ameaças com aprendizado de máquina e a experi- ência de equipes de segurança de alto nível, a detecção das ameaças virtuais por algoritmos baseados em toda informação big data, plataforma global de inteligência de ameaças com base na nuvem; o processamento de metadados enviados voluntariamente por milhões de usuários para os laboratórios, enquanto os especialis- tas em segurança adaptam continuamente os modelos matemáticos para detectar novas ameaças sofisticadas.
“ Todo usuário deve
ter antivírus em seus
dispositivos. Mas eles
não são mais suficientes
para protegerem
nenhum tipo de usuário”
19
O texto da lei nº 12.965/2014 resultou em discussões e debates iniciados em 2009. Naquele ano, havia 26 propostas no Congresso Nacional para regulamenta- ção da internet. Uma das mais polêmicas era o pro- jeto de lei (PL) 84/1999, que previa a destruição de dados eletrônicos de terceiros, o acesso e a obtenção de informações em sistemas restritos sem autori- zação e a transferência não autorizada de dados ou informações particulares, que se tornariam crime, passíveis de prisão e multa.
A reação da sociedade civil contrária a essa propos- ta levou a Secretaria de Assuntos Legislativos do Ministério da Justiça a realizar consultas públicas on-line para elaboração de uma lei. O debate foi efetivado a partir de um blog criado na plataforma Cultura Digital, ligada ao Ministério da Cultura. O projeto foi lançado em outubro de 2009 e dividido em duas etapas. A primeira fase, de 29 de outu- bro a 17 de dezembro, consistiu em uma consulta pública sobre um conjunto de princípios normati- vos considerados relevantes pelo governo. Após a etapa inicial, e com o seu resultado, foi elaborado um segundo documento, dividido em capítulos e artigos, já no formato de um anteprojeto de lei. Na segunda consulta pública, a discussão foi mais específica, a partir de cada um dos artigos e pará- grafos do projeto.
Uma das primeiras experiências do gênero no contexto brasileiro e mundial, a consulta pública sobre o Marco Civil foi considerada uma das mais bem-sucedidas, pelo formato colaborativo e pela forma como conseguiu envolver diferentes seto- res da sociedade e do governo. O projeto de lei foi encaminhado ao Congresso Nacional em agosto de
O Marco Civil da Internet, então, foi aprovado na Câmara dos Deputados, em março de 2014, e no Se- nado, em abril do mesmo ano. Foi sancionado pela Presidência da República no mesmo mês, durante o NetMundial, encontro internacional que reuniu 85 países em São Paulo e discutiu propostas para uma governança mundial da internet.
O uso da internet no Brasil começou a ser regulado em abril de 2014, com a sanção da lei nº 12.965, conhecida como Marco Civil da Internet (MCI). Considerado uma das legislações mais avançadas do mundo na regulação da in- ternet e na garantia da neutralidade da rede, o documento trata de princípios, garantias, direitos e deveres de quem usa a rede e determina diretrizes para a atuação do Estado.
Para sustentar os direitos individuais no ciberespaço, o MCI é orientado por três princípios básicos: a neutrali- dade da rede, a privacidade na web e a liberdade de ex- pressão(veja mais na página 17). Considerado a Consti- tuição Digital brasileira, o Marco Civil estabelece, como fundamentos do uso da internet, o reconhecimento da escala mundial da rede, o pluralismo, a diversidade, a abertura e a colaboração. Direitos econômicos como livre iniciativa, livre concorrência e defesa do consumi- dor também são encorajados desde que não conflitem com os demais princípios estabelecidos pela lei.
Embora o Marco esteja em vigor há três anos e meio, vários desafios ainda precisam ser superados. “A pro- blematização ante a falta de normas reguladoras efica- zes para a garantia dos direitos fundamentais dos usu- ários está longe de ser resolvida. Ela se evidencia em decorrência da falta de zelo, de efetividade e de com- prometimento dos legisladores na criação e no desen- volvimento da lei nº 12.965/2014, inclusive no que diz respeito à ausência de medidas sancionadoras rigorosas e fiscalização das empresas para que garantam aos usu- ários um serviço qualificado, moderno e eficiente”, afir- ma o advogado Luiz Fernando Marra , da Moisés Freire Advocacia, especialista em Direito Tributário.
Bruno Soares
20 Fonte I Ed.18 I Dezembro 2017
Ele, no entanto, ressalta que a criação do MCI “foi im- portante por colocar o Brasil entre os 10 primeiros países a instituir uma legislação regulamentadora da internet”. Contudo, o jurista ressalta que não ficaram claros os critérios de aplicação de sanções pelo des- cumprimento das disposições legais. “Apesar de trazer diversas diretrizes referentes aos padrões de seguran- ça no armazenamento e tratamento de dados pessoais e comunicações privadas, o decreto não determina o grau de obrigatoriedade de cumprimento das normas pelas empresas de telecomunicação digital”, diz.
A falta de efetividade e de clareza nas regras sobre a li- beralidade de uso e de acesso dos usuários aos serviços de internet é uma das dificuldades para que o Marco Civil cumpra seus objetivos, na avaliação do professor- -adjunto de Direito Internacional da Faculdade de Di- reito da Universidade Federal de Minas Gerais (UFMG), Fabrício Bertini Pasquot Polido. “Não há disposições que regulam acerca da privacidade e da segurança na prestação de informações pessoais para realizar ativi- dades cotidianas, como acessar contas bancárias e com- prar mercadorias”.
Fabrício, que também é membro do Conselho Científico e fundador do Instituto de Referência em Internet e So- ciedade (Iris), esclarece que a promulgação do decreto nº 8.771, em 2016, normatizou as disposições previstas no MCI. “Nele, ficaram estabelecidas medidas relativas à neutralidade de rede, à proteção de acessos a dados pessoais e comunicações privadas, bem como à atribui- ção de competências para fiscalização do cumprimento das regras estabelecidas”.
Para ele, ainda é cedo para discutir os efeitos da apli- cação do Marco Civil no Brasil. “Os tribunais têm sido gradativamente levados a firmar entendimento juris- prudencial sobre as regras e princípios estabelecidos pela nova lei, em novo contexto social”.
Inclusão digital
O estímulo à inclusão digital muitas vezes acaba sendo limitado por questões econômicas e tecnológicas. Isso porque várias regiões do país não têm acesso à internet, além de empresas prestadoras de serviços digitais exi- girem alto custo por uma tecnologia, por vezes, arcaica, oferecida ao consumidor. “Se o acesso à internet é limi- tado tecnicamente ou sofre discriminações de qualida- de e quantidade, por conduta de empresas provedoras de acesso, maiores serão os efeitos constritivos sobre aqueles direitos e garantias que o Marco Civil propõe proteger”, observa Fabrício.
O Comitê Gestor da Internet no Brasil foi criado em 1995, pela portaria interministerial nº 147, para esta- belecer as diretrizes estratégicas para o uso e desen- volvimento da internet no Brasil e para a execução do registro de nomes de domínio, alocação de endereço IP (Internet Protocol) e administração pertinente ao domínio de primeiro nível “.br”. O órgão também promove estudos, recomenda procedimentos para a segurança da internet e propõe programas de pesqui- sa e desenvolvimento que permitam a manutenção
do nível de qualidade técnica e inovação no uso da internet.
Integram o CGI.br nove representantes do setor go- vernamental, quatro do setor empresarial, quatro do terceiro setor, três da comunidade científica e tecno- lógica e um representante de notório saber em as- suntos de internet. A atual composição do Comitê foi estabelecida pelo decreto nº 4.829, de 3 de setembro de 2003, da Presidência da República.
Arquivo pessoal