Introdução

Caro (a) estudante,

Atualmente, as ameaças cibernéticas vêm crescendo de modo proporcional aos avanços tecnológicos. Os crackers têm desenvolvido programas, códigos maliciosos, sistemas de intrusão e phishing, a fim de obter acesso aos dados pessoais e empresariais de pessoas e organizações em qualquer parte do mundo.

Nesta unidade, portanto, analisaremos a Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018, que versa sobre o tratamento de dados pessoais, inclusive nos meios digitais. Também desmitificaremos o pensamento de que um hacker é apenas um programador desonesto com a habilidade de modificar hardwares ou softwares de computadores para utilizá-los de modo diferente pretendido pelos desenvolvedores originais. Assim, conheceremos as tecnologias novas de proteção à informação, conceitos básicos da LGPD, conceitos de hacker e cracker, bem como o passo a passo de um ataque à segurança da informação.

Bons estudos!

4.1 Contingência dos ambientes computacionais

As informações, configurando como um ativo de grande valor para as empresas, necessitam de proteção contra ameaças e vulnerabilidades. Nesse sentido, as organizações, atualmente, requerem políticas de segurança e práticas de métodos de prevenção, já que essas ações podem reduzir o risco de falhas, os danos e os prejuízos que podem comprometer informações sem segurança adequada. Deste modo, a segurança da informação se torna cada vez mais importante em nosso cotidiano.

Dentre essas práticas de prevenção, o planejamento da segurança da informação pode ser definido como um conjunto de avaliações e tomadas de decisões, cujo objetivo é oferecer suporte ao sistema de gestão da segurança da informação dentro de uma empresa. Desse modo, as organizações precisam aplicar tecnologias emergentes às suas práticas de proteção e gestão de risco.

Assim, o interesse em tecnologias de segurança é cada vez mais estimulado pelos elementos do negócio digital, particularmente a nuvem, computação móvel e internet das coisas (IoT), assim como pela sofisticação e pelo alto impacto dos ataques direcionados. Essa situação reforça a necessidade do planejamento prévio das organizações para a implementação de uma política de segurança da informação.

Assim, para iniciar um processo de implantação, existem alguns passos a serem seguidos. Realizar o diagnóstico total da organização para definir as normas que serão utilizadas; identificar o que e em qual nível a organização precisa proteger suas informações; bem como o investimento no diagnóstico são ações indispensáveis no início.

Além disso, a classificação e separação das informações é outro passo necessário. As informações podem ser classificadas como internas, públicas, secretas ou confidenciais, sendo que a partir desse primeiro sequenciamento é possível definir quais informações demandam maior controle e nível de proteção.

Cassetto (2019) argumenta que, em primeiro lugar, devem ser declarados os objetivos da política de segurança implementada dentro de uma empresa. Desse modo, observe abas a seguir para descobrir quais princípios devem nortear a elaboração de uma política de segurança efetiva.

Objetivos da política

» Clique nas setas para saber mais sobre o assunto

Primeiro objetivo
Criar uma abordagem geral para a segurança da informação.
Segundo objetivo
Detectar e evitar violações de segurança da informação, como mau uso de redes, dados, aplicativos e sistemas de computador.
Terceiro objetivo
Manter a reputação da organização e cumprir as responsabilidades éticas e legais.
Quarto objetivo
Respeitar os direitos do cliente, incluindo como reagir às consultas e reclamações sobre não conformidade.

4.1.1 Tecnologias emergentes para proteção da informação

As gestões de segurança da informação e de infraestrutura devem se adaptar aos níveis de negócios digitais emergentes e, ao mesmo tempo, devem estar preparadas para lidar com um ambiente cada vez mais hostil. Indo além, os líderes de segurança e de gestão de riscos necessitam aprender a lidar com as últimas tendências tecnológicas caso queiram definir, alcançar e manter programas eficazes que ofereçam, de modo simultâneo, oportunidades de negócios digitais com a gestão de riscos.

Existem algumas tecnologias emergentes que formam uma base importantíssima para a proteção das informações dentro das empresas. Elas são necessárias porque a sociedade está continuamente sob ataque de hackers, criminosos e outros atores maliciosos. Por exemplo, um ataque ao provedor de certificado SSL holandês Diginotar em junho de 2011 foi bem-sucedido, e de acordo com a CNN Brasil (2020), a Agência Europeia de Medicamentos anunciou que havia sido “objeto de um ataque cibernético”. A Pfizer e seu parceiro de biotecnologia alemão BioNTech confirmaram que seus dados foram “acessados ilegalmente”.

As intrusões do sistema de hoje são notavelmente sutis e sofisticadas. Exemplificadas pelo ataque de “viver da terra”, existem estratégias de ameaças persistentes avançadas (APT). A seguir, é possível observar alguns exemplos de ferramentas de proteção da informação:

Os agentes de segurança do acesso à nuvem (do inglês, Cloud Access Security Broker – CASB) ajudam profissionais de segurança da informação a terem controle do uso seguro e dentro da conformidade dos serviços de nuvem e seus provedores. O CASB atua como um porteiro, permitindo que as organizações estendam o alcance de suas políticas de segurança além de sua própria infraestrutura. Os agentes de segurança de acesso à nuvem não apenas monitoram o acesso aos aplicativos em nuvem, mas também fornecem um ponto central para controlar o acesso, reforçando a criptografia e evitando que informações confidenciais sejam baixadas para dispositivos inseguros.

Um CASB pode estender a prevenção contra perda de dados (DLP), controle de acesso à rede (NAC) e outras tecnologias de segurança para ambientes em nuvem. Ele também pode garantir a aplicação do compartilhamento de dados e das políticas de conformidade. Os CASBs diferem em quantos aplicativos em nuvem eles podem acessar por meio de interface de programação de aplicações (APIs); no entanto, aplicativos de software como serviço (SaaS) menos conhecidos e aplicativos desenvolvidos internamente podem ser submetidos ao fornecedor CASB para serem integrados à sua solução.

A solução corporativa canônica para combater APTs é conhecida como Endpoint Detection and Response (EDR). As ferramentas de EDR monitoram constantemente as atividades nos hosts finais e geram alertas de ameaças caso comportamentos potencialmente maliciosos sejam detectados. Em contraste com a varredura de assinaturas ou técnicas de detecção de anomalias, de acordo com Winchester (2017) as ferramentas de EDR caçam ameaças comparando eventos do sistema com uma base de conhecimento de táticas, técnicas e procedimentos (TTPs) adversários.

Embora as ferramentas EDR sejam vitais para a segurança corporativa, três desafios prejudicam sua utilidade na prática. O primeiro desafio é que as bases de conhecimento do TTP são otimizadas para recall, não para precisão; ou seja, os curadores do TTP tentam descrever todos os procedimentos que têm qualquer possibilidade de estarem relacionados a ataques, mesmo se os mesmos procedimentos forem amplamente empregados para fins inócuos.

» Clique e arraste para visualizar o conteúdo

você sabia?

As ferramentas de Endpoint Detection and Response (EDR) fornecem visibilidade de intrusões sofisticadas, comparando eventos do sistema com comportamentos adversários conhecidos. No entanto as soluções atuais apresentam alguns desafios: as ferramentas de EDR geram um grande volume de alarmes falsos, ou seja, determinar a veracidade desses alertas de ameaça requer um tedioso trabalho manual. Além disso, campanhas de ataque de longa duração são frequentemente excluídas antes que uma investigação seja iniciada. Se interessou? Faça uma pesquisa sobre as ferramentas de proteção, como a EDR.

Outra ferramenta de segurança utilizada é a análise de comportamento (de usuários e da empresa ou User and Entity Behavioural Analytics – UEBA) que permite que a corporação realize processos mais amplos de segurança, fornecendo análises centradas no usuário capazes de detalhar seu comportamento e outros fatores. A análise de comportamento (de usuários e da empresa) se tornou importante na segurança das organizações porque os usuários legítimos têm mais direitos e acesso aos recursos das empresas em comparação com os de fora. Além disso, parte dos usuários não estão cientes das ameaças à segurança que podem causar grandes danos às informações confidenciais e à propriedade intelectual das organizações.

Nesse seguimento, temos também o centro de operações de segurança (SOC) que funciona como uma equipe de pessoas apoiadas por tecnologias de inteligência de segurança, operando com processos definidos. Segundo a IBM (2013) o SOC foca especificamente em ameaças cibernéticas, monitoramento, investigação forense e em gerenciamento e geração de relatórios de incidentes. Assim, os SOCs são essenciais porque determinam a postura de segurança cibernética de uma organização, bem como detectam, analisam e relatam várias atividades maliciosas.

Nessa lógica, um SOC funcionando bem pode formar o coração de uma detecção eficaz. Segundo Ey (2013) ele pode permitir que as funções de segurança da informação respondam mais rapidamente, trabalhem de modo mais colaborativo e compartilhem conhecimento de modo mais eficaz. Com a compreensão de que os ataques não podem ser completamente evitados, as empresas devem aprimorar seus recursos de detecção para que possam responder de modo adequado.

A tecnologia Deception também é emergente na segurança da informação moderna como um meio de defesa ativa e inteligente após alguma violação. Essa tecnologia pode ser definida pelo uso de artifícios ou truques para frustrar ataques, limitando os processos cognitivos do atacante, interrompendo suas ferramentas de automação, atrasando suas atividades ou evitando o progresso de seus ataques.

Além dessas ferramentas, possuímos os softwares de prevenção, como o firewall, um software especial para proteger uma rede privada de computadores contra acessos não autorizados. Os firewalls são usados por companhias, bancos e empresas de investigação para manter a informação protegida e privada.

Outro software conhecido é o antivírus, concebido para prevenir, deletar e eliminar vírus de um computador. Existem antivírus pagos e gratuitos, com a diferença que os antivírus pagos possuem camadas superiores de proteção em relação aos gratuitos. Além disso, anti-spywares também se enquadram na categoria dos antivírus, já que são softwares que ajudam a proteger o computador contra pop-ups, desempenho lento e ameaças de segurança causados por spywares e outros softwares indesejados.

4.1.2 LGPD – Lei Geral de Proteção de Dados do Brasil

LGPD é a sigla adotada para designar a Lei Geral de Proteção de Dados (Lei nº 13.709). Sancionada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados entrou em vigor em agosto de 2020 e afetou a maioria das empresas brasileiras.

Segundo Agostinelli (2018), em seu artigo “A importância da Lei Geral de Proteção de Dados Pessoais no ambiente online”, a principal inspiração para a LPGD do Brasil foi a GDPR (General Data Protection Regulation) da Europa, aprovada em 2018, que impactou mundialmente as atividades de tratamento de dados dos cidadãos europeus. Assim, do mesmo modo que a GDPR afetou empresas fora da Europa que faziam captação e uso de dados dos cidadãos europeus, a LGPD afetou empresas brasileiras e estrangeiras que captavam e usavam dados de brasileiros.

Nessa lógica, a LGPD foi criada para garantir a soberania dos dados aos seus titulares, regular as atividades de tratamento e coleta de dados, bem como para criar uma estrutura de fiscalização e responsabilidade da cadeia produtiva em torno do tema. Segundo Serpro (2018b), a LGPD veio para proteger os direitos fundamentais de liberdade, privacidade e livre formação da personalidade de cada indivíduo. A lei dispõe sobre o tratamento de dados feito por pessoa física ou jurídica de direito público ou privado e ainda engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.

A LGPD também proíbe, entre outros fatores, o tratamento de dados pessoais para a prática de discriminação ilícita ou abusiva. Esse tratamento é o cruzamento de informações de uma pessoa específica, ou de um grupo, para subsidiar decisões comerciais (perfil de consumo para divulgação de ofertas de bens ou serviços, por exemplo), políticas públicas ou atuação de órgão público (SENADO NOTÍCIAS, 2018)

Exceções de consentimento do cidadão de acordo com a LGPD

» Clique nas abas para saber mais sobre o assunto

Primeira
exceção
Segunda
exceção
Terceira
exceção
Quarta
exceção
Quinta
exceção

Cumprir uma obrigação legal.

Executar política pública prevista em lei.

Realizar estudos via órgão de pesquisa.

Executar contratos.

Defender direitos em processo.

A LGPD também impõe que não importa se a base de uma organização está localizada em território brasileiro ou no exterior; se há o processamento de conteúdo pessoal, brasileiro ou não, que está no território nacional, a LGPD deve ser respeitada. Além disso, determina que é liberado compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais (SERPRO, 2018a).

#PraCegoVer: na imagem temos a representação de um círculo com a frase “Avaliação de Riscos”, com seis símbolos de lâmpadas ao seu redor, cada uma com um símbolo dentro. As lâmpadas possuem cor azul-escuro estão representadas da seguinte forma: lâmpada com representação de uma casa dentro tem ao lado a frase “Amadurecimento de processos internos”, lâmpada com uma caneta dentro possui a frase “Adaptação de contratos”, lâmpada com uma engrenagem dentro possui a frase “Auxilia a construção de RIPD”, lâmpada com um cadeado possui a frase “Conformidade legal com a LGPD”, lâmpada com uma lupa possui a frase “Identificação e Monitoramento dos riscos” , e, por último, a lâmpada com caixa de mensagens possui a frase “Auxilia na transparência com o titular dos dados pessoais”.
Figura 1 – Benefícios da avaliação de riscos – Lei Geral de Proteção de Dados Pessoais (LGPD). Fonte: BRASIL, 2020, p. 18. (Adaptado).

Por fim, o artigo 2º da lei estabelece que a disciplina da proteção de dados pessoais tem como fundamentos o respeito aos princípios de privacidade; a autodeterminação informativa; as liberdades de informação, expressão, comunicação e opinião; a proteção da intimidade, da imagem e da honra; o desenvolvimento econômico; a defesa do consumidor e livre mercado; bem como respeito aos direitos humanos e da cidadania (BRASIL, 2018).

Teste seus conhecimentos
Atividade não pontuada.

4.2 Etapas de um ataque aos sistemas de informação

Os hackers são considerados elementos metódicos, disciplinados e pacientes, com dois fatores que lhes dão ampla vantagem: tempo e foco. Na maioria dos casos, os ataques a sistemas são constituídos por uma série de ações conectadas, como em um elo ou corrente. Por conta disso, é preciso sempre estar atento para identificar uma tentativa de ataque, bem como é preciso analisar e compreender a lógica utilizada pelos atacantes para romper com essa cadeia de ações prejudiciais. A seguir, você conhecerá algumas etapas de ataques a sistemas.

Podemos definir a primeira regra como reconhecimento. Após definir seu plano, o atacante analisa cautelosamente seu alvo para identificar o host ao qual ele deseja o acesso. Quais indivíduos podem ser uma ponte para chegar ao usuário desejado? Do que esses indivíduos gostam? O que fazem? Tudo é explicitamente analisado para identificar o ponto mais vulnerável. A partir desse passo inicial, o atacante define o tipo de ataque e a “arma” que será utilizada.

Após a definição do tipo de ataque, o hacker inicia seu plano. Como simplificação, podemos analisar um ataque comum denominado phishing . Essa seria, portanto, a etapa em que os e-mails seriam enviados com um link ou anexo contaminado para a pessoa que seria o meio de acesso ao host visado. Nessa parte, a organização possui a oportunidade de bloquear e quebrar o elo, já que o ataque se torna visível.

Nesse seguimento, as vulnerabilidades ou falhas de um sistema ou um usuário são abordadas. Novamente, utilizando de um ataque do tipo phishing como exemplo, e supondo que a pessoa tenha aberto o e-mail ou o anexo inseguro, essa seria a etapa em que um software contaminado seria instalado para controlar o terminal do usuário. Isso significa que o atacante passaria a residir no sistema alvo e que, por conta disso, se tornaria uma maior ameaça. Ademais, em uma organização, como há sempre menos controles de segurança, esse tipo de trabalho se torna mais fácil e menos perceptível.

Desse modo, o terminal se torna um escravo e inicia sua trajetória para o externo, fora do controle de segurança da organização, ao encontro do hacker, que provavelmente utilizará ferramentas sofisticadas para dificultar a própria localização. Nesse momento, a máquina executa o que o atacante quiser, como o acesso a outros terminais ou informações da organização. Além disso, é importante lembrar que tal ataque pode ocorrer sem que alguém perceba ou em um contexto em que, mesmo que a equipe de segurança identifique a atividade maliciosa, o criminoso manteria seu anonimato com técnicas antirrastreamento.

Em suma, essas são algumas etapas de acesso a informação em organizações e em computadores ou dispositivos móveis pessoais; contudo existem outras diversas etapas, cada uma relacionada a um tipo de ataque, como o de ransomware, em que o atacante utiliza passos que envolvem a pesquisa de arquivos, criptografia e pedido de resgate.

4.3 Hacking

Hacking consiste em atividades que procuram comprometer dispositivos digitais como computadores, dispositivos móveis, redes inteiras e servidores. Embora o hacking possa não ser sempre uma forma de ataque maldoso, atualmente muitas referências a hacking os caracterizam como uma atividade ilegal de criminosos cibernéticos motivados por ganhos financeiros, protestos, espionagem, entre outros fatores.

Para entender a metodologia de um hacker ou cracker, é preciso diferenciar o um hacker de um cracker. Diversos pesquisadores na internet têm discutido a diferença entre hackers e crackers por muitos anos.

Podemos definir um hacker como uma pessoa interessada no funcionamento de qualquer sistema operacional. Os hackers geralmente são bons programadores e como tal, possuem conhecimento avançado de sistemas operacionais e linguagens de programação, o que os tornam aptos para descobrir lacunas e suas razões nos sistemas.

você quer ver?

Recomendamos o filme Invasores – Nenhum Sistema Está a Salvo , do diretor Baran Bo Odar, de 2014. A trama gira em torno de Benjamin, um jovem gênio da informática convidado para se integrar a um subversivo grupo de hackers que procura atenção mundial. A ideia do filme não foi explorar somente os hackers, mas também chamar atenção para o próprio ser humano e sua capacidade de inteligência e poder de domínio sobre outras pessoas, abordando a engenharia social. Vale a pena conferir!

O termo hacker já possuiu várias definições que evoluíram com o tempo; ele significa cortar algo de modo grosseiro ou irregular. Popularmente, esse termo é utilizado de modo pejorativo para definir programadores que utilizam o conhecimento para cometer crimes virtuais; na verdade, hackers são pessoas com um alto conhecimento em computação e programação, ou seja, não são necessariamente criminosos virtuais. Os hackers também desenvolvem novas funcionalidades em sistemas e ajudam empresas a melhorarem seu sistema de segurança da informação. Além disso, eles também podem servir para perícia forense, pesquisas de vulnerabilidade, desenvolvimento de softwares, testes de invasão e outros serviços.

Nesse sentido, o indivíduo mau utiliza dos altos conhecimentos para explorar sistemas, desse modo, conseguindo alterar o funcionamento deles, fazendo com que realizem ações que os projetistas originais não conceberam. Com isso, eles desbloqueiam as “travas” de fábrica do sistema ou invadem redes e sistemas (ULBRICH, 2004).

você sabia?

Quando falamos em hackers, a reação imediata da maioria de gestores de TI é sentir arrepio. Crimes cibernéticos e ataques a sistemas corporativos são responsáveis pela maioria das crises de imagem e confiança em negócios que armazenam e utilizam dados de seus clientes. A função de um hacker do bem, hackers éticos ou white hats é realizar análises e ataques controlados a servidores e sistemas corporativos em busca de brechas de segurança. Com essas falhas identificadas, a TI pode corrigi-las antes que um ataque hacker mau intencionado se aproveite desse método.

Skoudis (2005) também indaga a existência dos hackers do bem, também chamados de white hats (chapéus brancos) ou gray hats para os que ainda estão “em cima do muro”. Eles fazem pequenos ataques DOS (negação de serviço) para derrubar alguns sites ou desenvolver algum software para derrubar a licença de alguns programas, os chamados cracks ou ativadores. Por fim, os black hats , chamados de crackers, os chamados de vândalos digitais, são criminosos que utilizam de seus conhecimentos apenas para obter lucros sobre qualquer outra pessoa.

Assim, algumas fontes, como Jargon File, defendem que os criminosos devem ser identificados como crackers, termo criado pela própria comunidade para sua distinção.

O termo usado para denominá-los foi desenvolvido pelos próprios hackers, na década de 1980, com intuito de distinguir, para a mídia e para os leigos, as atividades executadas por cada um. Contudo, mesmo após mais de trinta anos, a maioria das pessoas confundem ou até mesmo não conhecem o significado dos termos. Sendo assim, podemos definir um cracker como aquele que invade ou viola a integridade de sistemas, terminais, servidores, dispositivos moveis, entre outros, com a intenção de causar danos. Conseguindo acesso não autorizado, os crackers destroem informações, negam o serviço de usuários, causam problemas e até sequestram dados para solicitar quantia em bitcoins para liberação. Além disso, é importante mencionar que existem dois tipos de crackers. Os crackers especialistas são os que descobrem novas oportunidades e vulnerabilidades de segurança e constantemente utilizam de seu alto conhecimento para desenvolver softwares poderosos para explorar essas fraquezas, aumentando, assim, as chances de sucesso de ataques maiores. O segundo tipo, conhecido como script kiddies , apenas sabe como obter esses softwares e operá-los (como esses indivíduos são comuns e em maior quantidade, são mais fáceis de serem deletados e impedidos.).

4.4 Ferramentas utilizadas em ataques

Apesar de um cracker/hacker possuir um alto conhecimento no nível de programação, ele precisa de métodos e ferramentas que possibilitem a realização de um ataque. Muitas dessas ferramentas estão disponíveis na internet, a maioria muito poderosa e facilmente utilizada para travar redes e sites. Nesse sentido, podemos iniciar nossos estudos com a engenharia social, já que esse tipo de ferramenta é uma das mais sofisticadas e utilizadas atualmente.

VOCÊ QUER LER?

Para Aldawood e Skinner (2019), a segurança da informação é uma das fontes crescentes de preocupação com que as organizações estão lidando hoje. Com o aumento dos níveis de sofisticação das ameaças de engenharia social, as explorações desses ataques estão evoluindo. Esse estudo destaca alguns dos desafios que as organizações encontram no processo de desenvolvimento do conhecimento humano para lutar contra os ataques da engenharia social. Apesar dos preparativos de segurança cibernética de última geração e do pessoal treinado, os hackers ainda têm sucesso em seus atos maliciosos de roubo de informações confidenciais que são cruciais para as organizações. Disponível em: < https://ieeexplore.ieee.org/abstract/document/8854548 >.

Como mencionamos, a ferramenta mais poderosa que um invasor pode utilizar para acessar conhecimento é a engenharia social: manipular uma pessoa para fornecer informações. Essa técnica é superior à maioria das outras formas de hacking, pois pode violar até mesmo os sistemas mais seguros, já que os próprios usuários são a parte mais vulnerável (KROMBHOLZ et al., 2014).

Principais ataques hackers

» Clique nas setas para saber mais sobre o assunto

DD o S Attack
O objetivo principal desse ataque, traduzido para “navegação atribuída de serviço”, é sobrecarregar as atividades do servidor, provocando lentidão no sistema e tornando os sites e acessos indisponíveis.
Ransomware
Muito difundido como “sequestro de dados”, o ransomware bloqueia o acesso a todos os arquivos do servidor atacado, que só são liberados somente após o pagamento de uma quantia (normalmente bitcoins). O valor do “resgate” é determinado pelo sequestrador
Phishing
Geralmente realizado por e-mail, o phishing é um ataque virtual no qual os hackers levam os usuários a revelarem informações sigilosas, incluindo senhas, dados bancários e CPF.

Outros tipos de ataques de engenharia social se destacam por suas abordagens físicas. Como o nome indica, as abordagens físicas são aquelas em que o invasor executa algum modo de ação física para coletar informações sobre uma futura vítima. Isso pode variar de informações pessoais (como número do seguro social, data de nascimento) a credenciais válidas para um sistema de computador.

Além disso, o aspecto mais importante de ataques de engenharia social bem-sucedidos são as abordagens sociais. Por meio desse meio, os atacantes contam com técnicas psicológicas e sociais, como os princípios de persuasão de Cialdini (2001) para manipular suas vítimas.

Um outro método é o da abordagem técnica, utilizado em ataques técnicos realizados principalmente pela internet. Ataques de engenharia social são multifacetados e incluem aspectos físicos, sociais e técnicos que são utilizados em diferentes estágios do ataque real (KROMBHOLZ et al., 2014). Uma outra abordagem é a sociotécnica; alguns ataques de engenharia social bem-sucedidos geralmente combinam várias ou todas as diferentes abordagens discutidas acima. Assim, as abordagens sociotécnicas criaram as armas mais poderosas dos engenheiros sociais. Um exemplo é o chamado isca ataque: os invasores deixam o armazenamento infectado por malwares.

O malware, por sua vez, é conhecido por vários nomes; os exemplos incluem software malicioso e código malicioso (MC). Inúmeras definições foram oferecidas para descrever malwares, por exemplo, Christodorescu et. al (2005) descrevem uma instância de malware como um programa cujo objetivo é malévolo.

Existem diversas técnicas de ataques com malwares, e uma delas é o trojan, técnica com programas executáveis e maliciosos, criados para derrubar um sistema de segurança, um sistema ou uma rede. Um trojan atua em um sistema como um arquivo de programa que não oferece riscos.

Trojans de acesso remoto, por sua vez, são malwares que usam backdoors para controlar a máquina de destino com privilégios administrativos. Esses tipos de trojans são baixados de modo invisível com a solicitação do usuário de um programa, como um jogo ou um anexo de e-mail. Uma vez que o invasor compromete uma máquina, o trojan a utiliza para comprometer mais máquinas e construir um BotNet para lançar um ataque DoS ou DDoS.

Além disso, esses tipos de trojans podem capturar e fornecer informações confidenciais ao invasor, como senhas, informações de cartão de crédito, endereços de e-mail e listas de contatos. Para coletar essas informações, esses dispositivos maliciosos tentam instalar um keylogger para capturar e transmitir ao atacante todas as teclas digitadas.

Mas o que é um keylogger? São ferramentas de hardware ou software que capturam caracteres/números enviados do teclado para um computador conectado. O keylogger registrará todas as atividades relacionadas às teclas digitadas, sendo que o processo de gravação é realizado com um método de correspondência de string , que visa auxiliar o administrador a saber o que o usuário acessou no computador.

Ataques hacker que entraram para a história

» Clique nas abas para saber mais sobre o assunto

1982
2010
2015
2016
2017

A bomba lógica da Guerra Fria (1982): Os soviéticos caíram na armadilha e passaram a usar o software infectado em um gasoduto. Um trojan ordenou que os sistemas trabalhassem com uma pressão acima do normal, o que acabou causando uma explosão.

O Stuxnet (2010): O Stuxnet não foi especificamente um ataque, mas sim um vírus descoberto em 2010 por uma empresa de segurança. Ele foi projetado especialmente para atacar uma organização.

Invasão ao Ashley Madison (2015): Um grupo denominado time de impacto, invadiu os servidores do site Ashley Madison e alertou em público que, se os responsáveis pelo serviço não o desligassem imediatamente, eles divulgariam informações privadas de seus usuários.

Ataque DDoS na Dyn (2016): Atacantes resolveram realizar um ataque DDoS colossal contra a Dyn, uma empresa de serviços de DNS. Os sistemas caíram e como resultado todos os seus clientes se tornaram inacessíveis durante várias horas.

WannaCry (2017): Em 2017, mais de 200 mil sistemas ao redor do planeta foram sequestrados pelo WannaCry. Esse ransomware causou prejuízos enormes para diversas organizações.

Os ataques DoS/DDoS negação de serviço (DoS) é um tipo de ataque mais grave, geralmente acarretando como consequência uma tentativa explícita de um invasor impedir ou bloquear usuários legítimos de um serviço. Esse ataque ocorre tanto em um ambiente distribuído quanto centralizado. Alguns exemplos comuns dessa classe de ataque são: SYN inundando, smurf, fraggle, solavanco, terra e ping da morte. Um invasor DDoS normalmente inicia um ataque coordenado utilizando uma arquitetura baseada em manipuladores de agentes ou chat de retransmissão da internet (IRC). Os hosts de ataque geralmente são computadores pessoais com conexões de banda larga à internet.

Outro tipo de ferramenta é a de forjamento de pacotes, útil para forjar ou manipular informações de pacotes. Um invasor pode gerar tráfego com endereços IP manipulados com base nessa categoria de ferramenta. A seguir, descrevemos algumas ferramentas de forjamento de pacotes comumente usadas.

Uma ferramenta muito utilizada é o backdoor, que disponibiliza portas de acesso abertas no host, de forma que um invasor possa ter acesso não autorizado ao sistema. De acordo com a Cartilha de Segurança para a Internet (CERT, 2012), backdoor é um programa que permite o retorno de um invasor a um computador comprometido por meio da inclusão de serviços criados ou modificados para esse fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo.

Outra ferramenta muito comum atualmente é o phishing, em geral, criado por fraudadores que identificam vulnerabilidades em um sistema ou conseguem acesso com credenciais roubadas. Um mecanismo bastante comum é o uso de domínios similares (réplicas quase idênticas de um site com uma URL semelhante) e e-mails direcionados aos clientes da organização, cuja página foi clonada (ANDRION, 2019).

Ademais, existem alguns tipos diferentes de phishing, sendo o mais conhecido o pharming, que envolve o redirecionamento da navegação do usuário para sites falsos. Assim, quando o usuário tenta acessar um site legítimo, seu navegador web é redirecionado para uma página falsa.

Outra ação também conhecida são as campanhas por e-mail. Os destinatários das mensagens falsas são grandes redes de usuários ou indivíduos específicos (ANDRION, 2019). Boa parte desses e-mails são titulados de grandes organizações, como órgãos do governo ou instituições financeiras. No contexto geral, são e-mails que informam a necessidade de atualização, validação ou confirmação de informações, atraindo o usuário para um ataque silencioso.

Em uma outra categoria de ataques de usuário, temos os ataques SQL, em que o invasor desenvolve uma conexão TCP com um servidor de banco de dados SQL em uma máquina Unix. O shell do banco de dados sai quando uma sequência de escape especial é emitida, e o shell root da máquina é iniciado executando o Perlmagic 3 roteiro.

Ferramentas de ataques a sistemas de informação

» Clique nas setas para saber mais sobre o assunto

OWASP Zed
A ferramenta é usada também para scanners de vulnerabilidades web, fácil de usar e gratuita.
Nikto Website Vulnerability Scanner
É uma ferramenta de análise de vulnerabilidades em sites, muito desejado por hackers e com versão gratuita.
HStrike
É uma plataforma de pentest em nuvem, desenvolvida pela Hacker Security com objetivo de automatizar e facilitar o trabalho de profissionais da área de segurança da informação e da área de tecnologia da informação em geral.

Nessa lógica, alguns softwares são ferramentas essenciais para um ataque hacker. O Nmap, por exemplo, é um mapeador de redes que permite desenvolver um mapa de rede, a fim de compreender como os nós da rede estão interligados, além de nos permitir encontrar fragilidades do hacker. Já o John the Ripper é uma ferramenta que permite realizar a quebra de diversos tipos de hashes de senha, seja por força bruta ou por ataques baseados em dicionários.

Outro, e um dos mais famosos sniffers de rede da atualidade, o Wireshark, essencialmente captura os pacotes de dados em uma rede em tempo real e exibe os dados em formato legível (detalhado). Essa ferramenta é bastante utilizada por administradores de rede para detectar problemas ou conexões suspeitas, testar se as senhas usadas na rede estão realmente sendo criptografadas e realizar uma série de outras atividades relacionadas à segurança (BRITO, 2012).

THC Hydra, por sua vez, é uma ferramenta rápida e estável para quebra de senhas em serviços online gratuitos, tanto para Linux quanto para Windows com interface gráfica.

Por fim, e não menos importante, o Kali, uma distribuição GNU/Linux baseada no Debian, que figura a primeira posição entre as ferramentas para hacking. Ele foi desenvolvido para fins específicos, como testes de intrusão e auditoria de segurança, além de contar com uma gama de ferramentas para hackers.

Teste seus conhecimentos
Atividade não pontuada.

Síntese

Neste capítulo, foi possível compreender a diferença entre hacker e cracker, saber identificar o que é um invasor e um defensor e analisar as principais técnicas e ferramentas de invasão utilizadas pelos atacantes atualmente. Além disso, observamos como funciona e quais são as principais mudanças após a Lei Geral de Proteção de Dados no Brasil, desenvolvida para garantir a soberania de dados ao seu titular e regular as atividades de tratamento e coleta de dados. Também analisamos as principais técnicas de prevenção a ataques e identificamos alguns dos métodos mais sofisticados de prevenção. Essas práticas são fundamentais para manter informações e dados em segurança, protegidos contra ameaças, distinguindo ações maliciosas de ações positivas.

saiba mais

Título : Trilhas em segurança da informação: caminhos e ideias para a proteção de dados
Autores : Carlos Cabral e Willian Caprino
Editor : Brasport
Ano : 2015
Comentário : Uma obra importante para que o profissional de Segurança da Informação saiba as metodologias e os desafios da sua profissão, bem como saiba justificar a própria prática no mundo corporativo de maneira sólida.
Onde encontrar : Livrarias físicas ou virtuais

Título : O que é a Lei Geral de Proteção de Dados Pessoais? Dê um “giro” pela lei e conheça desde já as principais transformações que ela traz para o país
Autor : Serviço Federal de Processamento de dados
Ano : 2018
Comentário : A página é um ótimo dossiê para aqueles que desejam entender a Lei Geral de Proteção de Dados Pessoais e como ela interfere na vida dos brasileiros.
Onde encontrar: < https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd >
Título : Lei Geral de Proteção de Dados Pessoais comentada
Autor(a) : Márcio Cots e Ricardo Oliveira
Editora : Revista dos Tribunais
Ano : 2019
Comentário : Esse livro se configura como importante para os profissionais que desejam aprofundar o seu conhecimento sobre a Lei de Proteção de Dados Pessoais, entendimento essencial para qualquer organização em território nacional
Onde encontrar? Livrarias físicas ou virtuais.

Referências bibliográficas

AGOSTINELLI, J. A importância da lei geral de proteção de dados pessoais no ambiente online . ETIC , Presidente Prudente, v. 14, n. 14, p. 01-22, 2018. Disponível em: < http://intertemas.toledoprudente.edu.br/index.php/ETIC/article/view/7025/67647038 >. Acesso em: 15 jan. 2021.

ALDAWOOD, H.; SKINNER, G. Challenges of Implementing Training and Awareness Programs Targeting Cyber Security Social Engineering. In: CYBERSECURITY AND CYBERFORENSICS CONFERENCE, 2019, Melbourne. Anais… Nova Jersey: IEEE Xplore, 03 out. 2019. p. 111-117. Disponível em: < https://ieeexplore.ieee.org/abstract/document/8854548 >. Acesso em: 18 jan. 2021.

BRASIL. Lei nº. 13.709, de 14 de agosto de 2018. Diário Oficial da União , Brasília, DF, Poder Executivo, 14 ago. 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm . Acesso em: 07 jan. 2021.

BRASIL. Ministério da Economia. Secretaria Especial de Desburocratização, Gestão e Governo Digital. Secretaria de Governo Digital. Departamento de Governança de Dados e Informações. Lei Geral de Proteção de Dados Pessoais (LGPD) : um guia de avaliação de riscos de segurança e privacidade. Brasília, DF, 2020. 57 p.

Cartilha de Segurança para Internet , 2012. Códigos maliciosos (Malware). CERT , [s.l.], [s.d.]. Disponível em: < https://www.cert.br/docs/palestras/certbr-unesco2013.pdf >. Acesso em: 12 jan. 2021.

CASSETO, O. The 8 Elements of an Information Security Policy. Information Security Blog , 2019. Disponível em: < https://www.exabeam.com/information-security/information-security-policy/ >. Acesso em: 08 jan. 2021.

CERT – CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL.

CIALDINI R. Influence : science and practice. Boston: Allyn and Bacon; 2001.

CIPOLI, P. O que é engenharia social? Canaltech , 30 mar. 2012. Disponível em: https://canaltech.com.br/seguranca/O-que-e-Engenharia-Social/ >. Acesso em: 15 jan. 2021.

CHRISTODORESCU, M. et. al. Semantics-aware malware detection. In: Proceedings of the 2005 IEEE Symposium on Security and Privacy, 05., 2005, Oakland. Anais... Oakland: University of Wisconsin; Carnegie Mellon University, 2005. 15 p. Disponível em: < https://people.eecs.berkeley.edu/~dawnsong/papers/semantic-aware.pdf >. Acesso em: 15 jan. 2021.

CNN Brasil. Hackers roubam dados da vacina da Pfizer contra Covid-19 na Europa . 09 dez. 2020. Disponível em: < https://www.cnnbrasil.com.br/internacional/2020/12/09/hackers-roubam-dados-da-vacina-da-pfizer-contra-covid-
19-na-europa >. Acesso em: 18 de jan. 2021.

EY. Security Operations Centers against Cybercrime . Top 10 Considerations for Success, 2013. Disponível em: < https://pdf4pro.com/fullscreen/security-operations-centers-against-cybercrime-ey-35e04c.html >. Acesso em: 08 de jan. 2021.

BRITO, E. Como usar o Wireshark. Techtudo , 2012. Disponível em: < https://www.techtudo.com.br/dicas-e-tutoriais/noticia/2012/09/como-usar-o-wireshark.html >. Acesso em: 18 jan. 2021.

HOOGSTRAATEN, H. et al. Black Tulip: Report of the investigation into the DigiNotar Certificate Authority breach. Fox It , Delft, 13 ago. 2012. Disponível em: < https://www.researchgate.net/publication/269333601_Black_Tulip_Report_of_the_investigation_into_the_DigiNotar_ Certificate_Authority_breach >. Acesso em: 18 jan. 2021.

IBM – INTERNATIONAL BUSINESS MACHINES CORPORATION. Strategy considerations for building a security operations center . Somers, Nova Iorque, 2013. p. 16. Disponível em: < https://pt.slideshare.net/CesarMRibeiro/strategy-considerations-for-building-a-security-operations-center >. Acesso em: 15 jan. 2021.

INVASORES – nenhum sistema está à salvo . Direção de Baran Bo Odar. Alemanha: Paramount Home Entertainment, 2015. (160 min.). son. color.

KROMBHOLZ, K., et al. Advanced social engineering attacks. Journal of Information Security and Applications , Vienna, v. 22, p. 113-122, out. 2014. Disponível em: < https://www.researchgate.net/publication/267340031_Advanced_social_engineering_attacks >. Acesso em: 18 jan. 2021.

MITNICK K. S. W. A arte do engano : controlar o humano elemento de segurança. Wiley: Pearson Universidades, 2002.

SENADO NOTÍCIAS. Projeto de lei geral de proteção de dados pessoais é aprovado no Senado . Senado Notícias, Brasília, DF, 10 jul. 2018. Disponível em: < https://www12.senado.leg.br/noticias/materias/2018/07/10/projeto-de-lei-geral-de-protecao-de-dados-pessoais-e-aprovado-no-senado >. Acesso em: 07 jan. 2021.

SERPRO – SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS. O que muda com a LGPD . 2018a. Disponível em: https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd >. Acesso em: 05 jan. 2021.

SERPRO – SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS. Objetivo e abrangência da LGPD . 2018b. Disponível em: < https://www.serpro.gov.br/lgpd/menu/tratamento-dos-dados/objetivo-e-abrangencia-da-lgpd >. Acesso em: 05 jan. 2021.

SKOUDIS, E.; LISTON, T.; HALL, P. Counter hack reloaded, second edition : a step-by-step guide to computer attacks and effective defenses. London: Pearson, 2005.

ULBRICH, H. C.; DELLA V. J. Universidade hacker : desvendando todos os segredos do submundo dos hackers. 4 ed. São Paulo: Digerati, 2004.

VASUDEVAN, R.; YERRABALLI. S. Engineering malware analysis tools using unobtrusive binary-instrumentation. In: Proceedings of the 29th Australasian Computer Science Conference, 29., 2006, Darlinghurst. Anais… Darlinghurst: University of Texas, 2006. 9 p. Disponível em: < https://dl.acm.org/doi/pdf/10.5555/1151699.1151734 >. Acesso em: 15 jan. 2021.

VENTURA, Layse. O que é phishing e como se proteger desse golpe na internet. Olhar Digital , 11 jul. 2019. Disponível em: < https://olhardigital.com.br/2022/12/19/tira-duvidas/o-que-e-phishing-e-como-se-proteger-desse-golpe-na-internet/ >. Acesso em: 13 jan. 2021.

WINCHESTER, R. What’s in a name? TTPs in Info Sec. Specterops , 27 set. 2017. Disponível em: < https://posts.specterops.io/whatsin-a-name-ttps-in-info-sec-14f24480ddcc >. Acesso em: 10 jan. 2021.